Recursos - TCU

Tribunal de Contas da União TCU 2007 — Concurso público para provimento de cargos de Analista de Controle Externo e de Técnico de Controle Externo Sistema Eletrônico de Interposição de Recurso

O(A) Senhor(a) HUMBERTO BRUNO PONTES SILVA, solicitou revisão do resultado provisório nas provas discursivas, conforme especificação(ões) a seguir.

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 1 Linha: 19 Tipo de erro: Morfossintaxe Argumentação do candidato: Não há erro morfológico ou erro de sintaxe, concordância verbal e nominal, colocação pronominal, pontuação, crase ou regência verbal e nominal. Dessa forma o candidato solicita a revisão do erro apontado. enviado em 29/10/2007 às 17:35:44

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 2 Linha: 19 Tipo de erro: Morfossintaxe Argumentação do candidato: Não há erro morfológico ou erro de sintaxe, concordância verbal e nominal, colocação pronominal, pontuação, crase ou regência verbal e nominal. Dessa forma o candidato solicita a revisão do erro citado. enviado em 29/10/2007 às 17:37:55

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Questão 3 Linha: 19 Tipo de erro: Grafia/Acentuação(português/espanhol) Argumentação do candidato: Não existe nenhuma palavra grafada de forma errada e nem palavras com acentuação incorreta. Assim o candidato solicita a revisão do erro citado. enviado em 29/10/2007 às 17:39:10

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Linha: 31 Tipo de erro: Grafia/Acentuação(português/espanhol) Argumentação do candidato: Não existe nenhuma palavra grafada de forma errada e nem palavras com acentuação incorreta. Assim o candidato solicita a revisão do erro citado. enviado em 29/10/2007 às 17:39:45

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 2 Linha: 17 Tipo de erro: Morfossintaxe Argumentação do candidato: Não há erro morfológico ou erro de sintaxe, concordância verbal e nominal, colocação pronominal, pontuação, crase ou regência verbal e nominal. Dessa forma o candidato solicita a revisão do erro apontado. enviado em 29/10/2007 às 17:37:32

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 2 Linha: 16 Tipo de erro: Morfossintaxe Argumentação do candidato: Não há erro morfológico ou erro de sintaxe, concordância verbal e nominal, colocação pronominal, pontuação, crase ou regência verbal e nominal. Dessa forma o candidato solicita a revisão do erro apontado. enviado em 29/10/2007 às 17:37:

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Questão 3 Linha: 12 Tipo de erro: Grafia/Acentuação(português/espanhol) Argumentação do candidato: Não existe nenhuma palavra grafada de forma errada e nem palavras com acentuação incorreta. Assim o candidato solicita a revisão do erro apontado. enviado em 29/10/2007 às 17:38:49

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 2 Quesito: 2.1 Argumentação do candidato: No subitem 2.1, Origens do Estado Federal. Não resta dúvida que a resposta do candidato enfocou os fatos mais importantes relativos as origens do Estado Federal, seguindo a visão sobre a matéria, do professor Celso Bastos [1] e [2]. Assim, o candidato escreveu (linhas 01, 02, 03 e 04): “As origens do Estado Federal encontram-se no processo de formação dos Estados Unidos como nação. Naquela situação existiam entes independentes que foram reunidos para a construção de uma nação unificada e soberana”. Segundo Celso Bastos [2]: “A origem da formação do Estado Federal deita suas raízes na história da concepção dos Estados Unidos da América. Em 1776, as antigas treze colônias da Inglaterra na América do Norte, ao tornarem-se independentes, resolveram unir esforços para a criação de uma abrangente entidade central que pudesse representá-las e defendê-las em assuntos de interesse comum de todas as colônias, criando assim, em 1778, uma espécie de Confederação de Estados independentes. Esta união foi firmada por um documento denominado de Artigos da Confederação, que entrou em vigor a partir de 1781, cujo texto guardava semelhança com as Constituições dos Estados, as quais já dispunham sobre: separação de poderes, Congresso Bicameral e Declaração de Direitos (Bill of Rights).” Em razão de todo o exposto, o candidato requer à Douta Banca Examinadora o reexame da questão e a consequente revisão da nota que lhe foi atribuída.(obteve 0,60 dentro de uma faixa de valor de 0,00 a 3,00) Referências bibliográficas: [1] Bastos, Celso; Curso de Direito Constitucional; ISBN: 8589006069; Ano: 2002 Edição: 1. [2] Paulo, Vicente; Aulas de Direito Constitucional; 9ª edição, revista e atualizada; Editora Impetus; paginas 66 e 67. enviado em 29/10/2007 às 15:53:49

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Quesito: 2.1 Argumentação do candidato: No subitem 2.1, Relação custo benefício da implantação do controle em relação ao risco de acesso indevido à informação, o candidato obteve 4,80 dentro de uma faixa de valor de 0,00 a 6,00. Ocorre que o candidato aborda com profundidade o tema proposto pela questão, explicitando a relação custo benefício da implantação do controle em relação ao risco de acesso indevido à informação, desenvolvendo-o de forma completa e coerente com as normas atuais [1], que assim preconizam: “0.4 - Analisando/avaliando os riscos de segurança da informação: - Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança da informação. Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos. Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação “. O candidato descreve exatamente o preconizado na norma ISO 17799 [1] no seguinte trecho (linhas 4,5,6,10,11,25,26,27,28,48,49,50): “...Entretanto, muitas vezes, as instituições não gerenciam corretamente a implementação de tais mecanismos, o que os torna ineficazes ou inexeqüíveis, além de acarretar prejuízos financeiras consideráveis... Contudo, antes da aplicação de qualquer mecanismo de segurança da informação é necessário classificá-la, estabelecendo níveis de criticidade da informação, com o objetivo de atribuir mecanismos mais adequados a cada categoria de informação.... O constante monitoramento das atividades é um elemento bastante relevante no âmbito da gestão de SI. Essa atividade deve ser realizada durante a execução dos processos e também após seu término... para o estabelecimento de mecanismos de segurança, garantindo a relação custo/benefício, o retorno do investimento, o acesso adequado, a conformidade e a plena utilização das informações.” . O candidato, s.m.j., desenvolveu o tema proposto com profundidade, cobrindo detalhadamente os assuntos pertinentes e relevantes. Em razão de todo o exposto requer à ilustre Banca o reexame da matéria para revisão da nota que lhe foi atribuída (obteve 4,80 dentro de uma faixa de valor de 0,00 a 6,00.) [1] International Standards Organization - ISO-IEC 17799:2005 e ISO-IEC 27001:2005 - www.iso.org [2] Tanenbaum, Andrew S.; Redes de computadores; 4 edição; capítulo 8 – Segurança de Redes [3] Davis, Chris; Schillerand, Mike; Wheeler , Kevin; IT Auditing: Using Controls to Protect Information Assets; McGraw-Hill 2007 [4] Control Objectives for Information and Related Technology (CoBIT) framework 4.1 – página 12; www.isaka.org enviado em 29/10/2007 às 16:12:6

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Questão 3 Quesito: 2.1 Argumentação do candidato: No subitem 2.1, Desafios ao alcance da governança de tecnologia da informação na administração pública da União. Em sua resposta, o candidato cita, claramente, os principais desafios ao alcance da governança de TI na administração pública quando descreve a existência de diversas metodologias como Cobit [1] e ITIL, e padrões complementares como as normas ISO 17799 e 27001 [2] (linhas 16 e 17) que podem ser utilizadas para a obtenção de governança, demonstrando a complexidade enfrentada pelas organizações na adoção de tais padrões. Além disso, os principais objetivos da governança foram mencionados, bem como. o grande desafio da governança de tecnologia da informação (alinhamento estratégico entre as metas de organização e as metas de TI) foram também enfocados (linhas 8, 9 e 10): “Dessa forma, é necessário a implementação da governança de TI na administração pública para alinhar os processo da administração com os processos de TI, objetivando que estes reflitam fielmente os anseios daqueles”. Ademais o candidato ainda cita outro grande desafio na governança de TI que é o gerenciamento das soluções de TI visando garantir a correta aplicação das soluções nos problemas pertinentes [2] (linhas 4,5,6,7,8): “Nesse contexto, a utilização de soluções informatizadas oferece maior eficácia e eficiência aos processos, uma vez que reduz as tarefas repetitivas, possibilita o cruzamento de informações, além de minimizar os erros humanos. Entretanto, a utilização não gerenciada das soluções de TI pode acarretar problemas ainda maiores do que os atuais, pois tais soluções muitas vezes mascaram as inconsistências do processo para o usuário final”. O candidato, s.m.j., abordou em sua resposta os conteúdos mais relevantes contidos na questão. Em razão de todo o exposto, requer à insígne Banca Examinadora o reexame da questão para revisão da nota que lhe foi atribuída. (obteve 3,60 dentro de uma faixa de valor de 0,00 a 4,50). Referências Bibliográfias: [1] International Standards Organization - ISO-IEC 17799:2005 e ISO-IEC 27001:2005 - www.iso.org [2] Control Objectives for Information and Related Technology (CoBIT) framework 4.1 – página 12; www.isaka.org enviado em 29/10/2007 às 16:15:35

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 1 Quesito: 2.1 Argumentação do candidato: No subitem 2.1 - Espécie e natureza jurídica do contrato que deveria ser celebrado, o candidato obteve nota 0,00, dentro de uma faixa de valor de 0,00 a 2,50. Ocorre que na linha 13, a espécie de contrato a ser celebrado é expressa corretamente quando o candidato escreve: “... da licitação resultará o contrato administrativo, pois dessa forma a administração poderá valer-se das cláusulas exorbitantes...”. Segundo Hely Lopes Meireles [1] “... o contrato administrativo possui a finalidade de promover o ajuste que a Administração Pública, agindo nesse qualidade, firma com particular ou outra entidade administrativa para a consecução de objetivos de interesse público, nas condições estabelecidas pela própria administração... aqueles em que a Administração atua nessa qualidade e, portanto, dotada das prerrogativas características de Direito Público (supremacia).”; Assim, também se expressa Tarso Cabral Violinem [2], no seguinte trecho: Assim, também entende Marcello Caetano, conforme trecho transcrito logo abaixo, ao tratar do contrato de direito público, do qual o contrato administrativo é espécie: Pouco importa que as cláusulas do contrato tenham sido pré-redigidas unilateralmente ou estejam imperativamente fixadas por lei. (...) Nos contratos de direito público a relação nasce do encontro de vontades, resulta de verdadeiro acordo livre sobre um objecto determinado: nenhum dos sujeitos considera definida e constituída a relação sem se verificar o mútuo consenso, o que se enquadra com o que foi solicitado na questão. Em razão de todo o exposto, o candidato requer à Douta Banca Examinadora o reexame dos tópicos ora questionados para a luz do seu escrutínio e saber diferenciado conceder-lhe a pretensa revisão de pontos. [1] Alexandrino, Marcelo; Paulo, Vicente; Direito Administrativo; 13ª edição , revista e atualizada; paginas 364 e 365. [2] http://jus2.uol.com.br/doutrina/texto.asp?id=3699, acessado em 29/10/2007. enviado em 29/10/2007 às 13:36:34

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 2 Quesito: 2.2 Argumentação do candidato: No subitem 2.2, Características básicas do Estado Federal e explicação de cada uma delas”. O candidato abordou as características solicitadas e adicionou explicações, adotando o enfoque do Professor Celso Bastos [1], distribuindo-as ao longo de sua resposta, como pode ser observado abaixo: Segundo Celso Bastos[1] as principais características do Estado Federal são: 1) “A união de certas entidades políticas autônomas (os Estados) para finalidades comuns;” Esta característica o candidato expressa quando escreve (linhas 4,5,10,11): “Os princípios que auxiliaram o desenvolvimento desse modelo de Estado foram à autonomia dos seus entes... A autonomia dos entes federados se faz necessária para que não se crie condições benéficas para a formação de Estados Totalitários...” 2) “A divisão de poderes legislativos entre o governo federal e os estados componentes;”. Esta característica é abordada pelo candidato quando escreve (linhas 5, 6,11, 12, 13, 14 e 15): “... a repartição de competências executivas, legislativas e judiciárias... os planos executivos bem como os processos legislativos mais adequados à realidade de cada ente. Faz-se apenas necessário que todas as ações estejam balizadas por uma norma superior.” 3) “A operação direta, na maior parte, de cada um desses centros de governo, dentro de sua esfera específica, sobre todas as pessoas e propriedades compreendidas nos seus limites territoriais”. Esta característica é citada pelo candidato, de forma indireta, quando menciona (linhas 6 e 7): “...bem como a repartição de recursos para que de fato, cada ente tenha sua autonomia financeira...”. 4) “A provisão de cada centro com o completo aparelhamento de execução da lei, quer por parte do Executivo, quer do Judiciário.”. Esta característica é citada pelo candidato quando escreve (linhas 11, 12, 13 e 14): “cada ente é responsável por estabelecer as normas jurídicas específicas, os planos executivos, bem como os processos legislativos mais adequados à realidade de cada ente”. Como características complementares têm-se a pluralidade de entidades governamentais ou descentralização política, que o candidato menciona em sua resposta (linha 17): “garantindo assim... pluralismo político”; Soberania do Estado Federal, para a qual, o candidato, logo no inicio do texto, comenta (linhas 3 e 4): “... para a construção de uma nação unificada e soberana.”; O pacto que une as entidades federativas é um tratado nacional e para tanto a constituição deve ser necessariamente rígida, porque só assim é possível exigir o pacto federativo, característica esta que o candidato também atende ao escrever (linhas 14, 15, 16 e 17) : “Faz-se necessário apenas que todas as ações estejam balizadas por uma norma superior que restrinja a liberdade total de cada ente, garantindo assim, os interesses fundamentais da nação como soberania, cidadania, dignidade da pessoa humana, pluralismo político, dentre outros.”; Existência do sistema de repartição de competências entre as entidades que o compõe, também abordado pelo candidato (linhas 4, 5, 6, 7, 8 e 9): “Os princípios que auxiliaram o desenvolvimento desse modelo de estado... a repartição de competências executivas, legislativas e judiciárias ... Esses princípios tornaram-se as características básicas para a implantação do modelo de Estado Federal”. Em razão do exposto, o candidato requer à Douta Banca Examinadora o reexame da questão para a luz do seu escrutínio e saber diferenciado conceder-lhe a pretensa revisão de pontos. Referências bibliográficas: [1] Bastos, Celso; Curso de Direito Constitucional; ISBN: 8589006069; Ano: 2002 Edição: 1. enviado em 29/10/2007 às 16:41:26

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Quesito: 2.2 Argumentação do candidato: No subitem 2.2, Acesso do auditor aos dados apenas para consulta, o candidato obteve apenas 3,60, dentro de uma faixa de valor de 0,00 a 6,00. Entretanto o candidato enfatiza com propriedade quando escreve em sua resposta : (linhas 28,29,30,31,32,33,34): “...Assim a auditoria aparece como elemento fiscalizador das atividades e processos, visando identificar os problemas e estabelecer comparações com os objetivos e metas definidos para a organização. Cabe então ao auditor executar o levantamento de dados, testes de conformidade para verificar a aderência às normas vigentes de segurança da informação. Dessa forma a atividade do auditor está restrita a coleta de informações, não podendo alterá-las.” as principais atividades da auditoria como o acesso do auditor aos dados apenas para consulta. Como nos informa [1] com relação à auditoria de TI: “…Most audit departments were formed by the companys audit committee (a subset of the board of directors) for the purpose of providing them with independent assurance that internal controls are in place and functioning effectively…. the auditors raise issues and provide only recommendations for addressing them. …” - tradução: A maioria dos departamentos são formados por comitês de auditoria da companhia (um subgrupo de um conjunto de diretores) com o propósito de provê-los com garantia de independência que os controles internos estão nos corretos lugares e funcionando efetivamente... os auditores levantam os problemas e proveêm apenas recomendações para solucioná-los...(embasamento técnico utilizado na resposta dada pelo candidato). Dessa forma o candidato, s.m.j., desenvolveu o tema proposto pela questão, com contundência e profundidade Em razão de todo o exposto, requer à ilustre Banca Examinadora o reexame da questão, e, conseqüentemente, da nota que lhe foi atribuída(obteve apenas 3,60, dentro de uma faixa de valor de 0,00 a 6,00). Referências Bibliográficas: [1] Davis, Chris; Schillerand, Mike; Wheeler , Kevin; IT Auditing: Using Controls to Protect Information Assets; McGraw-Hill 2007 enviado em 29/10/2007 às 17:6:35

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Quesito: 2.3 Argumentação do candidato: No subitem 2.3, Cumprimento das normas de segurança em TI , o candidato obteve 3,60 dentro de uma faixa de valor de 0,00 a 6,00. O candidato abordou o tema proposto, enfocando a importância do cumprimento das normas de segurança em TI, e citando as principais normas vigentes [1], os principais controles preconizados por elas, bem como as atividades de auditoria [2], como pode ser abstraído de sua resposta (linhas 7-20,43-50): “Com o intuito de auxiliar às corporações a estabelecer os controles mais adequados a sua realidade a ISO publicou a norma 17799 que versa sobre a gestão da Segurança da Informação (SI). Diversas práticas são preconizadas nessa norma, abordando aspectos organizacionais, como a elaboração de uma política de SI para a organização, aspectos operacionais e a gestão de ativos. Dessa forma, as corporações podem se valer das melhores práticas reconhecidas mundialmente para a implantação de gestão de SI... Existem inúmeros mecanismos de proteção de informações, dentre os quais se pode citar: processos de criptografia, esteganografia, estabelecimento de comunicações seguras, controle de acesso lógico e físico, planos de contingência e continuidade. Contudo, antes da aplicação de qualquer mecanismo de segurança da informação, é necessário classificá-la, estabelecendo níveis de criticidade da informação, com o objetivo de atribuir mecanismos mais adequados a cada categoria de informação... Dessa forma, a gestão de SI torna-se necessária para a correta aplicação dos mecanismos de segurança da informação. Através de seus processos de governança, pode-se alinhar corretamente o planejamento estratégico da empresa com a segurança da Informação.Dessa forma, os recursos de TI (pessoas, infra-estrutura, aplicativos e informação) podem ser utilizados de forma efetiva para o estabelecimento de mecanismos de segurança, garantindo a relação custo/benefício, o retorno do investimento, o acesso adequado, a conformidade e a plena utilização das informações”. Dessa forma o candidato, s.m.j., desenvolveu o tema proposto, enfocando-o com conhecimento técnico atualizado, abrangendo os seus aspectos mais relevantes. Em razão de todo o exposto requer a Douta Banca Examinadora a revisão da questão e da nota que lhe foi atribuída (obteve 3,60 dentro de uma faixa de valor de 0,00 a 6,00.) Referências Bibliográficas: [1] International Standards Organization - ISO-IEC 17799:2005 e ISO-IEC 27001:2005 - www.iso.org [2] Davis, Chris; Schillerand, Mike; Wheeler , Kevin; IT Auditing: Using Controls to Protect Information Assets; McGraw-Hill 2007 enviado em 29/10/2007 às 17:18:9

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P3 - Analista Controle Externo - Questão 1 Quesito: 2.3 Argumentação do candidato: O subitem 2.3, possui como requisito a ser avaliado: “Enfoque constitucional (art. 37, II) e competência do TCU diante da situação”, o que é conflitante com o solicitado na alínea c) da referida questão: “Com relação ao item 2 (admissão de pessoal sem a prévia aprovação em concurso público.) comente o enfoque constitucional (art. 37, II) e a competência do TCU diante dessa situação”. O candidato considerou para sua resposta apenas o que foi solicitado através da alínea c), não tendo expandido seus comentários para a situação referente ao ítem 01, como pode sugerir a formulação existente no requisito a ser avaliado. Assim, ao atender, tão somente ao que foi solicitado na questão (comentar o enfoque constitucional (art.37, II) e a competência do TCU diante da admissão de pessoal sem a prévia aprovação em concurso público), o candidato procurou resumir os aspectos fundamentais da questão ao escrever (linha 15): “A apreciação da admissão de pessoal na administração pública é competência constitucional do TCU, exceto nos casos de ocupação de cargo ou função comissionada (que não exigem aprovação em concurso público).”, o que sintetiza o entendimento contido nos art. 37, II e artigo 71, inciso III, da Constituição [1]: “II (art.37): a investidura em cargo público ou emprego público depende de aprovação prévia em concurso público... na forma prevista em lei, ressalvadas as nomeações para cargo em comissão declarado em lei de livre nomeação e exoneração;” “III (art. 71) - apreciar, para fins de registro, a legalidade dos atos de admissão de pessoal, a qualquer título, na administração direta e indireta, incluídas as fundações instituídas e mantidas pelo Poder Público, excetuadas as nomeações para cargo de provimento em comissão, bem como a das concessões de aposentadorias, reformas e pensões, ressalvadas as melhorias posteriores que não alterem o fundamento legal do ato concessório; Em razão do exposto, solicita-se a Insígne Banca a revisão da questão e da respectiva nota atribuída, considerando, s.m.j., que foram abordados pelo candidato os aspectos mais relevantes no que concerne a competência do TCU, uma vez que os dois artigos são concorrentes e disciplinam a matéria nas duas esferas de competência. Referência bibliográfica: [1] CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988 enviado em 29/10/2007 às 16:53:35

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Quesito: 2.4 Argumentação do candidato: No subitem 2.4, Trânsito de equipamentos computacionais objeto de controle específico, o candidato obteve apenas 3,60 dentro de uma faixa de valor de 0,00 a 6,00 possíveis. O candidato em sua resposta datalhou com embasamento técnico o trânsito de equipamentos computacionais objeto de controle específico como pode ser observado no trecho ora transcrito (linhas 35-42): “Com a evolução das tecnologias o perímetro de segurança das empresas teve que ser ampliado, em decorrência dos equipamentos portáteis que carregam informações relevantes das empresas e que podem servir de instrumentos para a disseminação de vírus, adwares, trojam, backdoors, dentro da corporação. Notebooks, pendrives e DVDs podem conter dados críticos para a missão da empresa, necessitando assim de segurança adicional. Essa segurança pode ser provida por senhas, SmartCards, biometria (digitais, identificação da íris, formato do rosto ...), dependendo da sensibilidade da informação.”. A abordagem do tema proposto pelo candidato está de acordo com os preceitos das normas [1] quando amplia o perímetro de segurança; quando considera a utilização de controles lógicos eficazes como “smartcards” ou PIN e biometria, conforme item 9.1.2 alínea c – “acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado e restrito às pessoas autorizadas; convém que sejam utilizados controles de autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;”; aplicação de controle de acesso de acordo com a sensibilidade da informação [2]. Tem-se a considerar que o recorrente logrou responder as considerações pertinentes e mais relevantes da questão. Em razão do exposto requer a Douta Banca, o reexame da questão e da nota que lhe foi atribuída (obteve apenas 3,60 dentro de uma faixa de valor de 0,00 a 6,00) Referências Bibliográficas: [1] International Standards Organization - ISO-IEC 17799:2005 e ISO-IEC 27001:2005 - www.iso.org [2] Tanenbaum, Andrew S.; Redes de computadores; 4 edição; capítulo 8 – Segurança de Redes]. enviado em 29/10/2007 às 17:5:43

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Quesito: 2.5 Argumentação do candidato: No subitem 2.5, Processos de governança, o candidato obteve 3,60 dentro de uma faixa de valor de 0,00 a 6,00. O candidato descreveu explicitamente os objetivos da governança de TI, os recursos envolvidos nesse processo como preconiza o modelo COBIT 4.1 [1] – “The IT resources identified in COBIT can be defined as follows:• Applications, Information, Infrastructure and People” - tradução - Os recursos de TI identificados no COBIT podem ser definidos como se segue: Aplicações, Informações, Infra-estrutura e Pessoas; a importância da governança na avaliação dos sistemas de segurança da informação, como pode ser observado a seguir (linhas 43-50): “Dessa forma, a gestão de SI torna-se necessária para a correta aplicação dos mecanismos de segurança da informação. Através de seus processos de governança, pode-se alinhar corretamente o planejamento estratégico da empresa com a segurança da Informação.Dessa forma, os recursos de TI (pessoas, infra-estrutura, aplicativos e informação) podem ser utilizados de forma efetiva para o estabelecimento de mecanismos de segurança, garantindo a relação custo/benefício, o retorno do investimento, o acesso adequado, a conformidade e a plena utilização das informações.”. Tem-se a considerar, por isso, que o ora recorrente logrou responder as considerações pertinentes e mais relevantes da questão. Em razão de todo o exposto, o impetrante requer à ilustre Banca Examinadora o reexame da matéria de fato e de direito, e, conseqüentemente, com a atribuição dos pontos perdidos. Referência Bibliográfica: [1] Control Objectives for Information and Related Technology (CoBIT) framework 4.1 – página 12; www.isaka.org enviado em 29/10/2007 às 15:6:18

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Questão 3 Quesito: 2.5 Argumentação do candidato: No subitem 2.5, Auditoria de segurança da informação no âmbito da auditoria de tecnologia da informação na administração pública da União, o candidato obteve 2,70 dentro de uma faixa de valor de 0,00 a 4,50. O candidato em sua resposta ao solicitado, no seguinte trecho (linhas 11-15): “Atualmente existe uma tendência mundial para a ampliação da prática de auditoria de TI nas empresas, pois é necessário garantir a conformidade, confidencialidade, integridade e disponibilidade de um dos ativos mais preciosos das instituições: a informação. A administração pública segue a mesma linha, uma vez que tais processos coadunam-se com os princípios fundamentais preconizados na Carta Magna nacional. Tendo acrescentado ainda (linhas 16-20): A utilização de metodologias como Cobit, ITIL e os padrões ISO 17799 e 27001 auxiliam na implantação de um Framework adequado a administração pública, pois preconizam práticas, processos e fatores críticos mais difundidos e comprovados internacionalmente. Com a adoção dos controles e práticas previstos na 17799 e na 27001 a realização da auditoria de segurança da informação torna-se mais eficaz pois já existem elementos para nortear tal atividade.”. Assim o candidato abordou as principais diretrizes [1], [2] e [3] de auditoria de segurança da informação, bem como as normas constitucionais e técnicas dessa atividade. Tem-se a considerar, por isso, que o candidato logrou responder com profundidade técnica os principais aspectos da questão. Em razão de todo o exposto, requer à ilustre Banca Examinadora a revisão da questão e da nota que lhe foi atribuída (obteve apenas 2,70 dentro de uma faixa de valor de 0,00 a 4,50.) Referências Bibliográficas: [1] International Standards Organization - ISO-IEC 17799:2005 e ISO-IEC 27001:2005 - www.iso.org [2] Control Objectives for Information and Related Technology (CoBIT) framework 4.1 – página 12; www.isaka.org [3] Information Technology Infrastructure Library - ITIL - Office for Government Commerce - http://www.best-management-practice.com/ enviado em 29/10/2007 às 17:26:47

Cargo: Analista de Controle Externo — área: Controle Externo — especialidade: Controle Externo — orientação: Auditoria de Tecnologia da Informação Prova: Prova Discursiva P4 - Analista Controle Externo — área: Controle Externo — especialida: Controle Externo — orientação: Auditoria Tecnologia da Informação - Redação Quesito: 2.6 Argumentação do candidato: No subitem 2.6, Partes interessadas, o candidato obteve 3,60 dentro de uma faixa de valor de 0,00 a 6,00. No entanto, o candidato cita claramente as principais partes interessadas na avaliação da segurança da informação em uma organização: “. Nesse processo é de fundamental importância o apoio da alta administração, bem como dos gerentes de processo e de tecnologia da informação. Cabe ressaltar que a disseminação das práticas dentro da organização, bem como a efetiva execução de todos os funcionários são fatores críticos para o sucesso da gestão.”, de acordo com as normas [1]. Assim o candidato, s.m.j. conseguiu incluir em sua resposta as principais considerações pertinentes ao tema proposto, fazendo-o dentro de conceitos originados da moderna administração. Assim, solicita a Douta Banca Examinadora o reexame da questão e da nota que lhe foi atribuída (obteve apenas 3,60 dentro de uma faixa de valor de 0,00 a 6,00). Referências Bibliográficas: [1] International Standards Organization - ISO-IEC 17799:2005 e ISO-IEC 27001:2005 - www.iso.org enviado em 29/10/2007 às 17:33:22