2013-2014
Transcrição
2013-2014
Plano Diretor de Tecnologia da Informação 2013/2014 - 1ª Edição Aprovado em 29 de Outubro de 2013 Ministério da Previdência Social - MPS Garibaldi Alves Filho Superintendência Nacional de Previdência Complementar - PREVIC José Maria Rabelo Diretoria de Administração - DIRAD José Maria Meneses Coordenação Geral de Tecnologia da Informação - CGTI Eduardo Bittencourt Fernandes Superintendência Nacional de Previdência Previdência Complementar Sede: SBN trecho 02 - Bloco N – Edifício CNC III CEP: 70040-020 Brasília – DF http://www.mps.gov.br/PREVIC.php Escritórios regionais Escritório de Fiscalização da PREVIC em Minas Gerais (ERMG) Endereço: Rua Padre Eustáquio, 1831 – 5° andar – salas 501/502 – Bairro Padre Eustáquio / CEP: 30720-100 – Belo Horizonte/MG Coordenador: James Taylor Faria Chaves Telefone: (31) 3419 6860 / 3419 6867 Escritório de Fiscalização da PREVIC em Pernambuco (ERPE) Endereço: Av. Jornalista Mário Melo, 343 – 3° andar – Santo Amaro / CEP: 50040-010 – Recife/PE Coordenador: Otávio Lima Reis Telefone: (81) 3412 5641 Página 2 de 195 Escritório de Fiscalização da PREVIC no Rio de Janeiro (ERRJ) Endereço: Rua México, 168 – 11° andar – Centro / CEP: 20031-143 – Rio de Janeiro/RJ Coordenador: Eduardo Menezes Meireles Telefone: (21) 2532 2662 Escritório de Fiscalização da PREVIC no Rio Grande do Sul (ERRS) Endereço: Rua Jerônimo Coelho, 127 – 18° andar – sala 1804, Centro / CEP: 90010-241Porto Alegre/RS Coordenador: Roger Odillo Klafke Telefone: (51) 3208 5472 Escritório de Fiscalização da PREVIC em São Paulo (ERSP) Endereço: Rua 24 de Maio, 250, 12° andar CEP: 01041-000 – São Paulo/SP Coordenador: Peterson Gonçalves Telefone: (11) 3227 2709 Página 3 de 195 Equipe de elaboração do PDTI Designação da equipe aprovada na Quarta Reunião Extraordinária do Comitê Executivo de Tecnologia da Informação da PREVIC Nome Designação Área Roberto Mendes Altavilla Luttner Titular Gabinete Trajano Passos Ferraz Moreira Titular Diretoria de Administração – DIRAD Silvan Lucas de Sousa Junior Titular Diretoria de Análise Técnica – DITEC Margarida Maria Silva Rodrigues Titular Diretoria de Assuntos Atuarias, Contábeis e Econômicos – DIACE Patrícia Lustosa Ventura Ribeiro Titular Coordenação Geral de Tecnologia da Informação – CGTI/DIRAD Paulo César Andrade Almeida Titular Diretoria de Fiscalização – DIFIS Rodrigo Bezerra Martins Titular Procuradoria Amable Alejandro Traviesa Suplente Gabinete Zaragoza Neto Luiz Cristiano Rocha Leite Suplente DIRAD Giovanna Andreia Luna Farias Suplente DITEC Marcus Vinícius Azevedo Suplente DIACE Karina Ericson Araújo Sotero Suplente CGTI/DIRAD José Carlos Sampaio Chedeak Suplente DIFIS Página 4 de 195 Histórico de Revisões Data Versão 16/9/2013 0.3 Descrição Autor(es) Aprovação da primeira versão do Grupo de Trabalho PDTI 2013-2014 – PDTI Comitê 9/10/2013 0.9 Revisão versão do PDTI 2013-2014 Executivo de Tecnologia da Informação. 29/10/2013 1.0 Aprovação do PDTI 2013-2014 DICOL Previc Página 5 de 195 Apresentação O Plano Diretor de Tecnologia da Informação da PREVIC (PDTI) 2013-2014 reflete o amadurecimento do nível de governança da autarquia, fruto da atuação efetiva do Comitê Executivo de Tecnologia da Informação – CEXTI, e do empenho dos servidores desta Instituição que participaram da elaboração desta importante ferramenta para o alcance da missão institucional. Este plano foi construído em harmonia com o Planejamento Estratégico da Previdência Social e com o Plano Estratégico da PREVIC e compreende todas as ações de TI indispensáveis para o desenvolvimento dos objetivos estratégicos desta Autarquia. Este documento registra, de forma resumida, a metodologia aplicada na elaboração do PDTI; o Inventário de Necessidades; os planos de Metas e Ações, de Investimentos e de Custeio, de Gestão de Riscos; Projeção Orçamentária de TI, dentre outros elementos táticos e estratégicos relacionados à Tecnologia da Informação. O período de vigência deste PDTI contempla o biênio 2013-2014, com a abrangência na Sede e escritórios regionais. Finalmente, espera-se que este documento cumpra seu papel como instrumento de diagnóstico, planejamento e gestão dos recursos e serviços de Tecnologia da informação no âmbito da PREVIC. Página 6 de 195 Sumário 1. Introdução ..................................................................................................... 15 1.1. Importância da Tecnologia da Informação para a Sociedade ................ 15 1.2. A Organização da TI no Setor Público ...................................................... 15 1.3. A implantação do Modelo de Governança .............................................. 17 1.4. A formação do PDTI na PREVIC ................................................................ 17 1.5. Motivação.................................................................................................. 19 2. Metodologia Aplicada................................................................................... 20 2.1. A fase de Preparação ................................................................................ 20 2.2. A fase de Diagnóstico ............................................................................... 21 2.3. A fase de Planejamento ............................................................................ 21 2.4. Considerações ........................................................................................... 21 3. Documentos de Referência .......................................................................... 23 4. Princípios e Diretrizes ................................................................................... 25 5. Organização da TI ......................................................................................... 27 5.1. Contextualização da CGTI ......................................................................... 27 5.2. Panorama atual da CGTI ........................................................................... 27 5.3. Atribuições da CGTI .................................................................................. 28 5.3.1. Atribuições da Coordenação de Desenvolvimento Tecnológico ..... 29 5.3.2. Contexto atual .................................................................................... 30 6. Resultados do PDTI anterior ........................................................................ 31 6.1. Avaliação da Execução do PDTI 2012-2013............................................. 31 Página 7 de 195 6.2. Avaliação do Alcance de Metas................................................................ 33 6.3. Fatores que dificultaram a execução ou o alcance das metas ............... 34 7. Referencial Estratégico de TI ....................................................................... 37 7.1. Missão ....................................................................................................... 37 7.2. Visão .......................................................................................................... 37 7.3. Objetivo Estratégico da TI ........................................................................ 37 7.4. Análise de SWOT ....................................................................................... 37 7.4.1. Forças e fraquezas .............................................................................. 38 7.4.2. Oportunidades e Ameaças ................................................................. 38 8. Alinhamento com a Estratégia da Organização .......................................... 40 8.1. O Plano Estratégico da PREVIC 2011-2013.............................................. 40 8.2. Direcionadores Estratégicos da PREVIC ................................................... 41 8.2.1. Missão ................................................................................................. 41 8.2.2. Visão .................................................................................................... 41 8.2.3. Valores ................................................................................................ 42 8.3. Objetivos Estratégicos da PREVIC – Resultados para a Sociedade......... 42 8.4. Objetivos Estratégicos da PREVIC – Processos internos ......................... 42 8.5. Objetivos Estratégicos da PREVIC – Aprendizado e crescimento........... 43 8.6. Mapa Estratégico da Previdência Social .................................................. 43 8.7. PETI/MP ..................................................................................................... 45 8.8. EGTI/SISP/MP ............................................................................................ 46 8.9. Objetivos deste documento ..................................................................... 48 Página 8 de 195 9. Inventário de Necessidades ......................................................................... 49 9.1. Necessidades Identificadas ...................................................................... 49 9.2. Diagnóstico dos equipamentos de informática ...................................... 52 9.2.1. Relação de Estações de Trabalho em Brasília e nos Escritórios Regionais. 52 9.2.2. Relação de computadores portáteis ................................................. 52 9.2.3. Relação de projetores ........................................................................ 53 9.3. Diagnóstico de sistemas ........................................................................... 53 9.3.1. Sistemas em manutenção .................................................................. 53 9.3.2. Sistemas em sustentação e produção ............................................... 54 9.4. Diagnóstico dos serviços .......................................................................... 55 9.4.1. Contrato de Atendimento e Suporte Técnico ................................... 55 9.4.2. Contrato de prestação de serviço de TI ............................................ 56 9.4.3. Contrato de Telefonia Fixa ................................................................. 56 9.4.4. Contrato de Impressão e Digitalização.............................................. 57 9.4.5. Manutenção da Central Telefônica ................................................... 57 9.4.6. Art.53 da Lei Nº 12.154, de 23 de Dezembro de 2009. ................... 57 10. Plano de Metas, Ações e Priorização ........................................................... 59 10.1. Critérios de Priorização ......................................................................... 59 10.2. Detalhamento do Plano de Metas e Ações ......................................... 60 11. Plano de Gestão de Pessoas......................................................................... 78 11.1. Mapeamento de Competências ........................................................... 78 11.2. Ações de contingência .......................................................................... 96 Página 9 de 195 12. Planejamento da Execução .......................................................................... 97 13. Plano de Gestão de Riscos ......................................................................... 115 13.1. PDTI Análise dos riscos inerentes às necessidades estratégicas elencadas no 115 13.2. II. Análise dos riscos operacionais e de controle da PREVIC - Vide Anexo 124 14. Projeção Orçamentária de TI ..................................................................... 125 15. Políticas de aquisição, substituição e descarte de equipamentos de TI. . 126 15.1. Diretrizes de aquisição e substituição de equipamentos ................. 127 15.2. Diretrizes de descarte de Equipamentos ........................................... 129 16. Sustentabilidade Ambiental ....................................................................... 131 17. Processo de Monitoramento e Avaliação da Execução do PDTI .............. 132 18. Processo de Revisão do PDTI ..................................................................... 134 19. Fatores Críticos para a Implementação do PDTI ....................................... 136 Página 10 de 195 Lista de Tabelas Tabela 1- Documentos de Referência .................................................................... 24 Tabela 2 - Princípios e Diretrizes ............................................................................ 26 Tabela 3 – Avaliação da Execução do PDTI 2012-2013 ......................................... 32 Tabela 4 - Avaliação do alcance de metas do PDTI 2012-2013 ............................ 34 Tabela 5 - Analise SWOT - Forças e fraquezas ....................................................... 38 Tabela 6 - Analise SWOT - Oportunidades e Ameaças .......................................... 39 Tabela 7 - Objetivos Estratégicos – Resultados ..................................................... 42 Tabela 8 - Objetivos Estratégicos – Processos internos ........................................ 43 Tabela 9 - Objetivos Estratégicos – Aprendizado e crescimento.......................... 43 Tabela 10 - Objetivos Estratégicos – Aprendizado e crescimento........................ 44 Tabela 11 - Objetivos do PETI ................................................................................. 45 Tabela 12 - Objetivos Estratégicos do EGTI 2013-2015. ....................................... 48 Tabela 13 – Necessidades Identificadas................................................................. 51 Tabela 14 – Relação de estações de trabalho na sede da PREVIC........................ 52 Tabela 15 – Relação de estações de trabalho nos Escritórios Regionais ............. 52 Tabela 16 – Relação de computadores portáteis da PREVIC ................................ 53 Tabela 17 – Relação de projetores da PREVIC ....................................................... 53 Tabela 18 – Relação dos sistemas em manutenção na PREVIC ............................ 54 Tabela 19 – Relação dos sistemas em sustentação e produção na PREVIC ......... 55 Tabela 20 – Quantidade de atendimentos de suporte técnico em 2012 ............ 56 Tabela 21 - Atendimentos de suporte técnico em 2012 por Diretoria ................ 56 Página 11 de 195 Tabela 22 – Número de folhas impressas nas instalações da PREVIC .................. 57 Tabela 23 – Legenda dos Critérios de Priorização ................................................. 59 Tabela 24 – Detalhamento do Plano de Metas e Ações ....................................... 77 Tabela 25 – Competências em TI necessárias para alcance das metas do PDTI . 92 Tabela 26 – Quantidade, locação e competência ideais de servidores da CGTI.. 95 Tabela 27 – Planejamento da Execução............................................................... 114 Tabela 28 – Análise de Riscos de cada ação de TI ............................................... 124 Lista de Figuras Figura 1 - Fases e produtos da Metodologia de Elaboração do PDTI ................... 20 Figura 2- Organograma da CGTI/DIRAD ................................................................. 28 Figura 3 - Análise de execução do PDTI 2012-2013 .............................................. 32 Figura 4 - Análise do alcance de metas do PDTI 2012-2013 ................................. 34 Figura 5 - Análise das principais dificuldade de execução do PDTI 2012-2013 ... 35 Figura 6- Mapa Estratégico da PREVIC ................................................................... 41 Figura 7 - Objetivos estratégicos do EGTI/SISP/MP ............................................... 47 Figura 8 – Gráfico de alocação necessária de servidores ..................................... 96 Figura 9 - Processo de Monitoramento e Avaliação da Execução do PDTI ........ 132 Figura 10 - Processo de Revisão e Atualização do PDTI ...................................... 135 Página 12 de 195 Página 13 de 195 Termos e abreviações ATI – Analista em Tecnologia da Informação CEXTI – Comitê Executivo de Tecnologia da Informação CGU – Controladoria Geral da União EGTI – Estratégia Geral de Tecnologia da Informação e-MAG – Modelo de Acessibilidade do Governo Eletrônico e-PING – Padrões de Interoperabilidade de Governo Eletrônico ENAP – Escola Nacional de Administração Pública IN – Instrução Normativa MPS – Ministério da Previdência Social MP - Ministério do Planejamento, Orçamento e Gestão PDTI – Plano Diretor de Tecnologia da Informação PEI – Planejamento Estratégico Institucional PPA – Plano Plurianual PREVIC – Superintendência Nacional de Previdência Complementar SISP – Sistema de Administração dos Recursos de Tecnologia da Informação do MP SLTI – Secretaria de Logística e Tecnologia da Informação do MP SWOT – Strengths, Weaknesses, Opportunities and Threats TCU – Tribunal de Contas da União TI – Tecnologia da Informação Página 14 de 195 1. Introdução 1.1. Importância da Tecnologia da Informação para a Sociedade Ao longo dos anos, a informática tornou-se um instrumento fundamental para o cotidiano das pessoas e, da mesma maneira, para o funcionamento das empresas públicas e privadas. A então denominada “Sociedade da Informação” estava diante de um novo paradigma que mereceria a atenção do Governo Eletrônico: a Inclusão Digital ações específicas para difundir e popularizar o uso da microinformática e das redes de computadores, a exemplo da Internet. A inserção da Tecnologia da Informação - TI ao cotidiano das atividades das organizações associada ao alto grau de dependência gerou a necessidade de estabelecer processos formais de gestão da TI, visto que ela se tornou um mecanismo essencial e impulsionador dos objetivos estratégicos das instituições. 1.2. A Organização da TI no Setor Público O Governo Federal optou pela criação do Sistema de Administração de Recursos de Informática e Informação – SISP, composto pelas áreas técnicas de informática dos órgãos da Administração Pública Direta e Indireta, coordenados pela Secretaria de Logística e Tecnologia da Informação – SLTI/MP. Segundo o Decreto nº 7.579 de 11 de outubro de 2011: “Art. 1º Ficam organizados sob a forma de sistema, com a denominação de Sistema de Administração dos Recursos de Tecnologia da Informação - SISP, o planejamento, a coordenação, a organização, a operação, o controle e a supervisão dos recursos de tecnologia da informação dos órgãos e entidades da administração pública federal direta, autárquica e fundacional, em articulação com os demais sistemas utilizados direta ou indiretamente na gestão da informação pública federal. Art. 2º O SISP tem por finalidade: Página 15 de 195 I - assegurar ao Governo federal suporte de informação adequado, dinâmico, confiável e eficaz; II - facilitar aos interessados a obtenção das informações disponíveis, resguardados os aspectos de disponibilidade, integridade, confidencialidade e autenticidade, bem como restrições administrativas e limitações legais; III - promover a integração e a articulação entre programas de governo, projetos e atividades, visando à definição de políticas, diretrizes e normas relativas à gestão dos recursos de tecnologia da informação; IV - estimular o uso racional dos recursos de tecnologia da informação, no âmbito do Poder Executivo federal, visando à melhoria da qualidade e da produtividade do ciclo da informação; V - estimular o desenvolvimento, a padronização, a integração, a interoperabilidade, a normalização dos serviços de produção e disseminação de informações, de forma desconcentrada e descentralizada; VI – propor adaptações institucionais necessárias ao aperfeiçoamento dos mecanismos de gestão dos recursos de tecnologia da informação; VII - estimular e promover a formação, o desenvolvimento e o treinamento dos servidores que atuam na área de tecnologia da informação; e VIII - definir a política estratégica de gestão de tecnologia da informação do Poder Executivo federal. § 1º Consideram-se recursos de tecnologia da informação o conjunto formado pelos bens e serviços de tecnologia da informação que constituem a infraestrutura tecnológica de suporte automatizado ao ciclo da informação, que envolve as atividades de produção, coleta, tratamento, armazenamento, transmissão, recepção, comunicação e disseminação. Página 16 de 195 § 2º As questões relativas à gestão de segurança da informação são disciplinadas conforme as disposições do Decreto nº 3.505, de 13 de junho de 2000. O SISP tem a função de estabelecer diretrizes para a condução da TI nos órgãos da Administração Pública, bem como de estabelecer normas específicas para a execução de atividades e serviços. 1.3. A implantação do Modelo de Governança A SLTI do Ministério do Planejamento, Orçamento e Gestão, apoiada nas diversas jurisprudências exaradas pelo egrégio Tribunal de Contas da União, publicou instruções normativas, decretos e documentos de suporte ao planejamento das atividades de Tecnologia da Informação (TI) dos órgãos que a compõem. Deste arcabouço normativo destaca-se a Instrução Normativa nº 04 de 12 de novembro de 2010 (DOU 16/11/2010), que estabelece o processo de contratação de serviços de TIC e aponta para a necessidade de alinhamento estratégico institucional da TI para a consecução das suas metas. Por meio da Portaria SLTI nº 11 de 28 de dezembro de 2008, o órgão central do SISP estabeleceu um conjunto de atividades que deveriam ser executadas pelos demais integrantes do Sistema com a finalidade de implantar o modelo de governança em TIC do Governo Federal. O modelo de governança em TI determinou a criação de "instrumentos de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação que visa atender às necessidades de informação de um órgão ou entidade para um determinado período" como premissa para qualquer contratação ou aquisição na área de TI. A este instrumento deu-se o nome de Plano Diretor de Tecnologia da Informação (PDTI). 1.4. A formação do PDTI na PREVIC Página 17 de 195 O PDTI representa um instrumento indispensável para a gestão dos recursos de TI. Por isso, na área pública, em que os recursos, de uma forma geral, são mais limitados do que área privada, os órgãos de controle de governo, em especial o Tribunal de Contas da União (TCU), há muito vêm enfatizando a necessidade de que, antes de executarem seus gastos relacionados à TI, os órgãos públicos devem elaborar um PDTI que contemple todas as ações e as associem às metas de suas áreas de negócio. Essa recomendação tornou-se obrigatória em face da publicação da Instrução Normativa SLTI/MP nº 04/2010, pela Secretaria de Logística e Tecnologia da Informação (SLTI), do Ministério do Planejamento, Orçamento e Gestão (MP), órgão central do Sistema de Administração dos Recursos de Informação e Informática (SISP). Para garantir que o PDTI seja executado de forma eficiente, a referida IN também recomenda a implantação de uma estrutura de governança em Tecnologia da Informação (TI) com a criação de comitês de TI. Este comitê foi criado, no âmbito da PREVIC, pela Portaria MPS/PREVIC/DITEC nº 941, de 9 de dezembro de 2010, revogada pela Portaria MPS/PREVIC/DC nº 344, de 21 de junho de 2013, publicada no DOU em 24 de junho de 2013. O Comitê Executivo de TI da PREVIC (CEXTI) é presidido pelo Diretor de Administração (DIRAD), sendo composto por representantes de todas as Diretorias da PREVIC, da Procuradoria Federal Especializada junto a PREVIC (PFE), da Auditoria Interna e pelo Coordenador Geral de Tecnologia da Informação (CGTI). Entre as atribuições do CEXTI, conforme Portaria nº 344/2013, podem-se citar: I -propor sobre: a) diretrizes, objetivos e estratégias em TI, considerando as políticas e orientações da Administração Pública Federal, o Planejamento Estratégico e as necessidades tecnológicas da PREVIC; b) planejamentos em TI; e Página 18 de 195 c) planos de investimentos para a área de TI. II - avaliar a implementação das ações planejadas e monitorar os resultados, comparando-os com as metas institucionais; 1.5. Motivação A elaboração deste PDTI visa aprimorar a maturidade da Governança de Tecnologia da Informação, com vistas a assegurar que as ações de TI agreguem valor às ações estratégicas da PREVIC. Nesse sentido, este processo de elaboração é motivado pelos seguintes fatores: a) A Instrução Normativa SLTI/MP nº 04/2010, instrumento legal de indução da Governança de TI na Administração Pública Federal; b) O Plano Estratégico da PREVIC 2011-2013, o Mapa Estratégico da Previdência Social, o PETI da Previdência social e a EGTI do SISP como instrumentos norteadores das ações da instituição; c) O papel de integração e de diagnóstico do PDTI PREVIC 2012-2013; d) A proposta de fortalecimento das áreas de TI e de entrega de valor às áreas finalísticas de negócio e o apoio ao cumprimento das metas governamentais, por parte da Estratégia Geral de Tecnologia da Informação do SISP; e) A recomendação do Tribunal de Contas da União acerca do aprimoramento dos controles gerais da área de Tecnologia da Informação; f) As recomendações acerca do PDTI da PREVIC, apresentadas nos Relatórios de Auditoria Anual de Contas em 2012 e 2013, emitido pela Controladoria Geral da União. Com a aprovação do PDTI 2013-2014, a PREVIC tem uma importante ferramenta para orientar as ações de TI para o biênio, alinhadas às orientações estratégicas da alta gestão da entidade. Página 19 de 195 2. Metodologia Aplicada A elaboração do PDTI 2013-2014 da PREVIC pautou-se no modelo proposto pelo Guia de Elaboração de PDTI do SISP, publicado em 18 de maio de 2012, pela SLTI/MP, e nas orientações constantes do Acórdão TCU n° 111/2010 – Plenário, quanto à observância das práticas contidas no Cobit 4.1, processo PO1 – Planejamento Estratégico de TI. A metodologia de construção do Plano Diretor de Tecnologia consistiu em três fases: Preparação, Diagnóstico e Planejamento, conforme figura abaixo: Preparação Diagnóstico Plano de Trabalho Planejamento Relatório de Resultados do PDTI anterior Inventário de necessidades PDTI Plano de Metas Figura 1 - Fases e produtos da Metodologia de Elaboração do PDTI 2.1. A fase de Preparação A fase de Preparação reuniu os aspectos decisórios de caráter superior e aprovação de documentos e atividades diretamente voltadas à elaboração do Plano de Trabalho, o qual orientou a condução da elaboração do PDTI. Suas principais atividades foram: definição da abrangência e período do PDTI; definição da equipe de elaboração do PDTI; descrição da metodologia de elaboração do PDTI; identificação e reunião dos documentos de referência; identificação das Estratégias da Organização; identificação dos princípios e diretrizes; elaboração do plano de trabalho do PDTI (PT-PDTI); aprovação do plano de trabalho do PDTI pelo CEXTI. Página 20 de 195 2.2. A fase de Diagnóstico A fase de Diagnóstico objetivou a compreensão da situação atual da TI na PREVIC, por meio da análise das ações previstas no PDTI anterior e da identificação de novas necessidades. Suas principais atividades foram: avaliação dos resultados do Planejamento de TI anterior; análise dos Resultados do Planejamento de TI anterior; análise do Referencial Estratégico da área de TI; análise da Organização da TI; realização da análise SWOT da TI; identificação das Necessidades de Informação; identificação das Necessidades de Serviços de TI; identificação das Necessidades de Infraestrutura de TI; identificação das Necessidades de Contratação de TI; identificação das Necessidades de Pessoal de TI; consolidação do Inventário de necessidades; alinhamento das Necessidades de TI às Estratégias da Organização; aprovação do Inventário de Necessidades. 2.3. A fase de Planejamento A fase de Planejamento permitiu o estabelecimento dos planos e das ações adequadas para o alcance dos objetivos esperados, contemplando a priorização das necessidades e definição de metas e ações, abrangendo aspectos de pessoal, orçamentários e riscos. Suas principais atividades foram: atualização dos critérios de priorização; priorização das necessidades inventariadas; definição das metas e ações; planejamento da execução das ações; planejamento das ações de pessoal; planejamento de Investimentos e Custeio; consolidação da Projeção Orçamentária da TI; aprovação dos Planos Específicos; atualização dos critérios de aceitação de riscos; planejamento do gerenciamento de riscos; consolidação da Minuta do PDTI; aprovação da Minuta do PDTI 2.4. Considerações A equipe de elaboração do PDTI foi composta por colaboradores e servidores indicados pelos titulares do CEXTI, que representam as diretorias da PREVIC. Página 21 de 195 A equipe foi responsável por realizar todas as atividades relacionadas à elaboração do PDTI, em conformidade com o Guia de Elaboração de PDTI, da Secretaria de Logística e Tecnologia da Informação, do Ministério do Planejamento, Orçamento e Gestão. Os servidores foram responsáveis por avaliar os resultados do PDTI anterior e identificar as necessidades de TI no âmbito de suas áreas de negócio. O processo de elaboração foi disponibilizado através de uma pasta compartilhada na infraestrutura de redes para o acompanhamento e também por e-mail para o Grupo de Trabalho de Elaboração do PDTI. Todos os documentos produzidos pela equipe, assim como e-mails, memorandos, listas de presença e atas de reuniões estão reunidos no processo nº 44011.000610/2013-82 (Plano Diretor de Tecnologia da Informação – PDTI). A elaboração do PDTI incluiu também a realização de sessões de videoconferência com as unidades regionais e reuniões na sede em Brasília. Página 22 de 195 3. Documentos de Referência A elaboração do PDTI segue as diretrizes, padrões, normas e orientações de políticas da PREVIC, como também as políticas governamentais de conhecimento público. A tabela abaixo apresenta os documentos de referência que serviram como material de apoio e consulta na elaboração do Plano. Documento Descrição Plano Estratégico da PREVIC – Ciclo Define as diretrizes e ações da PREVIC a serem realizadas 2011 a 2013. no período de 2013 a 2015. Lei n° 12.154, de 23 de dezembro de Cria a Superintendência 2009. Complementar – PREVIC Nacional de Previdência Portaria MPS nº 554/12, de 22 de Estabelece Diretrizes para Tecnologia da Informação no novembro de 2012. âmbito do MPS e de suas entidades vinculadas e dá outras providências. Portaria MPS nº 553, de 22 de Institui o Comitê Estratégico de TI no âmbito do MPS e de novembro de 2012. suas entidades vinculadas e dá outras providências. Portaria PREVIC nº 344, de 21 de junho Cria o Comitê Executivo de Tecnologia da Informação – de 2013. CEXTI. Portaria PREVIC nº 178, de 11 de abril Cria o Comitê de de 2012. Comunicações – CSIC. Segurança da Informação e Portaria PREVIC nº 603, de 18 de Aprova o Regimento Interno do CSIC outubro de 2012. Portaria PREVIC nº 204, de 18 de abril Aprova a Política de Segurança da Informação e de 2013 Comunicação – POSIC. Instrução 01/2010. Normativa SLTI/MP nº Dispõe sobre os critérios de sustentabilidade ambiental na aquisição de bens, contratação de serviços ou obras pela Administração Pública Federal direta, autárquica e fundacional. Instrução 04/2010. Normativa SLTI/MP nº Dispõe sobre o processo de contratação de serviços de Tecnologia da Informação pela Administração Pública Federal direta, autárquica e fundacional. Página 23 de 195 Instrução 01/2008. Normativa GSI/PR nº Disciplina a gestão de segurança da informação e comunicações na Administração Pública Federal, direta e indireta, e dá outras providências. Guia de Elaboração de PDTI do SISP – Documento da Secretaria de Logística e Tecnologia da Versão 1.0. Informação/MP que dispõe sobre os padrões, orientações, diretrizes e modelos para elaboração do Plano Diretor de Tecnologia da Informação. ABNT. NBR ISO/IEC 27001:2006 - parte Norma ABNT que especifica requisitos para um Sistema de 1 Gestão de Segurança da Informação Decreto Lei nº 200, de 25 de fevereiro Dispõe sobre a organização da Administração Federal, de 1967. estabelece diretrizes para a Reforma Administrativa, e dá outras providências; Decreto Lei nº 2.271, de 07 de julho de Dispõe sobre a contratação de serviços pela Administração 1997. Pública Federal direta, autárquica e fundacional, e dá outras providências. Acórdão nº 1.521, de 21 de outubro de Dispõe sobre indícios de irregularidades em processo de 2003. inexigibilidade de licitação para fornecimento de produtos e serviços de informática; Acórdão nº 2.094, de 05 de janeiro de Dispõe sobre avaliação da legalidade e oportunidade das 2005. contratações e aquisições de bens e serviços de informática. Planejamento deficiente do setor de informática. Direcionamento de licitações. Fuga ao processo licitatório. Aquisição de serviços de consultoria sem o procedimento licitatório. Desobediência à lei de licitações quanto ao tipo de licitação. Locação de equipamento a custos superiores aos de aquisição. Terceirização de Serviços sem divisão do objeto. Estratégia Geral de Tecnologia da A EGTI 2013-2015 estabelece a direção da Tecnologia da Informação do SISP (EGTI) – Ciclo 2013- Informação (TI), definindo o plano estratégico que visa 2015. promover a melhoria contínua da gestão e governança de TI, assim como a sustentação da infraestrutura, além de subsidiar os órgãos do SISP na elaboração dos Planejamentos de Tecnologia da Informação. Interoperabilidade de Sistemas com a Documento do E-PING - Governo Federal. APF (E-PING). Norma NBR 38500:2009 Diretrizes de aquisição e substituição de equipamentos. Tabela 1- Documentos de Referência Página 24 de 195 4. Princípios e Diretrizes Para a realização das estratégias e definição das prioridades estabelecidas para o PDTI 2013-2014 é fundamental o alinhamento com os direcionamentos inerentes às áreas de TI da Administração Pública Federal. A seguir, são apresentados os princípios e diretrizes que norteiam a elaboração e a execução do Plano Diretor de Tecnologia da Informação. Id Princípios e Diretrizes Origem PD1 Toda necessidade de serviços deve visar ao Instrução Normativa SLTI/MP nº 04/2010; atendimento à missão institucional da PREVIC, Cobit 4.1 – PO1.2 Alinhamento entre TI e alinhada ao Plano Estratégico da autarquia. Negócio. PD2 Toda ação de Tecnologia da Informação deverá Decreto nº 2.271/1997; ser avaliada por meio de indicadores e metas Instrução Normativa SLTI/MP nº 04/2010. claras e objetivas que indiquem o alcance dos resultados pretendidos. PD3 As necessidades de TI deverão ser objetivas, Acórdão TCU 1.233/2012. claras e mensuráveis. PD4 Toda ação de TI deve observar as diretrizes da Decreto 3.505/2000; Política de Segurança da Informação e suas Acórdão TCU 111/2011. normas complementares. PD5 As contratações de bens e serviços de Tecnologia Instrução Normativa SLTI/MP nº 04/2010; da Informação deverão ser precedidas de Acórdão TCU 1.603/2008- Plenário; planejamento, seguindo o previsto no Plano Acórdão TCU 1.558/2003- Plenário. Diretor de Tecnologia da Informação - PDTI. PD6 Sistemas de informação seguros e integrados Instrução Normativa GSI/PR nº 01/2008; com alta disponibilidade. Documento de Planejamento Estratégico Institucional da PREVIC; Relatório de Auditoria nº 201108730 Constatação: 034 - Recomendações: 001 e 002. PD7 Conformidade com as Instruções Normativas e Acórdão TCU 1.603/2008-Plenário; Leis da Administração Pública Federal – APF. Decreto Lei Nº 2.271, de 07 de julho de 1997; Documento de Planejamento da PREVIC. Página 25 de 195 PD8 Sustentabilidade Ambiental de TI. Portaria SLTI/MP nº 1, de 19 de janeiro de 2010; Portaria SLTI/MP nº 2, de 16 de março de 2010; Relatório de Auditoria nº 201108730Constatação: 031. Recomendação: 002. PD9 Planejamento, aquisição e gestão de contratos de Relatório de Auditoria nº 201108730 TI à luz dos dispositivos legais vigentes. Constatação: 036 Recomendação: 001; Instrução Normativa nº 04/2010/SLTI/MP; Instrução Normativa nº 02/2008/SLTI/MP. PD10 Transferência de conhecimento em todas as Relatório de Auditoria nº 201108730contratações de serviços de TI. Constatação: 037 - Recomendação: 001. PD11 Política de aquisição equipamentos. e substituição de Instruções Normativas nº 04/2010/SLTI/MP e nº 01/2010/SLTI/MP, e os princípios delineados pela Lei 8.666/1993 e pelo Decreto 99.658/1990; Relatório de Auditoria nº 201108730Constatação: 031 - Recomendação: 001. PD12 Em todos os processos de licitações envolvendo Relatório de Auditoria CGU nº 201305688desenvolvimento e manutenção de sistemas, seja 19. Constatação: 007 - Recomendação: 002. utilizado como critério de mensuração e esforço, preferencialmente, a análise por ponto de função. PD13 Que a Entidade inclua no "check-list" utilizado Relatório de Auditoria CGU nº 201305688 para fins de pagamento das faturas dos contratos Constatação: 001 - Recomendação: 01 de TI, item referente à inclusão, no processo ou em diretório eletrônico específico, devidamente identificado no processo, das demandas junto à empresa contratada e anexos de contagem de pontos de função e de sua validação para as demandas de desenvolvimento de sistemas. Igualmente, que a Entidade inclua no citado "check-list" item referente à anexação de comprovação do quantitativo de registros existentes em cada sistema corporativo em sustentação pela contratada. Tabela 2 - Princípios e Diretrizes Página 26 de 195 5. Organização da TI 5.1. Contextualização da CGTI Sucessora da Secretaria de Previdência Complementar (SPC) do Ministério da Previdência Social - MPS, a Superintendência Nacional de Previdência Complementar PREVIC foi criada em 23 de dezembro de 2009 por força da Lei nº 12.154, sendo, portanto, uma instituição recém-criada. Seu quadro de pessoal iniciou-se por servidores pertencentes à antiga SPC e por detentores de cargos em comissão. No que tange à área de Tecnologia da Informação e Comunicações - CGTI, durante os dois primeiros anos de existência, atuou apenas com servidores detentores de cargos em comissão e seu quadro funcional só aumentou substancialmente a partir do primeiro concurso público da PREVIC, realizado em 2011, com a chegada dos novos servidores a partir de fevereiro de 2012. Por ser recente, a CGTI iniciou, em 2010, um trabalho de montagem da nova Coordenação, que envolve desde partes normativas até a montagem física e estrutural. 5.2. Panorama atual da CGTI Conforme descrito na Portaria MPS nº 183, de 26 de abril de 2010 - DOU de 27/04/2010, que dispõe acerca do Regimento Interno desta PREVIC, a Coordenação Geral de Tecnologia da Informação, vinculada à Diretoria de Administração – DIRAD, estruturase da maneira apresentada abaixo: Página 27 de 195 Diretoria de Administração DIRAD Coordenação Geral de Recursos Humanos Coordenação Geral de Patrimônio e Logística Coordenação Geral de Orçamento, Finanças e Contabilidade Coordenação Geral de Tecnologia da Informação (DAS 101.4) Coordenação de Desenvolvimento Tecnológico (DAS 101.2) Figura 2- Organograma da CGTI/DIRAD 5.3. Atribuições da CGTI São atribuições da CGTI, conforme Regimento Interno da PREVIC: I - propor, planejar, coordenar, orientar, executar e avaliar o desenvolvimento de planos e programas referentes às ações de tecnologia da informação e comunicações, em articulação com as demais áreas interessadas da PREVIC, quando o caso assim o requerer; II - propor, planejar, coordenar, orientar, executar e avaliar a alocação de recursos, aquisições de hardware e software e contratação de prestação de serviços especializados em tecnologia da informação e comunicações; III - planejar, coordenar, orientar e avaliar a coleta, o armazenamento, o tratamento e o gerenciamento de dados e informações das entidades fechadas de previdência complementar e dos seus planos de benefícios, disponibilizando-os aos órgãos das demais diretorias, em conformidade com as respectivas competências; IV - planejar, coordenar e executar o desenvolvimento e implantação de sistemas informatizados, desenvolvidos internamente ou por meio de contratação de terceiros; V - planejar, coordenar, orientar e avaliar a administração da infraestrutura de tecnologia da informação e comunicações zelando pela disponibilidade, integridade e segurança do armazenamento e tráfego dos dados; Página 28 de 195 VI - acompanhar, em articulação com a Coordenação-Geral de Patrimônio e Logística, o controle dos equipamentos de tecnologia da informação e comunicações; VII - propor, em articulação com a Coordenação-Geral de Recursos Humanos, atividades de capacitação de pessoal em sua área de atuação; VIII - planejar, coordenar e executar os serviços de atendimento a usuários e de suporte às redes de comunicação de dados e bancos de dados; IX - gerenciar em conjunto com as áreas interessadas os contratos e convênios relativos à tecnologia da informação e comunicações; X - propor, em articulação com a Coordenação-Geral de Orçamento, Finanças e Contabilidade, a elaboração da proposta orçamentária dos recursos de tecnologia da informação e comunicações; e XI - elaborar e acompanhar o plano de aquisições de bens e contratação de serviços de tecnologia da informação e comunicações. 5.3.1. Atribuições da Coordenação de Desenvolvimento Tecnológico São as atribuições da Coordenação de Desenvolvimento Tecnológico - CDT, conforme Regimento Interno da PREVIC: I - planejar, executar e acompanhar o desenvolvimento de projetos e serviços de tecnologia da informação e comunicações; II - planejar, executar e acompanhar a alocação de recursos, aquisições de hardware e software e contratação de prestação de serviços especializados em tecnologia da informação e comunicações; III - planejar, executar e acompanhar a coleta, o armazenamento, o tratamento e o gerenciamento de dados e informações das entidades fechadas de previdência complementar e dos seus planos de benefícios; Página 29 de 195 IV - planejar, executar e acompanhar o desenvolvimento e implantação de sistemas informatizados: V - administrar a infraestrutura de tecnologia da informação e comunicações; VI - acompanhar o controle dos equipamentos de tecnologia da informação e comunicações; VII - planejar, executar e acompanhar os serviços de atendimento a usuários e de suporte às redes de comunicação de dados e bancos de dados; VIII - planejar, executar e acompanhar o gerenciamento conjunto com as áreas interessadas dos contratos e dos convênios relativos à tecnologia da informação e comunicações. 5.3.2. Contexto atual A CGTI, hoje, não possui formalmente todas as áreas necessárias para o desempenho de todas as suas competências e atribuições e essenciais para um bom modelo de Governança em TI da entidade. Ainda é dependente de muitos sistemas e serviços realizados pela empresa pública DATAPREV - Empresa de Tecnologia e Informações da Previdência Social, porém vem conseguindo gradualmente reduzir sua dependência com a ampliação do quadro funcional e da sua estrutura tecnológica. Página 30 de 195 6. Resultados do PDTI anterior A avaliação da execução do PDTI 2012-2013 foi realizada no período de 03/04/2013 a 06/09/2013 e envolveu os membros do grupo de trabalho do PDTI e de representantes do CEXTI na sede da PREVIC. Esta avaliação abrangeu todas as necessidades registradas no texto original do plano aprovadas pela DICOL durante a vigência do PDTI. Os quadros a seguir apresentam as necessidades elencadas no PDTI 2012-2013. 6.1. Avaliação da Execução do PDTI 2012-2013 Para a avaliação, segue a lista de necessidades elencadas no PDTI 2012-2013 e a sua situação. Necessidade Situação Prover sistema de Business Intelligence - BI Em execução Evoluir e implantar sistemas informatizados de gestão e controle de Em execução documentos e processos Prover sistema de suporte à atividade de fiscalização Em execução Prover módulos evolutivos do sistema informatizado de controle Executada financeiro da PREVIC Prover sistema de cadastro e capacitação de pessoal Não executada Prover sistemas de suporte à atividade de Auditoria Não executada Prover sistema informatizado de gestão de contratos Não executada Prover sistemas de Patrimônio e Almoxarifado Executada Prover sistema de CRM Desconsiderada Prover software de métodos quantitativos (estatística aplicada Em execução atuarial) Prover licenças de software de apoio a escritório Executada Prover soluções para o desenvolvimento e manutenção de sistemas Executada informatizados no âmbito CGTI/DIRAD/PREVIC Página 31 de 195 Prover soluções para a infraestrutura e comunicações no âmbito do Executada Datacenter da CGTI / DIRAD / PREVIC Reestruturar a organização da CGTI/DIRAD/PREVIC Em execução Manter e atualizar o parque computacional, multimídia e de Executada comunicações no âmbito da PREVIC Implantar o núcleo de estruturação de processos Executada Provimento de evolução dos sistemas corporativos da PREVIC Em execução Conclusão das etapas 2 (dados da CETIP) e 3 (dados da BMFBovespa) Não executada do projeto Custodiante Prover solução de ponto eletrônico na sede da PREVIC Não executada Tabela 3 – Avaliação da Execução do PDTI 2012-2013 A análise evidenciou que 37% das necessidades registradas no PDTI 2012-2013 foram executadas (Figura 3), sendo que 26% das necessidades não foram executadas, 5% foram desconsideradas e 32% encontram-se em fase de execução. EXECUÇÃO DO PDTI 2012-2013 Desconsiderada 5% Não executada 26% Em execução 32% Executada 37% Figura 3 - Análise de execução do PDTI 2012-2013 Página 32 de 195 6.2. Avaliação do Alcance de Metas Segue a lista de necessidades elencadas no PDTI 2012-2013 e avaliação quanto ao alcance das metas. Alcance de metas Necessidade Prover sistema de s Intelligence - BI Alcançadas parcialmente Evoluir e implantar sistemas informatizados de gestão e Alcançadas parcialmente controle de documentos e processos Prover sistema de suporte à atividade de fiscalização Alcançadas parcialmente Prover módulos evolutivos do sistema informatizado de Alcançadas totalmente controle financeiro da PREVIC Prover sistema de cadastro e capacitação de pessoal Não alcançadas Prover sistemas de suporte à atividade de Auditoria Não alcançadas Prover sistema informatizado de gestão de contratos Não alcançadas Prover sistemas de Patrimônio e Almoxarifado Alcançadas totalmente Prover sistema de CRM Não definidas para TI Prover software de métodos quantitativos (estatística aplicada atuarial) Prover licenças de software de apoio a escritório Não alcançadas Alcançadas totalmente Prover soluções para o desenvolvimento e manutenção de Alcançadas parcialmente sistemas informatizados no âmbito CGTI/DIRAD/PREVIC Prover soluções para a infraestrutura e comunicações no Alcançadas parcialmente âmbito do Datacenter da CGTI / DIRAD / PREVIC Reestruturar a CGTI/DIRAD/PREVIC estrutura organizacional da Manter e atualizar o parque computacional, multimídia e de comunicações no âmbito da PREVIC Implantar o núcleo de estruturação de processos Não definidas para TI Alcançadas totalmente Não definidas para TI Provimento de evolução dos sistemas corporativos da Alcançadas parcialmente PREVIC Conclusão das etapas 2 (dados da CETIP) e 3 (dados da BM@FBovespa) do projeto Custodiante Não alcançadas Página 33 de 195 Prover solução de ponto eletrônico na sede da PREVIC Não alcançadas Tabela 4 - Avaliação do alcance de metas do PDTI 2012-2013 A avaliação do alcance das metas (Figura 4) evidenciou-se que 32% das necessidades não foram alcançadas, sendo que 37% foram alcançadas parcialmente e 21% das metas foram alcançadas totalmente. Deste total 10% das metas não foram definidas para a TI ou tiveram a necessidade de replanejamento por outras áreas. ALCANCE DAS METAS DO PDTI 2012-2013 Não definidas para TI 10% Alcançadas parcialmente 37% Não alcançadas 32% Alcançadas totalmente 21% Figura 4 - Análise do alcance de metas do PDTI 2012-2013 6.3. Fatores que dificultaram a execução ou o alcance das metas A avaliação do plano anterior permitiu a identificação dos principais fatores que dificultaram a execução ou o alcance das metas, conforme gráfico a seguir. Página 34 de 195 PRINCIPAIS DIFICULDADES DE EXECUÇÃO PDTI 2012-2013 Mudança de Prioridade 16% Ausência de Recursos Financeiros 10% Ausência de Recursos Humanos 74% Figura 5 - Análise das principais dificuldade de execução do PDTI 2012-2013 A avaliação abordou as principais causas que dificultaram a execução das necessidades elencadas no PDTI 2012-2013. A Figura 5 evidencia que o fator preponderante está relacionado à ausência de recursos humanos para o planejamento, execução e acompanhamento das ações. O índice de execução do PDTI reflete a necessidade de sistematização do acompanhamento da sua implementação, que permitirá eventuais correções e adaptações durante a vigência do plano. Em virtude de grande parte dos recursos destinados a TI terem sido aplicados com a sustentação dos sistemas de gestão corporativa, a análise da implementação do PDTI 2012-2013 evidenciou a necessidade do aprimoramento do planejamento das ações considerando a escassez de recursos disponíveis para as demais iniciativas. Página 35 de 195 Esta análise reforça a importância do aumento de investimentos direcionados para a área de TI, já que houve a necessidade, em 2012, de se incorporar um crédito suplementar de mais de R$ 8 milhões oriundos do INSS para a execução e manutenção dos contratos de TI, além de existir alguns serviços de infraestrutura e redes ainda mantidos pelo MPS. Para diminuir os gastos com recursos destinados a sustentação dos sistemas de gestão corporativa, está previsto no PDTI 2013-2014, o investimento em infraestrutura própria para aumento de autonomia da entidade na gestão e sustentação de seus principais sistemas. Página 36 de 195 7. Referencial Estratégico de TI 7.1. Missão Prover infraestrutura e soluções de Tecnologia da Informação, a fim de garantir a integridade, confiabilidade, eficácia e eficiência dos sistemas de informação da PREVIC. 7.2. Visão Tornar-se um centro de excelência em TI para apoio à supervisão e fiscalização do(s) sistema(s) de previdência complementar fechada brasileiro, por meio do alinhamento estratégico dos serviços às melhores práticas de TI e pelo compromisso no cumprimento de sua missão. 7.3. Objetivo Estratégico da TI Prover sistemas e infraestrutura de TI seguros e integrados, com excelência e qualidade. 7.4. Análise de SWOT A análise SWOT (Forças, Fraquezas, Oportunidades e Ameaças) é um método para se fazer uma análise do ambiente interno e externo, sendo usado como base para gestão e planejamento estratégico de uma organização. Trata-se de um método que possibilita verificar e avaliar os fatores intervenientes para um posicionamento estratégico da Unidade de TI no ambiente em questão. Tem como objetivos principais efetuar uma síntese das análises internas e externas, identificar elementos chave para a gestão, o que implica estabelecer prioridades de atuação e preparar opções estratégicas: análise de riscos e identificação de problemas a serem resolvidos. Dessa forma, a Equipe de Elaboração do PDTI realizou o trabalho de identificação das forças e das fraquezas dos processos internos de competência da Página 37 de 195 CGTI/DIRAD/PREVIC, seguido da identificação das oportunidades decorrentes de fatores favoráveis verificados no ambiente onde a Unidade de TI opera, bem como as ameaças decorrentes de fatores desfavoráveis e mudanças sazonais ou permanentes do ambiente externo. O resultado dos estudos realizados permitiu entender melhor o ambiente organizacional da TI e auxiliou na busca de formas de se evoluir a gestão, corrigindo as fraquezas e ameaças encontradas e alavancando as forças e oportunidades identificadas. 7.4.1. Forças e fraquezas Forças Fraquezas Apoio da alta gestão; Dependências DATAPREV); externas Ausência de estratégico; ferramentas Concurso público próprio; Conhecimento do negócio; Parcerias consolidadas (INSS, MPS, etc.); Existência de Comitê Executivo de TI; (MPS, de INSS, apoio Sistemas com a arquitetura da informação inadequada; Existência de Comitê de Segurança da Sistemas legado sem visão corporativa; Informação; Existência de sistemas sem documentação; Existência de uma Política de Segurança da Deficiência no mapeamento dos processos Informação e Comunicação; corporativos; Metodologia de desenvolvimento de Deficiência da infraestrutura de rede das sistemas definida; unidades descentralizadas; Melhoria da qualidade dos contratos de TI. Deficiência de integração entre os sistemas de informação. Tabela 5 - Analise SWOT - Forças e fraquezas 7.4.2. Oportunidades e Ameaças Oportunidades Ameaças Facilidade de implantação de políticas de TI Dependências externas (MPS, em virtude da estruturação recente da área DATAPREV); de TI; Alto custo dos contratos de TI; INSS, Página 38 de 195 Normas, Padrões e Diretrizes disponibilizadas Políticas externas que possam impactar nas decisões estratégicas e operacionais pela SLTI/MP; internas; Amadurecimento do software Público Brasileiro; Corte orçamentário; Disponibilidade de novas soluções de TI no Mudanças políticas ou na legislação capazes de interromper ou descontinuar demandas mercado; Possibilidade de parcerias para em execução; aperfeiçoamento de soluções de TI e Alto índice concursados; compartilhamento de dados; de saída de servidores Recomendações de aprimoramento da TI por Tentativas de ataques e invasões aos parte dos Órgãos de Controle; sistemas, banco de dados e site da PREVIC. Disponibilização por parte do Ministério do Planejamento, Orçamento e Gestão de servidores da carreira de Analista de Tecnologia da Informação para prestarem serviços junto a CGTI/DIRAD/PREVIC. Tabela 6 - Analise SWOT - Oportunidades e Ameaças Página 39 de 195 8. Alinhamento com a Estratégia da Organização 8.1. O Plano Estratégico da PREVIC 2011-2013 A PREVIC vem estruturando-se com o objetivo de ampliar o acesso facultativo e a cobertura da previdência complementar e, ao mesmo tempo, aumentar a segurança dos contratos previdenciários e a proteção dos benefícios dos participantes. Neste contexto, há uma preocupação crescente com a correta análise dos ambientes externo e interno, tendo como foco aprimorar ou incorporar no processo de estruturação da autarquia ferramentas eficientes de supervisão. Além disso, estamos buscando o alinhamento com as melhores práticas internacionais, de forma a absorvê-las no nosso sistema. O Planejamento Estratégico é uma importante ferramenta para a tomada de decisão, fornecendo os subsídios necessários aos gestores para agirem com iniciativas, tomando por base, ainda, a análise do ambiente, quer seja interno ou externo, nas constantes mudanças. Para que a estratégia delineada no planejamento possa ser implementada, é primordial o alinhamento de todos os planos, recursos e unidades. O modelo de planejamento seguido pela PREVIC está baseado em um sistema alicerçado em uma gestão estratégica, a partir dos direcionadores estratégicos da missão, visão e valores, dos objetivos estratégicos e da análise do alcance das metas estabelecidas, que leva em conta o modelo de excelência na Gestão Pública, visando ao aprimoramento dos processos da organização. A estrutura do Plano Estratégico da PREVIC encontra-se sintetizada no Mapa Estratégico, listado a seguir: Página 40 de 195 Figura 6- Mapa Estratégico da PREVIC 8.2. Direcionadores Estratégicos da PREVIC 8.2.1. Missão A PREVIC, a partir da avaliação de suas atividades, conjuntamente com seus gestores, institui sua Missão, a qual justifica sua existência: “Atuar na supervisão dos fundos de pensão de forma ágil, eficiente e transparente, com o objetivo de assegurar higidez e confiabilidade ao sistema de previdência complementar fechado brasileiro.” 8.2.2. Visão Para complementar a Missão, a PREVIC perseguirá neste e nos próximos anos, a declaração de como quer estar posicionada no futuro: “Ser reconhecida como uma Instituição de excelência na supervisão das entidades fechadas de previdência complementar.” Página 41 de 195 8.2.3. Valores Os conhecimentos, habilidades e atitudes da gestão da PREVIC e de seus servidores serão orientados pelos seguintes valores organizacionais: ética, respeito, transparência, profissionalismo, comprometimento e eficiência.. 8.3. Objetivos Estratégicos da PREVIC – Resultados para a Sociedade Essa dimensão define os resultados que a PREVIC deve gerar para maximizar o cumprimento de sua missão institucional, atender às expectativas do Estado, da sociedade e dos gestores públicos, alcançando a imagem desejada perante seus clientes. ID Objetivo Estratégico OE1 Zelar pelo cumprimento do contrato previdenciário OE2 Aprimorar a segurança jurídica do regime de previdência complementar fechada OE3 Proteger a poupança previdenciária Tabela 7 - Objetivos Estratégicos – Resultados 8.4. Objetivos Estratégicos da PREVIC – Processos internos Retrata os processos internos prioritários nos quais a PREVIC deverá buscar excelência e concentrar esforços a fim de ampliar a eficiência do uso dos recursos da organização. Define o modo de operação para implementação da estratégia institucional. ID Objetivo Estratégico OE4 Aperfeiçoar os procedimentos de fiscalização OE5 Atuar com eficácia nas EFPC e planos de benefícios em regime especial OE6 Aprimorar os processos de licenciamento OE7 Julgar de forma adequada e tempestiva os processos recebidos no âmbito da DICOL Página 42 de 195 OE8 Responder de forma adequada e tempestiva às demandas recebidas na Procuradoria Federal OE9 Zelar pela confiabilidade e consistência dos dados atuariais, contábeis e de investimentos das EFPC recebidos pela PREVIC OE10 Monitorar o conjunto de premissas e parâmetros atuariais, as demonstrações contábeis e os investimentos das EFPC OE11 Mapear os riscos nos planos de benefícios e orientar ações de controle e mitigação OE12 Estimular e fortalecer a educação previdenciária Tabela 8 - Objetivos Estratégicos – Processos internos 8.5. Objetivos Estratégicos da PREVIC – Aprendizado e crescimento Identifica ações e inovações nas áreas de gestão de pessoas, sistemas de informação e gerenciamento dos processos organizacionais necessárias para assegurar a modernização dos processos, ferramentas e tecnologias e, também, a melhoria da qualidade do gasto público realizado pela autarquia. ID Objetivo Estratégico OE13 Integrar e racionalizar os processos OE14 Prover sistemas e infraestrutura de TIC seguros e integrados, com excelência e qualidade OE15 Promover a valorização e a qualidade de vida do quadro de pessoal OE16 Otimizar o quadro de pessoal e desenvolver competências compatíveis com os objetivos institucionais OE17 Desenvolver cultura voltada à responsabilidade socioambiental Tabela 9 - Objetivos Estratégicos – Aprendizado e crescimento 8.6. Mapa Estratégico da Previdência Social O Mapa Estratégico da Previdência Social, ao qual alinha-se o plano estratégico da PREVIC, traz os seguintes Objetivos Estratégicos: ID Objetivo Página 43 de 195 OP1 Promover ações de inclusão e permanência no sistema previdenciário OP2 Promover a melhoria da qualidade dos serviços previdenciários OP3 Fomentar políticas previdenciários OP4 Aprimorar as informações sobre o perfil do cidadão e o mercado de trabalho OP5 Fortalecer a educação previdenciária com foco na inclusão e fidelização OP6 Promover o reconhecimento automático de direito OP7 Promover o acesso à informação de forma transparente e tempestiva OP8 Aperfeiçoar as decisões e minimizar as ocorrências de litígios OP9 Aprimorar a prevenção de riscos ocupacionais e mitigar os efeitos da incapacidade laboral OP10 Garantir o pagamento de benefícios com qualidade OP11 Contribuir com a qualidade de vida dos contribuintes e beneficiários no envelhecimento ativo OP12 Intensificar a fiscalização dos regimes próprios e das entidades fechadas de previdência complementar OP13 Simplificar e desburocratizar normas e uniformizar os processos previdenciários OP14 Promover políticas de sustentabilidade do sistema previdenciário OP15 Fortalecer os controles internos, o combate às fraudes, a gestão de riscos e a segurança institucional OP16 Otimizar o quadro de pessoal e desenvolver competências compatíveis com os objetivos institucionais OP17 Desenvolver cultura voltada aos responsabilidade socioambiental OP18 Promover a valorização e a qualidade de vida das pessoas OP19 Prover soluções em ambiente tecnológico integrado, seguro e de alto desempenho OP20 Ampliar e modernizar a rede de atendimento da Previdência Social OP21 Aperfeiçoar a aplicação dos recursos e ações de sustentabilidade valores, aos dos regimes resultados e à Tabela 10 - Objetivos Estratégicos – Aprendizado e crescimento Página 44 de 195 8.7. PETI/MP O Plano Estratégico de Tecnologia da Informação do Ministério da Previdência Social (PETI/MP) encontra-se disciplinado na Portaria MP nº 554, de 22 de novembro de 2012, que estabelece as diretrizes para Tecnologia da Informação no âmbito desse Ministério e de suas entidades vinculadas. Consoante disposto no art. 5º desta portaria, constituem objetivos da gestão em TI no âmbito da Previdência Social: ID Objetivo PS1 Garantir a disponibilidade, integridade, confidencialidade e autenticidade da informação, por meio de políticas de segurança da informação e comunicações; PS2 Promover a integração e a interoperabilidade das bases de dados de governo; PS3 Promover o uso das bases de dados de governo para apoiar a melhoria da qualidade dos serviços; PS4 Apoiar a implementação de soluções de monitoramento de informações gerenciais e de gestão; PS5 Apoiar a implementação da gestão da informação e documentação seguindo as diretrizes da Subcomissão do Sistema de Gestão de Documentos e Arquivo - SIGA da Previdência Social, com foco na redução do uso de papel; PS6 Apoiar a implementação da gestão de processos seguindo as diretrizes setorial e seccionais da Previdência Social do Sistema de Organização e Inovação Institucional do Governo Federal - SIORG, bem como de suas áreas de negócio; PS7 Apoiar a ampliação de portfólios de serviços em canais remotos, mediante parcerias para autenticação de acesso, compartilhamento de recursos e integração com redes de atendimento de outras organizações; e PS8 Adotar o uso de soluções de redes sociais e de colaboração para interação e disseminação de informações. Tabela 11 - Objetivos do PETI Página 45 de 195 8.8. EGTI/SISP/MP A Estratégia Geral de Tecnologia da Informação (EGTI), enquanto instrumento de gestão do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), define o plano estratégico de promoção da melhoria contínua da gestão e governança de TI e da sustentação da infraestrutura e subsidia os órgãos do sistema na elaboração dos Planejamentos de Tecnologia da Informação. A EGTI 2013-2015 estabelece nove objetivos estratégicos distribuídos em cinco perspectivas: Sociedade; Governo Federal; Processos Internos; Pessoas, Aprendizado e Crescimento e Financeiro. No documento, destacam-se os objetivos associados à gestão orçamentária e de pessoas de TI, conforme figura 7: Página 46 de 195 Figura 7 - Objetivos estratégicos do EGTI/SISP/MP A EGTI 2013-2015 define os seguintes objetivos estratégicos: ID Objetivo Estratégico MP1 Aprimorar a gestão de pessoas de TI MP2 Aperfeiçoar a gestão orçamentária de TI Página 47 de 195 MP3 Aperfeiçoar a governança de TI MP4 Alcançar a efetividade na gestão de TI MP5 Fomentar a adoção de padrões tecnológicos e Soluções de TI MP6 Garantir a Segurança da Informação e Comunicações MP7 Fortalecer a integração e a comunicação institucional do SISP MP8 Promover a Gestão de Conhecimento do SISP MP9 Melhorar continuamente a prestação de serviços e a transparência de informações à sociedade Tabela 12 - Objetivos Estratégicos do EGTI 2013-2015. 8.9. Objetivos deste documento Desse modo, toda ação prevista neste PDTI está relacionada a pelo menos um dos objetivos estratégicos da PREVIC, do Mapa Estratégico da Previdência, do Plano Estratégico de Tecnologia da Informação do Ministério da Previdência Social (PETI/MPS) e da Estratégia Geral de Tecnologia da Informação (EGTI). O PDTI é um instrumento estratégico e tático de implementação do PEI, e que por sua vez, está alinhado às orientações estratégicas da Previdência Social e do Plano Plurianual da União (PPA), em especial aos macros desafios definidos pelo Governo Federal correlatos à atividade da PREVIC. O alinhamento de cada necessidade do PDTI com a Estratégia da Organização, o Mapa Estratégico da Previdência, o PETI/MPS e a EGTI encontra-se registrado na Seção 9. Página 48 de 195 9. Inventário de Necessidades 9.1. Necessidades Identificadas O levantamento das necessidades foi efetuado por meio de pesquisa realizada com a utilização de página eletrônica (vide anexo I) e entrevistas aplicadas em todas as diretorias que compõem esta PREVIC. A partir do levantamento, elaborou-se o inventário das necessidades de TI. Necessidade por área ID Necessidade DIRAD DITEC DIFIS DIACE GAB PROC N1 Reestruturar e importar as bases de dados dos sistemas para a PREVIC X X X X X N2 Manter e atualizar o parque computacional no âmbito da PREVIC X X X X X N3 Prover salas Multimídia no âmbito da PREVIC X X X X X N4 Implantar e manter os serviços de telefonia Fixa e Móvel na PREVIC X X X X X N5 Prover soluções para a infraestrutura no âmbito X X X X Alinhamento Estratégico da PREVIC Mapa Estratégico do MPS Alinhamento Estratégico da PETI/MPS Alinhamento Estratégico EGTI/SISP/MP OE1, OE2, OE3, OE4, OE5, OE6, OE7, OE9, OE10, OE11, OE14 OP12 PS1, PS2, PS3, PS4 OE14 OP19 MP5 OE14 OP19 MP5 OE14 OP19 MP5 OE14 OP19 MP3, MP5 do Datacenter da CGTI / DIRAD / PREVIC N6 Prover licenças de software e soluções no âmbito da PREVIC N7 Sustentar e evoluir os sistemas de Gestão Corporativa da PREVIC X N8 Implantar, evoluir e manter os sistemas de Gestão Interna da PREVIC X N9 Manter e evoluir os serviços de suporte técnico, atendimento e serviços de TI no âmbito da PREVIC X Implantar e evoluir sistemas informatizados N10 de gestão e controle de documentos e processos. N11 Desenvolver, evoluir e implantar os Portais de X X X X X X X X X X OE14 OP19 MP5 OP12, OP19 PS1, PS2, PS3, PS4 MP5 PS1, PS2, PS3, PS4 MP1, MP2, MP3, MP4, MP5 X X X OE1, OE2, OE3, OE4, OE5, OE6, OE7, OE9, OE10, OE11, OE14 X X X OE13, OE14, OE15, OE16, OE17 OP19 X X X OE14 OP19 OE4, OE5, OE6, OE7, OE8, OE10, OE11, OE12, OE13, OE14 OP15 PS1, PS2, PS3, PS4, PS6 OE13, OE14 OP7 PS8 X X X MP4 MP9 Página 50 de 195 Intranet e Internet da PREVIC Prover solução de Ponto N12 Eletrônico para a Sede da PREVIC X OE14 Aprimorar as práticas de N13 segurança da informação na PREVIC X OE14 OP15 Promover a adequação quantitativa e qualitativa N14 do quadro de pessoal em TI X OE16 OP16 PS1, PS5 MP6 MP1 Tabela 13 – Necessidades Identificadas Página 51 de 195 9.2. Diagnóstico dos equipamentos de informática Abaixo, relacionam-se os equipamentos de informática desta PREVIC. Ressalta-se que alguns dos equipamentos foram doados pelo Ministério da Previdência Social. Na relação apresentada, consta a data de aquisição e a garantia dos equipamentos. 9.2.1. Relação de Estações de Trabalho em Brasília e nos Escritórios Regionais. Brasília Marca QTD Aquisição Garantia 201 02/02/2012 02/02/2015 Dell Optiplex GX620 6 24/01/2007 10/03/2010 HP Core 2 Duo 37 27/08/2008 24/08/2012 HP AMD Phenom II 50 17/12/2010 17/12/2014 Itautec AMD 15 25/04/2007 10/03/2010 Itautec AMD 4 17/06/2009 08/06/2013 Lenovo 48 26/02/2008 13/02/2012 DESKTOPS Dell Optiplex 790 Total 361 Tabela 14 – Relação de estações de trabalho na sede da PREVIC DESKTOPS Escritórios Regionais Marca QTD Aquisição Garantia Lenovo 28 26/02/2008 13/02/2012 HP 14 24/01/2007 10/03/2010 Total 42 Tabela 15 – Relação de estações de trabalho nos Escritórios Regionais 9.2.2. Relação de computadores portáteis Brasília/Escritórios NOTEBOOKS Marca QTD Aquisição Garantia Itautec 8310 78 26/11/2007 25/10/2011 Lenovo 10 13/10/2008 08/10/2011 HP 8 19/03/2007 19/03/2010 Dell Latitude 86 02/02/2012 02/02/2015 ACER 2 **** **** EZ-Go 1 **** Sem Acer E625 4 28/03/2013 **** HP PAVILION 4 28/03/2013 **** HP Delphi 1 28/03/2013 **** ASUS 1 28/03/2013 **** ACER NAV50 2 28/03/2013 **** Total 197 Tabela 16 – Relação de computadores portáteis da PREVIC 9.2.3. Relação de projetores Brasília PROJETORES Marca Quantidade Nec 1 BoxLight 1 Epson 1 LG 1 Optema 1 Total 5 Tabela 17 – Relação de projetores da PREVIC 9.3. Diagnóstico de sistemas A Superintendência Nacional de Previdência Complementar, no que diz respeito ao gerenciamento de sistemas, classifica seus sistemas em: Sistemas Departamentais, que são compostos pelo conjunto de sistemas destinados à operação administrativa; e Sistemas Finalísticos, destinados às áreas fins da Superintendência Nacional de Previdência Complementar. Ambos são subdivididos em sistemas em manutenção e sistemas em sustentação e produção. 9.3.1. Sistemas em manutenção Página 53 de 195 Sistemas em manutenção Sistema Arquitetura Plataforma SGBD PHP MySQL WEB PHP POSTGRES SIAD - Sistema de administração de atividades de fiscalização da DIFIS WEB Java SQL Server Serviço de Gestão Arrecadação e Fiscalização WEB PHP SQL Server WEB ASPNET / SQL SERVER INTRANET WEB SIGA - Sistema de Gestão Administrativa de Sistema de Workflow da PREVIC SHAREPOINT INFGER – Informações Reestruturação dos e WEB / BD dados ASPNET / SQL Server SHAREPOINT / institucionais SQL Server Enterprise Tabela 18 – Relação dos sistemas em manutenção na PREVIC 9.3.2. Sistemas em sustentação e produção Sistemas em sustentação e produção Sistema Arquitetura Linguagem de Programação Banco de Dados SIAD Sistema de administração de atividades de fiscalização da DIFIS. WEB Java SQL Server SICADI - sistema de captação de dados de investimento. WEB Java Oracle Página 54 de 195 DAWEB Atuarial - Demonstração WEB Java Oracle Serviço de Gestão de Cadastro WEB Java Oracle Custodiantes WEB Java Oracle WEB Java Oracle Serviço de Gestão de Arrecadação e Fiscalização WEB PHP SQL Server INFGER PREVIC WEB JAVA Oracle ControlDoc – Gestão de documentos WEB JAVA Oracle SPC-NET WEB JAVA Oracle Estatística Benefícios de Planos de Tabela 19 – Relação dos sistemas em sustentação e produção na PREVIC 9.4. Diagnóstico dos serviços 9.4.1. Contrato de Atendimento e Suporte Técnico Realizado por meio do Contrato número 12/2011, que trata da contratação de empresa especializada objetivando a prestação de serviço de atendimento remoto e presencial aos usuários de TI da PREVIC para até 60.000 Unidades de Serviço por ano. Abaixo segue a relação e quantitativo de suporte técnico ao usuário com foco de atendimento especializado e telefonia no período Janeiro a Dezembro de 2012 na Sede da PREVIC. Tipo de Atendimento / Suporte Quantidade de atendimento Atendimento em técnico em hardware (Equipamentos) 772 Atendimento em suporte técnico a infraestrutura de REDE 143 Atendimento em suporte técnico a SISTEMAS 242 Atendimento em suporte técnico a software 1500 Página 55 de 195 Atendimento em suporte técnico a TELEFONIA FIXA 52 Número total de atendimento 2709 Tabela 20 – Quantidade de atendimentos de suporte técnico em 2012 Abaixo segue a relação e quantitativo de suporte técnico ao usuário com foco de atendimento especializado e telefonia no período de Janeiro a Dezembro de 2012 por diretorias. Quantidade Diretorias da PREVIC De atendimento AUDI 7 DIACE 332 DICOL 186 DIFIS 223 DIRAD 743 DISUP 313 DITEC 525 ENTIDADE 264 PROCURADORIA 116 Número total de atendimento 2709 Tabela 21 - Atendimentos de suporte técnico em 2012 por Diretoria 9.4.2. Contrato de prestação de serviço de TI Contrato número 12/2011, que trata do contrato de prestação dos serviços de suporte tecnológico ao ambiente computacional de infraestrutura de redes, seus meios de comunicação, sistemas funcionais e processos de execução no âmbito da Superintendência Nacional de Previdência Complementar – PREVIC. 9.4.3. Contrato de Telefonia Fixa Realizada por meio do Contrato número 04/2010, que trata da prestação de Serviços de Telefonia Fixo Comutado - STFC, compreendendo as modalidades: Local e Longa Distância Nacional (LDN), de fixo para fixo e de fixo para móvel. Página 56 de 195 9.4.4. Contrato de Impressão e Digitalização Realizada por meio do contrato n. 10/2010, que trata da prestação de serviços de locação de equipamentos multifuncionais, impressoras laser e impressoras térmicas, novas, sem uso, não recondicionadas e em linha de produção, com manutenção preventiva e corretiva, fornecimento de todas as peças, partes ou componentes necessários, bem como de todos os suprimentos e materiais de consumo de primeiro uso, não reciclado e não remanufaturado, exceto papel, para a PREVIC e seus escritórios regionais. Abaixo segue os totais de impressões do contrato: Número de folhas impressas por tipo de impressão Local de instalação P&B P&B / COLOR COLOR 219436 74204 66086 MINAS GERAIS 9447 10166 7266 PERNAMBUCO 5399 521 1154 RIO DE JANEIRO 3710 4589 6769 RIO GRANDE DO SUL 3739 12261 15512 SÃO PAULO 15186 7983 15081 SEDE (DF) Tabela 22 – Número de folhas impressas nas instalações da PREVIC 9.4.5. Manutenção da Central Telefônica Realizada por meio do Contrato número 03/2010 compreendendo as manutenções, preventiva e corretiva da central telefônica desta PREVIC. 9.4.6. Art.53 da Lei Nº 12.154, de 23 de Dezembro de 2009. Ressalta-se que esta PREVIC ainda não realizou algumas contratações para disponibilização de todos os serviços de TI necessárias para o total desempenho das atividades desta Autarquia. Página 57 de 195 Nesse sentido, Ministério da Previdência Social-MP está fornecendo alguns desses serviços de TI que não podem ser diagnosticados, em virtude de estarem sendo prestados de forma temporária. Dentre eles destacam-se: • • • Solução de antivírus; Infraestrutura de acesso à internet; Serviço Móvel Pessoal (SMP). Página 58 de 195 10. Plano de Metas, Ações e Priorização 10.1. Critérios de Priorização Informa-se abaixo a descrição considerada para mensurar o grau de criticidade e o grau de impacto descrito. Legenda: Priorização 1 Critérios Extremamente grave; Extremamente urgente; Se não for resolvido piora imediatamente; 2 Muito grave; Muito urgente e vai piorar a curto prazo; 3 Grave; Urgente e vai piorar em médio prazo; 4 Pouco grave; Pouco urgente e vai piorar a longo prazo; 5 Sem gravidade; Sem urgência e Sem tendência de piorar; Porém indispensável para a entidade Tabela 23 – Legenda dos Critérios de Priorização Página 59 de 195 10.2. Detalhamento do Plano de Metas e Ações Neces sidade ID Objetivo N1 M1 Transferir/replicar todas as bases de dados da PREVIC para ambiente computacional próprio em novo banco de dados. Percentual de bases transferidas para o banco de dados no ambiente computacional da PREVIC. Reestruturar, integrar ao novo banco de dados e disponibilizar em produção no ambiente interno da PREVIC a base de dados do sistema CAD. Percentual de reestruturação, integração e disponibilização da base de dados do sistema CAD. Reestruturar, integrar ao novo banco de dados e disponibilizar em produção no ambiente interno da PREVIC a base de dados do sistema CAND. Percentual de reestruturação, integração e disponibilização da base de dados do sistema CAND N1 N1 N1 M2 M3 M4 Indicador Reestruturar, integrar Percentual de ao novo banco de reestruturação, Meta 2013 100% 2014 - Prazo 2013 Prioriz ação 1 ID Ação A1 Transferir / replicar todas as bases de dados da PREVIC, hoje vinculadas no MPS e na Dataprev, para o ambiente computacional da PREVIC em novo banco de dados. Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC X X X X X X X X X X X X X X X X X Reestruturar, integrar e disponibilizar em produção as bases do sistema CAD. 100% - 2013 1 A2 Reestruturar, integrar e disponibilizar em produção as bases do sistema CAND. 100% - 2013 1 A3 - 100% 2014 1 A4 Reestruturar, integrar e disponibilizar em produção X Neces sidade N1 N1 ID M5 M6 Objetivo Indicador Meta 2013 2014 Prazo Prioriz ação ID Áreas Envolvidas Ação dados e disponibilizar em produção no ambiente interno da PREVIC a base de dados do sistema DAWEB. integração e disponibilização da base de dados do sistema DAWEB as bases DAWEB. Reestruturar, integrar ao novo banco de dados e disponibilizar em produção no ambiente interno da PREVIC a base de dados do sistema SICADI – Módulo de Estatística de Benefício e População. Percentual de reestruturação, integração e disponibilização da base de dados SICADI módulo de Estatística de Benefício e População Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI – Módulo de Estatística de Benefício e População. Reestruturar ao novo banco de dados e disponibilizar em produção no ambiente interno da PREVIC, as bases de dados do sistema Base Percentual de reestruturação, integração e disponibilização da base de dados do sistema Custodiantes - - 100% 100% 2014 2014 1 1 A5 A6 do DIRAD DITEC DIFIS DIACE GAB PROC sistema Reestruturar e disponibilizar em produção as bases do sistema Custodiantes. Dados SELIC em produção. X X X X X X X X Página 61 de 195 Neces sidade ID Objetivo Indicador Meta 2013 2014 Prazo Prioriz ação ID Ação Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC de dados do sistema Custodiantes N1 N1 N1 M7 M8 M9 Reestruturar, integrar ao novo banco de dados e disponibilizar em produção no ambiente interno da PREVIC a base de dados do sistema SICADI Contábil. Percentual de reestruturação, integração e disponibilização da base de dados do módulo Contábil do sistema SICADI. Reestruturar, integrar ao novo banco de dados e disponibilizar em produção no ambiente interno da PREVIC a base de dados do sistema SICADI Investimento. Percentual de reestruturação, integração e disponibilização da base de dados do módulo Investimento do sistema SICADI. Percentual de reestruturação, integração e disponibilização - - - 100% 100% 100% 2014 2014 2014 1 1 1 A7 A8 A9 Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI Contábil. Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI – Investimento. Reestruturar, integrar e disponibilizar em produção as bases do sistema SCAI. X X X X X X X X X X X Página 62 de 195 Neces sidade ID Objetivo Indicador Meta 2013 2014 Prazo Prioriz ação Áreas Envolvidas ID Ação A10 Adquirir monitores de 27 polegadas ou superior para suporte a atividade gráfica X A11 Adquirir monitores extras de 19 polegadas ou superior para auxiliar no trabalho de edição de documentos X X X X X DIRAD DITEC DIFIS DIACE GAB PROC da base de dados do sistema SCAI N2 N2 N3 M10 Disponibilizar monitores para suportar e auxiliar nas atividades de edição de imagens e documentos M11 Disponibilizar solução de código de barras para auxiliar no controle patrimonial Quantidade de equipamentos adquiridos em relação aos solicitados - - Quantidade de equipamentos adquiridos em relação aos solicitados M12 Implementar salas Quantidade de multimídia na sede da equipamentos PREVIC adquiridos em 100% 100% 2014 2014 1 1 - 100% 2014 1 A12 Adquirir placas de vídeo para implantação dos monitores extras 100% - 2013 1 A13 Adquirir impressora código de barras 100% - 2013 1 A14 Adquirir leitor de código de barras X A15 Adquirir lousa interativa digital de 70 polegadas ou superior X - 100% 2014 1 de X Página 63 de 195 Neces sidade ID Objetivo relação solicitados N4 N5 N5 M13 Disponibilizar serviços e solução de telefonia Móvel e de Dados para a PREVIC e os Escritórios Regionais Meta Indicador Prazo Prioriz ação ID Ação 2013 2014 - 100% 2013 1 A16 Adquirir televisores de 55 polegadas ou superior X - 100% 2014 1 A17 Adquirir multimídias X - 100% 2014 1 A18 Adquirir telas de projetores multimídias aos Percentual de disponibilidade do serviço em horário de operação M14 Disponibilizar soluções Serviços e para a infraestrutura equipamentos no âmbito do disponibilizados. Datacenter da PREVIC. M15 Disponibilizar solução Quantidade de de sistema de equipamentos e Áreas Envolvidas 20% - 100% 100% 2014 2014 1 1 A19 DIRAD DITEC DIFIS DIACE GAB PROC projetores Adquirir serviços de telefonia móvel e de dados para a PREVIC e os Escritórios Regionais X X A20 Adquirir servidor de médio porte e software de virtualização instalado para ampliação do Datacenter X X X 100% 100% 2014 1 A21 Adquirir suprimentos de TI (Cabos, baterias, entre outros) para a manutenção do Datacenter. - 100% 2014 1 A22 Aquisição e instalação de equipamento para suporte X Página 64 de 195 Neces sidade ID Objetivo gravação Ouvidoria N6 N6 N6 N6 Meta Indicador para a softwares adquiridos relação solicitados M16 Manter a segurança lógica dos sistemas e dados de software no âmbito da PREVIC Manter licenças durante período. M17 Disponibilizar solução de software de apoio de métodos quantitativos Quantidade licenças adquiridas relação solicitadas M18 Disponibilizar solução para auxiliar na atividade de mapeamento de processos na PREVIC Quantidade licenças adquiridas relação solicitadas M19 Disponibilizar licenças Quantidade de software de apoio a licenças 2013 2014 Prazo Prioriz ação ID 100% 100% 100% 2014 2014 1 1 A23 A24 de em às 100% - 2013 1 A25 de em às de Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC à gravação de voz de telefonia IP em aos as ativas o Ação 100% 100% 2014 1 A26 100% - 2013 1 A27 Aquisição e instalação de software de gerenciamento de gravação de voz Adquirir licença corporativa de software de Antivírus Adquirir licença de software de métodos quantitativos (estatística). Disponibilizar solução para auxiliar na atividade de mapeamento de processos na PREVIC Adquirir licença de software de Suíte Gráfica X X X X X X X X X X Página 65 de 195 Neces sidade ID Objetivo Meta Indicador 2013 escritório, sistemas adquiridas e/ou operacionais e banco mantidas ativas de dados no período. 100% 100% N6 N7 M20 Disponibilizar licenças de software de apoio a gestão de serviços em TI Quantidade licenças adquiridas relação solicitadas 2014 100% - Prazo 2014 2013 Prioriz ação 1 1 Ação A28 Adquirir Licenças de software de Escritório, sistemas operacionais e banco de dados X X X X X X A29 Adquirir licença de conversor de imagem de PDF para outros formatos com OCR e permanência de formatação do documento original. X X X X X X X X de em às M21 Manter o sistema Percentual de legado SIAD e concluir disponibilidade implantação das do sistema evoluções em curso do sistema. 100% 33% - 100% 2013 2014 1 1 Áreas Envolvidas ID A30 A31 Adquirir licença de software de gestão de serviço de TI baseado em ITIL Implementar as manutenções corretivas no sistema SIAD e concluir as evoluções em curso. DIRAD DITEC DIFIS DIACE GAB PROC X X Página 66 de 195 Neces sidade N7 N8 ID Objetivo Indicador M22 Implementar novas funcionalidades e melhorias no sistema SCAI. Percentual das novas funcionalidades do sistema implementado M23 Implementar novos módulos do sistema de arrecadação da PREVIC. Percentual do sistema desenvolvido e implementado Meta 2013 N2 M24 Implementar sistemas informatizados de gestão e controle de documentos e processos na DITEC. Percentual do sistema desenvolvido e implementado M25 Disponibilizar equipamentos para suportar e auxiliar nas atividades de edição de imagens e documentos Quantidade de equipamentos adquiridos em relação aos solicitados Prioriz ação ID Ação Implementar as novas funcionalidades do sistema SCAI Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC 100% - 2013 1 A32 100% - 2013 1 A33 Implementar o módulo 3 do Sistema de Arrecadação da PREVIC X A34 Implementar o módulo 4 do Sistema de Arrecadação da PREVIC X 10% N10 2014 Prazo 30% 100% 100% 2014 2014 1 1 A35 Implementar sistemas informatizados de gestão e controle de documentos e processos na DITEC X X X X X Adquirir placas de vídeo para editoração gráfica. - 100% 2014 2 A36 X X Página 67 de 195 Neces sidade N2 N2 N2 N5 ID Objetivo Indicador M26 Disponibilizar equipamentos para suportar a atividade de programação. Quantidade de equipamentos adquiridos em relação aos solicitados M27 Disponibilizar computadores desktops para suportar as atividades de escritório no âmbito da PREVIC. Quantidade de equipamentos adquiridos em relação aos solicitados M28 Disponibilizar computadores notebooks para suportar as atividades externas da PREVIC Quantidade de equipamentos adquiridos em relação aos solicitados M29 Disponibilizar soluções de infraestrutura para sustentação energética dos switches de rede no Quantidade de equipamentos adquiridos em relação aos solicitados Meta 2013 - - 2014 100% 100% Prazo 2014 2014 Prioriz ação 2 2 ID A37 A38 Ação Adquirir desktops de alta performance para apoio à área de desenvolvimento da CGTI. Adquirir computadores desktops para atividades de escritório Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC X X Adquirir computadores notebooks - 100% 2014 2 A39 X Adquirir equipamentos de nobreaks - 100% 2014 2 A40 X Página 68 de 195 Neces sidade ID Objetivo Edifício PREVIC N7 Indicador Sede Meta 2013 2014 Prazo Prioriz ação Áreas Envolvidas ID Ação Desenvolver novo sistema CAD / CAND com recebimento de documentos com certificação digital DIRAD DITEC DIFIS DIACE GAB PROC da M30 Implementar novas funcionalidades e melhorias no sistema CAD / CAND Percentual do sistema desenvolvido e implementado - 100% 2014 2 A41 X X X X N7 M31 Implementar novas Percentual do funcionalidades no sistema sistema DAWEB. desenvolvido e implementado 50% 100% 2014 2 A42 Implementar funcionalidades sistema DAWEB novas do X X N7 M32 Automatizar a importação dos dados do sistema Custodiantes, reestruturando-os e disponibilizando-os em produção: (1) dados da CETIP; (2) dados da BM&Fbovespa e (3) dados da SELIC. 20% 100% 2014 2 A43 Evoluir e implantar novos módulos do sistema Custodiantes, com o desenvolvimento das seguintes etapas: 1) Automatizar a importação dos dados da CETIP. Reestruturar e integrar base de dados da CETIP e importar legado da base de dados já existente. 2) Automatizar a importação X X Percentual do sistema desenvolvido e implementado Página 69 de 195 Neces sidade ID Objetivo Meta Indicador 2013 2014 Prazo Prioriz ação ID Ação Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC dos dados da BM&FBovespa. Reestruturar e integrar base de dados da BM&FBovespa e importar legado da base de dados já existente. 3) Reestruturar e integrar base de dados da SELIC e importar legado da base de dados já existente. N8 N8 M33 Implementar novas funcionalidades e melhorias do sistema SIGA Percentual do sistema desenvolvido e implementado M34 Implementar solução Estudos de cadastro e avaliações capacitação de pessoal concluídas na PREVIC Percentual implantação solução 30% 100% 2014 2 A44 e de da 100% - 2013 - 100% 2014 2 Implementar novas funcionalidades no sistema SIGA X A45 Avaliar as soluções da Administração Pública Federal para cadastro e capacitação de pessoal na PREVIC X A46 Implementar solução de cadastro e capacitação de pessoal X Página 70 de 195 Neces sidade N8 N11 ID Objetivo Meta Indicador 2013 M35 Realizar estudos e Estudos prospectar soluções avaliações para implementar concluídas sistema próprio de controle das ações de Fiscalização Externa e M36 Desenvolver novo Estudos portal de Internet da avaliações PREVIC concluídas e 30% 100% Percentual do portal desenvolvido e implementado N11 M37 Reestruturar o Portal Estudos de Intranet da PREVIC avaliações concluídas - 2014 100% - 100% Prazo 2014 2013 2014 Prioriz ação 2 2 2 Ação A47 Realizar estudos e prospectar soluções para implementar sistema próprio de controle das ações de Fiscalização Externa X A48 Realizar estudos para avaliar a melhor solução e formas de implementação do portal de internet X X X X X X X X A49 e Percentual do portal desenvolvido e implementado 100% - - 100% 2013 2014 2 2 Áreas Envolvidas ID A50 A51 Adquirir serviço de desenvolvimento de Portal de Internet Realizar estudos para avaliar a melhor solução e formas de implementação do portal de intranet Adquirir serviço de desenvolvimento de Portal de Intranet DIRAD DITEC DIFIS DIACE GAB PROC X Página 71 de 195 Neces sidade N7 ID Objetivo Meta Indicador 2013 M38 Implementar melhorias e novas funcionalidades do sistema de Estatísticas e Plano de Benefícios Percentual do sistema desenvolvido e implementado N7 M39 Percentual do sistema desenvolvido e implementado N8 M40 Implementar sistema Estudos de suporte à atividade avaliações de Auditoria Interna concluídas Implementar melhorias e novas funcionalidades do sistema SICADI M41 Prioriz ação ID Ação Implementar melhorias no sistema de Estatísticas e Plano de Benefícios - 100% 2014 3 A52 1% 100% 2014 3 A53 e Percentual do sistema desenvolvido e implementado N10 2014 Prazo Implementar Percentual do sistemas sistema informatizados de desenvolvido e gestão e controle de implementado 100% - 2013 - 100% 2014 - 100% 2014 3 A54 A55 3 A56 Implementar melhorias no sistema SICADI. Realizar estudos para avaliar solução e formas de implementação do sistema de suporte à atividade de Auditoria Interna. Implementar solução de suporte à atividade de Auditoria Interna Implementar sistemas informatizados de gestão e controle de documentos e processos na DIACE. Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC X X X X X X X X X X X X X X Página 72 de 195 Neces sidade ID Objetivo Meta Indicador 2013 2014 Prazo Prioriz ação ID Ação Realizar estudos para avaliar a melhor solução e formas de implementação da solução de Ponto Eletrônico para a sede da PREVIC Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC documentos e processos na DIACE N12 M42 Implantar solução de Estudos Ponto Eletrônico para avaliações a Sede da PREVIC concluídas e Percentual da solução implementada N6 N8 M43 Disponibilizar solução Solução para Gerenciamento disponibilizada de Projetos M44 Disponibilizar solução Estudos de gestão de contratos avaliações concluídas - 100% 2014 3 A57 - 100% 2014 3 A58 100% - 2013 4 A59 Adquirir e implantar solução de gerenciamento de projetos X A60 Realizar estudos para implementação do sistema de gestão de contratos X e Percentual do sistema desenvolvido e implementado 100% - - 100% 2013 2014 4 4 A61 Adquirir e implantar a solução de Ponto Eletrônico Implementar solução de gestão de contratos X X X X X Página 73 de 195 Neces sidade N10 N4 N4 N7 N7 ID Objetivo Indicador Meta 2013 M45 Implementar sistemas informatizados de gestão e controle de documentos e processos na DIRAD Percentual do sistema desenvolvido e implementado M46 Manter a disponibilidade do serviço de telefonia fixa Percentual de disponibilidade 99,6% do serviço de telefonia Fixa M47 Manter a disponibilidade do serviço de telefonia móvel e dados Percentual de disponibilidade do serviço de telefonia móvel e dados - 70% 2014 100% Prazo 2014 99,6% 2014 70% 2014 Prioriz ação 4 5 5 ID A62 A63 A64 M48 Manter a Percentual de disponibilidade dos disponibilidade sistemas CAD / CAND do serviço em horário de operação 93% 93% 2014 5 A65 M49 Manter disponibilidade sistema DAWEB 93% 93% 2014 5 A66 a Percentual de do disponibilidade do serviço em Ação Implementar sistemas informatizados de gestão e controle de documentos e processos na DIRAD Gerir o contrato de prestação de serviço de telefonia fixa Gerir o contrato de prestação de serviço de telefonia móvel e dados a PREVIC e os Escritórios Regionais Gerir o contrato de sustentação dos sistemas CAD / CAND Gerir o contrato de sustentação do sistema DAWEB Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC X X X X X X X X X Página 74 de 195 Neces sidade ID Objetivo horário operação N7 N7 N7 N7 M50 Manter disponibilidade sistema SICADI 2013 2014 Prazo Prioriz ação ID Ação A67 Gerir o contrato de sustentação do sistema SICADI Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC de a Percentual de do disponibilidade do serviço em horário de operação M51 Manter a disponibilidade do sistema Estatístico / Plano / Benefício M52 Manter disponibilidade sistema SCAI Meta Indicador Percentual de disponibilidade do serviço em horário de operação a Percentual de do disponibilidade do serviço em horário de operação M53 Manter a Percentual de disponibilidade do disponibilidade sistema Custodiantes do serviço em horário de operação 93% 93% 93% 93% 93% 93% 93% 93% 2014 2014 2013 2014 5 5 5 5 A68 Gerir o contrato de sustentação do sistema Estatístico / Plano / Benefício X X A69 Gerir o contrato de sustentação do sistema SCAI X A70 Gerir o contrato de sustentação do sistema Custodiantes X X X X X X X Página 75 de 195 Neces sidade N8 N9 N9 ID Objetivo M54 Manter disponibilidade sistema INFGER Indicador a Percentual de do disponibilidade do serviço em horário de operação M55 Manter a disponibilidade da prestação de serviços de atendimentos, suporte técnico, e Infraestrutura, Redes e sistemas de Tecnologia da Informação no Edifício Sede da PREVIC Percentual de atendimentos realizados dentro do prazo médio de atendimento estipulada na SLA no contrato por mês M56 Manter a Manter ativo o disponibilidade do contrato do serviço de outsourcing serviço de impressão para a PREVIC Meta 2013 93% 100% 100% 2014 93% 100% 100% Prazo 2014 2014 2014 Prioriz ação 5 5 5 ID Ação A71 Gerir o contrato de sustentação do sistema INFGER A72 A73 Gerir o contrato de prestação de serviço de atendimento, suporte, infraestrutura, Redes e sistemas de Tecnologia da Informação no edifício sede da PREVIC Gerir o contrato de outsourcing de impressão para a PREVIC Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC X X X X X X X Página 76 de 195 Neces sidade N9 N9 N9 N9 ID Objetivo M57 Manter disponibilidade serviços mensageria Meta Indicador 2013 a Manter ativo o de contrato do de serviço M58 Manter a disponibilidade do serviço de Acesso Remoto à Intranet PREVNET Percentual disponibilidade em horário de operação M59 Manter o serviço de extração, tratamento e apuração especial de dados institucionais Número serviços disponíveis ano M60 Manter a disponibilidade do serviços em atendimentos e suporte técnico de TI para os escritórios regionais da PREVIC Número de horas de atendimento disponíveis e realizadas em prazo estipulado no contrato. 100% 100% 2014 100% 100% Prazo 2014 2014 Prioriz ação 5 5 ID A74 A75 de ao 3 594 3 1188 2014 2014 5 5 A76 A77 Ação Gerir o contrato de prestação de serviço de mensageria Gerir o contrato de prestação de serviço de Acesso Remoto à Intranet PREVNET Gerir o contrato de prestação de serviço em extração, tratamento e apuração especial de dados institucionais Gerir o contrato de prestação de serviços em atendimentos e suporte técnico de TI para os escritórios regionais da PREVIC Áreas Envolvidas DIRAD DITEC DIFIS DIACE GAB PROC X X X X Tabela 24 – Detalhamento do Plano de Metas e Ações Página 77 de 195 11. Plano de Gestão de Pessoas 11.1. Mapeamento de Competências Em observância ao objetivo de controle PO7.2 – Competências Pessoais – do modelo Cobit, definiu-se os requisitos centrais de competência em TI necessários para alcançar as metas e ações estabelecidas neste plano, bem como a manutenção das ações já desempenhadas pela área de TI. Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G5 Infraestrutura de Rede Segurança da Informação X X X X X Business Inteligence Gerenciamento de Serviços de TIC X Banco de Dados Administração e Análise Análise de Negócios X G4 Garantia de Qualidade de software X Análise por Pontos de Função Análise de Requisitos X G3 Gerenciamento de Projetos X Padrões e Normas da APF Transferir / replicar todas as bases de dados da PREVIC, hoje vinculadas no MPS e na Dataprev, A1 para o ambiente computacional da PREVIC em novo banco de dados. Assessoria em Gestão e Contratos de TI Descrição da Ação Governança de TI Necessidade N1 ID G2 X Página 78 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 Análise de Negócios Gerenciamento de Serviços de TIC Infraestrutura de Rede Segurança da Informação X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI – Módulo de Estatística de Benefício e População. X X X X X X X X X X X Reestruturar e disponibilizar em produção as bases A6 do sistema Custodiantes. Dados SELIC em produção. X X X X X X X X X X X A3 Reestruturar, integrar e disponibilizar produção as bases do sistema CAND. em A4 Reestruturar, integrar e disponibilizar produção as bases do sistema DAWEB. em A5 Business Inteligence Garantia de Qualidade de software X em Banco de Dados Administração e Análise Análise de Requisitos X Reestruturar, integrar e disponibilizar produção as bases do sistema CAD. Análise por Pontos de Função Gerenciamento de Projetos X Descrição da Ação A2 N1 N1 G5 X ID Padrões e Normas da APF N1 G4 Assessoria em Gestão e Contratos de TI N1 G3 Governança de TI Necessidade N1 G2 Página 79 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G5 Análise de Negócios Gerenciamento de Serviços de TIC Infraestrutura de Rede Segurança da Informação X X X X X X X X X X A8 Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI – Investimento. X X X X X X X X X X X A9 Reestruturar, integrar e disponibilizar produção as bases do sistema SCAI. X X X X X X X X X X X A10 Adquirir monitores de 27 polegadas ou superior para suporte a atividade gráfica X X X X X Adquirir monitores extras de 19 polegadas ou A11 superior para auxiliar no trabalho de edição de documentos X X X X X em Business Inteligence Garantia de Qualidade de software X Banco de Dados Administração e Análise Análise de Requisitos Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI Contábil. Análise por Pontos de Função Gerenciamento de Projetos A7 Padrões e Normas da APF Descrição da Ação Assessoria em Gestão e Contratos de TI N2 G4 ID N1 N1 G3 Governança de TI Necessidade N1 G2 Página 80 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 X X X X X A14 Adquirir leitor de código de barras X X X X X X X X X X A16 Adquirir televisores de 55 polegadas ou superior X X X X X A17 Adquirir projetores multimídias X X X X X A18 Adquirir telas de projetores multimídias X X X X X X X X A15 A19 Adquirir lousa interativa digital de 70 polegadas ou superior Adquirir serviços de telefonia móvel e de dados para a PREVIC e os Escritórios Regionais X X X X Business Inteligence A13 Adquirir impressora de código de barras Banco de Dados Administração e Análise X Gerenciamento de Serviços de TIC X Adquirir placas de vídeo para implantação dos monitores extras Análise de Negócios X A12 G5 Segurança da Informação Infraestrutura de Rede Garantia de Qualidade de software Análise por Pontos de Função X Descrição da Ação Análise de Requisitos X ID Gerenciamento de Projetos Padrões e Normas da APF N4 G4 Assessoria em Gestão e Contratos de TI N3 G3 Governança de TI Necessidade N2 G2 X Página 81 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G4 G5 Segurança da Informação A21 Adquirir suprimentos de TI (Cabos, baterias, entre outros) para a manutenção do Datacenter. X X X X X X A22 Aquisição e instalação de equipamento para suporte à gravação de voz de telefonia IP X X X X X X X X A23 Aquisição e instalação de software gerenciamento de gravação de voz X X X X X X X X A24 Adquirir licença corporativa de software de Antivírus X X X X X X X de Business Inteligence Infraestrutura de Rede X Banco de Dados Administração e Análise Gerenciamento de Serviços de TIC X Análise de Negócios X Garantia de Qualidade de software X Análise por Pontos de Função Padrões e Normas da APF X Análise de Requisitos Assessoria em Gestão e Contratos de TI X Gerenciamento de Projetos Governança de TI Necessidade X Descrição da Ação A20 virtualização N6 G3 Adquirir servidor de médio porte e software de instalado para ampliação do Datacenter ID N5 N5 G2 Página 82 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Business Inteligence X X Banco de Dados Administração e Análise Segurança da Informação Adquirir Licenças de software de Escritório, sistemas operacionais e banco de dados Infraestrutura de Rede A28 Gerenciamento de Serviços de TIC A27 Adquirir licença de software de Suíte Gráfica Análise de Negócios Disponibilizar solução para auxiliar na atividade de mapeamento de processos na PREVIC G5 X X Garantia de Qualidade de software A26 G4 X X Análise por Pontos de Função métodos Análise de Requisitos de Gerenciamento de Projetos Adquirir licença de software quantitativos (estatística). Padrões e Normas da APF N6 A25 Assessoria em Gestão e Contratos de TI N6 Descrição da Ação G3 Governança de TI Necessidade N6 ID G2 Adquirir licença de conversor de imagem de PDF A29 para outros formatos com OCR e permanência de formatação do documento original. N6 A30 Adquirir licença de software de gestão de serviço de TI baseado em ITIL X Página 83 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 Análise de Negócios Infraestrutura de Rede Segurança da Informação X X X X X X X X X X X A32 Implementar as novas funcionalidades do sistema SCAI X X X X X X X X X X X A33 Implementar o módulo 3 do Sistema de Arrecadação da PREVIC X X X X X X X X X X X A34 Implementar o módulo 4 do Sistema de Arrecadação da PREVIC X X X X X X X X X X X A35 Implementar sistemas informatizados de gestão e controle de documentos e processos na DITEC X X X X X X X X X X X X X X A36 Adquirir placas de vídeo para editoração gráfica. X X Business Inteligence Garantia de Qualidade de software Implementar as manutenções corretivas no sistema SIAD e concluir as evoluções em curso. Banco de Dados Administração e Análise Análise por Pontos de Função A31 Gerenciamento de Serviços de TIC Descrição da Ação Análise de Requisitos N2 ID Gerenciamento de Projetos N10 G5 Padrões e Normas da APF N8 G4 Assessoria em Gestão e Contratos de TI N7 G3 Governança de TI Necessidade N7 G2 X Página 84 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G4 G5 Segurança da Informação X X X X A38 Adquirir computadores desktops para atividades de escritório X X X X X X X X N2 A39 Adquirir computadores notebooks X X X X X X N5 A40 Adquirir equipamentos de nobreaks X X X X X X N7 Desenvolver novo sistema CAD / CAND com A41 recebimento de documentos com certificação digital X X X X X X X X X X X Implementar novas funcionalidades do sistema DAWEB X X X X X X X X X X X N7 A42 Business Inteligence Infraestrutura de Rede X Banco de Dados Administração e Análise Gerenciamento de Serviços de TIC X Análise de Negócios X Garantia de Qualidade de software Adquirir desktops de alta performance para apoio à área de desenvolvimento da CGTI. Análise por Pontos de Função Padrões e Normas da APF A37 Análise de Requisitos Descrição da Ação Gerenciamento de Projetos ID Assessoria em Gestão e Contratos de TI N2 G3 Governança de TI Necessidade N2 G2 X Página 85 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G4 G5 Análise de Requisitos Análise por Pontos de Função Garantia de Qualidade de software Análise de Negócios Infraestrutura de Rede Segurança da Informação X X X X X X X X X X Implementar novas funcionalidades no sistema SIGA X X X X X X X X X X X A44 Business Inteligence Gerenciamento de Projetos X Descrição da Ação Banco de Dados Administração e Análise Padrões e Normas da APF Evoluir e implantar novos módulos do sistema Custodiantes, com o desenvolvimento das seguintes etapas: 1) Automatizar a importação dos dados da CETIP. Reestruturar e integrar base de dados da CETIP e importar legado da base de dados já existente. 2) A43 Automatizar a importação dos dados da BM&FBovespa. Reestruturar e integrar base de dados da BM&FBovespa e importar legado da base de dados já existente. 3) Reestruturar e integrar base de dados da SELIC e importar legado da base de dados já existente. ID Gerenciamento de Serviços de TIC Assessoria em Gestão e Contratos de TI N8 G3 Governança de TI Necessidade N7 G2 Página 86 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G2 G3 G4 G5 Realizar estudos e prospectar soluções para A47 implementar sistema próprio de controle das ações de Fiscalização Externa X X X X X A48 Realizar estudos para avaliar a melhor solução e formas de implementação do portal de internet X X X X X X X X X A49 Adquirir serviço de desenvolvimento de Portal de Internet X X X X X X X X X Banco de Dados Administração e Análise X Segurança da Informação X Gerenciamento de Serviços de TIC X Análise de Negócios Implementar solução de cadastro e capacitação de pessoal Business Inteligence Infraestrutura de Rede Garantia de Qualidade de software Análise por Pontos de Função Padrões e Normas da APF X Análise de Requisitos Assessoria em Gestão e Contratos de TI X N8 Descrição da Ação Gerenciamento de Projetos Governança de TI Necessidade X ID Avaliar as soluções da Administração Pública A45 Federal para cadastro e capacitação de pessoal na X X X PREVIC A46 N8 N11 X X X X X X X X X X Página 87 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 Infraestrutura de Rede Segurança da Informação X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Adquirir serviço de desenvolvimento de Portal de Intranet X X X A52 Implementar melhorias no sistema de Estatísticas e Plano de Benefícios X X X N8 Business Inteligence Gerenciamento de Serviços de TIC X A51 Banco de Dados Administração e Análise Análise de Negócios X X Garantia de Qualidade de software X X Análise por Pontos de Função X X Análise de Requisitos X Realizar estudos para avaliar a melhor solução e formas de implementação do portal de intranet Gerenciamento de Projetos X A50 A53 Implementar melhorias no sistema SICADI. G5 X Padrões e Normas da APF N7 G4 X Descrição da Ação Assessoria em Gestão e Contratos de TI N7 G3 X ID Governança de TI Necessidade N11 G2 Realizar estudos para avaliar solução e formas de A54 implementação do sistema de suporte à atividade X X X de Auditoria Interna A55 Implementar solução de suporte à atividade de Auditoria Interna X X X X X X X X Página 88 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G3 G4 Análise por Pontos de Função Garantia de Qualidade de software Análise de Negócios X X X X X X X A58 Adquirir e implantar a solução de Ponto Eletrônico X X X A59 Adquirir e implantar solução de gerenciamento de projetos X X X A60 Realizar estudos para implementação do sistema de gestão de contratos X X X X X X N12 X X X Business Inteligence Análise de Requisitos X Implementar sistemas informatizados de gestão e controle de documentos e processos na DIACE. Banco de Dados Administração e Análise Gerenciamento de Projetos X A56 Segurança da Informação Padrões e Normas da APF X Descrição da Ação G5 Infraestrutura de Rede Assessoria em Gestão e Contratos de TI X ID Gerenciamento de Serviços de TIC Governança de TI Necessidade N10 G2 X Realizar estudos para avaliar a melhor solução e A57 formas de implementação da solução de Ponto X X X X X X X X X X X X X X X X X X X X X Eletrônico para a sede da PREVIC N6 N8 A61 Implementar solução de gestão de contratos X X X X X Página 89 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 X A63 Gerir o contrato de prestação de serviço de telefonia fixa X X X X X X N4 X X X X X X X X X Business Inteligence X Banco de Dados Administração e Análise X Segurança da Informação X G5 Infraestrutura de Rede Análise de Requisitos X Gerenciamento de Serviços de TIC Gerenciamento de Projetos Implementar sistemas informatizados de gestão e controle de documentos e processos na DIRAD Análise de Negócios Padrões e Normas da APF A62 G4 Garantia de Qualidade de software Descrição da Ação Análise por Pontos de Função ID Assessoria em Gestão e Contratos de TI N4 G3 Governança de TI Necessidade N10 G2 X Gerir o contrato de prestação de serviço de A64 telefonia móvel e dados a PREVIC e os Escritórios Regionais N7 N7 N7 A65 Gerir o contrato de sustentação dos sistemas CAD / CAND X X X X X X X X X X A66 Gerir o contrato de sustentação do sistema DAWEB X X X X X X X X X X A67 Gerir o contrato de sustentação do sistema SICADI X X X X X X X X X X Página 90 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G2 G3 G4 G5 Garantia de Qualidade de software Análise de Negócios Gerenciamento de Serviços de TIC X X X X X X X X X X X X X X X Gerir o contrato de sustentação do sistema Custodiantes X X X X X X X X X X N8 A71 Gerir o contrato de sustentação do sistema INFGER X X X X X X X X X X N9 Gerir o contrato de prestação de serviço de atendimento, suporte, infraestrutura, Redes e A72 sistemas de Tecnologia da Informação no edifício sede da PREVIC X X X X X X X Gerir o contrato de outsourcing de impressão para a PREVIC X X X X X X N7 N7 N9 A69 Gerir o contrato de sustentação do sistema SCAI A70 A73 Business Inteligence Análise de Requisitos X Gerir o contrato de sustentação do sistema Estatístico / Plano / Benefício Banco de Dados Administração e Análise Gerenciamento de Projetos X A68 Segurança da Informação Padrões e Normas da APF Infraestrutura de Rede Assessoria em Gestão e Contratos de TI X Descrição da Ação Análise por Pontos de Função Governança de TI X Necessidade X N7 ID X Página 91 de 195 Mapeamento das Competências em TI Quantidade Mínima de Competências por Necessidade Mapeamento das Competências Ações oriundas das necessidades de Tecnologia da Informação G1 G5 Segurança da Informação X X X A75 Gerir o contrato de prestação de serviço de Acesso Remoto à Intranet - PREVNET X X X X X X X X X X X X X X X X X X Business Inteligence Infraestrutura de Rede X Banco de Dados Administração e Análise Gerenciamento de Serviços de TIC X Análise de Negócios X Garantia de Qualidade de software Gerir o contrato de prestação de serviço de mensageria Análise por Pontos de Função A74 Análise de Requisitos Descrição da Ação Gerenciamento de Projetos ID Padrões e Normas da APF N9 G4 Assessoria em Gestão e Contratos de TI N9 G3 Governança de TI Necessidade N9 G2 Gerir o contrato de prestação de serviço em A76 extração, tratamento e apuração especial de X X dados institucionais N9 Gerir o contrato de prestação de serviços em A77 atendimentos e suporte técnico de TI para os escritórios regionais da PREVIC Tabela 25 – Competências em TI necessárias para alcance das metas do PDTI Página 92 de 195 O mapeamento das competências por necessidade de negócio é a base para se estimar o número ideal de profissionais, considerando o cronograma das ações, os respectivos perfis e o escopo das ações âmbito da PREVIC. A quantidade ideal de profissionais (tabela abaixo) considerou a quantidade e a natureza das atividades, o grupo de competências correlacionadas, as orientações das práticas de referência, além da observância dos requisitos de controle genéricos contidos no modelo Cobit 4.1, na Instrução Normativa n° 04/2010 SLTI/MP e Guia Prático para Contratação de Soluções de TI. Alocação de servidores Atividade/competência Avaliado Cargo Existente Necessária Implantar e manter a governança de TI na PREVIC, alinhando a estratégia institucional da autarquia com o PDTI, melhorando a estrutura interna da 3 2 1 2 1 1 Analista de governança de TI CGTI/DIRAD/PREVIC, buscando a excelência no exercício das atividades. Elaborar a análise de viabilidade, estratégia da contratação, plano de sustentação, análise de risco, Termo de Referência, Plano Básico e demais instrumentos que regulam o processo de contratação de serviços e Assessor em gestão e contratos de TI equipamentos de TI na Administração Pública. Página 93 de 195 Alocação de servidores Atividade/competência Prover o gerenciamento de projetos em TI, Realizar a análise de requisitos negociais das áreas da PREVIC para os sistemas de informações. Avaliado 3 Cargo Existente Necessária 0 3 Analista de negócios e gerente de projetos Amparar o processo de aquisição e manutenção de sistemas de informação, aplicando metodologia que permita mensurar o tamanho, a complexidade e, consequentemente, o custo de desenvolvimento dos sistemas de informação. Elaborar e analisar os instrumentos que regulam o processo de TI na Analista de sistemas com Administração Pública. Atendimento à normas complementares em especial a metodologia de Desenvolvimento de Sistemas. Gerir os riscos, garantir a qualidade dos sistemas de informação sob os pontos 3 1 2 experiência em padrões e normas da APF / Analista de qualidade em TI de vista funcional e de performance; gerir erros já encontrados, gerir a correta aplicação das práticas de qualidade nos processos; Participar dos processos de aceitação e entrega de softwares de forma objetiva e mensurável. Página 94 de 195 Alocação de servidores Atividade/competência Avaliado Gerir e monitorar as bases de dados e sistemas institucionais; Apoiar a implementação e manutenção do processo de BI da entidade. Cargo Existente Necessária 1 0 1 2 2 0 Administrador de banco de dados Gerir a segurança dos dados depositados dentro do banco conforme políticas de segurança da PREVIC, atuar com desenvolvimento de banco de dados, atuar com análises, acompanhar o desenvolvimento de projetos e Analista de banco de dados implementação das bases de dados da entidade. Gerir os recursos de infraestrutura de redes, sistema e comunicações da autarquia, utilizando as melhores práticas do mercado para a área. Analista de infraestrutura de 2 1 1 Responsável pela aplicação da Política de Segurança da Informação. redes, sistemas e comunicações Totais 16 7 9 Tabela 26 – Quantidade, locação e competência ideais de servidores da CGTI Página 95 de 195 11.2. Ações de mitigação e contingência O item 11.1, Mapeamento de Competências, salientou a necessidade de alocação adicional de servidores na CGTI para que seja possível o cumprimento de todas as ações previstas neste PDTI, conforme evidenciado na figura abaixo. Alocação anecessária de servidores para a execução das ações previstas do PDTI Analista de infraestrutura de redes Analista de banco de dados Administrador de banco de dados Analista de sistemas Analista de negócio Assessor em gestão e contratos de TI Governança de TI 0 1 Avaliado 2 3 Existente Figura 8 – Gráfico de alocação necessária de servidores Com vistas a suprir a carência de profissionais de TI até a liberação de um próximo concurso público para a PREVIC, serão dotadas as seguintes ações de mitigação, sem prejuízo dos ganhos de produtividade que se espera alcançar: a. Solicitação de cessão de analistas de Tecnologia da Informação (ATI) ao Ministério do Planejamento, Orçamento e Gestão – MPOG; b. Contratação de prestação de serviços especializados em desenvolvimento de sistemas (fábrica de software) para os projetos da área de Sistemas Internos; c. Solicitação da Gratificação Temporária do Sistema de Administração dos Recursos de Informação e Informática – GSISP (instituída pela Lei 11.907, de 02 de fevereiro de 2009 com o objetivo de fortalecer as áreas de TI dos órgãos integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP), como forma de viabilizar transferências internas ou externas de servidores qualificados em TI; d. Fortalecimento e revisão dos contratos de prestação de serviços em TI. 12. Planejamento da Execução Os percentuais de execução nos anos de 2013 e 2014 desta planilha referem-se à execução orçamentária, de sorte que os percentuais de execução estão de acordo com as metas dos indicadores constantes no item “10.2. Detalhamento do Plano de Metas e Ações” deste PDTI. Neces N1 N1 N1 ID Descrição da Ação Transferir / replicar todas as bases de dados da PREVIC, hoje vinculadas no A1 MPS e na Dataprev, para o ambiente computacional da PREVIC em novo banco de dados. Reestruturar, integrar e A2 disponibilizar em produção as bases do sistema CAD. Reestruturar, A3 integrar e disponibilizar em Execução Prazos Previstos Total Estimado Inicio Conclusão 2013 2014 Capital / Custeio 2013 jul/13 dez/13 R$ 106.409,36 - Custeio - 2013 ago/13 dez/13 R$ 25.567,76 - Custeio - 2013 ago/13 dez/13 R$ 10.971,36 - Custeio 2013 2014 100% - 100% 100% Prazo N1 A4 N1 A5 N1 A6 N1 A7 produção as bases do sistema CAND. Reestruturar, integrar e disponibilizar em produção as bases do sistema DAWEB. Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI – Módulo de Estatística de Benefício e População. Reestruturar e disponibilizar em produção as bases do sistema Custodiantes. Dados SELIC em produção. Reestruturar, integrar e - 100% 2014 jan/14 mar/14 R$ 29.866,48 Custeio - 100% 2014 jan/14 mar/14 - R$ 13.184,88 Custeio - 100% 2014 jan/14 jul/14 - R$ 779.544,00 Custeio - 100% 2014 mar/14 dez/14 - R$ 111.510,08 Custeio Página 98 de 195 N1 A8 N1 A9 N2 A10 N2 A11 disponibilizar em produção as bases do sistema SICADI Contábil. Reestruturar, integrar e disponibilizar em produção as bases do sistema SICADI – Investimento. Reestruturar, integrar e disponibilizar em produção as bases do sistema SCAI. Adquirir monitores de 27 polegadas ou superior para suporte a atividade gráfica Adquirir monitores extras de 19 polegadas ou superior para auxiliar no trabalho - 100% 2014 jun/14 dez/14 - R$ 109.585,28 Custeio - 100% 2014 Set/14 dez/14 - R$ 62.780,56 Custeio - 100% 2014 nov/13 jul/14 - R$ 3.500,00 Capital - 100% 2014 nov/13 jul/14 - R$ 3.200,00 Capital Página 99 de 195 de edição documentos N2 N2 N2 de Adquirir placas de vídeo para A12 implantação dos monitores extras Adquirir A13 impressora de código de barras Adquirir leitor de A14 código de barras N3 Adquirir lousa interativa digital de A15 70 polegadas ou superior N3 A16 de 55 polegadas ou - 100% 2014 nov/13 jul/14 - R$ 2.400,00 Capital 100% - 2013 jul/13 nov/13 R$ 3.500,00 - Capital 100% - 2013 jul/13 nov/13 R$ 6.900,00 - Capital - 100% 2014 nov/13 jul/14 - R$ 20.000,00 Capital - 100% 2014 jan/14 jul/14 - R$ 38.000,00 Capital - 100% 2014 jan/14 jul/14 - R$ 12.000,00 Capital - 100% 2014 jan/14 jul/14 - R$ 2.400,00 Capital Adquirir televisores N3 N3 superior Adquirir projetores A17 multimídias Adquirir telas de A18 projetores multimídias Página 100 de 195 N4 A19 N5 A20 N5 A21 N5 A22 Adquirir serviços de telefonia móvel e de dados para a PREVIC e os Escritórios Regionais Adquirir servidor de médio porte e software de virtualização instalado para ampliação do Datacenter Adquirir suprimentos de TI (Cabos, baterias, entre outros) para a manutenção do Datacenter. Aquisição e instalação de equipamento para suporte à gravação de voz de telefonia IP 100% - 2013 nov/13 dez/13 R$ 36.762,00 - Custeio - 100% 2014 Jan/14 jul/14 - R$ 120.000,00 Capital 100% 100% 2014 nov/13 dez/14 R$ 4.481,00 R$ 4.481,00 Capital -- 100% 2014 jul/13 fev/14 R$ 5.000,00- Capital Página 101 de 195 N5 A23 N6 A24 N6 A25 N6 A26 N6 A27 Aquisição e instalação de software de gerenciamento de gravação de voz Adquirir licença corporativa de software de Antivírus Adquirir licença de software de métodos quantitativos (estatística). Disponibilizar solução para auxiliar na atividade de mapeamento de processos na PREVIC Adquirir licença de software de Suíte Gráfica - 2014 jul/13 fev/14 R$ 4.000,00- Capital 50% 100% 2014 jul/13 jul/14 R$ 120.000,00 R$ 120.000,00 Capital 100% - 2013 jul/13 nov/13 R$ 30.000,00 - Capital 100% 100% 2014 jul/13 dez/14 R$ 5.644,60 R$ 5.644,60 Capital 100% - 2013 jul/13 nov/13 R$ 2.600,00 Capital Página 102 de 195 N6 A28 N6 A29 N6 A30 N7 A31 Adquirir Licenças de software de Escritório, sistemas operacionais e banco de dados Adquirir licença de conversor de imagem de PDF para outros formatos com OCR e permanência de formatação do documento original. Adquirir licença de software de gestão de serviço de TI baseado em ITIL Implementar as manutenções corretivas no sistema SIAD e concluir as evoluções em curso. 100% 100% 2014 jan/13 fev/14 R$ 288.717,18 R$ 288.717,18 Custeio 100% - 2013 jul/13 nov/13 R$ 4.000,00 - Capital 100% - 2013 jul/13 set/13 R$ 34.000,00 - Custeio 33% 100% 2014 jul/13 dez/14 R$ 19.151,76 R$ 57.391,12 Custeio Página 103 de 195 N7 A32 N8 A33 N8 A34 N10 A35 N2 A36 Implementar as novas funcionalidades do sistema SCAI Implementar o módulo 3 do Sistema de Arrecadação da PREVIC Implementar o módulo 4 do Sistema de Arrecadação da PREVIC Implementar sistemas informatizados de gestão e controle de documentos e processos na DITEC Adquirir placas de vídeo para editoração gráfica. 70% 100% 2013 jul/13 mar/14 R$ 218.854,57 - Custeio 100% - 2013 jan/13 dez/13 R$ 389.772,00 10% 100% 2014 ago/13 jun/14 R$ 86.000,00 R$ 774.000,00 Custeio 20% 100% 2014 jul/13 dez/14 R$ 49.063,15 R$ 196.252,61 Custeio - 100% 2014 jan/14 jul/14 - R$ 2.880,00 Capital Custeio Página 104 de 195 N2 A37 N2 A38 N2 A39 N5 A40 N7 A41 Adquirir desktops de alta performance para apoio à área de desenvolvimento da CGTI. Adquirir computadores desktops para atividades de escritório Adquirir computadores notebooks Adquirir equipamentos de nobreaks Desenvolver novo sistema CAD / CAND com recebimento de documentos com certificação digital - 100% 2014 jul/13 fev/14 - R$ 18.000,00- Capital - 100% 2014 jul/13 mar/14 - R$ 469.300,00 Capital - 100% 2014 jul/13 dez/14 - R$ 665.600,00 Capital - 100% 2014 jan/13 dez/14 - R$ 12.000,00 Capital - 100% 2014 jul/13 dez/14 - R$ 1.127.148,00 Custeio Página 105 de 195 N7 Implementar novas A42 funcionalidades do sistema DAWEB 50% 100% 2014 jul/13 nov/14 R$ 46.025,00 R$ 49.000,00 Custeio N7 Evoluir e implantar novos módulos do sistema Custodiantes, com o desenvolvimento das seguintes etapas: 1) Automatizar a importação dos dados da CETIP. Reestruturar e integrar base de A43 dados da CETIP e importar legado da base de dados já existente. 2) Automatizar a importação dos dados da BM&FBovespa. Reestruturar e integrar base de dados da BM&FBovespa e 20% 100% 2014 jul/13 nov/14 R$ 187.858,00 R$ 939.290,00 Custeio Página 106 de 195 importar legado base de dados existente. Reestruturar integrar base dados da SELIC importar legado base de dados existente. N8 A44 N8 A45 N8 A46 N8 A47 da já 3) e de e da já Implementar novas funcionalidades no sistema SIGA Avaliar as soluções da Administração Pública Federal para cadastro e capacitação de pessoal na PREVIC Implementar solução de cadastro e capacitação de pessoal Realizar estudos e prospectar 30% 100% 2014 jul/13 nov/14 R$ 14.436,00 R$ 28.872,00 Custeio 100% - 2013 jul/13 nov/13 - - n/a - 100% 2014 fev/14 nov/14 - R$ 359.100,00 Capital 30% 100% 2014 out/13 jul/14 - - n/a Página 107 de 195 N11 A48 N11 A49 N11 A50 N11 A51 soluções para implementar sistema próprio de controle das ações de Fiscalização Externa Realizar estudos para avaliar a melhor solução e formas de implementação do portal de internet Adquirir serviço de desenvolvimento de Portal de Internet Realizar estudos para avaliar a melhor solução e formas de implementação do portal de intranet Adquirir serviço de desenvolvimento 100% - 2013 jul/13 nov/13 - - n/a - 100% 2014 jan/14 nov/14 - R$ 80.000,00 Custeio 100% - 2013 jul/13 nov/13 - - n/a - 100% 2014 jan/14 dez/14 - R$ 80.000,00 Custeio Página 108 de 195 N7 N7 N8 N8 N10 de Portal de Intranet Implementar melhorias no A52 sistema de Estatísticas e Plano de Benefícios Implementar A53 melhorias no sistema SICADI. Realizar estudos para avaliar solução e formas de A54 implementação do sistema de suporte à atividade de Auditoria Interna Implementar solução de suporte A55 à atividade de Auditoria Interna Implementar sistemas A56 informatizados de gestão e controle - 100% 2014 jan/14 dez/14 - R$ 187.858,00 Custeio 1% 100% 2014 set/13 dez/14 R$ 5.915,00 R$ 839.446,00 Custeio 100% - 2013 jul/13 dez/13 - - n/a - 100% 2014 jan/14 dez/14 - R$ 540.000,00 Custeio - 100% 2014 jan/14 out/14 - R$ 122.641,84 Custeio Página 109 de 195 N12 A57 N12 A58 N6 A59 N8 A60 de documentos e processos na DIACE. Realizar estudos para avaliar a melhor solução e formas de implementação da solução de Ponto Eletrônico para a sede da PREVIC Adquirir e implantar a solução de Ponto Eletrônico Adquirir e implantar solução de gerenciamento de projetos Realizar estudos para implementação do sistema de gestão de contratos - 100% 2014 jan/14 jul/14 - - n/a - 100% 2014 jul/14 dez/14 - R$ 150.000,00 Capital 100% 100% 2014 jul/13 nov/14 R$ 13.415,33 R$ 13.415,33 Capital 100% - 2013 jul/13 dez/13 - - n/a Página 110 de 195 N8 A61 N10 A62 N4 A63 N4 A64 N7 A65 Implementar solução de gestão de contratos Implementar sistemas informatizados de gestão e controle de documentos e processos na DIRAD Gerir o contrato de prestação de serviço de telefonia fixa Gerir o contrato de prestação de serviço de telefonia móvel e dados a PREVIC e os Escritórios Regionais Gerir o contrato de sustentação dos sistemas CAD / CAND - 100% 2014 jan/14 out/14 - R$ 45.000,00 Custeio - 100% 2014 abr/14 dez/14 - R$ 161.843,60 Custeio 99,6% 99,6% 2014 jul/13 dez/14 R$ 37.566,00 R$ 75.132,00 Custeio 70% 70% 2014 jan/14 dez/14 - R$ 220.572,00 Custeio 93% 93% 2014 jul/13 dez/14 R$ 1.237.713,60 R$ 2.475.427,20 Custeio Página 111 de 195 N7 A66 N7 A67 N7 A68 N7 A69 N7 A70 N8 A71 N9 A72 Gerir o contrato de sustentação do sistema DAWEB Gerir o contrato de sustentação do sistema SICADI Gerir o contrato de sustentação do sistema Estatístico / Plano / Benefício Gerir o contrato de sustentação do sistema SCAI Gerir o contrato de sustentação do sistema Custodiantes Gerir o contrato de sustentação do sistema INFGER Gerir o contrato de prestação de serviço de atendimento, suporte, 93% 93% 2014 jul/13 dez/14 R$ 762.647,52 R$ 1.525.295,04 Custeio 93% 93% 2014 jul/13 dez/14 R$ 683.265,72 R$ 1.366.531,44 Custeio 93% 93% 2014 jul/13 dez/14 R$ 1.055.835,36 R$ 2.111.670,72 Custeio 93% 93% 2014 jul/13 dez/14 R$ 736.610,40 R$ 736.610,40 Custeio 93% 93% 2014 jul/13 dez/14 R$ 959.355,36 R$ 1.918.710,72 Custeio 93% 93% 2014 jul/13 dez/14 R$ 1.283.670,36 R$ 2.567.340,72 Custeio 100% 100% 2014 jul/13 dez/14 R$ 483.124,80 R$ 966.249,60 Custeio Página 112 de 195 N9 A73 N9 A74 N9 A75 N9 A76 infraestrutura, Redes e sistemas de Tecnologia da Informação no edifício sede da PREVIC Gerir o contrato de outsourcing de impressão para a PREVIC Gerir o contrato de prestação de serviço de mensageria Gerir o contrato de prestação de serviço de Acesso Remoto à Intranet PREVNET Gerir o contrato de prestação de serviço em extração, tratamento e apuração especial 100% 100% 2014 jul/13 dez/14 R$ 110.602,80 R$ 221.205,60 Custeio 100% 100% 2014 jul/13 dez/14 R$ 257.382,18 R$ 514.764,36 Custeio 100% 100% 2014 jul/13 dez/14 R$ 51.398,10 R$ 102.796,20 Custeio 3 3 2014 jul/13 dez/14 R$ 9.830,02 R$ 9.830,02 Custeio Página 113 de 195 de dados institucionais N9 Gerir o contrato de prestação de serviços em atendimentos e A77 suporte técnico de 594 horas TI para os escritórios regionais da PREVIC 1188 horas 2014 jul/13 dez/14 R$ 92.117,52 R$ 184.235,04 Custeio Tabela 27 – Planejamento da Execução Página 114 de 195 13. Plano de Gestão de Riscos 13.1. Análise dos riscos inerentes às necessidades estratégicas elencadas no PDTI Informa-se abaixo a descrição considerada para mensurar o grau de impacto apresentado na tabela abaixo. Legenda 5 – Extremamente grave; Extremamente urgente; Se não for resolvido piora imediatamente; 4 – Muito grave; Muito urgente e vai piorar a curto prazo; 3 – Grave; Urgente e vai piorar em médio prazo; 2 – Pouco grave; Pouco urgente e vai piorar a longo prazo; 1 – Sem gravidade; Sem urgência e Sem tendência de piorar. Apresenta-se abaixo a análise de riscos conforme cada ação levantada. Gestão de Riscos Probabili dade Id Necessidade Riscos N.1 Reestruturar e importar as bases de dados dos Ausência de dados Alta institucionais de qualidade disponibilizados a PREVIC e Grau de impacto 5 Medida Preventiva Contingência Implementar infraestrutura necessária já adquirida Possuir replicação do serviço e das bases de dados em ambiente externo e seguro Página 115 de 195 Gestão de Riscos Id Necessidade Riscos sistemas para a PREVIC baixa correlação relatórios gerenciais. Probabili dade Grau de impacto Medida Preventiva Contingência para garantir a continuidade e/ou em processo de do negócio em caso de aquisição. sinistro. Promover o projeto junto a alta gestão. de Comprometer todas as áreas envolvidas para a implementação da solução. Ajustar o contrato com a DATAPREV com objetivo de garantir o fornecimento dos dados necessários a PREVIC. N.2 Manter e atualizar o parque computacional no âmbito da PREVIC Indisponibilidade de Média equipamentos computacionais ou da qualidade do funcionamento, com aumento do tempo de 5 Gerir o processo de compra, garantia, manutenção e troca de equipamentos do parque computacional no âmbito da PREVIC. Possuir no almoxarifado de TI uma quantidade mínima de equipamentos para substituição imediata, evitando a paralização dos serviços de TI. Página 116 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto Medida Preventiva resposta para restabelecer os serviços, ocasionando possíveis falhas no atendimento da entidade e/ou a perda de dados não armazenados. Contingência Renovar/Licitar contratos com antecedência. N.3 Prover salas Multimídia no âmbito da PREVIC Ausência de locais para a Baixa realização de reuniões e videoconferências, gerando atrasados de alguns processos / procedimentos e/ou eventual aumento de custos da entidade com emissão de passagens. 2 Possuir uma quantidade mínima de equipamentos multimídia que possibilite realizar reuniões e/ou videoconferências em qualquer dependência da PREVIC. Possuir convênios e/ou parcerias com outras entidades da APF que possuam salas e/ou equipamentos multimídias. N.4 Implantar e manter os serviços de telefonia Fixa e Móvel na PREVIC Indisponibilidade da Média comunicação de voz e dados ou perda da qualidade dos serviços. 3 Realizar efetivo acompanhamento dos contratos de aquisição, garantia, manutenção e troca de equipamentos Manter a parceria com o Ministério da Previdência Social nos serviços de telefonia fixa e móvel com objetivo de suprir as Página 117 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto Medida Preventiva Contingência de telefonia fixa e móvel necessidades da Alta Gestão no âmbito da PREVIC. da PREVIC em caso de interrupção de contrato. N.5 Prover soluções para a infraestrutura no âmbito do Datacenter da CGTI / DIRAD / PREVIC Ausência de infraestrutura Alta de redes e de comunicação operando. Paralização dos serviços essenciais de TI e dos sistemas gestão interna da PREVIC. Não cumprimento das metas institucionais. 5 Gerir o processo de Desenvolver parcerias com o compra, garantia, Ministério da Previdência manutenção e troca de Social, INSS e Dataprev. equipamentos de infraestrutura. Prover contratos de serviços em TI que permitam a montagem e suporte a infraestrutura de redes e comunicações no âmbito da CGTI / DIRAD /PREVIC. Acompanhar crescimento necessidades recursos de o das de TI no Página 118 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto Medida Preventiva Contingência âmbito do Datacenter da PREVIC, sinalizando ao CEXTI a necessidade de aquisição ou solução alternativa. N.6 N.7 Prover licenças de software e soluções no âmbito da PREVIC Ausência dos softwares Média necessários para realizar as atividades de controle de rotinas de escritório, essenciais para a entidade. 3 Sustentar e evoluir os sistemas de Gestão Corporativa da PREVIC Paralização e Média comprometimento das atividades da PREVIC em razão da interrupção dos sistemas essenciais de operação e funcionamento da entidade. Possíveis 5 Realizar efetivo acompanhamento dos contratos de aquisição, garantia e manutenção das licenças de soluções de software no âmbito da PREVIC. Utilizar gratuitos/livres. softwares Realizar a transferência de conhecimento das aplicações hoje hospedadas na Dataprev. Prever, nos contratos de sustentação, plano de continuidade de negócios para as aplicações sustentadas na Dataprev. Renovar/Licitar os contratos de licenças de software com antecedência, visando garantir a não descontinuidade dos serviços. Página 119 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto perdas de dados, comprometimento da visão institucional frente a sociedade e não cumprimento das metas institucionais. N.8 Implantar, evoluir e manter os sistemas de Gestão Interna da PREVIC Paralização de alguns Média sistemas essenciais para o funcionamento da entidade. Medida Preventiva Contingência Mapear os processos Espelhar os sistemas e bases internos com objetivo de dados em sites do fornecedor em Estados de documenta-los. diferentes (RJ, SP e DF). Exigir do fornecedor aplicação de práticas que garantam a continuidade e alta disponibilidade dos sistemas. 5 Manter e incrementar a infraestrutura de suporte e desenvolvimento dos sistemas de Gestão Interna da PREVIC. Garantir contratualmente continuidade Possuir contratos de hospedagem e sustentação de sistemas, em ambientes externos e seguros, para manter os sistemas de Gestão Interna da PREVIC. a das Página 120 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto Medida Preventiva equipes terceirizados. Contingência de N.9 Manter e evoluir os serviços de suporte técnico, atendimento e serviços de TI no âmbito da PREVIC Paralização de sistemas, Média serviços de suporte técnico e atendimento de TI essenciais para o funcionamento da sede e escritórios regionais da entidade. 5 Realizar efetivo acompanhamento dos contratos de prestação de serviços de suporte técnico de TI âmbito da PREVIC. Manter a parceria com o Ministério da Previdência Social, com o INSS e com a Dataprev nos serviços de suporte técnico e atendimento de serviços de TI. N.10 Implantar e evoluir sistemas informatizados de gestão e controle de documentos e processos. Não implementação dos Alta processos de gestão e controles de documentos e processos da PREVIC, ocasionando o não cumprimento de metas institucionais e o atraso na modernização da entidade. 5 Realizar efetivo acompanhamento dos contratos de prestação de serviços em desenvolvimento de sistemas em TI âmbito da PREVIC. Utilizar procedimentos alternativos e manuais na condução dos processos. Garantir a continuidade dos contratos da PREVIC que disponibilizam os serviços de desenvolvimento e Manter e incrementar a manutenção de sistemas. infraestrutura de suporte e desenvolvimento dos Página 121 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto Medida Preventiva Contingência sistemas de Gestão Interna da PREVIC. N.11 N.12 Desenvolver, evoluir e implantar os Portais de Intranet e Internet da PREVIC Não implementação das Alta soluções de Portais de Intranet e Internet da PREVIC, ocasionando o não cumprimento de metas institucionais, o comprometimento da visão institucional frente a sociedade e o atraso na modernização da entidade. 4 Prover solução de Ponto Eletrônico para a Sede da PREVIC Ausência de controle Baixa informatizado de frequência dos servidores públicos federais no âmbito da sede da PREVIC. 1 Realizar efetiva gestão dos contratos de prestação de serviços em desenvolvimento portais para internet e intranet âmbito da PREVIC. Manter a parceria com o Ministério da Previdência Social e SECOM-PR sobre o tema. Garantir a continuidade dos contratos da PREVIC que disponibilizam os serviços de desenvolvimento e manutenção de sistemas. Conscientização da alta Manter o controle manual de direção e de todas as frequência dos Servidores áreas envolvidas para a Públicos Federais. necessidade de aquisição e implementação da solução. Página 122 de 195 Gestão de Riscos Id Necessidade Riscos Probabili dade Grau de impacto Medida Preventiva Contingência Elaborar normativo interno correspondente. N.13 Aprimorar as práticas de segurança da informação na PREVIC Aumento das probabilidades Alta de ocorrência de sinistros; Ausência de controles eficazes para o reestabelecimento dos serviços e; Possíveis perdas e/ou acessos indevidos de informação 5 Promover o trabalho do CSIC, realizar os trabalhos de implementação do Plano de Gerenciamento de Riscos e do Plano de Continuidade de Negócio. Aplicar a POSIC. Criar área/serviço específico de SI na PREVIC. N.14 Promover a adequação quantitativa e qualitativa do Quantitativo insuficiente de Alta profissionais capacitados necessários para o 4 Preparar estudos com a Implantar a Estrutura descrição dos proposta e seu Regimento profissionais Interno. necessários para Página 123 de 195 Gestão de Riscos Id Necessidade Riscos quadro de pessoal em TI adequado da CGTI. Probabili dade funcionamento Grau de impacto Medida Preventiva Contingência subsidiar a estrutura Aumentar o quadro de organizacional exigida. profissionais da CGTI de acordo com a estrutura proposta. Tabela 28 – Análise de Riscos de cada ação de TI 13.2. Análise dos riscos operacionais e de controle da PREVIC - Vide Anexo II. Página 124 de 195 14. Projeção Orçamentária de TI Na Tabela a seguir é apresentada a Projeção Orçamentária de TI, que consolida os custos estimados do Plano de Investimento e Custeio. Valores Estimados Classificação 2013 (Julho a Dez) Capital Custeio Material de processamento de dados Suporte de infraestrutura de TI Desenvolvimento de software Hospedagem de sistemas Locação de equipamentos de processamento de dados e periféricos Serviços técnicos profissionais de TI Comunicação de dados Aquisição de software Equipamentos processamento de dados Totais de R$ 4.481,00 2014 (Jan / Dez) Capital Custeio R$ - R$ 16.481,00 R$ - R$ R$ R$ - R$ R$ R$ 483.124,80 R$ 1.160.023,96 R$ 6.719.098,32 R$ - R$ 966.249,60 R$ 6.335.214,45 R$ 12.701.586,24 R$ - R$ 110.602,80 R$ - R$ 221.205,60 R$ - R$ 92.117,52 R$ - R$ 184.235,04 R$ - R$ 392.938,30 R$ 81.400,00 R$ 923.094,58 322.717,18 R$ 498.159,93 R$ 288.717,18 - R$ 1.434.880,00 R$ - R$ 175.659,93 R$ R$ 10.400,00 R$ R$ 190.540,93 R$ 9.280.622,88 R$ 2.030.920,93 R$ 21.620.302,69 Tabela 29 – Projeção orçamentária de TI de Julho de 2013 a Dezembro de 2014 Página 125 de 195 15. Políticas de aquisição, substituição e descarte de equipamentos de TI. Nos termos da NBR 38500:2009, uma política consiste em instruções claras e mensuráveis de direção e comportamento desejado que condicione as decisões tomadas sobre determinado assunto ou contexto na organização. Conforme disposto na Portaria n° 02, de 16 de março de 2010 da SLTI/MP, a política de aquisição e substituição de equipamentos deve conter os critérios de sustentabilidade ambientais dispostos na Instrução Normativa nº 01, de 19 de janeiro de 2010 da SLTI/MP; e a política de descarte de equipamentos deve observar as disposições contidas no Decreto nº 99.658, de 30 de outubro de 1990, e suas atualizações. Esta sessão visa estabelecer instruções claras e mensuráveis na forma de diretrizes que deverão conduzir as ações relacionadas à aquisição, substituição e descarte de equipamentos de Tecnologia da Informação no âmbito da PREVIC. Entende-se por equipamento de TI qualquer equipamento, componente, sobressalente, acessório, consumível ou outros itens baseados em tecnologia digital empregados ou passíveis de emprego nas atividades que contribuem para o ciclo da informação da PREVIC. Estes equipamentos são considerados inservíveis quando não apresentam condições de uso, classificando-se como: ocioso, recuperável, antieconômico ou irrecuperável. Um equipamento é classificado como ocioso quando, embora em perfeitas condições de uso, não estiver sendo aproveitado. A classificação recuperável diz respeito àquele equipamento cuja recuperação seja possível e orçada em até 50% (cinquenta por cento) de seu valor de mercado, observando-se as conclusões da análise econômicofinanceira, no âmbito do estudo de viabilidade técnica. O equipamento antieconômico é Página 126 de 195 aquele cuja manutenção seja onerosa1, ou seu rendimento precário, em virtude de uso prolongado, desgaste prematuro ou obsoletismo. Por fim, o equipamento irrecuperável é aquele que não mais pode ser utilizado para o fim a que se destina devido à perda de suas características ou em razão da inviabilidade econômica de sua recuperação. 15.1. Diretrizes de aquisição e substituição de equipamentos A aquisição e substituição de equipamentos deverão ser precedidas de estudo técnico de viabilidade apresentando os elementos obrigatórios exigidos pela Instrução Normativa SLTI/MP n° 04/2010, pelo Decreto 2.271/97 e pela Lei 8.666/93, além de análise econômica. As especificações para a aquisição de bens de tecnologia deverão conter critérios objetivos de sustentabilidade ambiental, de forma a não frustrar a competitividade, considerando os processos de extração ou fabricação, utilização e descarte dos produtos e matérias-primas, em observância à Instrução Normativa SLTI/MP nº 01/2010, conforme a seguir: Os bens devem ser constituídos, no todo ou em parte, por material reciclado, atóxico, biodegradável, conforme ABNT NBR 15448-1 e 15448-2; a. Observar os requisitos ambientais para a certificação do produto junto ao Instituto Nacional de Metrologia, Normalização e Qualidade Industrial – Inmetro ou instituição congênere, como produtos 1 Entende-se como manutenção onerosa, aquela em que o cálculo do valor presente líquido do fluxo de caixa de dispêndios com manutenção for superior ao valor presente líquido do fluxo de caixa dos dispêndios com a aquisição em um horizonte de tempo de vida econômica do ativo. Página 127 de 195 sustentáveis ou de menor impacto ambiental em relação aos seus similares; b. Os bens devem ser, preferencialmente, acondicionados em embalagens individuais adequada, com o menor volume possível, que utilize materiais recicláveis, de forma a garantir a máxima proteção durante o transporte e o armazenamento; c. Os bens não deverão conter substâncias perigosas em concentração acima da recomendada na diretiva RoHS (Restriction of Certain Hazardous Substances), tais como mercúrio (Hg), chumbo (Pb), cromo hexavalente (Cr(VI)), cádmio (Cd), bifenilpolibromados (PBBs), éteres difenil-polibromados (PBDEs); d. As contratadas deverão adotar as seguintes práticas de sustentabilidade na execução dos serviços, quando relacionadas a natureza da prestação do serviço: 1. Prever a destinação ambiental adequada das pilhas e baterias usadas ou inservíveis, segundo disposto na Resolução Conama nº 401, de 04 de novembro de 2008; 2. Possuir processo que implemente a sistemática de logística reserva, nos termos da Lei 12.305, de 02 de agosto de 2010, Política Nacional de Resíduos Sólidos; 3. Adotar práticas relacionadas ao uso eficiente de energia elétrica. II. Toda aquisição ou substituição de equipamento deverá constar do inventário de ativos de informação mantido pela CGTI/DIRAD/PREVIC, em conformidade Página 128 de 195 com a Instrução Normativa GSI/PR nº 01/2008, art. 5º, VII c/c Norma Complementar 04/IN01/DSIC/GSIPR. III. As especificações dos equipamentos de Tecnologia da Informação a serem adquiridos deverão estar em harmonia com o Direcionamento Tecnológico da PREVIC e observar as especificações e orientações dispostas pelo SISP, conforme disposto pelo modelo Cobit 4.1, PO 8.3 (Padrões de Desenvolvimento e Aquisição). 15.2. Diretrizes de descarte de Equipamentos O descarte de equipamentos deverá ser realizado em observância às disposições do Decreto nº 99.658/90 e Decreto nº 6.087/07: I. A solicitação de descarte de equipamentos classificados como ocioso, recuperável, antieconômico ou irrecuperável deverá ser realizada mediante ofício ou meio eletrônico desde que certificado digitalmente por autoridade certificadora, à Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão. II. Compete à Secretaria de Logística e Tecnologia da Informação indicar a instituição receptora dos bens, em consonância com o Programa de Inclusão Digital do Governo Federal. III. Não ocorrendo manifestação por parte da Secretaria de Logística e Tecnologia da Informação no prazo de 30 (trinta dias), a PREVIC deverá proceder ao desfazimento dos materiais. Página 129 de 195 IV. O desfazimento realizado pela PREVIC deverá ser precedido de avaliação da oportunidade e conveniência, quanto à escolha de outra forma de alienação, podendo ocorrer, em favor dos órgãos e entidades a seguir indicados, quando se tratar de material: a. Ocioso ou recuperável, para outro órgão ou entidade da Administração Pública Federal direta, autárquica ou fundacional ou para outro órgão integrante de qualquer dos demais Poderes da União; para Estados e Municípios mais carentes, Distrito Federal, empresas públicas, sociedade de economia mista, instituições filantrópicas, reconhecidas como de utilidade pública pelo Governo Federal, e Organizações da Sociedade Civil de Interesse Público que participem de projeto integrante do Programa de Inclusão Digital do Governo Federal; Antieconômico e Irrecuperável, para destinação final ambientalmente correta, conforme Política Nacional de Resíduos Sólidos. Página 130 de 195 16. Sustentabilidade Ambiental Esta diretriz possui o objetivo de alinhar o Plano Diretor de Tecnologia da Informação da PREVIC à legislação em vigor, no que se refere ao tema sustentabilidade e TI. As portarias de referência sobre o tema citado são: Portaria SLTI/MPOG nº 1, de 19 de janeiro de 2010 – “Dispõe sobre os critérios de sustentabilidade ambiental na aquisição de bens, contratação de serviços ou obras pela Administração Pública Federal direta, autárquica e fundacional e dá outras providências”. Portaria SLTI/MPOG nº 2, de 16 de março de 2010 – “Dispõe sobre as especificações padrão de bens de Tecnologia da Informação no âmbito da Administração Pública Federal direta, autárquica e fundacional e dá outras providências.” Em particular, a Portaria SLTI/MPOG nº 2, de 16 de março de 2010, dispõe, no artigo 1º: “Os órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) devem observar as especificações padrão de bens de Tecnologia da Informação nas suas aquisições”. §1º Em atendimento à Instrução Normativa nº 01 de 19 de janeiro de 2010 da SLTI/MP: “contemplar preferencialmente as especificações de bens citadas com configurações aderentes aos computadores sustentáveis, também chamados TI Verde, utilizando assim materiais que reduzam o impacto ambiental”. Todas as contratações desta autarquia devem seguir as diretrizes de sustentabilidade ambiental da administração pública federal e contemplar os aspectos da TI Verde, especificamente devem guiar-se pelos critérios, especificações e disposições constantes nas portarias da SLTI/MPOG citadas acima. Página 131 de 195 17. Processo de Monitoramento e Avaliação da Execução do PDTI Conforme o objetivo de controle PO1.5 – Planos Táticos de TI do modelo Cobit 4.1, o gerenciamento ativo da execução do PDTI contempla o acompanhamento frequente de requisitos e recursos, comparando-os ao alcance de metas estratégicas e táticas e os benefícios esperados, e tomando-se as ações apropriadas em caso de desvios. Desse modo, o acompanhamento e avaliação da execução do PDTI deve orientarse pelo processo definido nesta seção (Figura 8). Figura 9 - Processo de Monitoramento e Avaliação da Execução do PDTI O Comitê Executivo de TI (CEXTI) ao autorizar a execução das ações priorizadas, em conformidade com o objetivo de controle PO5.2 – Priorização dentro do Orçamento de TI, estabelece o direcionamento necessário à área de TI, representada pela CGTI/DIRAD, para execução das ações de TI. Havendo necessidade de contratação, o início do planejamento da contratação está condicionado à autorização por parte da autoridade da área administrativa, de Página 132 de 195 acordo com a IN. 04/2010 SLTI/MP. A execução das ações de TI está adstrita à capacidade de recursos humanos disponível na CGTI/DIRAD e nas áreas finalísticas necessárias à condução dos projetos de TI. Compete a cada integrante do CEXTI acompanhar o andamento das ações de responsabilidade da Diretoria ou área que representa, e proceder à consolidação junto à equipe em reuniões periódicas do comitê. Compete ao CEXTI a elaboração de relatório executivo semestral, que deverá conter, no mínimo, o monitoramento da situação das ações planejadas (se estão em andamento, se foram canceladas, se já foram realizadas ou se há necessidade de realinhá-las aos objetivos do órgão e da TI); avaliação do fatores que influenciaram positivamente e negativamente o desempenho do PDTI; e indicação de ações corretivas, caso necessário, além da avaliação dos resultados, indicadores, metas e riscos de cada necessidade. As diretrizes oriundas da avaliação subsidiarão as ações táticas e operacionais a serem executadas pelas áreas finalísticas e de TI da PREVIC, reiniciando o ciclo de execução/monitoramento das ações de TI. Página 133 de 195 18. Processo de Revisão do PDTI Em observância ao requisito de controle genérico PC3 – Repetição do Processos, a manutenção do PDTI segue uma sequência lógica mas flexível de atividades que levarão ao resultado desejado, sendo ágil o suficiente para lidar com exceções e emergências. Desse modo, a atualização do PDTI deve orientar-se pelo processo definido nesta seção (Figura 9). A área requisitante, ao identificar uma nova necessidade ou alteração de necessidade prevista, em especial quanto ao custo, escopo e tempo, deve elaborar um projeto de negócio, denominado “Business Case” pelo modelo Cobit v4.1 e pelo Guia Babok v2.0. A área requisitante deve ter o apoio de representantes do CEXTI na construção do Projeto de Negócio. A elaboração da proposta de projeto de negócio deve conter os elementos mínimos que uma necessidade de negócio possui no PDTI, ou seja: deve conter um descritivo, plano de metas e ações, plano de investimentos e custeio das ações (com respectiva memória de cálculo) e plano de riscos, aos moldes do Guia de Elaboração de PDTI do SISP. Após a avaliação e ajustes necessários, o representante da área requisitante encaminhará o projeto ao representante do CEXTI, que por sua vez deverá avaliar a pertinência e oportunidade, bem como os benefícios para alcance dos resultados estratégicos. Concluída tal avaliação, o representante no CEXTI deverá encaminhá-lo ao Comitê (CEXTI) para a deliberação e avaliação da nova proposta apresentada. O comitê, se aprovado a proposta, deverá apresentar a nova proposta ao CETI/MPS para ciência e orientação. Não havendo restrições ou alterações, o documento deverá ser encaminhado para a DCIOL para deliberação e providencias de publicação das alteração por meio das Atas de reuniões de cunho deliberativo ou demais instrumentos institucionais de comunicação. Página 134 de 195 Figura 10 - Processo de Revisão e Atualização do PDTI 19. Fatores Críticos para a Implementação do PDTI Os fatores críticos de sucesso são requisitos, condições e ações de gerência para obter o controle dos processos de TI e por conseguinte viabilizar o alcance dos resultados planejados. Tais fatores são: I. Apoio da alta direção da PREVIC; II. Participação ativa do Comitê Executivo de Tecnologia da Informação, na priorização e direcionamento das ações de TI, no acompanhamento, na execução e na revisão do PDTI; III. Disponibilidade de recursos financeiros; IV. Cumprimento dos prazos pelos fornecedores de serviços, sistemas e soluções na área de TI; V. Disponibilidade de todos os ativos de infraestrutura de TI necessários à governança de TI da PREVIC; VI. Disponibilidade de recursos humanos de TI para execução/acompanhamento do plano de ações do PDTI; e VII. Divulgação e sensibilização dos servidores e funcionários da PREVIC quanto à finalidade do PDTI como instrumento de diagnóstico, planejamento e gestão dos recursos e processos de Tecnologia da Informação. ANEXO I PREVIC - Levantamento das Necessidades do PDTI 2013/2014 – CONSOLIDADO Levantamento de Necessidades de TI das Áreas de Negócio para a revisão do PDTI 2013-2014. Este levantamento visa fornecer subsídios para o processo de revisão do PDTI-PREVIC, para o biênio 2013-2014. Todas as necessidades da PREVIC serão sistematizadas e classificadas em ordem de prioridade orçamentária e temporal pelo Comitê Executivo de TI, com aprovação final do Plano de Metas e Ações do PDTI da PREVIC pela Diretoria Colegiada. Alinhamento Estratégico Objetivos do Planejamento Estratégico e outros objetivos das áreas considerados no levantamento: Zelar pelo cumprimento do contrato previdenciário Aprimorar a segurança jurídica do regime de previdência complementar fechada Proteger a poupança previdenciária Aperfeiçoar os procedimentos de fiscalização Atuar com eficácia nas EFPC e planos de benefícios em regime especial Aprimorar os processos de licenciamento Julgar de forma adequada e tempestiva os processos recebidos no âmbito da DICOL Responder de forma adequada e tempestiva às demandas recebidas na Procuradoria Federal Zelar pela confiabilidade e consistência dos dados atuariais, contábeis e de investimentos das EFPC recebidos pela PREVIC Monitorar o conjunto de premissas e parâmetros atuariais, as demonstrações contábeis e os investimentos das EFPC Mapear os riscos nos planos de benefícios e orientar ações de controle e mitigação Estimular e fortalecer a educação previdenciária Integrar e racionalizar os processos Prover sistemas e infraestrutura de TIC seguros e integrados, com excelência e qualidade Promover a valorização e a qualidade de vida do quadro de pessoal Otimizar o quadro de pessoal e desenvolver competências compatíveis com os objetivos institucionais Desenvolver cultura voltada à responsabilidade socioambiental Monitorar as demandas recepcionadas na ouvidoria Coordenar a Gestão Estratégica na Previc Integrar as áreas da Previc e e disseminar informações, através da Comunicação Interna e Externa Gerir as receitas da Previc Sistemas de Informação Avalie os sistemas de informação que são utilizados em sua área de atuação com relação a cada item, utilizando a escala indicada. CAD - Cadastro de Entidades e Planos a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Procuradoria Relacionado Muito Relacionado Gabinete, DIFIS DITEC, DIACE, DIRAD b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Procuradoria Pouco satisfatória Satisfatória DITEC Gabinete, DIFIS, DIACE, DIRAD c. Facilidade de uso do sistema: ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Insatisfatória Procuradoria Pouco satisfatória Satisfatória DIACE, DIFIS, DITEC Gabinete, DIRAD d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Procuradoria, DIRAD Pouco satisfatória Satisfatória DIACE, DIFIS, DITEC Gabinete e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Procuradoria Pouco satisfatório Satisfatório DIACE, DIFIS, DITEC Gabinete, DIRAD f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Troca de forma pouco satisfatória Procuradoria Gabinete, DIFIS, DIRAD DIACE DITEC Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Procuradoria Necessária DIACE, Gabinete, DIFIS, DITEC, DIRAD Descrição complementar das necessidades: Atualizacao urgente, com mudanca no conceito do sistema; Integracao com CAND, SAP e demais sistemas Melhoria de seguranca (historico de alteracoes, validacao de campos com critica de inconsistencia) Melhoria na interface ________________________________________________________ Plano de Gerenciamento de Riscos Alimentacao automatica e obrigatoria dos dados pelas entidades, nos casos em que não exista, critica de pendencias Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Gestao propria da base de dados CAND – Cadastro Nacional de Dirigentes a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Procuradoria Relacionado Muito Relacionado Gabinete DITEC, DIACE, DIRAD, DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Procuradoria Pouco satisfatória Satisfatória DIACE, Gabinete, DITEC DIFIS, DIRAD Pouco satisfatória Satisfatória DIACE, DIFIS, DITEC Gabinete, DIRAD c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Procuradoria, DIRAD Pouco satisfatória Satisfatória DIACE, DIFIS, DITEC Gabinete e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Procuradoria Pouco satisfatório Satisfatório DIACE, DIFIS, DITEC Gabinete, DIRAD ________________________________________________________ Plano de Gerenciamento de Riscos f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Troca de forma pouco satisfatória Procuradoria Gabinete, DIFIS, DIRAD DIACE DITEC Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Necessária DIACE, Gabinete, DIFIS, DITEC, DIRAD Procuradoria Descrição complementar das necessidades: Atualizacao urgente, com mudanca no conceito do sistema, unindo com CAD em sistema unico; Integração com o SAP e outros sistemas Melhoria da interface Melhoria de seguranca (historico de alteracoes, validacao de campos com critica de inconsistencia) Alimentacao automatica e obrigatoria dos dados pelas entidades, nos casos em que não exista, critica de pendencias Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Gestao propria da base de dados DA Web - Demonstração Atuarial Web a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado Procuradoria, DIRAD Gabinete DITEC DIACE, DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Insatisfatória Pouco satisfatória Satisfatória DIFIS DIACE, DITEC Pouco satisfatória Satisfatória DIFIS DIACE, DITEC Procuradoria, DIRAD, Gabinete c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria, DIRAD, Gabinete d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Satisfatória Procuradoria, DIRAD, Gabinete DIACE DIFIS DITEC e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Procuradoria, DIRAD, Gabinete Pouco satisfatório Satisfatório DIACE, DIFIS DITEC f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Procuradoria, DIRAD, Gabinete DIFIS, DITEC Troca de forma pouco satisfatória Troca de forma insatisfatória Troca de forma satisfatória DIACE g. Necessidade de atualização do sistema: Não utiliza Desnecessária Procuradoria, DIRAD, Gabinete Pouco necessária Necessária DITEC DIACE, DIFIS ________________________________________________________ Plano de Gerenciamento de Riscos Informações complementares às respostas de a) a g): Necessidades: Integracao com demais sistemas Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Interacao com EFPC Melhoria de interface Maior estabilidade Possibilidade de uso em diferentes navegadores Gestao propria da base de dados Estatístico - Sistema de Estatística de Planos de Benefícios a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado Procuradoria, DIRAD, Gabinete DIACE DITEC DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Procuradoria, DIRAD, Gabinete Pouco satisfatória Satisfatória DITEC DIACE, DIFIS Pouco satisfatória Satisfatória c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria, DIRAD, Gabinete DIACE DIFIS, DITEC d. Facilidade e acesso a extração de informações (relatórios gerenciais): ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Insatisfatória Pouco satisfatória Satisfatória DIACE, DITEC DIFIS Procuradoria, DIRAD, Gabinete e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Satisfatório Procuradoria, DIRAD, Gabinete DIACE DIFIS DITEC f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Procuradoria, DIRAD, Gabinete DIFIS, DITEC DIACE Troca de forma pouco satisfatória Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Procuradoria, DIRAD, Gabinete Pouco necessária Necessária DITEC DIACE, DIFIS Informações complementares às respostas de a) a g): Necessidades: Integração com DA-Web e outros sistemas Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Melhoria de seguranca (historico de alteracoes, validacao de campos com critica de inconsistencia) Melhoria de interface Gestao propria da base de dados Maior estabilidade ________________________________________________________ Plano de Gerenciamento de Riscos Possibilidade de uso com diferentes navegadores SICADI - Dados de Investimento a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado Procuradoria, DIRAD Gabinete DITEC DIACE, DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DIRAD, Gabinete DIACE, DITEC DIFIS Satisfatória c. Facilidade de uso do sistema: Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DIRAD, Gabinete DIFIS DIACE, DITEC Satisfatória d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DIRAD, Gabinete DIFIS DIACE, DITEC Satisfatória e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Procuradoria, DIRAD, Gabinete Pouco satisfatório Satisfatório DIACE, DIFIS DITEC f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Não troca Troca de forma insatisfatória Troca de forma pouco satisfatória Procuradoria, DIRAD, Gabinete DIFIS DIACE DITEC Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Procuradoria, DIRAD, Gabinete Necessária DIACE, DIFIS, DITEC Informações complementares às respostas de a) a g): Necessidades: Atualizacao do sistema Integração com outros sistemas Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Melhoria de seguranca (dados restritos a EFPC consulente, historico de alteracoes, validacao de campos com critica de inconsistencia) Acompanhamento do historico de investimentos Melhoria de interface (apresentacao das caracteristicas dos investimentos) Gestao propria da base de dados Maior estabilidade Possibilidade de uso com diferentes navegadores Controle das pendências de envio de informação de cada EFPC. Base de dados em que se possa realizar monitoramento Implementar o controle de recebimento de dados. SICADI - Dados Contábeis a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Pouco Relacionado Relacionado Muito Relacionado Procuradoria, DIRAD Gabinete DITEC DIACE, DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Pouco satisfatória Satisfatória DIACE, DITEC DIRAD, DIFIS Pouco satisfatória Satisfatória DIACE, DIFIS, DITEC DIRAD Procuradoria, Gabinete c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria, Gabinete d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DIRAD, Gabinete DIFIS DIACE, DITEC Satisfatória e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Satisfatório DIACE, DIFIS DIRAD, DITEC Procuradoria, Gabinete f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Procuradoria, Gabinete DIRAD, DIFIS DIACE g. Necessidade de atualização do sistema: ________________________________________________________ Plano de Gerenciamento de Riscos Troca de forma pouco satisfatória Troca de forma satisfatória DITEC Não utiliza Desnecessária Pouco necessária Necessária DITEC DIRAD, DIACE, DIFIS Procuradoria, Gabinete Informações complementares às respostas de a) a g): Necessidades: Atualizacao do sistema Integração com outros sistemas Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Melhoria de seguranca (dados restritos a EFPC consulente, historico de alteracoes, validacao de campos com critica de inconsistencia) Melhoria de interface Gestao propria da base de dados Maior estabilidade Possibilidade de uso com diferentes navegadores Controle das pendências de envio de informação de cada EFPC. Base de dados em que se possa realizar monitoramento Implementar o controle de recebimento de dados. SPC NET - Acesso a informações da Central de Custódia captação de dados financeiros e de investimentos a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado Procuradoria, DIRAD, DITEC, Gabinete DIACE, DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Pouco satisfatória ________________________________________________________ Plano de Gerenciamento de Riscos Satisfatória Procuradoria, DIRAD, Gabinete DIACE DIFIS, DITEC Pouco satisfatória Satisfatória DIACE, DIFIS DITEC c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria, DIRAD, Gabinete d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Procuradoria, DIRAD, Gabinete DIACE, DIFIS Pouco satisfatória Satisfatória DITEC e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Satisfatório Procuradoria, DIRAD, Gabinete DIFIS DIACE DITEC f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Procuradoria, DIRAD, Gabinete DIFIS, DITEC DIACE Troca de forma pouco satisfatória Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Procuradoria, DIRAD, Gabinete Pouco necessária Necessária DITEC DIACE, DIFIS Informações complementares às respostas de a) a g): ________________________________________________________ Plano de Gerenciamento de Riscos Necessidades: Maior estabilidade (fica muito fora do ar) Extracao de dados com efetividade, possibilitando exportacao (consultas, pesquisas e relatorios) Melhoria de seguranca (dados restritos a EFPC consulente, historico de alteracoes, validacao de campos com critica de inconsistencia) Gestao propria da base de dados SAP / GRU - Sistema de Arrecadação da PREVIC a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Procuradoria, DIACE, DITEC, Gabinete Relacionado Muito Relacionado DIFIS DIRAD b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DITEC, DIACE, Gabinete Satisfatória DIRAD, DIFIS c. Facilidade de uso do sistema: Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DITEC, DIACE, Gabinete Satisfatória DIRAD, DIFIS d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Procuradoria, DIACE, DITEC, Gabinete Pouco satisfatória Satisfatória DIFIS DIRAD e. Nível geral de atendimento das necessidades da área de negócio: ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Insatisfatório Pouco satisfatório Satisfatório DIFIS DIRAD Procuradoria, DITEC, DIACE, Gabinete f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Procuradoria, DITEC, DIACE, Gabinete DIFIS, DIRAD Troca de forma insatisfatória Troca de forma pouco satisfatória Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Necessária Procuradoria, DIACE, DITEC, Gabinete DIRAD, DIFIS Informações complementares às respostas de a) a g): Necessidade de informações do CAD, CAND e SICAD para cruzamento de dados informados pelas EFPC em relação aos planos de benefícios, considerando o batimento financeiro do recolhimento da taxa TAFIC. SIGA - Sistema integrado de gestão administrativa a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Procuradoria, DIACE, DITEC, DIFIS Gabinete Relacionado Muito Relacionado DIRAD b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Pouco satisfatória ________________________________________________________ Plano de Gerenciamento de Riscos Satisfatória Procuradoria, DITEC, DIACE, DIFIS, Gabinete DIRAD c. Facilidade de uso do sistema: Não utiliza Insatisfatória Pouco satisfatória Satisfatória Procuradoria, DITEC, DIACE, DIFIS, Gabinete DIRAD d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DITEC, DIACE, DIFIS, Gabinete Satisfatória DIRAD e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Procuradoria, DITEC, DIACE, DIFIS, Gabinete Satisfatório DIRAD f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Procuradoria, DITEC, DIACE, DIFIS, Gabinete DIRAD Troca de forma insatisfatória Troca de forma pouco satisfatória Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Procuradoria, DITEC, DIACE, DIFIS, Gabinete ________________________________________________________ Plano de Gerenciamento de Riscos Necessária DIRAD Informações complementares às respostas de a) a g): Necessita de melhor interface e aprimoramento em relação às necessidades da autarquia. SIAD - Sistema de Administração de Atividades de Fiscalização a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Procuradoria, DIRAD, DITEC Gabinete Relacionado Muito Relacionado DIACE, DIFIS b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, Gabinete, DIRAD, DITEC Satisfatória DIACE, DIFIS c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria, Gabinete, DIRAD, DITEC Pouco satisfatória Satisfatória DIACE DIFIS d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Procuradoria, Gabinete, DIRAD, DITEC Pouco satisfatória Satisfatória DIACE DIFIS e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Procuradoria, Gabinete, DIRAD, DITEC Pouco satisfatório Satisfatório DIACE DIFIS ________________________________________________________ Plano de Gerenciamento de Riscos f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Procuradoria, Gabinete, DIRAD, DITEC Troca de forma pouco satisfatória Troca de forma satisfatória DIACE, DIFIS g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Necessária Procuradoria, Gabinete, DIRAD, DITEC DIACE, DIFIS Informações complementares às respostas de a) a g): Necessidades: Atualizacao Melhoria dos relatórios e maior customização Melhoria de interface (maior rapidez, com menos etapas por atividade) Maior velocidade de processamento Melhorar integracao com SIPPS e outros sistemas Intraprevic - Intranet da PREVIC a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado DIACE DIFIS, Procuradoria Gabinete, DIRAD, DITEC b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Insatisfatória Pouco satisfatória Satisfatória Gabinete Procuradoria, DIACE, DIFIS, DIRAD, DITEC Pouco satisfatória Satisfatória c. Facilidade de uso do sistema: Não utiliza Insatisfatória Procuradoria, DIACE, DIRAD, DITEC, DIFIS Gabinete d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Satisfatória Gabinete Procuradoria, DIACE, DIFIS DIRAD, DITEC e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Satisfatório Gabinete Procuradoria, DIFIS, DITEC DIACE, DIRAD f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Procuradoria, Gabinete, DIRAD, DITEC, DIFIS Troca de forma pouco satisfatória Troca de forma satisfatória DIACE g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária ________________________________________________________ Plano de Gerenciamento de Riscos Necessária DIACE Procuradoria, Gabinete, DIRAD, DITEC, DIFIS Informações complementares às respostas de a) a g): Necessidades: Criar espaços com nivel de acesso diferenciado indicar link para orgaos/entidades relacionados (AGU, receita, etc) Atualizacao das informacoes disponiveis, com integridade Possibilidade de pesquisa Mecanismos de interatividade Ampliacao das funcionalidades (integração entre os colaboradores, comunicação interna - informações técnicas, gerenciais ou mesmo pessoais) Maior seguranca Melhor interface de navegacao Integracao com sistemas Politica de governanca da intranet (padronizacao) Business Object - BO a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado DIACE, DIRAD, DIFIS, DITEC Procuradoria, Gabinete b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória Procuradoria, Gabinete Pouco satisfatória Satisfatória DITEC DIACE, DIFIS, DIRAD c. Facilidade de uso do sistema: ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Insatisfatória Pouco satisfatória Satisfatória Procuradoria, Gabinete DIFIS DIACE DIRAD, DITEC d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Satisfatória Procuradoria, Gabinete DIFIS DIACE DIRAD, DITEC e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Satisfatório Procuradoria, Gabinete DIFIS DIACE DITEC, DIRAD f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Troca de forma pouco satisfatória Procuradoria, Gabinete DIRAD, DIFIS DIACE DITEC Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária Necessária DIRAD DIACE, DITEC, DIFIS Procuradoria, Gabinete Informações complementares às respostas de a) a g): Necessidade: Atualizacao urgente (ate a substituicao por BI) Atualizacao de dados (maior confiabilidade) Integracao com outros sistemas Extracao de informacoes (consultas, pesquisa e relatorios) ________________________________________________________ Plano de Gerenciamento de Riscos Melhoria de interface Maior estabilidade Melhorar estrutura da BD Divulgacao e treinamento Control DOC a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado DIACE, DIFIS, DIRAD Gabinete Procuradoria DITEC b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): Não utiliza Insatisfatória DIACE, DIFIS, DIRAD Pouco satisfatória Satisfatória Procuradoria, DITEC Gabinete Pouco satisfatória Satisfatória DITEC Gabinete, Procuradoria c. Facilidade de uso do sistema: Não utiliza Insatisfatória DIRAD, DIACE, DIFIS d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Satisfatória DIACE, DIRAD, DIFIS Procuradoria DITEC Gabinete e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório DIFIS, DIACE, DIRAD Procuradoria, DITEC Pouco satisfatório Satisfatório Gabinete f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Não troca DIRAD, DIFIS, DIACE Procuradoria, Gabinete, DITEC Troca de forma insatisfatória Troca de forma pouco satisfatória Troca de forma satisfatória g. Necessidade de atualização do sistema: Não utiliza Desnecessária DIACE, DIFIS, DIRAD Procuradoria Pouco necessária Necessária DITEC, Gabinete Informações complementares às respostas de a) a g): Atualizacao do sistema de controle de documentos (substituicao do control-doc) Extracao de informacoes (relatorios) Maior estabilidade e disponibilidade Integracao com outros sistemas Alimentacao automatica SCAI a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): DIFIS: Muito relacionado Gabinete: Relacionado a. Grau de relação direta com as atividades da área de negócio (Pouco Relacionado, Relacionado ou Muito Relacionado): Não utiliza Pouco Relacionado Relacionado Muito Relacionado Procuradoria, DIACE, DITEC, DIRAD b. Segurança (Insatisfatória, Pouco satisfatória ou Muito Satisfatória): ________________________________________________________ Plano de Gerenciamento de Riscos DIFIS Não utiliza Insatisfatória Pouco satisfatória Satisfatória Procuradoria, DIACE, DITEC, DIRAD DIFIS c. Facilidade de uso do sistema: Não utiliza Insatisfatória Pouco satisfatória Satisfatória Procuradoria, DIACE, DITEC, DIRAD DIFIS d. Facilidade e acesso a extração de informações (relatórios gerenciais): Não utiliza Insatisfatória Pouco satisfatória Procuradoria, DIACE, DITEC, DIRAD Satisfatória DIFIS e. Nível geral de atendimento das necessidades da área de negócio: Não utiliza Insatisfatório Pouco satisfatório Procuradoria, DIACE, DITEC, DIRAD Satisfatório DIFIS f. Existência de troca de informações com outros sistemas e grau de satisfação com a forma com que é feita a troca: Não utiliza Não troca Troca de forma insatisfatória Troca de forma pouco satisfatória Procuradoria, DIACE, DITEC, DIRAD Troca de forma satisfatória DIFIS g. Necessidade de atualização do sistema: Não utiliza Desnecessária Pouco necessária ________________________________________________________ Plano de Gerenciamento de Riscos Necessária Procuradoria, DIACE, DITEC, DIRAD DIFIS Informações complementares às respostas de a) a g): Atualizacao para acompanhar a tramitacao na DICOL/CRPC, tipos de sancao, status Seguranca Melhoria na manutenção dos dados Gestao propria do sistema e da base de dados Pacotes de aplicativos de software Quanto aos pacotes de aplicativos de software utilizados em sua área de negócio, avalie para cada grupo de sistemas, o grau de suficiência para desempenho das atividades, como baixo, médio ou alto. Editores de Texto Não utiliza Baixo Médio Alto Gabinete Procuradoria, DIACE, DITEC, DIRAD, DIFIS Médio Alto Gabinete Procuradoria, DIACE, DITEC, DIRAD, DIFIS Médio Alto Gabinete Procuradoria, DIACE, DITEC, DIRAD, DIFIS Planilha Eletrônica Não utiliza Baixo Ferramenta de correio eletrônico (Outlook) Não utiliza Baixo Gerenciamento de Banco de Dados (Access) ________________________________________________________ Plano de Gerenciamento de Riscos Não utiliza Baixo Médio Alto Procuradoria DITEC Gabinete DIACE, DIRAD, DIFIS Baixo Médio Alto Sistemas de apresentação Não utiliza Procuradoria, DIACE, DITEC, DIRAD, DIFIS, Gabinete Caso utilize ou necessite de outros pacotes de aplicativos, descreva-os e, no primeiro caso, inclua a sua avaliação. DIACE: PASW Statistics (Antigo SPSS) - (Alto) Atividade de análise de dados das coordenações Bloomberg (Alto) Extração de dados do mercado financeiro Quantum (Alto) Extração de dados relativos principalmente a fundos de investimentos. Necessidade de Ferramenta que permita o uso de vídeos e o maior interação na elaboração de apresentações. Gabinete: Para o desenvolvimento de suas atividades a ACS necessita de alguns pacotes de aplicativos específicos, tais como: pacote Adobe (Adobe ilustrator e Adobe in design); Corel Draw, PhotoShop, editor de vídeo. Sharepoint - necessário que seja instalado com todos os módulos Visio - médio Open project - médio DIFIS: Necessidade de conversor de imagens em texto (OCR) DIRAD: ________________________________________________________ Plano de Gerenciamento de Riscos Editor de PDF - médio Equipamentos de TI A quantidade atual de COMPUTADORES DE MESA (Desktops) atende às necessidades da sua área de negócio? Caso não atenda, justifique e especifique a quantidade faltante para atingir a plena necessidade. 01 unidade para o gabinete – substituição de uma estação que está obsoleta. A quantidade atual de NOTEBOOKS atende às necessidades da sua área de negócio? Caso não atenda, justifique e especifique a quantidade faltante para atingir a plena necessidade. DIACE: 1 - Utilização em reuniões externas da Diretoria. Gabinete: 2 para a CGPE, para desempenhar as funções do escritório de processos, escritório de projetos e reuniões junto às áreas para desenvolvimento e acompanhamento do planejamento estratégico. DITEC: 3 notebooks para as salas de reunião DIRAD: 1 – CGOC – para facilitar os trabalhos internos e externos quando demandados (reuniões, apresentações, viagem em serviço e outros) A quantidade atual de SCANNERS atende às necessidades da sua área de negócio? Caso não atenda, justifique e especifique a quantidade faltante para atingir a plena necessidade. DIACE: 1 Scanner e software para gerar documentos em PDF com texto editável Gabinete: 1 (a ouvidoria, auditoria e corregedoria utilizam o equipamento da procuradoria) DIFIS: 1+5 (escritórios regionais) - scanner com OCR e pdf pesquisável DITEC: Scanner que grave pdf pesquisável A quantidade atual de IMPRESSORAS atende às necessidades da sua área de negócio? Caso não atenda, justifique e especifique a quantidade faltante para atingir a plena necessidade. Necessidade Levantadas: Gabinete: 2 – 1 impressora para ouvidoria, auditoria e corregedoria, que utilizam o equipamento da procuradoria e 1 impressora formato A3, colorida, para uso da CGPE – Escritório de Processos ________________________________________________________ Plano de Gerenciamento de Riscos DIFIS: 3 Existem outras necessidades de equipamento para a sua área de negócio? DIACE: Projetor Necessidade em reuniões constantes da Diretoria. Algumas vezes não há projetores disponíveis para instalação, o que compromete a realização da alguma reunião. Gabinete: Necessidade de telefone com gravação, para segurança dos servidores (ouvidoria) no trato com cidadãos. Para o bom andamento das atividades da ACS, há a necessidade dos seguintes equipamentos: microfone sem fio e com fio, equipamentos de som (caixa de som, mesa de som, etc), máquina fotográfica, ponteira laser, pilhas recarregáveis e carregador, filmadora, retro projetor, tela de projeção e os cabos necessários. Instalação de TV nas salas de reunião Datashow com tela (necessidade de mais equipamentos para a Previc, não para uso específico da área) DIFIS: computadores com 02 monitores - na elaboração de documentos, com simultânea análise de múltiplos documentos, a utilização de 02 monitores agilizar o trabalho ressalta-se a necessidade de haver desktops e notebooks disponíveis para a imediata substituição de eventuais perdas, permanentes ou temporárias (conserto/manutenção), dos equipamentos em utilização. DITEC: 3 Flip Chart e pelo menos 1 projetor multimídia e uma tela de projeção para as salas de reunião. Em razão da necessidade constante em reuniões técnicas da DITEC gostaríamos de ter nas salas de reuniões equipamentos permanentes para projeção de apresentações e também para realização de videoconferências. DIRAD: Equipamento de Digitalização do “TIPO 1” – (até 5.000 pastas) - Para digitalizar os assentamentos funcionais dos servidores da PREVIC, conforme previsto na Portaria Normativa/SRH/MP/ nº 03/2011. Necessidade da CGRH. Suporte técnico e atendimento de Ti ________________________________________________________ Plano de Gerenciamento de Riscos Os serviços de suporte e manutenção de TI ofertados a sua área de negócio atendem às necessidades da mesma? Caso a resposta seja "Não", descreva as necessidades que não estão sendo atendidas. Não Sim DIFIS, Gabinete Procuradoria, DIACE, DITEC, DIRAD, Gabinete: Necessidade de mais suporte técnico em relação a Intranet, e possível disponibilização de um profissional de TI, com formação em web design, a ser lotado na ACS. Quanto ao helpdesk, Em algumas situações, o atendimento não foi satisfatório, em outras, o tempo de espera foi longo. Além disso, o método de avaliação do serviço de helpdesk é inconsistente (avaliações esporádicas, sistema de notas incongruente - "pouco satisfeito" gerando nota 8) DIFIS: As unidades da PREVIC em Brasília responderam SIM. Os Escritórios Regionais responderam não, sob as justificativas abaixo relacionadas: • as unidades da PREVIC em Brasília responderam SIM. Os Escritórios Regionais responderam não, sob as justificativas abaixo relacionadas: •os protocolos de atendimento são demorados; •intempestividade das ações; •solução efetiva e definitiva dos problemas, velocidade da Internet e pontos lógicos insuficientes; e •necessidade de agilização da resposta nos chamados para a DATAPREV; Avaliação do PDTI 2012-2013 Avaliação das necessidades levantadas no PDTI 2012-2013 e levantamento de novas necessidades. Avalie as necessidades levantadas no PDTI 2012-2013, e coloque em grau decrescente de prioridade, considerando também novas necessidades da área. 1 Procuradoria Evoluir e implantar sistemas informatizados de gestão e controle de documentos e processos Gabinete Provimento de evolução dos sistemas corporativos da Previc: Desenvolver e implementar sistema corporativo DIACE DITEC DIFIS Prover sistema de Business Intelligence - BI Mapear e modelar os processos da DITEC Prover sistema de suporte à atividade de fiscalização ________________________________________________________ Plano de Gerenciamento de Riscos DIRAD Prover sistema de cadastro e capacitação de pessoal - Prover sistema ou banco de dados que atenda as necessidades da integrado na Previc, envolvendo as atividades de monitoramento, fiscalização, licenciamento, acompanhamento de autos de infração, cadastro único, cobrança de TAFIC, etc 2 3 4 5 área de Gestão de Pessoas (dados pessoais e funcionais, controle das capacitações, avaliação do estágio probatório e de desempenho, recursos orçamentários) Evoluir e implantar sistemas informatizados de gestão e controle de documentos e processos Prover sistemas de suporte à atividade de Auditoria Prover sistemas de Patrimônio e Almoxarifado Evoluir e implantar sistemas informatizados de gestão e controle de documentos e processos Sistema de gravação da Ouvidoria Conclusão das etapas 2 e 3 do projeto Custodiante Reestruturação da Intraprevic Implementação nos Sistemas da Diretoria DAWEB, SICADI Contábil e Sicadi Investimentos - de mecanismos de controle de observância a prazos e controle de envio dos dados das EFPC. Deve possibilitar a cobrança automática de dados pendentes. Provimento de evolução dos sistemas corporativos da Previc Envio de documentos pelas EFPC à PREVIC em meio digital por sistema, a título de exemplo, pelo utilizado pela Receita Federal – SPED – Sistema Público de Escrituração Digital. Evoluir e implantar sistemas informatizados de gestão e controle de documentos e processos Prover sistema de Business Intelligence - BI Prover sistema de Business Intelligence - BI Prover sistema informatizado de gestão de contratos Prover sistema de CRM Evoluir e implantar sistemas informatizados de gestão e controle de documentos e processos Prover sistema de CRM Desenvolvimento de Portal de processos (publicação de documentação e de processos, navegação com níveis de acesso, interatividade, execução do processo dentro do portal) Solução para gerenciamento do Planejamento Estratégico, com acompanhamento de indicadores e metas e do plano de ação Prover sistema de CRM 6 Implantação de portal Previc na Internet Prover sistema de suporte à atividade de fiscalização 7 Prover sistemas de suporte à atividade de Auditoria Prover sistemas de suporte à atividade de Auditoria ________________________________________________________ Plano de Gerenciamento de Riscos Provimento de evolução dos sistemas corporativos da Previc Manter e atualizar o parque computacional, multimídia e de Prover soluções para o desenvolvimento e manutenção de sistemas informatizados no âmbito CGTI/DIRAD/PREVIC Prover soluções para a infraestrutura e comunicações no âmbito do 8 9 10 11 12 13 14 15 16 17 18 Implementar sistema de controle e acompanhamento de processos (autos de infração) para dar suporte às decisões da Dicol e acompanhar as decisões do CRPC, permitindo a extração de informações gerenciais de maneira célere Portal de projetos (publicação de metodologia com facilidade de navegação e templates necessários para desenvolvimento de projetos) Prover sistema de Business Intelligence - BI Evoluir e implantar sistemas informatizados de gestão e controle de documentos e processos Manter e atualizar o parque computacional, multimídia e de comunicações no âmbito da Previc Prover sistema de CRM Prover sistema de cadastro e capacitação de pessoal Prover soluções para a infraestrutura e comunicações no âmbito do DataCenter da CGTI / DIRAD / Previc Prover licenças de software de apoio a escritório Prover soluções para o desenvolvimento e manutenção de sistemas informatizados no âmbito CGTI/DIRAD/PREVIC Prover solução de ponto eletrônico na sede da Previc Prover software de métodos quantitativos (estatística aplicada atuarial) ________________________________________________________ Plano de Gerenciamento de Riscos comunicações no âmbito da Previc DataCenter da CGTI / DIRAD / Previc Prover software de métodos quantitativos (estatística aplicada atuarial) Reestruturar a estrutura organizacional da CGTI/DIRAD/PREVIC Manter e atualizar o parque computacional, multimídia e de comunicações no âmbito da Previc Prover solução de ponto eletrônico na sede da Previc Necessidades listadas como já atendidas: d) Prover módulos evolutivos do sistema informatizado de controle financeiro da Previc. DIRAD: Necessidade já atendida o) Manter e atualizar o parque computacional, multimídia e de comunicações no âmbito da Previc. DITEC: Necessidade já atendida p) Implantar o núcleo de estruturação de processos. Gabinete: Necessidade já atendida Planejamento Caso haja previsão orçamentária de TI para as novas necessidades da sua área de negócio, descreva-as. DIFIS: Evolução e manutenção do SIAD. DIRAD: - Notebook - Integração dos sistemas da PREVIC. Necessita-se confirmar com a CGTI se existe a disponibilidade física do bem ou mesmo previsão orçamentária para oportunizar a integração dos sistemas e quando. Caso haja plano de continuidade para as novas necessidades da sua área de negócio, descreva-o. DIRAD: - Integração de informações - sistema integrado de informações da PREVIC. Outras considerações Caso entenda necessário, faça outras considerações não previstas neste questionário, inclusive relacionando necessidades de TI com a área de negócio ________________________________________________________ Plano de Gerenciamento de Riscos DIACE: Ressalta-se que as necessidades apontadas e priorizadas no presente PDTI têm sido objeto de apontamentos por parte desta Diretoria por vários anos e em vários momentos distintos de planejamento. Detalhes importantes para projeto Sistema Dados Custodiantes – Captação. Criar sistemas para importar os dados recepcionados da CETIP, hoje esta importação esta sendo feita de forma manual pela CGMI. Criar sistemas para exportar dados diários de CNPJ de EFPC e fundos exclusivos para BM@Fbovespa, hoje esta geração e exportação esta sendo feita de forma manual pela CGMI. Criar sistemas para importar os dados recepcionados da BM@Fbovespa, hoje esta importação esta sendo feita de forma manual pela CGMI Criar sistemas para importar os dados de mercado e indicadores (SELIC, ANBIMA, CETIP, CVM, BM@Fbovespa), hoje esta importação esta sendo feita de forma manual pela CGMI Dados Custodiantes – Analise, Monitoramento. Criar sistema para analisar os dados recepcionados de títulos públicos recepcionados da SELIC. Criar sistema para analisar os dados recepcionados de títulos privados recepcionados da CETIP. Criar sistema para analisar os dados recepcionados de derivativos recepcionados da BM@Fbovespa. Todos os dados acima deverão ser vinculados aos dados de mercado para fins de analises. DIRAD: Segue lista de prioridades, após reunião com o Diretor de Administração: 1) SAP 2) SIGA/Patrimônio 3) Gestão de RH (mapeamento e automação) 4) Compras (mapeamento e automação) 5) Gestão de TI 6) Implantar salas multimídias 7) Prover soluções para infraestrutura e comunicações no âmbito do Data Center 8) Solução de Gestão de RH e Controle de frequência ________________________________________________________ Plano de Gerenciamento de Riscos ________________________________________________________ Plano de Gerenciamento de Riscos ANEXO II SUPERINTENDÊNCIA NACIONAL DE PREVIDÊNCIA COMPLEMENTAR – PREVIC Plano de Gerenciamento de Riscos em Tecnologia da Informação Brasília Agosto de 2013 ________________________________________________________ Plano de Gerenciamento de Riscos Sumário 1. Introdução ............................................................................................................... 3 2. Objetivo ................................................................................................................... 4 3. Base Legal................................................................................................................ 4 4. Descrição dos Processos de Gerenciamento de Riscos ........................................ 6 5. Risk Breakdown Structure (RBS) para a identificação dos riscos....................... 7 6. Riscos Identificados ................................................................................................ 8 7. Qualificação dos Riscos ........................................................................................ 10 8. Quantificação dos Riscos ..................................................................................... 12 9. Sistema de controle de mudanças e identificação de riscos .............................. 13 10. Respostas Planejadas aos Riscos ......................................................................... 14 11. Respostas à incidentes .......................................................................................... 23 12. Reservas de contingência ..................................................................................... 23 13. Frequência de avaliação dos riscos institucionais.............................................. 23 14. Administração do Plano de Gerenciamento de Riscos ...................................... 23 15. Outros assuntos relacionados ao Gerenciamento de Riscos Institucionais não previstos neste Plano .................................................................................................... 24 Histórico e Revisões Data 25/07/2013 29/07/2013 02/08/2013 06/08/2013 06/08/2013 07/08/2013 Versão Descrição 0.1 Elaboração do escopo inicial do Plano de Gerenciamento de Riscos em TI 0.5 Revisão do escopo inicial do Plano de Gerenciamento de Riscos em TI 0.6 Revisão do escopo inicial do Plano de Gerenciamento de Riscos em TI 0.7 Revisão do escopo inicial do Plano de Gerenciamento de Riscos em TI 0.8 Revisão e avaliação do Plano de Gerenciamento de Riscos em TI 1.0 Revisão e avaliação do Plano de Gerenciamento de Riscos em TI ________________________________________________________ Plano de Gerenciamento de Riscos Autor Elmer Alexandre de Oliveira Elmer Alexandre de Oliveira Alessandra Mares Juliana de Souza Cardoso / Theodomiro P. da Silva Filho Eduardo Bittencourt Fernandes Eduardo Bittencourt Fernandes 1. Introdução Os riscos em Tecnologia da Informação - TI são um conjunto de eventos que podem ocorrer sob a forma de ameaças ou de oportunidades que, caso se concretize, influencia o objetivo da área tecnológica negativamente ou positivamente. A noção de risco é diversa e muda consoante o enquadramento que deu origem à metodologia de gestão de risco em causa. Na metodologia Risk Mangement Guide for DOD Acquisition (2002), o risco é definido como sendo “… a atenção dirigida à ocorrência de eventos futuros, cujo exato resultado é desconhecido, e com a forma de lidar com essa incerteza, i.e., a amplitude de possíveis resultados. Inclui o planeamento, identificação e análise de áreas de risco e o desenvolvimento de opções para lidar e controlar o risco”. Podemos encontrar outros tipos de definições igualmente abrangentes em manuais publicados pela US Project Management Institute (PMI) e pela UK Association for Project Management (APM): • Risco – evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objectivo do projeto, como tempo, custo, âmbito ou qualidade – PMI, PMBOK Guide 2004, pag. 238; • Risco – determinado evento ou conjunto de circunstâncias que, ao ocorrerem, terão efeito sobre a concretização dos objetivos do projeto – APM 1997, pág.16; • Risco – em sentido lato, o impacto potencial de todas as ameaças e oportunidades que possam afetar a concretização dos objetivos de um investimento – RAMP Guide, 2nd. Edition. • A FERMA – Federation of European Risk Management Associations, adopta a definição de risco conforme estabelecido na ISO/IEC Guide 73, ou seja, é a combinação da probabilidade de um acontecimento e das suas consequências. ________________________________________________________ Plano de Gerenciamento de Riscos A necessidade de gerenciar riscos decorre, principalmente, da consciência de que o desencadeamento de fatores, internos ou externos ao ambiente, pode alterar o objetivo institucional. A identificação desses fatores e/ou de suas causas constitui uma das etapas fundamentais de qualquer metodologia de gestão dos riscos. O tipo de risco, a sua probabilidade de ocorrência e o seu impacto sobre a entidade variam ao longo do tempo, sendo necessário proceder-se constantemente à identificação dos riscos. 2. Objetivo O PGR tem como objetivo a identificação dos riscos, a análise qualitativa e quantitativa, o planejamento de respostas a incidentes, a monitoração e o controle do risco em TI realizado na PREVIC. Tais atividades envolvem a análise de toda a estrutura de TI, o estudo sobre os principais ativos da instituição e tem como premissas: • • • identificar ameaças potenciais à PREVIC e os impactos nas operações da entidade; fornecer uma estrutura organizacional de TI capaz de responder efetivamente em caso de sinistros e; salvaguardar os interesses das partes interessadas, a reputação, a imagem da instituição e as atividades de valor agregado. 3. Base Legal 3.1. Instrução Normativa n°01 - Disciplina a Gestão de Segurança da Informação e Comunicações na Administração Pública Federal, direta e indireta. “Art. 2º Para fins desta Instrução Normativa, entende-se por: Gestão de Segurança da Informação e Comunicações: ações e métodos que visam à integração das atividades de gestão de riscos, gestão de continuidade do negócio, tratamento de ________________________________________________________ Plano de Gerenciamento de Riscos incidentes, tratamento da informação, conformidade, credenciamento, segurança cibernética, segurança física, segurança lógica, segurança orgânica e segurança organizacional aos processos institucionais estratégicos, operacionais e táticos, não se limitando, portanto, à tecnologia da informação e comunicações. (...) Art. 5º Aos demais órgãos e entidades da Administração Pública Federal, direta e indireta, em seu âmbito de atuação, compete: I. II. III. IV. V. VI. VII. VIII. coordenar as ações de segurança da informação e comunicações; aplicar as ações corretivas e disciplinares cabíveis nos casos de quebra de segurança; propor programa orçamentário específico para as ações de segurança da informação e comunicações; nomear Gestor de Segurança da Informação e Comunicações; instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais; instituir Comitê de Segurança da Informação e Comunicações; aprovar Política de Segurança da Informação e Comunicações e demais normas de segurança da informação e comunicações; remeter os resultados consolidados dos trabalhos de auditoria de Gestão de Segurança da Informação e Comunicações para o GSI.” 3.2. Normas complementares 3.2.1. Atualmente existem 18 (dezoito) normas complementares editadas pelo Gabinete de Segurança Institucional da Presidência da República. Entre elas, são diretamente aplicáveis à PREVIC: I. II. NC n°02 - Definir a metodologia de gestão de segurança da informação e comunicações utilizada pelos órgãos e entidades da Administração Pública Federal, direta e indireta. NC n°03 - Estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC). ________________________________________________________ Plano de Gerenciamento de Riscos III. IV. NC n°04 - Estabelecer diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC. NC n°06 - Estabelecer diretrizes para Gestão de Continuidade dos Negócios. 4. Descrição dos Processos de Gerenciamento de Riscos 4.1. O gerenciamento de riscos em TI da PREVIC será realizado com base nos riscos previamente identificados no monitoramento e no controle de novos riscos que podem não ter sido identificados oportunamente. 4.2. Riscos eventualmente não previstos no plano devem ser incorporados dentro do sistema de controle de mudanças de riscos (Risk Change Control System) e, se cabível, no documento de diretrizes da POSIC da PREVIC. 4.3. Serão identificados apenas os riscos internos ao ambiente computacional da PREVIC e os provenientes dos Sistemas de Gestão Corporativa. Riscos relacionados à atuação da PREVIC junto às entidades fechadas de previdência complementar, às solicitações da Diretoria Colegiada, ao cumprimento do Plano Estratégico Institucional e ao ambiente macro da PREVIC serão automaticamente aceitos sem análise e sem uma resposta prevista (aceitação passiva). 4.4. As possíveis respostas aos riscos identificados na entidade serão as aceitações passiva e ativa (por meio de contingências) concomitante às ações definidas no Plano de Continuidade de Negócio – PCN de TI da PREVIC. Não será aceito como uma possível resposta ao risco o ato de evitá-lo (avoidance), uma vez que não serão aceitas alterações no ambiente computacional da PREVIC, no PCN e nas Diretrizes da POSIC da PREVIC que não sejam de caráter corretivo. 4.5. A identificação, a avaliação e o monitoramento de riscos devem ser feitos por escrito ou através de e-mail. ________________________________________________________ Plano de Gerenciamento de Riscos 5. Risk Breakdown Structure (RBS) para a identificação dos riscos Será utilizado o modelo de estrutura de riscos proposto por Wideman, porém abordando apenas os riscos internos e os riscos legais. Riscos externos (relacionadas ao Governo ou entidades) não serão considerados, conforme já apresentado anteriormente. O modelo a seguir foi utilizado como base para a identificação dos riscos institucionais. Risco Total Riscos Aceitos Externos e internos (vide item 4.3) Riscos Considerados Riscos não técnicos Riscos legais Gerenciais Contratos / Licitações Orçamento Contr ole de acesso Mudanças em Leis / Normas Acesso Restrito a Informações institucionais Escritó rios Regionais Riscos técnicos Mudanças na tecnologia Segurança / Estabilidade das aplicações Hospedagem / Bases Institucionais em local externo Descarte e controle de equipamentos Requisitos Trein amento / Pesso al ________________________________________________________ Plano de Gerenciamento de Riscos 6. Riscos Identificados Os riscos identificados no projeto, segundo as Diretrizes do Plano de Segurança da Informação e Comunicação da PREVIC e a RBS anteriormente apresentada, estão listados na estrutura a seguir: 6.1. Fornecedores 6.1.1. As bases de dados da PREVIC têm a sua guarda em ambiente computacional de responsabilidade de terceiros, por meio de contratos. Além disso, a entidade não possui uma cópia ou backup destas bases de dados, podendo ocasionar perda de informação. 6.1.2. Os contratos firmados pela PREVIC para prestação de serviços por terceiros, não contém cláusulas que determinem a observância da POSIC e normas derivadas, invalidando a sua aplicabilidade. 6.2. Requisitos 6.2.1. Ausência de definições e/ou de mapeamento dos processos negociais na maioria das diretorias da entidade, ocasionando dispersão de esforços. 6.2.2. Falta de cultura institucional de utilização de programas de gestão eletrônica de documentos e processos, ocasionando dispersão de esforços na definição dos padrões de fluxo documentais, bem como dificuldades na obtenção de informações gerenciais. 6.3. Acesso restrito às informações institucionais 6.3.1. As informações restritas não possuem instrumentos de proteção, autorização ou responsabilização, ocasionando possíveis danos à imagem e ao desempenho institucional. 6.3.2. Não há controle e/ou norma interna que trate dos privilégios de acesso às informações e aos recursos de TIC pelos colaboradores, possibilitando acessos indevidos. ________________________________________________________ Plano de Gerenciamento de Riscos 6.3.3. Não há mecanismos que permitam criar e manter a rastreabilidade do uso de recursos de TIC, ocasionando possíveis perdas de equipamentos e dados. 6.3.4. O acesso a alguns sistemas de informações e bases corporativas permite o uso de usuários genéricos, impossibilitando a rastreabilidade de acesso a informações sigilosas. 6.3.5. Não existe procedimento para cancelamento ou a manutenção de usuários e seus perfis de acesso aos recursos computacionais da PREVIC, ocasionando possíveis brechas de segurança. 6.4. Segurança e estabilidade das aplicações 6.4.1. Os sistemas de informação da entidade possuem problemas com a autenticidade e sigilo de informação, ocasionando possíveis danos à imagem e ao desempenho institucional. 6.4.2. Os visitantes da PREVIC utilizam a mesma rede corporativa para acesso à internet. Esta inconformidade pode causar incidentes de segurança. 6.4.3. As redes de dados dos escritórios regionais da PREVIC não são mantidas diretamente pela própria autarquia, impedindo a aplicabilidade da POSIC e normas complementares. 6.4.4. Não existe site externo para backup e contingenciamento das informações e sistemas institucionais que estão hospedados no DataCenter interno da PREVIC. 6.5. Controle de acesso físico 6.5.1. Não há controle de entrada e saída de recursos de TIC nas dependências físicas da PREVIC, podendo acarretar sinistros. 6.6. Treinamento e comunicação 6.6.1. A POSIC não é conhecida por todos os colaboradores da instituição, o que prejudica o seu cumprimento. ________________________________________________________ Plano de Gerenciamento de Riscos 6.6.2. Os gestores responsáveis pelos processos inerentes à Gestão da Segurança da Informação e Comunicações não possuem capacitação especializada. 6.7. Descarte e controle de equipamentos 6.7.1. Não existe processo formal de descarte de equipamentos institucionais, possibilitando o acesso indevido a dados armazenados nestes dispositivos. 6.8. Prazos 6.8.1. Atrasos na adequação de infraestrutura (Active Directory/Bases institucionais) podem retardar a implantação dos sistemas essenciais para a entidade. 6.9. Pessoal 6.9.1. A quantidade de servidores alocados na Coordenação Geral de Tecnologia da Informação – CGTI da PREVIC é insuficiente para atender a todos os requisitos, procedimentos e normas exigidos pela Administração Pública Federal – APF para a área de TI. Os riscos identificados foram delineados pelo Comitê de Segurança da Informação e Comunicação – CSIC da PREVIC, utilizando técnica de brainstorming e normativos de segurança, conforme exposto no item 3 deste documento. 7. Qualificação dos Riscos Os riscos identificados serão qualificados de acordo com sua probabilidade de ocorrência e impacto ou gravidade dos seus resultados: 7.1. Probabilidade: • Baixa – A probabilidade de ocorrência do risco pode ser considerada pequena ou imperceptível (menor do que 20%). ________________________________________________________ Plano de Gerenciamento de Riscos • Média – Existe uma probabilidade razoável de ocorrência do risco (probabilidade entre 20 e 60%). • Alta – O risco é iminente (probabilidade maior que 60%). 7.2. Gravidade: • Baixa – O impacto do evento de risco é irrelevante para o desempenho institucional em termos de custo e prazos, podendo ser facilmente resolvido. • Média – O impacto do evento de risco é relevante para o desempenho institucional e necessita de um gerenciamento mais preciso, sob pena de prejudicar a atuação da PREVIC. • Alta – O impacto do evento de risco é extremamente elevado e, no caso de não existir uma interferência direta, imediata e precisa da PREVIC, o desempenho institucional será seriamente comprometido. Avaliação qualitativa dos riscos Alta 6.3.3 * 6.6.2 * 6.2.2 * 6.3.4 * 6.4.1 * 6.7.1 * 6.8.1 * 6.3.5 * 6.4.3 * 6.9.1 * 6.4.2 * Média 6.6.1 * 6.1.2 * 6.5.1 * 6.4.4 * 6.3.1 * 6.3.2 * Baixa Probabilidade de Ocorrência 6.2.1 * 6.1.1 * Média Baixa Gravidade nas Ocorrências ________________________________________________________ Plano de Gerenciamento de Riscos Alta Os riscos foram qualificados de acordo com o modelo de classificação comparativa de riscos (CCR), cuja identificação ocorreu por meio de técnica de brainstorm realizada no CSIC e das análises técnicas realizadas pela CGTI/PREVIC. 8. Quantificação dos Riscos Por se tratar do primeiro plano de Gestão de Riscos da PREVIC, em que somente os riscos internos foram avaliados, optou-se por analisar apenas os riscos segundo aspectos qualitativos (vide item 7). Portanto, não será feita a análise quantitativa dos riscos neste Plano. ________________________________________________________ Plano de Gerenciamento de Riscos 9. Sistema de controle de mudanças e identificação de riscos Toda a identificação de riscos e eventuais alterações nos riscos já identificados (variação na probabilidade e impacto dos riscos), devem ser tratadas segundo o fluxo apresentado. Conforme evidenciado, as prioridades, ações e conclusões serão apresentadas ao CSIC. ________________________________________________________ Plano de Gerenciamento de Riscos 10.Respostas Planejadas aos Riscos Item Tipo Risco Probabilidade Gravidade Resposta Descrição da resposta Custo Prever nos contratos de prestação de serviços de infraestrutura e manutenção de TI, a inclusão de procedimentos detalhados destinados a mitigação deste risco. A contratada deverá possuir ambientes redundantes para salvaguarda de backups de dados e sistemas. Inserir dispositivos de cumprimento da POSIC e das normas complementares do CSIC nos contratos e no manual de Previsto no orçamento da entidade. Agrava - Constante 6.1.1 Fornecedores As bases de dados da PREVIC têm a sua guarda em ambiente computacional de responsabilidade de terceiros, através de contratos. Além disso, a entidade não possui uma cópia ou backup destas bases de dados, podendo ocasionar perda de informação. Baixa Alta Transferência 6.1.2 Fornecedores Os contratos firmados pela PREVIC para prestação de serviços por terceiros, não contém cláusulas que determinem a observância da POSIC e normas derivadas, invalidando a sua aplicabilidade. Média Alta Atenuação ________________________________________________________ Plano de Gerenciamento de Riscos Com o tempo Item Tipo Risco Probabilidade Gravidade Resposta 6.2.1 Requisitos Ausência de definições e/ou de mapeamento dos processos negociais na maioria das diretorias da entidade, ocasionando dispersão de esforços. Alta Média Atenuação 6.2.2 Requisitos Falta de cultura institucional de utilização de programas de gestão eletrônica de documentos e processos, ocasionando dispersão de esforços na definição dos padrões de fluxo documentais, bem como dificuldades na obtenção de informações gerenciais. Alta Média Atenuação ________________________________________________________ Plano de Gerenciamento de Riscos Descrição da resposta contratos e licitações de TI. Realizar cursos e palestras internas para orientar as áreas e sensibilizar os gestores; definir metodologia de desenvolvimento de soluções baseadas em requisitos préestabelecidos. Realizar cursos e palestras internas para orientar as áreas e sensibilizar os gestores; definir metodologia de desenvolvimento de soluções baseadas em requisitos préestabelecidos. Custo Com o tempo - Agrava - Agrava Item Tipo Probabilidade Gravidade As informações restritas não possuem instrumentos de proteção, autorização ou responsabilização, ocasionando possíveis danos à imagem e ao desempenho institucional. Baixa Alta Atenuação Não há controle e/ou norma interna que trate dos privilégios de acesso às informações e aos recursos de TIC pelos colaboradores, possibilitando acessos indevidos. Baixa Alta Atenuação Não há mecanismos que permitam criar e manter a rastreabilidade do uso de recursos de TIC, ocasionando possíveis perdas de equipamentos e dados. Alta Alta Atenuação Risco 6.3.1 Acesso restrito a informações institucionais 6.3.2 Acesso restrito a informações institucionais 6.3.3 Acesso restrito a informações institucionais ________________________________________________________ Plano de Gerenciamento de Riscos Resposta Descrição da resposta Implantar na CGRH/DIRAD procedimento formal de subscrição do Termo de Compromisso de Sigilo, anexo à Portaria PREVIC nº 249/2012. Definir regras internas de privilégios de acesso aos dados institucionais pelos usuários de acordo com o cargo, função e lotação. Definir procedimentos para liberação de equipamentos de TIC e acesso a dados institucionais no âmbito da PREVIC. Custo Com o tempo - Agrava - Agrava - Agrava Item Tipo Risco 6.3.4 Acesso restrito a informações institucionais Probabilidade Gravidade Alta Alta O acesso a alguns sistemas de informações e bases corporativas permite o uso de usuários genéricos, impossibilitando a rastreabilidade de acesso a informações sigilosas. ________________________________________________________ Plano de Gerenciamento de Riscos Resposta Atenuação Descrição da resposta Custo Criar termo de Previsto no responsabilidade de orçamento acesso a dados da entidade institucionais; incluir usuários no Active Directory com regras estabelecidas; definir procedimentos para a liberação de acesso a dados; inserir cláusulas de responsabilidade nos contratos em que terceiros possam ter acesso a informações sigilosas. Ajustar sistemas e bases dados para que possuam controles de acesso segundo perfil de usuário definido pelos gestores dos sistemas e/ou bases de dados. Com o tempo Agrava Item Tipo Risco 6.3.5 Acesso restrito a informações institucionais 6.4.1 Segurança e estabilidade das aplicações Probabilidade Gravidade Resposta Não existe procedimento para cancelamento ou a manutenção de usuários e seus perfis de acesso aos recursos computacionais da PREVIC, ocasionando possíveis brechas de segurança. Alta Média Atenuação Os sistemas de informação da entidade possuem problemas com a autenticidade e sigilo de informação, ocasionando possíveis danos à imagem e ao desempenho institucional. Alta Alta Atenuação ________________________________________________________ Plano de Gerenciamento de Riscos Descrição da resposta Não permitir a existência, uso e criação de usuários/senhas genéricas. Definir procedimento junto ao RH para a manutenção dos perfis de acesso institucionais. Custo - Implantar Previsto no procedimento interno orçamento de monitoramento da entidade permanente; contatar a contratada para correção e ajustes. Reformular os atuais sistemas corporativos da Previc de forma que sejam reescritos com tecnologia atual e segura, assim como Com o tempo Agrava Agrava Item Tipo Risco 6.4.2 Segurança e estabilidade das aplicações 6.4.3 Controle de acesso físico Probabilidade Gravidade Resposta Os visitantes da PREVIC utilizam a mesma rede corporativa para acesso à internet. Esta inconformidade pode causar incidentes de segurança. Alta Média Atenuação As redes de dados dos escritórios regionais da PREVIC não são mantidas diretamente pela própria autarquia, impedindo a aplicabilidade da POSIC e normas complementares. Alta Alta Aceitação passiva ________________________________________________________ Plano de Gerenciamento de Riscos Descrição da resposta exigir da contratada que os ambientes de armazenamento e disponibilização das aplicações da Previc estejam dispostos em ambiente seguro. Promover fiscalização e testes dessas ações. Implantar rede ou sub rede com endereço e acesso distintos da rede corporativa para visitantes utilizarem a internet. Implantar o Active Directory; Controlar os usuários da rede corporativa. Segregar as redes dos ER da rede do INSS, criando redes próprias Custo Necessita de aprovação de orçamento para implantação da solução. Necessita de aprovação de orçamento para Com o tempo Agrava Agrava Item Tipo Risco 6.4.4 Segurança e estabilidade das aplicações 6.5.1 Controle de acesso físico 6.6.1 Treinamento e comunicação Probabilidade Gravidade Resposta Não existe site externo para backup e contingenciamento das informações e sistemas institucionais que estão hospedados no DataCenter interno da PREVIC Média Alta Aceitação passiva Não há controle de entrada e saída de recursos de TIC nas dependências físicas da PREVIC, podendo acarretar sinistros. Média Média Atenuação A POSIC não é conhecida por todos os colaboradores da instituição, o que prejudica o seu cumprimento. Média Média Atenuação ________________________________________________________ Plano de Gerenciamento de Riscos Descrição da resposta Custo Previc, assumindo a gestão dessas redes e por conseguinte dos seus usuários. Estabelecer nos contratos de TI contingenciamento do Datacenter Previc (equipametos), das suas aplicações e das suas bases de dados. Definir regras e normas de controles de acesso às dependências físicas da PREVIC, considerando-se a classificação das áreas de negócio. Realizar, com o apoio da Assessoria de Comunicação Social e da CGRH, atividades educativas e eventos implantação da solução. Com o tempo - Agrava - Agrava - Agrava Item Tipo Risco Probabilidade Gravidade Resposta Descrição da resposta Custo Com o tempo de divulgação da POSIC. 6.6.2 Treinamento e comunicação 6.7.1 Descarte e controle de equipamentos 6.8.1 Prazos Os gestores responsáveis pelos processos inerentes à Gestão da Segurança da Informação e Comunicações não possuem capacitação especializada. Alta Alta Atenuação Promover a participação dos gestores responsáveis pela Gestão da Segurança de Informação e Comunicação em cursos, palestras e treinamentos específicos. - Agrava Não existe um processo formal de descarte de equipamentos institucionais, possibilitando o acesso indevido a dados armazenados nestes dispositivos. Alta Alta Atenuação Desenvolver um processo formal de descarte de equipamentos de TI. - Agrava Atrasos na adequação de infraestrutura (Active Directory/ Bases institucionais) podem Alta Alta Aceitação passiva Atuar junto aos fornecedores e contratados para a - Diminui ________________________________________________________ Plano de Gerenciamento de Riscos Item Tipo Risco Probabilidade Gravidade Resposta retardar a implantação dos sistemas essenciais para a entidade. 6.9.1 Pessoal A quantidade de servidores alocados na CGTI da PREVIC é insuficiente para atender a todos os requisitos, procedimentos e normas exigidos pela Administração Pública Federal – APF para a área de TI. ________________________________________________________ Plano de Gerenciamento de Riscos Alta Alta Aceitação passiva Descrição da resposta diminuição do impacto. Dar prioridade às negociações com os parceiros envolvidos nesse processo – MPS e DATAPREV – se necessário envolvendo a alta gestão da autarquia. Sensibilizar a Diretoria Colegiada sobre a necessidade do aumento do quadro de pessoal da CGTI. Viabilizar a contratação de novos fornecedores de serviços de TI. Custo Com o tempo Agrava 11.Respostas à incidentes As respostas da entidade para possíveis incidentes relacionados à TI são tratadas no Plano de Continuidade de Negócios – PCN da mesma. 12.Reservas de contingência As reservas de contingência destinadas exclusivamente ao processo de gerenciamento dos riscos não foram estabelecidas no Plano de Investimentos da instituição. Inicialmente, as ações de contorno (respostas não planejadas aos riscos) e as solicitações de mudanças deste Plano deverão ser tratadas diretamente junto ao Diretor de Administração - DIRAD. 13.Frequência de avaliação dos riscos institucionais Os riscos identificados neste Plano devem ser avaliados nas reuniões do CSIC. A frequência, o cronograma e a avaliação dos riscos institucionais serão determinados nas reuniões deste Comitê. 14.Administração do Plano de Gerenciamento de Riscos 14.1. Responsáveis pelo plano: a) Eduardo Bittencourt Fernandes, SIAPE nº 1791245-8, membro do CSIC será o responsável direto pelo plano de gerenciamento de riscos. b) Wendel Martinez Carvalho, SIAPE nº 1912649-2, membro do CSIC será o suplente do responsável pelo plano de gerenciamento de riscos. 14.2. Frequência de atualização do Plano de Gerenciamento de Riscos: O Plano de Gerenciamento de Riscos será reavaliado na primeira reunião ordinária do exercício de 2014 do CSIC. Eventuais necessidades de atualização, identificadas antes da primeira reavaliação, devem ser tratadas consoante o item 12 deste Plano. 15.Outros assuntos relacionados ao Gerenciamento de Riscos Institucionais não previstos neste Plano Eventuais riscos institucionais não previstos neste Plano, deverão ser submetidos ao CSIC para deliberação e, posteriormente, incluídos no Plano de Gerenciamento de Riscos. Aprovações ________________________________________________________ Plano de Gerenciamento de Riscos