RELATÓRIO DE AUDITORIA ESPECIAL Nº 201503830– VERSÃO FINAL.
RAZÕES PARA REALIZAÇÃO DA AÇÃO
O processo de Suprir Bens e Serviços
assume importância considerável no atual
contexto de melhorias nas contratações da
Petrobras. Essas melhorias passam por uma
maior automação e melhor rastreabilidade
do processo de compras e aquisições. Este
trabalho contribuiu para um melhor
entendimento do sistema Petronect e do seu
potencial de suporte aos desafios
apresentados no contexto pós-Lava Jato.
UNIDADES AUDITADAS Petróleo Brasileiro S/A-PETROBRAS
Procurement Negócios Eletrônicos S.A.
UNIDADE EXECUTORA
DIENE/DI/SFC/CGU-PR
REVISÃO/SUPERVISÃO
DIENE/DI/SFC/CGU-PR
Auditoria Auditoria Auditoria Auditoria dos Resultados da Gestãodos Resultados da Gestãodos Resultados da Gestãodos Resultados da Gestão ---- PETROBRASPETROBRASPETROBRASPETROBRAS
Sistema Sistema Sistema Sistema PetronectPetronectPetronectPetronect
I. ESCOPO DO TRABALHO
O presente trabalho de auditoria teve por escopo a utilização da solução
tecnológica que suporta o Cadastro Corporativo e as Compras e Aquisições eletrônicas
realizadas pela Petrobras. Essa solução constitui-se de um portal acessível pela
Internet, denominado Petronect, que utiliza tecnologia SAP SRM e é uma parceria da
e-Petro (subsidiária Petrobras) com a empresa de software SAP do Brasil Ltda. e a
consultoria Accenture Ltda., sob a forma de uma sociedade anônima de capital fechado
chamada Procurement Negócios Eletrônicos SA.
Os objetivos abrangeram os seguintes aspectos:
� Avaliação das informações do Cadastro Corporativo de Fornecedores, com ênfase
no suporte recebido pelo sistema Petronect;
� Avaliação das informações do processo de Compras e Aquisições via Petronect,
incluindo lançamento de oportunidades, tratamento e escolha de fornecedores.
II. CONCLUSÕES
Em resumo, as análises realizadas pela equipe de auditoria da CGU sobre o
sistema Petronect permitem concluir que:
a) A utilização do portal Petronect, enquanto suporte para os processos do Cadastro
Corporativo e Compras e Aquisições, vinculados ao macroprocesso de Suprir
Bens e Serviços, contribui para o processo de compras e contratação na Petrobras,
tendo como pontos positivos a facilidade de integração com o sistema de gestão
corporativo já existente, o potencial de aumentar a integração das aquisições
realizadas pelas empresas do Grupo Petrobras e a rastreabilidade do processo de
compras;
b) Há insuficiência de normativos sobre a utilização do Portal Petronect como
solução tecnológica e ferramenta do macroprocesso de Suprir Bens e Serviços.
Esse aspecto compromete o desafio de ampla utilização da ferramenta pelas áreas
de compras da companhia;
c) Foram detectadas oportunidades de melhorias tanto do lado da solução tecnológica
empregada, quanto da condução dos processos de cadastro e de compras. Em
especial, essas melhorias visam a mitigar os riscos relacionados à segurança da
informação, gestão de perfis de acessos, preenchimento coerente de campos de
oportunidades, reavaliação cadastral e fracionamento de despesas;
d) Há fragilidades no arranjo institucional responsável pelo sistema, o que favorece a
contratação direta e recorrente dos mesmos fornecedores (SAP e Accenture). Essa
situação submete a Petrobras a risco legal, seguindo interpretações do TCU sobre
contratações de coligadas ou controladas para fornecimento direto de serviços de
tecnologia.
Controladoria-Geral da União
Secretaria Federal de Controle Interno
12 de setembro de 2016
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
1
Unidade Auditada: Petróleo Brasileiro S/A
Exercício: 2015
Processo: 00190.007036/2015-19
Município: Brasília - DF
Relatório nº: 201503830
UCI Executora: SFC/DI/DIENE - Coordenação-Geral de Auditoria das Áreas de
Minas e Energia
_______________________________________________ Análise Gerencial
Por meio deste relatório, apresentam-se os resultados do trabalho de Avaliação dos
Resultados da Gestão na Petróleo Brasileiro S/A, com enfoque nos serviços prestados pela parte
relacionada Petronect, atuando como solução tecnológica no macroprocesso de Suprir Bens e
Serviços. Esse trabalho foi realizado de acordo com os preceitos contidos na Ordem de Serviço n.º
201503830 e em atendimento ao inciso II do Art. 74, da Constituição Federal de 1988, de acordo
com o qual cabe ao Sistema de Controle Interno: “comprovar a legalidade e avaliar os resultados,
quanto à eficácia e eficiência, da gestão orçamentária, financeira e patrimonial nos órgãos e
entidades da administração federal”. Em especial, atendendo também ao objetivo institucional da
CGU de “aperfeiçoar e intensificar a atuação nas empresas estatais”.
1. Introdução
O presente trabalho foi realizado no período de 01/07/2015 a 29/02/2016, remotamente
em Brasília - DF, por meio do envio de informações e bases de dados pela área auditada, localizada
na cidade do Rio de Janeiro. O escopo abrangeu a utilização da solução tecnológica que suporta o
Cadastro Corporativo e as Compras e Aquisições eletrônicas realizadas pela Petrobras.
Essa solução constitui-se de um portal acessível pela Internet, denominado Petronect,
que utiliza tecnologia SAP SRM e é uma parceria da e-Petro (subsidiária Petrobras) com a empresa
de software SAP do Brasil Ltda. e a consultoria Accenture Ltda., sob a forma de uma sociedade
anônima de capital fechado chamada Procurement Negócios Eletrônicos SA. Esse tipo de
associação para explorar atividade de e-procurement é comum na indústria petrolífera, a exemplo
da empresa Trade Ranger, que integra as companhias Shell, BP, Amoco, Statoil, dentre outras.
Esse tipo de portal, enquadrado como um e-marketplace, tem o objetivo de reunir, no contexto de
negócios do grupo Petrobras, compradores e fornecedores com o intuito de comercialização de
bens e serviços.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
2
Esse sistema, que faz parte do macroprocesso de Suprir Bens e Serviços, custou em
2015 cerca de R$ 35 milhões, transacionando cerca de 350 mil pedidos e R$ 50 bilhões no mesmo
ano, contando com 186 mil empresas registradas e permeando 38% das áreas de compras da
Petrobras Holding, além de 17 empresas do grupo e nove unidades internacionais.
O portal provê, principalmente, soluções para o Cadastro Corporativo e para compras
e aquisições de bens ou serviços para a Petrobras e suas subsidiárias, contratando diretamente a
Petronect para esse provimento. Mais detalhes sobre esses serviços são apresentados nas seções
informativas deste relatório (Informação 1.1.1.1 e 1.1.1.2). As demais seções apresentam,
respectivamente, resumo dos achados sobre esses dois contextos (Resultados dos Trabalhos e
Conclusão) e os detalhes dos fatos encontrados (Constatações).
2. Resultados dos trabalhos
A abordagem adotada pela CGU objetivou responder às seguintes questões de
auditoria:
1. As informações constantes no Cadastro de Fornecedores são suportadas por
evidências documentais que refletem a realidade da situação econômica, financeira e
operacional das empresas?
Foi verificado em visita à Petronect que não existe documentação física, toda a
comprovação das informações de cadastro de fornecedores é enviada e mantida em formato
digital, sendo avaliada dessa forma. Sobre o risco de as informações do cadastro não
refletirem a realidade dos fornecedores, os registros da base de dados encaminhada
mostram que são realizadas revisões anuais, com requalificação da situação dos
fornecedores. Contudo, há fragilidades na retroalimentação do processo com relação às
avaliações de desempenho da execução contratual (tratado no item 1.1.1.6).
2. As filiais das empresas cadastradas possuem cadastro independente?
Segundo resposta da Petrobras, "o cadastro de empresas para a maioria dos itens de
serviços corporativos é centralizado na matriz e abrange todas as filiais"
(MATERIAIS/REL/CRC 0001/2015). Para uma lista específica de itens, no entanto, o
cadastro de filiais deverá ser feito no local de fornecimento. A Petrobras informa que para
esses casos "é necessário que ambas estejam cadastradas e atendam a todos os requisitos
obrigatórios referentes aos Critérios Técnico, SMS, Gerencial, Legal e Econômico." Para
o Certificado de Registro no Cadastro Corporativo (CRCC), a companhia afirma também
que “dependendo do tipo de registro (Cadastro Corporativo ou Cadastro Simplificado) e
do tipo de fornecedor (fabricante de bens ou prestador de serviços), as filiais das empresas
podem possuir cadastros independentes”. Já para os casos de Cadastro Simplificado “todas
as filiais são avaliadas independentemente, tanto para fabricantes de bens como para
prestadores de serviço”.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
3
3. Há procedimentos que prevejam o escopo de utilização do Petronect?
Não há normatização que oriente a utilização do portal, mas apenas um padrão que regula
o processo geral de contratação, servindo de detalhamento ao Decreto 2745/98. Esse risco
da ausência de normatização está sendo tratado na constatação 1.1.1.3 deste relatório.
4. Todos os contratos vigentes foram celebrados mediante o uso do Petronect?
Não. A Petrobras informou que o percentual de utilização do Petronect é 39% dos valores
transacionados e de 88% das quantidades de aquisições de Bens e Serviços. A utilização
do Petronect ainda não alcançou a totalidade das áreas de compras da companhia, sendo
que apenas 38% possuem registro de uso da ferramenta no período de 2013-2015.
5. Todas as empresas contratadas constam do Cadastro de Fornecedores?
Não. Foram detectadas contratações, vigentes no período de 2014 até 05/2015, com
fornecedores com situação “não aprovada”, ou seja, “qualificado tecnicamente” ou
“reprovado” no cadastro corporativo. Esse ponto será abordado em no item 1.1.1.7 deste
relatório.
6. O Sistema de Consequências é alimentado com informações oriundas da gestão dos
contratos, sendo utilizado para reavaliar a situação cadastral do fornecedor?
Não. Em análise ao processo de reavaliação do cadastro de fornecedores, detalhado no item
1.1.1.6 deste relatório, verificou-se que não há previsão de o mesmo ser sensibilizado pelas
informações oriundas dos Boletins de Avaliação de Desempenho (BAD).
7. Quando do cadastramento de uma oportunidade, há controle sobre a completeza dos
dados inseridos e se todas as empresas participantes têm acesso às mesmas
informações em tempo hábil e sem desequilíbrio de vantagem competitiva?
Foi verificada a existência de oportunidades com dados incompletos, dificultando a
rastreabilidade do processo de compras, conforme abordado no item 1.1.1.7 deste relatório.
Foi visto também que o mecanismo de Sala Colaboração atende às necessidades de troca
de informações entre os fornecedores de forma isonômica.
8. As autorizações para instauração dos processos de contratação na ferramenta
obedecem ao limite de competência pertinente?
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
4
Não foi possível responder a essa questão, pois a atividade de autorização dos processos
operacionalizados pela ferramenta Petronect acontece fora do ambiente da ferramenta, com
a utilização de comunicação tradicional (memorandos, e-mails) entre os operadores da área
de compras e o gerente responsável. Notou-se que essa documentação fica disponível na
solução de Pasta Eletrônica, mas ressalta-se o risco desses dados não estarem na
ferramenta, que conta com estrutura de consulta e rastreabilidade que facilita o controle.
Um agravante dessa questão é a inexistência de segregação de funções na publicação de
oportunidades no portal. Essas questões serão retomadas no item 1.1.1.7 deste relatório.
9. A fase de Classificação das propostas é realizada de forma isonômica e com base em
critérios objetivos que permitam ganhos de escala, economicidade e eficiência?
Como a questão anterior, não foi possível firmar opinião sobre essa fase, pois a
classificação é feita fora da ferramenta, com base em planilhas extraídas do portal, não
existindo marcação no sistema sobre quem foi o fornecedor vencedor do certame, ou como
se deu esse processo. Novamente, esse processo fica disponível no sistema de Pasta
Eletrônica, que agrega toda a documentação que é transitada entre as esferas de decisão.
Aqui, destaca-se a exposição ao risco operacional relacionado à necessidade de se
manipular duas ferramentas para se rastrear o processo, sem esquecer que isso favorece
também o risco atrelado a comportamentos não aderentes aos padrões éticos da companhia.
Segundo a Petrobras “quando há preço registrado diretamente na ferramenta, a mesma
apresenta solução para classificação e divulgação do resultado. Quando o registro de
preço é feito através de planilha, a ferramenta não classifica e a identificação do vencedor
é gerada manualmente fora da ferramenta”.
10. Existem mecanismos que assegurem a gestão adequada da segurança da informação
do sistema Petronect, em especial, perfis de acessos, rastreabilidade de transações e
disponibilidade da infraestrutura?
Restou evidenciado que, apesar do portal Petronect ser desenvolvido sob uma plataforma
tradicional no mercado corporativo (SAP), há fragilidades no processo de gestão da
segurança da informação, em especial na gestão de usuários, acessos e na rastreabilidade
de transações, pontos tratados nos itens 1.1.1.4 e 1.1.1.5 deste relatório. Sobre a
disponibilidade da infraestrutura, convém mencionar que a Petronect usa os recursos da
própria Petrobras para hospedar suas soluções, conforme contrato de rateio de custos.
11. Existem mecanismos para coibir o fracionamento de despesas no Petronect?
Não foram detectados mecanismos de inibição do fracionamento de valores nas
oportunidades, apesar de a Petrobras afirmar que “mantém rotina de verificação de
conformidade desenvolvida em 09/2015 com aplicação retroativa a 06/2014, a qual busca
identificar possíveis casos de fracionamento”. A companhia chega a informar que está em
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
5
estudo criação de relatórios de acompanhamento. Reforçando essa necessidade, foram
encontradas oportunidades registradas como dispensa ou pequenos serviços, realizadas no
período 2014-2015, enquadráveis como fracionamento de despesas, tendo-se como base a
divisão de valores para evitar ultrapassar o valor de R$ 160.000, limite para processo
licitatório. Essa questão é abordada no item 1.1.1.8 deste relatório.
3. Conclusão
Verificou-se, por meio do presente trabalho, que a utilização do portal Petronect,
enquanto suporte para os processos do Cadastro Corporativo e Compras e Aquisições, vinculados
ao macroprocesso de Suprir Bens e Serviços, contribui para a eficiência e eficácia do processo de
compras e contratação na Petrobras, tendo como pontos positivos a facilidade de integração com
o sistema de gestão corporativo já existente, o potencial de aumentar a integração das aquisições
realizadas pelas empresas do Grupo Petrobras e a rastreabilidade do processo de compras.
Entretanto, ainda carece de melhorias tanto do lado da solução tecnológica empregada, quanto da
condução dos processos de cadastro e de compras. Em especial, essas melhorias visam a mitigar
os riscos relacionados à segurança da informação, gestão de perfis de acessos, preenchimento
coerente de campos de oportunidades, reavaliação cadastral e fracionamento de despesas.
Adicionalmente, os achados deste trabalho buscam contribuir para uma percepção
melhorada do nível de exposição da Petrobras a diversos fatores de risco. O quadro abaixo resume
a quantidade desses achados, correlacionando-os com os fatores de risco anunciados pela Petrobras
formalmente ao mercado:
Quadro: Fatores de risco e quantidade de constatações
Fator de Risco
Qtd. de Constatações
associadas
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
06
A Petrobras está sujeita a diversos regulamentos ambientais, de saúde e
de segurança e aos padrões da indústria e quanto à forma de contratação
adotada pela Companhia os quais estão se tornando mais rigorosos.
01
A Petrobras conta com fornecedores e prestadores de serviços para o
fornecimento de peças, componentes, serviços e recursos críticos
necessários para a operação dos negócios.
01
Fonte: Montado com base no Formulário de Referência v. 13 de 2014.
Por fim, destaca-se que há fragilidades no processo de contratação da Petronect pela
Petrobras, tanto no tocante ao provimento da plataforma, como na prestação de serviços de suporte
às áreas de compras utilizadoras do portal. Essas fragilidades aumentam a exposição do
macroprocesso de Suprir Bens e Serviços ao risco de ilegalidade, dificultando a adoção em
andamento de práticas de boa governança e compliance no processo de cadastro de fornecedores
e de contratação como um todo.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
6
Brasília/DF, 15 de setembro de 2016.
Relatório supervisionado e aprovado por:
_____________________________________________________________
Coordenador-Geral de Auditoria das Áreas de Minas e Energia
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
7
_______________________________________________ Ordem de Serviço nº 201503830
1 GESTÃO OPERACIONAL
1.1 Avaliação dos Resultados da Gestão
1.1.1 Achados de Auditoria
1.1.1.1 INFORMAÇÃO
Contextualização sobre o Módulo de Compras e Contratações do sistema Petronect.
Fato
No contexto do macroprocesso de suporte Suprir Bens, Serviços e Infraestrutura, a
Petrobras faz uso do Portal de Compras Eletrônicas Petronect (Procurement Negócios Eletrônicos
S.A.), como forma de operacionalizar parte de suas compras de bens e serviços. Esse portal utiliza
tecnologia SAP/SRM e é uma parceria da e-Petro (subsidiária Petrobras) com a empresa de
software SAP do Brasil Ltda. e a consultoria Accenture Ltda., sob a forma de uma sociedade
anônima de capital fechado chamada Procurement Negócios Eletrônicos SA.
Em termos de infraestrutura, a Petronect não conta com instalações de hospedagem de
seus softwares, utilizando para isso o parque tecnológico da Petrobras via contrato de rateio de
custos. A força de trabalho é terceirizada da sócia Accenture Ltda. e das prestadoras de serviços
Protemp, Sonda Procwork e MSP Brasil, sendo que há alguns empregados da própria Petrobras
que exercem funções de chefia e direção.
Em termos de constituição societária, 72% da Petronect pertencem à Petrobras
Negócios Eletrônicos S.A. (e-Petro), 17% à SAP do Brasil Ltda. e 11% à Accenture Ltda. Em
especial, a e-Petro, segundo suas demonstrações contábeis de 2014:
“(...) é uma sociedade por ações de capital fechado controlada da Petróleo Brasileiro SA
– Petrobras, com sede na cidade e Estado do Rio de Janeiro. A Sociedade foi constituída
em 12 de abril de 2002, e tem como objeto principal a participação no capital social de
outras sociedades que desenvolvam atividades na internet ou outros meios eletrônicos,
provendo serviços eletrônicos, gerência de portais e outros aplicativos, principalmente
relacionados ao segmento de petróleo e petroquímica.
A Sociedade foi constituída com o objetivo de atender às necessidades das operações e o
plano de negócios do seu acionista controlador Petróleo Brasileiro S.A. – Petrobras, sendo
suas operações substancialmente realizadas com empresas do Sistema Petrobras.”
Enquanto solução de negócios eletrônicos para o grupo Petrobras, o portal Petronect
possui diversas funcionalidades: Cadastro de Fornecedores, Compras e Contratações, Pagamentos
e Diligenciamento de Itens Críticos, dentre outros. Para fins desse trabalho, foram avaliados os
módulos de Cadastro de Fornecedores e Compras e Contratações. Esses módulos são essenciais
para o processo de contratação da companhia e das unidades e subsidiárias que utilizam a mesma
solução. Atualmente são usuárias dessas soluções diversas empresas do grupo, com destaque para
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
8
Petrobras Holding, BR Distribuidora, Transpetro, Liquigás, PROANI, Petrobras UN-COL, TBG,
dentre outras nacionais e internacionais, sendo que a ferramenta está disponível em português,
inglês e espanhol.
A plataforma conta atualmente com 402.798 usuários registrados, 186 mil empresas
registradas, recebendo 357 mil pedidos em 2015 e alcançando cerca de R$ 50 bilhões em valor
transacionado no mesmo ano. O Gráfico abaixo demonstra melhor a materialidade do portal
Petronect ao longo do tempo:
Gráfico - Números do Portal de Compras e Contratações
Fonte: Disponível publicamente em https://www.petronect.com.br/irj/go/km/docs/
pccshrcontent/Treinamentos Forn/MT-21-0-00001-1-apresentacaoinstiticional.pdf
Em mais detalhes, um processo típico de compra se inicia com a identificação da
necessidade pela área demandante da Petrobras, que, em seguida, encaminha para a área de
compras lançar a oportunidade via portal, para que os fornecedores pré-selecionados visualizem e
resolvam declinar ou enviar um lance de preço para suprir a necessidade. Em consulta ao sistema,
foram identificados 27 tipos de oportunidades, com destaque para Dispensa, Convite com um
envelope, Convite com dois envelopes e Convite com Demonstrativo de Formação de Preços
(DFP), sendo as demais variações sobre esses principais. Cada tipo de oportunidade possui um rito
próprio de condução na ferramenta de compras, incluindo um método de julgamento de propostas
e documentos anexos ao portal. Convém lembrar que o Petronect atende, em maior quantidade,
pequenas e médias compras e contratações, além de, em menor escala, grandes serviços de
construção e montagem. A figura a seguir resume esse fluxo de compras e contratações envolvendo
atividades da Petrobras e da Petronect:
Figura – Macro Fluxo – Compras e Contratações
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
9
Fonte: Disponível publicamente em https://www.petronect.com.br/irj/go/km/docs/
pccshrcontent/Treinamentos Forn/MT-21-0-00001-1-apresentacaoinstiticional.pdf
A parte decisória do processo de compra é feita fora do portal Petronect, envolvendo
troca de mensagens entre a área requisitante e a área de compras responsável, com destaque para
a seleção dos fornecedores que já chega pronta para lançamento da oportunidade. Esses
documentos são consolidados usando o recurso de Pasta Eletrônica, uma ferramenta que agrega
os artefatos produzidos ao longo do processo de compra, gerados no Petronect ou não.
A comunicação com os fornecedores nas diversas etapas é feita de duas formas
básicas: (i) via e-mail, quando o sistema avisa que foi lançada uma oportunidade para aquela
empresa; e (ii) via Sala de Colaboração, uma ferramenta do portal usada durante o processo de
licitação, em que fornecedores e compradores da Petrobras trocam informações sobre a
oportunidade, com destaque para o envio das propostas e as negociações de preço, prazos e formas
de entrega. Esse recurso conta com um espaço público, em que são disponibilizadas informações
para todos os interessados nas oportunidades, e um espaço reservado, em que são trocadas
informações com as empresas sobre as propostas em fase de sigilo.
O envio das propostas no portal é feito diretamente no site ou por meio do
preenchimento de planilhas anexas à oportunidade e posterior encaminhamento pelo site. De posse
dos preços, a área de compras procede à análise e classificação dos fornecedores, as quais são, em
seguida, publicadas via Sala de Colaboração.
Posteriormente, o contrato relativo à aquisição é assinado, já no sistema corporativo
(SAP ERP), e acompanhado por meio de outros sistemas da companhia. O processo do Petronect
finaliza antes da assinatura do contrato, embora possa haver negociações dos termos do ajuste
ainda via Sala de Colaboração. Cabe informar que, embora esteja na pasta eletrônica do processo,
a identificação da empresa ganhadora não consta no sistema de forma explícita, apenas as cotações
de todas as participantes.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
10
Em comparação com o montante contratado no Grupo Petrobras, a Petronect responde
em média por 72% da quantidade contratada e 29% do volume de negócios. Nos últimos cinco
anos, nota-se que há tendência de aumento nesses percentuais de participação, como pode ser
mostrado nos gráficos a seguir:
Gráfico da participação no volume financeiro de oportunidades lançadas via Petronect versus
total movimentado pela Petrobras
Fonte: Equipe de auditoria com base em respostas de solicitações de auditoria
Gráfico da participação na quantidade de processos de oportunidades realizadas via Petronect
versus total movimentado pela Petrobras.
Fonte: Equipe de auditoria com base em respostas de solicitações de auditoria
Mesmo com a tendência de aumento da participação da quantidade e no valor das
compras da Petrobras, cabe destaque o baixo percentual de utilização do Petronect pelas áreas de
compras da companhia. Dos 223 setores de compras, somente 95 (43%) possuem cadastro no
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
2009 2010 2011 2012 2013 2014 2015 2016
% Q
td.
Ano
Evolução do percentual de participação das oportunidades
Petronect comparando-se com a valor total movimentado
pela Petrobras.
0%
20%
40%
60%
80%
100%
2009 2010 2011 2012 2013 2014 2015 2016
%
Ano
Evolução do percentual de participação das oportunidades Petronect comparando-se com o quantidade movimentada
pela Petrobras
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
11
sistema (código SRM), sendo que, entre esses, 85 (38%) possuem registro de efetivo lançamento
de oportunidades no período de 2013 a 2015. Por outro ângulo, e em termos de utilização,
constatou-se que 93% das oportunidades lançadas no período de 2013 a 2015 foram originadas de
18 organizações de compras da Petrobras, com destaque para as unidades EP CORP CBS
PETRONECT (E&P) e MM-PETRONECT REFINO (Abast.), com 67% desse total. Esses
números demonstram que, além da baixa penetração nos setores de compra (menos da metade), há
também forte concentração, sendo que apenas 8% desses setores lançaram 93% das oportunidades
do período analisado.
Com relação aos tipos de processo de aquisição, verificou-se, na base de informações
do período de 2013 a 2015, que o portal é basicamente usado para processos de Dispensa,
conforme o quadro abaixo:
Tabela – Distribuição percentual de oportunidades lançadas em 2013-2015.
Tipo de Processo % de oportunidades
Dispensa 90,8%
Convite 7,4%
RFI (Request for Information) 1,4%
Outros 0,2%
Fonte: Equipe de auditoria com base em respostas de solicitações de auditoria.
##/Fato##
1.1.1.2 INFORMAÇÃO
Contextualização sobre o Módulo de Cadastro de Fornecedores do sistema Petronect.
Fato
O Módulo de Cadastro de Fornecedores do sistema Petronect permite o registro de
empresas que desejam participar dos processos de compras e contratações do Sistema Petrobras,
que inclui a Petrobras Holding e as outras empresas ou unidades que aderiram à plataforma
eletrônica de aquisições. Segundo informações do portal, pode se cadastrar “toda empresa
brasileira prestadora de serviços ou fornecedora de materiais disponíveis na lista de bens e
serviços da Petrobras”, incluindo “empresas estrangeiras fornecedoras de materiais disponíveis
na lista de bens da Petrobras”1.
A empresa também deve escolher o tipo de cadastro do qual pretende participar, se
corporativo ou simplificado. Como Cadastro Corporativo, para os itens de maior complexidade
técnica, entende-se o “fornecimento de bens e/ou serviços de interesse corporativo, de grande
porte, maior complexidade ou valor”, enquadrando-se também os bens que do tipo “RQT
(Requerem Qualificação Técnica), que são equipamentos, materiais de consumo, máquinas ou
1 Disponível em
http://www.petronect.com.br/irj/portal/anonymous?NavigationTarget=navurl://f96ef7c06142b500758ec49025
8e3fa5
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
12
ferramentas cuja complexidade exige requisitos específicos de fabricação”. No caso do Cadastro
Simplificado, para itens de baixa complexidade técnica, entende-se o fornecimento de
“equipamentos, materiais de consumo, máquinas ou ferramentas que não possuem requisitos
específicos de fabricação”, sendo necessário informar qual a unidade de fornecimento, indicando
cidade ou estado. Em se tratando de filiais, seu cadastro é centralizado na matriz, com exceção de
alguns materiais e serviços específicos que exigem cadastro na unidade para fornecimento local.
Ao se cadastrar, a empresa escolhe os bens ou serviços que pretende fornecer. Os bens
disponíveis são divididos em Segmentos e Famílias. Atualmente, existem 19 segmentos ativos e
1.989 famílias de bens disponíveis para fornecimento, sendo que 1.752 famílias são vinculadas ao
Cadastro Corporativo e 237 ao Simplificado (especificamente a família “Suprimento para Registro
Local”). Para o caso de serviços, há 14 segmentos, que agregam 2.484 famílias, sendo que a
maioria está relacionada com “Serviços de Registro Local”, relacionados aos fornecedores do tipo
simplificado.
O Cadastro Corporativo divide seus participantes em quatro categorias: Prestador de
Serviços, Fabricante Comerciante, Fabricante Não Comerciante e Revendedor/Distribuidor. Já o
Cadastro Simplificado divide-se em Prestador de Serviços e Fornecedor de Bens. O Quadro a
seguir detalha as definições de cada categoria:
Quadro – Categorias dos Cadastros Corporativos e Simplificados
Tipo Cadastro/Categoria Definição Cadastro Corporativo
Prestador de Serviços Presta serviços de grande complexidade e/ou executa
obras de grande porte (serviços corporativos). Não
aplicável a fornecedor estrangeiro
Fabricante Comerciante Produz materiais na unidade cadastrada e os comercializa
diretamente com a Petrobras.
Fabricante Não Comerciante Produz materiais na unidade cadastrada e NÃO
comercializa diretamente com a Petrobras. Nesse caso, a
comercialização será realizada através de
Revendedor/Distribuidor.
Revendedor/Distribuidor Comercializa os materiais produzidos por terceiros,
devidamente credenciado por este.
Cadastro Simplificado
Prestador de Serviços Presta serviços interesse local, de menor porte,
complexidade ou valor (serviços simplificados).
Fornecedor de Bens Produz e/ou comercializa materiais de interesse da
Petrobras.
Fonte: Anexos do GAPRE 333/2015
Após a identificação do fornecedor é iniciada a fase de avaliação, que pode ser
documental ou presencial, sendo relacionada a cada família de bens ou serviços que a empresa
deseja fornecer. A avaliação documental é realizada por meio dos questionários preenchidos pela
empresa no momento da identificação, seguidos da documentação digitalizada e disponibilizada
no sistema. Segundo a Petrobras, esses “questionários são compostos por um ou vários
indicadores, que agrupam os requisitos de acordo com o assunto que se relacionam”. A avaliação
presencial, obrigatória para determinados fornecimentos, consiste na “avaliação nas instalações
da empresa, realizada por uma equipe especializada de profissionais”, sendo em seguida
“atribuídas notas e comentários para cada item de fornecimento e requisito avaliados”. Os
critérios de avaliação utilizados, conforme o tipo de fornecedor, são mostrados na figura abaixo,
destacando-se que para o cadastro simplificado são usados somente os critérios Técnico e Legal:
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
13
Quadro – Critérios de Avaliação por Tipo de Fornecedor
Fonte: Anexos do GAPRE 333/2015
Em complemento, para as empresas do Cadastro Corporativo que requerem
qualificação técnica para produto a ser adquirido, são realizadas inspeções de fabricação,
diretamente na planta do fornecedor. Essas inspeções consistem em verificar se os produtos
fabricados estão conforme as especificações contratuais, sendo distribuídas nos tipos A (inspeção
final sem testes), B (inspeção final com testes), C (Acompanhamento de fabricação), L (Livre de
inspeção) e Z (incumbência da unidade requisitante). A atribuição do tipo de inspeção é feita por
meio do agrupamento dos bens em famílias de materiais, seguindo critérios de complexidade,
ineditismo, criticidade, qualidade e custo.
Os resultados do processo de avaliação dos fornecedores contemplam as notas dos
quesitos que compõe cada critério, sendo possível assumir, para cada família, os tipos Aprovado
(A), Qualificado Tecnicamente (Q), Reprovado (R) e Cancelado (C). O status “A” significa que o
fornecedor obteve nota satisfatória em todos os critérios necessários; o status “Q” é atribuído aos
fornecedores que foram aprovados apenas nos critérios técnicos (Técnico, SMS e Gerencial); o
status “R” é atribuído aos itens de fornecimento que não obtiveram nota satisfatória nos critérios
técnicos e o status “C” diz respeito aos itens cancelados por solicitação na empresa ou por
definição da Petrobras. Para o Cadastro Corporativo, as empresas que tiveram conceito “A”
recebem o Certificado de Registro no Cadastro Corporativo (CRCC), a ser utilizado no
fornecimento de bens e serviços. Este certificado tem validade de um ano, com solicitação de
renovação até 60 dias antes do vencimento.
Para operar no sistema Petrobras, o CRCC é exigido para os fornecedores do tipo
“Fabricante Comerciante”, “Revendedor/Distribuidor” e “Prestador de Serviços”. O tipo
“Fabricante não Comerciante” terá seus produtos comercializados pelo
“Revendedor/Distribuidor”, sendo deste exigido o CRCC. Convém destacar que as empresas com
conceito Q não receberão CRCC enquanto não resolverem as pendências nos critérios Econômico
e/ou Legal.
Por sua vez, para o Cadastro Simplificado, os fornecedores recebem uma Declaração
de Registro Simplificado (DRS), com a mesma validade do CRCC, sendo emitida apenas para os
que receberam o conceito “A”.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
14
De forma complementar, os prestadores de serviços do Cadastro Corporativo são
agrupados também por Grupo Jurídico (A, B e C), considerando-se o agregado das notas da
avaliação técnica e do critério econômico.
Essas avaliações para efeito de CRCC e DRS são realizadas, na sua maioria, por
empresas terceirizadas. Como exemplo, citam-se as empresas Falcão Bauer, para o critério técnico
e SMS de prestadores de serviços, e Bureau Veritas, para o critério econômico e legal. Somente
para essas empresas a Petrobras dispendeu cerca de R$ 9 milhões nos últimos dois anos.
Na opinião da equipe de auditoria, o fato de o critério técnico ser avaliado por empresa
terceirizada pode representar custo em demasia e aumento de riscos operacionais, pois ninguém
melhor do que a própria Petrobras para entender as especificidades do seu próprio negócio. Essa
questão foi submetida à Petrobras que reportou estar migrando as avaliações técnicas para seu
próprio pessoal, como pode ser visto na figura a seguir:
Gráfico da evolução da substituição de terceirizados por empregados Petrobras nas avaliações
do critério Técnico.
Fonte: Resposta a solicitação de auditoria.
Nota-se pelo gráfico que a substituição está em andamento e já apresenta resultados.
Em outra resposta, detalhando esse gráfico, foi explicado que, em jan/2014, havia 8 empregados
Petrobras e 20 prestadores de serviços; já, em jan/2016, esses números se inverteram para 25
funcionários da Petrobras e 4 prestadores de serviços. Segundo outra resposta da companhia, a
Petrobras já realiza 100% das avaliações técnicas de prestadores de serviço, enquanto que as
avaliações técnicas de fornecedores de bens ainda estão sendo feitas por empresa terceirizada
(Falcão Bauer), sendo os mais críticos realizados por empregados da Petrobras.
Vencida a etapa da avaliação cadastral, tem-se que, ao longo da relação contratual com
o fornecedor, a Petrobras realiza outra avaliação, em que mensura o desempenho com base em
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
15
“materiais, equipamentos, máquinas, veículos, ferramentas e instalações, sua qualidade e
eficácia, e recursos humanos empregados na execução dos serviços” (GAPRE 0333/2015). Essa
avaliação é feita por meio do Boletim de Avaliação de Desempenho (BAD), que gera as
ocorrências identificadas como Comunicado de Ocorrência de Divergência (COD), podendo ser
técnico ou comercial, conforme o tipo da divergência. Segundo a Petrobras, os dados do BAD
servirão para “análises periódicas de manutenção e revisão da classificação cadastral, bem como
para fins de suspensão do registro cadastral, respeitado o sistema de consequências” (GAPRE
0333/2015).
Com a aprovação do cadastro, a empresa poderá participar dos processos de aquisição
do sistema Petrobras, sendo que o fato de estar cadastrada não implica a obrigatoriedade de
participar em processos licitatórios. Caso seja contratada para algum fornecimento, a empresa será
avaliada com base no Sistema de Consequências e nas sanções administrativas, conforme o
Decreto nº 2.745/98 e o Manual da Petrobras para Contratação (MPC). A primeira forma visa a
correção de eventual desempenho inferior dos fornecedores. A segunda forma diz respeito à
capacidade da Petrobras poder “aplicar as sanções previstas no MPC às empresas que com ela
negociem e que pratiquem atos ilícitos lesivos à Petrobras ou atos que lhe causem prejuízo”
(GAPRE 0333/2015).
Somando-se a esses mecanismos, a Petrobras ainda faz uso das Comissões para
Análise de Aplicação de Sanção (CAASE). Segundo informa a Petrobras, essas comissões são
criadas pela Unidade Organizacional onde aconteceu o fato gerador, com a finalidade de deliberar
sobre a aplicação de sanções administrativas a empresas fornecedoras de bens e serviços.
Após a devida contextualização do objeto auditado, passa-se agora a apresentar os
achados de auditoria, mostrados na forma de constatações, detalhadas em fatos e recomendações.
##/Fato##
1.1.1.3 CONSTATAÇÃO
Insuficiência de normativos sobre a utilização do Portal Petronect como solução tecnológica
e ferramenta do macroprocesso de Suprir Bens e Serviços.
Fato
Fator de Risco
Associado
A Petrobras está sujeita a diversos regulamentos ambientais, de saúde
e de segurança e aos padrões da indústria e quanto à forma de
contratação adotada pela Companhia os quais estão se tornando mais
rigorosos.
O portal de compras e contratações Petronect possui relativa significância no montante
de recursos envolvidos com aquisições de materiais e serviços. Como prova disso, em 2014 o
portal movimentou R$ 64 bilhões, envolvendo as principais empresas do Grupo Petrobras,
contando com mais de 180 mil empresas registradas no cadastro. Já em 2015, movimentou cerca
de R$ 50 bilhões e um total de pedidos de 357 mil, correspondendo a 30% do quantitativo de
compras da Petrobras, e cerca de 70%, em média, do volume financeiro transacionado. Também
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
16
fazem parte desse contexto o Cadastro Corporativo de Fornecedores e recente solução tecnológica
de acompanhamento de pedidos e pagamentos das negociações concretizadas.
Após análise das informações disponibilizadas pela Petrobras, restou evidenciado que
o conjunto de normativos que regulam a utilização do portal não está suficiente para sua completa
institucionalização como fonte segura e rastreável para instrumentalizar o processo de compras e
a celebração de contratos de bens e serviços. Quando questionada, a Petrobras informou que (i)
“não há restrição corporativa normalizada quanto às Unidades organizacionais que devem ou
podem usar o Portal”; (ii) “não há restrições corporativas normalizadas quanto aos bens e
serviços a serem adquiridos”; (iii) “não há definição corporativa normalizando limites ou outras
restrições para utilização da Petronect nos processos de contratação de bens e/ou serviços”
(MATERIAIS/REL/CRC 0001/2015). A área também informou que o Procedimento Corporativo
Contratar Bens e Serviços (PG-0V4-00156) regula a utilização do portal, mas, após análise,
verifica-se que esse padrão trata dos tipos de contratação que podem ser feitos de forma
convencional ou eletrônica, não abordando a solução Petronect como ferramenta.
Reforçando a situação, a Petrobras foi questionada sobre a quem cabe a decisão, em
determinado processo de contratação, de utilizar o Petronect ou o processo convencional. Em
resposta, a companhia informou que “não há orientação corporativa sobre a obrigatoriedade de
utilização da Petronect. A decisão pelo uso ou não da Petronect é atribuição de cada gerência
das áreas de compras e contratação da companhia” (MATERIAIS/REL/CRC 0008/2015).
Percebe-se que esse posicionamento flexível sobre a utilização da ferramenta fragiliza os controles
sobre o processo de contratação, agregando complexidade a uma tarefa crítica, que envolve
recursos elevados e possui impacto operacional direto, o que se reflete no baixo índice de utilização
pelos setores de compras, 43% com registro no sistema e 38% com efetivo uso.
Dado o exposto, entende-se que a importância dos normativos não se limita à
obrigatoriedade de utilização ou de unidades, bens ou serviços e hipóteses de contratação, mas sim
quanto à especificação dos controles internos que devem atuar nos processos executados por esse
ambiente, incluindo a forma de uso da ferramenta e a qualidade da informação inserida.
Reforçando essa necessidade, a própria auditoria interna da Petrobras elabora
recomendações orientando as unidades a avaliar a possibilidade de utilização do portal, como
consta nos relatórios R-03.P.339/2013 e R-3291/2011, entendendo, assim, ser uma boa prática.
Essas recomendações reforçam a importância da ferramenta como fonte de agilidade e publicidade
nos processos licitatórios e, assim, exigem da ferramenta um nível maior de normatização e
institucionalização, pois seu escopo alcança todas as empresas do Sistema Petrobras, envolvendo
diferentes organizações, culturas e objetivos, além dos diversos tipos de aquisições de bens e
serviços, indo de pequenas compras a afretamentos de embarcações. ##/Fato##
Causa
Deficiência na institucionalização do processo de compras, que, apesar de contar com solução
única e automatizada (portal Petronect), não possui utilização uniforme em todas as áreas de
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
17
compras da companhia, ficando expostas à ausência de rastreabilidade no processo e ao risco
operacional.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“Em relação a este tema cabe acrescentar que a Petrobras está, neste momento, passando
por um processo de reestruturação no qual está proposta a centralização das áreas de
contratação de bens e serviços da companhia, sendo certo que um dos objetivos desta
reestruturação é o de padronização dos processos de compras e consequente adoção
institucionalizada das ferramentas corporativas de apoio ao processo.
Nesse sentido, conforme cronograma de implantação, a nova estrutura da Companhia
deverá estar implantada até 01/09/2016.
Além do processo de reestruturação, está em fase final de planejamento o Projeto Bóson,
que tem como objetivo disponibilizar um único Portal de Contratações para os
fornecedores e para a comunidade de bens e serviços da Petrobras, padronizando
sistemicamente os processos de pequenas e grandes contratações de bens e serviços na
Companhia.
São esperados os seguintes benefícios:
• Garantia da integridade do processo nos sistemas corporativos permitindo
rastrear e avaliar as contratações.
• Atendimento à necessidade de racionalização e padronização de uso dos sistemas,
garantindo que as contratações tenham um fluxo uniforme e obedeçam a regras
padronizadas.
• Criação das solicitações de cotação, recebimento e análise de propostas
realizadas em um único ambiente de sistema – Supplier Relationship Management
(SAP SRM).
• Atendimento à Lei de Acesso à Informação, facilitando a divulgação de
informações dos processos licitatórios.
• Disponibilizacão de informações dos processos licitatórios na fase inicial, de
modo a viabilizar avaliação de risco antecipada.
O fluxo de processo proposto pelo Projeto Bóson para contratações é:
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
18
O Projeto Bóson foi criado após trabalho conduzido pela área de Materiais, com a
participação das diversas áreas de negócios da Petrobras, a fim de analisar as formas de
contratação de bens e serviços vigentes na Companhia, visando à padronização do
processo.
A implantação do projeto prevê as seguintes etapas:
*Após a conclusão do Plano de Gerenciamento do Projeto, o cronograma para as
próximas fases pode ser revisto de acordo com a complexidade técnica detectada a partir
da análise pela equipe de Tecnologia da Informação, responsável pelo desenvolvimento
no sistema dos requisitos de negócio apresentados.
A implementação do Projeto Bóson propiciará a integração do processo de contratação,
realizado através da ferramenta do Portal de Compras, garantindo a rastreabilidade entre
a oportunidade e os documentos de compra criados no SAP – ECC. O projeto ainda inclui
aspectos como a obrigatoriedade de uso do Portal de Compras para atendimento às
requisições de compras e a necessidade de determinação da proposta vencedora na
própria ferramenta.”
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
A manifestação da área auditada corrobora o posicionamento da necessidade de
melhorar a institucionalização do processo de compras na companhia, demonstrando a intenção
de enfrentar essa situação com o Projeto Bóson. Acredita-se, assim, que o fato apontado mantém
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
19
sua essência, indo ao encontro dos esforços iniciados, devendo ser acompanhado pelo controle
interno.
##/AnaliseControleInterno##
Recomendações:
Implementar ações visando a ampliação do uso do portal Petronect, incluindo a instituição de
normativo que (i) exija que as áreas de compras da Petrobras e de suas subsidiárias utilizem o
portal e que (ii) defina as políticas de acesso ao sistema, as condições de uso, as necessidades de
preenchimento adequado dos campos básicos do sistema e referências a outros padrões pertinentes.
1.1.1.4 CONSTATAÇÃO
Vulnerabilidades relacionadas à Segurança da Informação no portal Petronect
Fato
Fator de Risco
Associado
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
I. Disponibilização de conteúdo corporativo da Petronect pela Internet sem mecanismo de
autenticação
Em pesquisa realizada no site de buscas google.com.br foi identificada mensagem
corporativa de 04/08/2015 tratando do tema Operação de Leilões, conforme link a seguir:
http://www.petronect.com.br/irj/go/km/docs/pccshrcontent/Site%20Content%20(Legacy)/Public
o_2_/Site%20Content/PT/Biodiesel_Estoque_Regulador/documentos/DocumentosdoLE44.pdf
Essa mensagem contém dados pessoais, como e-mails e telefones de funcionários da
Petronect e da Petrobras. Apesar da natureza simples desses dados, há risco de sua utilização em
ataques de engenharia social2, comprometendo assim a segurança da informação da organização
como um todo e contrariando a política de segurança da informação presente no padrão PF-151-
0001-6, item 4.2.1, que diz que “informação é um recurso fundamental para o desenvolvimento
das atividades da Petronect e, como tal, necessita ser protegida”.
Em detalhamento do link retornado pelo buscador, percebeu-se que, após teste com
endereço parcial, usando a técnica de escalada de diretório, o mesmo também permite acesso a
pastas com diversos outros dados do portal, incluindo apresentações corporativas, manuais de
procedimentos e telas do sistema. Como evidência, foram constatados 1.620 arquivos distribuídos
em 64 pastas, tratando de temas como Treinamentos dos módulos de Cadastro de Fornecedores,
2 Técnica por meio da qual uma pessoa procura persuadir outra a executar determinadas ações. Fonte:
http://cartilha.cert.br/glossario/
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
20
Compras e Contratações e sobre o módulo de antecipação de recebíveis, denominado Progredir. A
figura a seguir apresenta print de uma tela que exemplifica essa forma de acesso não autenticada.
Figura – Exemplo de acesso de pasta no servidor web da aplicação
Fonte: Elaborado pela equipe de auditoria com base consulta em 01/11/2015.
II. Existência de condições de erro não tratadas
Foi identificado que o endereço http://www5.petronect.com.br/pts/default.asp não
trata adequadamente as entradas do usuário para o campo “Login”. Essa fragilidade possibilita que
usuários maliciosos realizem ataques do tipo SQL Injection, o que possibilita acesso não autorizado
a informações constantes em bancos de dados vinculados à essa aplicação. Como exemplo, a figura
a seguir mostra print de tela com a mensagem da página exibindo o tipo de banco de dados usado
(Oracle) e a forma de acesso (ODBC).
Figura: Mensagem de erro não tratada
Fonte: Elaborado pela equipe de auditoria com base consulta em 01/11/2015
III. Possibilidade criação de usuário fornecedor com dados fictícios
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
21
Em teste realizado simulando a criação de um usuário fornecedor, restou evidenciado
que o sistema permite a criação de usuários com informações básicas fictícias, incluindo a
identificação do fornecedor e a identificação do próprio usuário, permitindo não inserir CPF, para
os casos de fornecedor não nacional, sendo possível depois mudar o país para Brasil.
A Figura a seguir mostra o cadastro inicial de um usuário atrelado a fornecedor,
destacando-se o campo CPF em branco e o país Brasil. No caso, inicialmente o cadastro foi
iniciado como um fornecedor internacional, mas em momento posterior foi possível alterar o país
do fornecedor para Brasil, invalidando a crítica de CNPJ, que é realizada quando inicialmente se
escolhe fornecedor nacional:
Figura: Tela de cadastro inicial de um usuário fornecedor
Fonte: Teste realizado no portal www.petronect.com.br em 14/03/2016.
Por meio desse usuário, foi possível acessar dados básicos sobre a ferramenta,
disponibilizadas na forma de arquivos em diretórios de sistema, usando-se a técnica de acesso
comentado no item (I). Desses dados, destacam-se informações pessoais de alguns usuários do
sistema, tais como código de usuário, nome completo, telefone, e-mail e departamento. Também
foi possível acessar padrões corporativos relacionados à segurança da informação da Petrobras.
Nesse último caso, entende-se ser relevante disponibilizar procedimentos de segurança da
informação, mas isso é possível sem, necessariamente, disponibilizar documentos corporativos da
Petrobras, como percebe-se no próprio documento, vide a Figura abaixo:
Figura – dados possíveis de serem acessados por meio de usuário fictício e acesso a pastas.
a. Dados pessoais
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
22
b. Padrões corporativos
c.
Exemplo de padrão corporativo disponível
Fonte: Teste realizado no portal www.petronect.com.br em 14/03/2016.
Informações suprimidas por solicitação da Unidade Examinada, em função de
sigilo, na forma dos artigos 4º, inciso IV, da LAI e 3º, inciso V, do Decreto nº
7.724/2012.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
23
Dado isso, reforça-se a questão da necessidade de se atentar para segurança dos dados
do portal, que manuseia informações estratégicas para o Grupo Petrobras e envolve o mercado
nacional e internacional, trazendo assim dados de empresas e pessoas físicas. Esses dados de fácil
acesso podem ser usados, como já lembrado anteriormente, em ataques de engenharia social sobre
funcionários e fornecedores, pondo em risco atributos básicos de segurança da informação.
IV. Fragilidades relacionadas à Gestão de Acessos
Esse item está sendo detalhado na constatação 1.1.1.5 deste relatório. Contudo,
convém destacar que as fragilidades identificadas comprometem também aspectos de segurança
da informação, em especial a rastreabilidade e a confidencialidade das informações do portal.
##/Fato##
Causa
Ausência de testes periódicos nos controles de segurança da informação presentes no portal.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“I. Disponibilização de conteúdo corporativo da Petronect pela Internet sem mecanismos
de autenticação.
As informações referentes ao “acesso de pasta no servidor web da aplicação” possuem
classificação de informação pública, por isso as mesmas foram armazenadas no espaço
público do Portal, conforme documento de PG-25-0-00001-1 – CLASSIFICAÇÃO DA
INFORMAÇÃO (Anexo 2).
No entanto, considerando que muitos dos conteúdos que estavam disponíveis na área
pública não se verificavam mais necessários, a sua remoção foi realizada em 30/03/2016.
Ainda sobre o sub-item em epígrafe, onde se afirma que “Em detalhamento do link
retornado pelo buscador, percebeu-se que o link, após teste com endereço parcial, usando
a técnica de escalada de diretório, também permite acesso a pastas com diversos outros
dados do portal, (...).”, informamos que a visualização de conteúdo corporativo por meio
da avaliação de diretórios na URL já havia sido identificado internamente. Em vista disso,
este ponto foi tratado no dia 29/02/2016, impedindo com que acessos ao Portal Petronect
sem autenticação visualizem documentos internos armazenados no Portal, ainda que esses
estes documentos sejam classificados como Públicos.
Ressaltamos que o mecanismo de autenticação utilizado no acesso ao Portal Petronect é
realizado através de chave e senha de uso pessoal.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
24
II. Existência de condições de erro não tratadas.
O acesso mencionado como bloqueado foi realizado pelo Auditor da CGU na manhã do
dia 06/04/16, e exposto durante a videoconferência realizada neste mesmo dia.
A Equipe de Infraestrutura da Petronect foi notificada da permanência desta condição,
realizou verificações no sistema e identificou que um “restart no firewall” causou esta
falha. A correção foi imediatamente efetuada vez que realizamos tentativas de acesso que
foram devidamente bloqueadas e implantamos a verificação deste acesso em uma rotina
matinal de infraestrutura (conforme exemplos anexados). Ainda durante a reunião, a
equipe da CGU foi informada das providências adotadas.
1. Verificação matinal_Acesso externo PTS_2016_04_08.pdf (Anexo 3)
2. Verificação matinal_Acesso externo PTS_2016_04_12.pdf (Anexo 4)
III. Possibilidade criação de usuário fornecedor com dados fictícios.
Consideramos esta situação como uma oportunidade de melhoria de gestão de usuários
fornecedores e incluiremos no nosso ciclo de melhorias. O desenvolvimento de melhorias
e novas funcionalidades são realizados sob duas formas: Projetos (desenvolvimentos de
novas funcionalidades ou melhorias de grande porte, sob demanda dos clientes ou não) e
Ciclos de Melhoria (conjunto de pequenos desenvolvimentos, oriundos de sugestões dos
usuários ou não, com periodicidade trimestral). Normalmente são realizados 4 (quatro)
Ciclos de Melhorias por ano, sendo esta uma prática administrativa da Petronect.
As necessidades de melhorias identificadas são registradas em um repositório e são
priorizadas pela Diretoria da Petronect para implementação, com periodicidade
trimestral. Existem casos excepcionais de priorização emergencial para melhorias que
assim sejam identificadas.
A fragilidade apontada neste item será alvo de priorização do próximo ciclo.”
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
A unidade auditada apresentou a solução de parte dos itens apontados no fato, retirando
acesso não autenticado a arquivo do sistema e as informações públicas desnecessárias, bem como
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
25
alterando a visibilidade externa de ferramenta de manutenção. Sobre a possibilidade de criação de
usuário fornecedor com dados fictícios, diz considerar a “situação como uma oportunidade de
melhoria de gestão de usuários fornecedores e incluiremos no nosso ciclo de melhorias”. Assim,
mantém-se a constatação para acompanhamento das melhorias implementadas.
##/AnaliseControleInterno##
Recomendações:
Apresentar plano de ação que contemple as ações a serem executadas para mitigar cada fragilidade
identificada, sua data de conclusão e responsáveis pela condução, incluindo as ações já executadas
e as em andamento.
1.1.1.5 CONSTATAÇÃO
Fragilidades na Gestão de Usuários do portal Petronect
Fato
Fator de Risco
Associado
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
O portal Petronect é uma aplicação web desenvolvida com base na tecnologia SAP.
Sua utilização se dá por meio da criação de usuário e da atribuição de algum papel a esse usuário.
A forma de organizar as transações por meio de papéis tem dois elementos, um papel composto e
um papel básico. O papel composto é formado de diversos papéis básicos. Como exemplo tem-se
o papel Z:MM_COMPRADOR_UNIDADE, que agrega 12 papéis, dentre eles,
Z:MM_BW_COMPRADOR_RELATORIO, Z:MM_SRM_COMPRADOR_LOGON e
Z:MM_SRM_COMISSAO_PORTAL.
A base analisada de usuários do portal Petronect conta com 390.326 usuários ativos,
com base na tabela mestre de logon, sendo que, entre esses, 266.380 estão desbloqueados e
123.946 estão com algum bloqueio, sendo 117.743 bloqueados pelo administrador local do
sistema. A esses usuários estão associados 2.584 papéis agregadores, que juntam 2.798 papéis
básicos, envolvendo a operacionalização do sistema, consultas e funções gerenciais e de auditoria.
Após a avaliação dos dados encaminhados, foram identificadas as seguintes situações
que colaboram para o risco de rastreabilidade das transações, tendo em vista a dificuldade de
identificação de usuários e a não aderência à política de privilégio mínimo3, ou seja, conceder
acesso somente quando necessário:
3 Item 6.3.2 das Diretrizes para Implementação de Controles de Acesso Relativos à Segurança da Informação e
Comunicações (NC 07/IN01/DSIC/GSIPR).
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
26
I. Existência de papéis duplicados – a tabela que associa papéis a usuários contém
duplicidades de atribuições. Como exemplo, o usuário BSCC possui cinco entradas do
papel “Z:MM_SRM_COMPRADOR_LOGON”, com datas de concessão diferentes.
Totalizando essas duplicidades, chega-se a 48% do total de registros para esse usuário.
Essa situação demonstra ausência de controles no manuseio desses papéis, o que fragiliza
a gestão e o desempenho do sistema.
II. Existência de papéis sem critério para concessão de acesso – em consulta à listagem de
perfis de acesso ao módulo de compras do Petronect, foram detectados 11 papéis sem
critérios para concessão de acesso, representando 9,2% dos 119 listados. Dentre esses
papéis sem critério, destacam-se funções de aprovação e gerência:
Z:CP_GESTOR_CATALOGO_PTB, Z:CP_APROVADOR_CARRINHO,
Z:CP_APROVADOR_CARRINHO_SUBST e Z:CP_ADMIN_CATALOGO_PTB. Em
especial, nota-se que os papéis que indicam função de aprovação estão atualmente
atribuídos a 6.107 usuários.
III. Não utilização do controle de expiração de acesso – o sistema SAP, por padrão, suporta
a criação de limites para a permanência de um acesso, permitindo especificar uma faixa de
tempo para sua utilização. Essa prática é um princípio recomendado para a gestão de
acessos em sistemas corporativos, tendo em vista a complexidade do ambiente, quantidade
de usuários, transações e contextos de uso. Para o caso do Petronect, percebe-se que tal
funcionalidade não está em uso, pois o valor padrão dessa informação nas tabelas é
“99991231”, ou seja, valor indeterminado para o controle. Para reforçar essa ideia, foi
identificado que na tabela mestre de acesso, USR02, 88% do campo de limite de acesso
(GLTGB) está com o valor de “99991231”.
IV. Inexistência de padrão para nomenclatura de usuários – em análise aos padrões de
nomes de usuário, não foi identificado um padrão único de nomenclatura, foram
identificados os seguintes padrões: (i) 01 letra maiúscula; (ii) numérico; (iii) nome e
sobrenome; (iv) expressão "USR" junto com sequência numérica; (iv) chave Petrobras e
(v) chave Petrobras mais nome da unidade. Como exemplo tem-se os usuários: “10496,
”“F”, “W”, “DLTL.ADM”, “USR0010829”, “WILSON.CASAL”, “WCF.WORKTIME”
e “KAA3.SEAL”. Tal fato dificulta o acompanhamento e a rastreabilidade de transações,
além de trazer complexidade ao processo identificação.
V. Existência de usuários impessoais ou genéricos – foi verificada a existência de usuários
sem relacionamento com chaves ou identificadores funcionais, tais como nome, sobrenome
ou chave Petrobras. A título de exemplo, foram identificados os seguintes usuários:
CADSYS (funções de aprovação), QUALIDADE_CO, ADMIN.TRIUNF,
COMP10_USER1, COMP13_USER0, COMP23_USER0, COMP24_USER0,
COMP25_USER0, UCOMP11_USER e CQUALIDADE_C (todos com função de
comprador). Esses usuários não foram encontrados no conjunto de tabelas que trazem
informações dessa espécie, tabelas USR, em especial na tabela USR02, que contém todos
os usuários ativos no sistema. Também foi notado que os papéis atribuídos a esses usuários
não possuem data limite para o acesso e que a especificação desses papéis indica que
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
27
deveriam ser atribuídos a funcionários da Petrobras, passando por verificação de critérios
para concessão. Essa prática de usuários genéricos inviabiliza a rastreabilidade de
transações no sistema e, como se tratam de funções de aprovação e compras, dificulta o
processo de identificação e responsabilização.
VI. Dados de identificação de usuários incompletos – em análise aos dados de usuários,
percebe-se a incompletude nos dados de qualificação de usuários, o que dificulta sua
identificação e rastreabilidade. Sabe-se que a tabela padrão dos sistemas SAP para
armazenar endereços de usuários é a USR03, que, na base encaminhada, continha apenas
dois registros. Em outro exemplo, tem-se que, para o conjunto de dados USER_ADDRS,
que agrega as tabelas USR21, ADRP, ADCP, ADRC, os campos building, roomnumber,
department, function, inhouse_ml, citu1, mc_name1, mc_city1 não estão sendo
preenchidos com as informações de cadastro. O mais crítico é que não foi possível
identificar a existência de campos para registro da documentação básica do usuário, tais
como CPF e RG. Convém mencionar que somente a partir de 06/01/2015 é que a
informação do CPF passou a ser obrigatória, existindo ainda um estoque de usuários que
não possuem essa informação, pois o portal está em operação desde 2003.
VII. Demora na troca de senha de acesso – foi verificado, por meio da tabela mestre de
usuários USR02, que 64% dos usuários não alteram sua senha de acesso a quase dois anos,
95% alteraram a mais de 90 dias e 40% (159.181) nunca alteraram, contrariando o padrão
PG-0V4-00012-L, item 6.2.13, que diz que “senhas devem ser alteradas pelo menos a cada
90 dias, quando expira seu prazo de utilização”. Essa situação contribui com o risco de
confidencialidade, tendo em vista que se trata de um sistema de compras e contratações. A
alteração frequente de senha de acesso contribui para minimizar esse risco. Convém
mencionar também que essa condição contraria o normativo interno da Petronect
DS5.04.19-Qualidade de senhas-Portal, que menciona que “qualidade de senhas inclui
fatores como mudança de senha inicial no primeiro uso, tamanho mínimo adequado,
intervalo máximo e adequado para troca”.
VIII. Concentração de acessos em usuários que não pertencem à Petrobras – em análise à
distribuição das quantidades de papéis de acesso (roles básicas), foi constatado que, dos
4.167 usuários com concentração excessiva de papéis concedidos, considerando-se critério
estatístico de outlier4¸ 93% são usuários não pertencentes à base da Petrobras. O gráfico a
seguir ilustra a distribuição total em faixas de quantidade de perfis:
4 Refere-se a valores atípicos, que se afastam em demasia dos outros da série (Fonte:
https://pt.wikipedia.org/wiki/Outlier)
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
28
Gráfico - Histograma – Concentração de usuários por faixa de perfis concedidos
Fonte: Elaborado pela equipe de auditoria.
A tabela a seguir apresenta os 10 usuários com maior número de papéis de acesso, ou
seja, que possuem acesso a várias funcionalidades do sistema e não estão listados na tabela
YSUSERS, destacando-se por possuir grande quantidade de acessos concedidos, em comparação
com os demais, com destaque para o usuário impessoal CADSYS:
Tabela de usuários não Petrobras e quantidades de papéis atribuídos.
Usuário Qtd. roles
PNEWGONCALV 53
CADSYS 48
PNECCONCEICA 48
PNEVDUTRA 46
PNEABATISTA 46
PNECRAMOS 44
M.F.GARCIA 42
M.FERREIRA2 42
LUIZLEANDRO 42
L.BERTACONI 42
Fonte: Elaborado pela equipe de auditoria.
Frisa-se que a existência da divisão do acesso ao sistema em diversos papéis (roles)
objetiva facilitar a gestão deles, concedendo apenas quando necessário e por período de tempo
delimitado. Assim, o simples fato da existência de usuários com possível excesso desses papéis de
acesso já configura ponto de alerta para a gestão dessas concessões de acesso, pois aumenta o risco
10.200
51.487
84.099
149.632
37.010
8.801 6.4511.172 65 33
1 - 5 5 - 10 10 - 15 15 - 20 20 - 25 25 - 30 30 - 35 35 - 40 40 - 45 45 - 100
Outliers > 32 acessos
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
29
da existência de papéis conflitantes num mesmo usuário, o que pode levar a conflitos de interesse
ou não segregação de funções.
Contudo o que se quer mostrar aqui é que, além disso, existem usuários que
teoricamente não pertencem ao público alvo de usuários mais ativos do sistema, a exemplo dos
operadores ou gerentes de compras de materiais ou contratação de serviços, que são tipicamente
usuários do Grupo Petrobras (dado que esse é o único cliente). Desta forma, conclui-se que os
usuários com maior potencial de acesso ao Petronect não são empregados da Petrobras e sim
funcionários terceirizados ou usuários de sistemas.
##/Fato##
Causa
a) Multiplicidade de sistemas para regulação de acesso a usuários, GPAS, SAU, Control-SA,
SAP/ECC e Petronect/SRM.
b) Existência de dados baseados em políticas antigas na mesma base de dados atual, gerando um
conjunto legado de ocorrências a serem tratadas ou excluídas do sistema, além de configurações e
atributos utilizados nativamente pelo fabricante SAP.
c) Utilização do ambiente de produção para realização de testes.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“Assim sendo, passamos aos seguintes esclarecimentos:
I. Existência de papéis duplicados.
O sistema SAP não impede que um mesmo perfil seja atribuído mais de uma vez a um
mesmo usuário, e considera a validade mais abrangente do perfil atribuído em
multiplicidade. Isto é um comportamento esperado, tratando-se da política de
configuração do sistema feita pelo fabricante (SAP) não sendo, portanto, considerada uma
falha de segurança. A gestão dos perfis dos usuários da Petrobras é realizada por meio de
um sistema próprio da Petrobras, chamado GPAS, que possui interface com o Portal
Petronect para esse fim.
II. Existência de papéis sem critério para concessão de acesso.
Os critérios para concessão de acesso de perfis encontram-se implementados de forma
automática nos sistemas da Petrobras (SAP/ECC, GPAS) ou por meio de procedimentos,
nos casos de empresas do Grupo que não possuem GPAS ou, em situações excepcionais,
sempre encaminhadas formalmente por um gerente da área responsável.
Nos exemplos apontados, esclarecemos que o papel de “aprovador de carrinho” possui
regra de validação de limite de competência estabelecida no sistema SAP/ECC da
Petrobras, na funcionalidade denominada “Assunção de Compromissos”, que funciona
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
30
por meio de uma interface on-line entre o Portal Petronect e o SAP/ECC. Portanto,
acreditamos que em razão do processo de negócio "Carrinho de Compras" ser realizado
parte no SAP/ECC e parte na Petronect/SRM, seja difícil perceber o funcionamento total.
Tanto o papel de aprovador quanto o de gestor são atribuídos por gerentes da Petrobras
através do sistema GPAS. Todos os perfis SAP passam por aprovação gerencial e pelo
fluxo de análise dos acessos críticos e conflitos de função (Anexo 5), e são monitorados e
validados pelo gestor do processo MATERIAIS/OGBS/ISBS.
III. Não utilização do controle de expiração de acesso.
O controle de acesso é feito pelos gerentes dos usuários da Petrobras através do sistema
“GPAS”, de forma voluntária e a qualquer momento do ano, ou de forma obrigatória, por
ocasião da revisão de acessos anual.
IV. Inexistência de padrão para nomenclatura de usuários.
Em janeiro de 2015, foi implantada uma melhoria no Portal Petronect que criou uma regra
de negócio obrigando que os usuários Fornecedores possuam mais de seis caracteres,
para diferenciação dos usuários da Petrobras (chave Petrobras), que possuem regra de
formação de usuários com quatro ou seis caracteres (XXXX OU ASXXXX: XXXX usuário
comum e ASXXXX usuário XXXX que é Administrador de Sistema). No entanto, é possível
encontrar usuários cadastrados anteriores a essa regra que não utilizam o Padrão
atualmente implementado, uma vez que não excluímos fisicamente usuários da base de
dados do Portal Petronect (garantia da rastreabilidade).
A base de usuários da Petrobras, no Portal Petronect, encontra-se sincronizada com a
base do sistema de gestão de usuários da Petrobras (SAU), isto é, um usuário Petrobras
só pode existir no Portal Petronect, se e somente se existir no sistema SAU da Petrobras.
Este controle assegura a remoção dos acessos dos usuários Petrobras (empregados e
contratados), caso estes sejam desligados da empresa.
V. Existência de usuários impessoais ou genéricos.
Os usuários relacionados no exemplo da situação identificada eram usuários provisórios,
criados com objetivo de implementar funcionalidades, suportar ou testar o sistema. Todos
os usuários relacionados neste item haviam sido excluídos/bloqueados antes da
realização desta auditoria.
CADSYS – Usuário de sistema “TIPO: System”, sem possibilidade de logar. Criado para
o Programa de ajuste da funcionalidade PPPC. Excluído/bloqueado em 04/09/2015.
QUALIDADE_CO – Usuário de teste comprador. Excluído/bloqueado em 11/11/2015 pelo
programa de saneamento.
ADMIN.TRIUNF – Usuário Administrador DADB (Sistema legado). Excluído/bloqueado
em 16/06/2009
COMP10_USER1 - Usuário de teste comprador. Excluído/bloqueado em 11/11/2015.
COMP13_USER0 - Usuário de teste comprador. Excluído/bloqueado em 28/10/2015.
COMP23_USER0 -Usuário de teste comprador. Excluído/bloqueado em 28/10/2015.
COMP24_USER0 - Usuário de teste comprador. Excluído/bloqueado em 28/10/2015
COMP25_USER0 - Usuário de teste comprador. Excluído/bloqueado em 28/10/2015.
UCOMP11_USER - Usuário de teste comprador. Excluído/bloqueado em 28/10/2015
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
31
CQUALIDADE_C - Usuário de teste comprador. Excluído/bloqueado em 28/10/2015
Conforme informado na videoconferência realizada em 06/04/16 com a CGU, os usuários
teste, apesar de estarem na mesma base produtiva, estão vinculados a uma Organização
de Compras de TESTE, não influenciando, portanto, nos processos de compras e,
consequentemente, nos valores considerados nos Boletins de Medição para cobrança à
Petrobras.
VI. Dados de identificação de usuários incompletos.
A base de usuários da Petrobras no Portal Petronect é utilizada principalmente para
autenticação de login (chave Petrobras e senha) e verificação de autorizações. Os dados
cadastrais dos usuários da Petrobras encontram-se no Sistema SAU (base de usuários da
Petrobras) que, como mencionado anteriormente, possui sincronismo com o Portal
Petronect. Por esta razão é que muitos campos de identificação dos usuários do SAP/SRM
(Portal Petronect), não obrigatórios, não se encontram preenchidos.
O campo CPF dos usuários da Petrobras, existente no SAU, foi replicado para o Portal
Petronect com objetivo de viabilizar no futuro o login por CPF e, em seguida, por
Certificado Digital, além de ser, posteriormente, um requisito da funcionalidade
“assinatura digital”.
A obrigatoriedade de preenchimento do campo CPF dos usuários fornecedores foi
implementada em 08/01/2015, com objetivo de identificação destes usuários. Todos os
usuários fornecedores que acessaram o sistema desde a implantação do campo CPF são
obrigados a preenchê-lo com a informação de seu respectivo CPF, sem o que o seu acesso
ao sistema fica impedido. Por esta razão é que encontramos muitos registros de usuários
fornecedores com o campo CPF vazio, não preenchido, ou seja, são usuários que desde a
implantação do campo ainda não acessaram o sistema ou tentaram acessar e foram
impedidos por não preencherem o campo CPF.
Não há como exigir o preenchimento dos campos CPF “em aberto” dos usuários
fornecedores. Pois, reitere-se, aqueles usuários que não fornecerem esta informação não
conseguirão acesso ao Portal.
Complementarmente, foi implementada uma rotina de saneamento que elimina
logicamente os usuários fornecedores com mais de 2 anos sem acesso ao Portal.
VII. Demora na troca de senha de acesso.
A gestão de troca de senha dos usuários da Petrobras encontra-se sob a responsabilidade
do sistema da Petrobras chamado Control-SA, ou mais comumente conhecido como
“Troca Senha”. Neste sistema encontram-se implementados os critérios de formação de
senhas e o período de validade das mesmas, conforme norma específica da Petrobras,
mencionada na identificação desta situação.
Quanto à gestão de troca de senha dos usuários fornecedores, os mesmos critérios da
Petrobras foram implementados, mas como a gestão dos usuários fica sob a
responsabilidade dos Usuários Admin das empresas, encontramos usuários que não
acessam o sistema há vários meses, muito provavelmente por falta de gestão de seu
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
32
Usuário Admin. Isto justifica o volume de usuários que não alteram suas senhas há mais
de 90 dias.
Com o objetivo de zelar pela qualidade da base de usuário de fornecedores, foi implantado,
no final de 2015, um processo anual e obrigatório de revisão de usuários fornecedores,
semelhante ao que é executado pelo sistema GPAS para os usuários da Petrobras, tendo
sido efetuada uma campanha de revisão de acessos na página do Portal Petronect (Anexo
6).
VIII. Concentração de acessos em usuários que não pertencem à Petrobras.
A concentração de acessos em usuários que não pertencem à Petrobras se justifica por se
tratar de usuários de Administração do Sistema, ou seja, de suporte ao Portal Petronect.
São poucos os profissionais da Petronect que precisam ter esses acessos para prestar
suporte ao uso, identificar problemas e corrigir erros.
Com relação à lista apresentada, informamos que o usuário impessoal CADSYS: Usuário
de sistema “TIPO: System”, sem possibilidade de logar. Criado para o Programa de ajuste
da funcionalidade PPPC, foi excluído/bloqueado em 04/09/2015. Os usuários com prefixo
“PNE” são aqueles mencionados no parágrafo anterior e os 4 últimos da lista são usuários
do Portal Progredir e não dos Portais de Compras ou Cadastro.
Não obstante, será implementada uma melhoria para sanear os perfis em duplicidade e
identificar o tipo de usuário (grifo nosso).”
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Quanto aos itens “I - Existência de papéis duplicados”, “II. Existência de papéis sem
critério para concessão de acesso”, “III. Não utilização do controle de expiração de acesso” e
“IV. Inexistência de padrão para nomenclatura de usuários”, destaca-se que não fizeram parte do
escopo deste trabalho os sistemas GPAS e SAU, sendo que as análises tiveram como base os dados
constantes nas tabelas enviadas pelo gestor. Sustenta-se a recomendação tendo em vista que,
apesar da possível atuação dos sistemas não analisados, os dados existentes nas tabelas
demonstram situação que expõe o sistema a riscos na gestão de acessos.
Sobre a “V - Existência de usuários impessoais ou genéricos”, a unidade auditada
afirma que “todos os usuários relacionados neste item haviam sido excluídos/bloqueados antes da
realização desta auditoria”, quando na verdade o foram durante o processo (a auditoria se iniciou
em maio/2015, a base analisada tinha posição de julho/2015 e a maioria dos usuários foram
excluídos em setembro, outubro e novembro de 2015).
Quanto ao item “VI. Dados de identificação de usuários incompletos”, apesar das
alegações sobre a utilização do sistema SAU e de existência de rotina de exclusão automática de
usuários inativos por dois anos, sustenta-se que, conforme constatação 1.1.1.3, foi possível
cadastrar usuário nacional sem a informação de CPF. Essa situação reforça a necessidade de
acompanhar a completude dos dados básicos dos usuários do sistema, sendo isso essencial para
efetividade dos controles de rastreabilidade de transações. Dado o exposto, sustenta-se a
necessidade de se manter a recomendação, para acompanhamento das medidas elencadas no
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
33
processo de saneamento da base de usuários, com destaque para o preenchimento dos dados de
identificação dos usuários antigos e novos.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Apresentar plano de ação que contemple as ações a serem executadas para
mitigar fragilidades identificadas, sua data de conclusão e responsáveis pela condução, incluindo
as ações já executadas e as em andamento.
1.1.1.6 CONSTATAÇÃO
Fragilidades na atualização e utilização do Cadastro Corporativo da Petrobras
disponibilizado como um módulo da solução Petronect.
Fato
Fator de Risco
Associado
A Petrobras conta com fornecedores e prestadores de serviços para o
fornecimento de peças, componentes, serviços e recursos críticos
necessários para a operação dos negócios.
I. Resultados do Boletim de Avaliação de Desempenho (BAD) não retroalimentam o
processo de reavaliação cadastral para efeito de requalificação de fornecedores
Segundo a Petrobras, o Boletim de Avaliação de Desempenho (BAD) é uma avaliação
realizada periodicamente (de três em três meses, ou a critério do fiscal do contrato) para identificar
se os serviços prestados, referentes a um determinado Contrato, estão dentro dos resultados
esperados pela Empresa. Caso não seja realizada esta avaliação, o fornecedor responsável pelo
contrato é bloqueado para pagamento, dentro do período da medição do desempenho. Esta
avaliação recebe nota de 0 a 100 e pode refletir nas novas contratações, se o contratante usar o
BAD como critério.
Em análise ao processo de reavaliação do cadastro de fornecedores, item 1.1.1.2 deste
relatório, verificou-se que não há previsão de o mesmo ser sensibilizado pelas informações
oriundas do BAD. Essas informações mostram como foi a execução de contratos recentes e, assim,
avaliam a capacidade do fornecedor de executar o que foi negociado. Quando provocada sobre
essa situação, a Petrobras informou que “as notas do Boletim de Avaliação de Desempenho (BAD)
são disponibilizadas no sistema de cadastro, onde podem servir de subsídio para a seleção de
fornecedores nos processos de aquisição de Bens e Serviços, não sendo consideradas como
critério de qualificação no processo de reavaliação cadastral” (Carta MATERIAIS/REL/CRC
0008/2015).
Entende-se que, mesmo que as informações dos BADs estejam disponíveis para
consulta no portal Petronect, esses dados deveriam influenciar sistematicamente os critérios de
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
34
requalificação de fornecedores, como sinaliza a própria Petrobras em resposta a solicitação de
auditoria: “as avaliações no Boletim de Avaliação de Desempenho (BAD) servirão às análises
periódicas de manutenção e revisão da classificação cadastral, bem como para fins de suspensão
do registro cadastral, respeitado o sistema de consequências estabelecido corporativamente,
aprovado pela Diretoria Executiva (D.E.)” (GAPRE 0333/2015).
Para reforçar essa situação, a tabela a seguir mostra, de forma não exaustiva, relação
de empresas contendo resultados da avaliação cadastral comparados com resultados dos BADs no
exercício de 2014:
Tabela: Situação cadastral de fornecedores e informações de BADs – 2014
Nome do Fornecedor
Status Avaliação
Cadastral (CRCC)
Qtd. BADs
Insuficientes ou Péssimos
Total
BADs
% do
Total de
BADs
Fonte: Elaborado pela CGU.
Percebe-se na tabela que as quantidades de BADs com avaliação negativa não
retroalimentam a reavaliação cadastral, que é feita por família de bens. Essa situação demonstra
que a avaliação com base em critérios voltados à visão de fornecimento não leva em consideração
o histórico de execução dos contratos por meio da atuação da fiscalização exercida por seus
fiscais/gerentes de contratos. A utilização do BAD contribuiria positivamente para a instituição de
uma política de valorização da supervisão dos contratos realizados, bem como mitigaria o risco de
contratações recorrentes com empresas com mau desempenho.
Informações suprimidas por solicitação da Unidade Examinada, em função de sigilo,
na forma dos artigos 4º, inciso IV, da LAI e 3º, inciso V, do Decreto nº 7.724/2012.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
35
II. Existência de contratos vigentes celebrados com fornecedores com Avaliação
Cadastral não Aprovada
Após a identificação do fornecedor é iniciada a fase de avaliação, que pode ser
documental ou presencial, sendo relacionada a cada família de bens ou serviços que a empresa
deseja fornecer. A documental é realizada por meio dos questionários preenchidos no momento da
identificação, seguidos da documentação digitalizada e disponibilizada no sistema. Segundo a
Petrobras esses “questionários são compostos por um ou vários indicadores, que agrupam os
requisitos de acordo com o assunto que se relacionam” (GAPRE 0333/2015). A avaliação
presencial, obrigatória para determinados fornecimentos, consiste na “avaliação nas instalações
da empresa, realizada por uma equipe especializada de profissionais”, sendo em seguida
“atribuídas notas e comentários para cada item de fornecimento e requisito avaliados” (anexos
do GAPRE 333/2015). Os critérios utilizados, conforme o tipo de fornecedor, são mostrados na
figura abaixo, destacando-se que para o cadastro simplificado são usados somente os critérios
Técnico e Legal:
Figura – Critérios de Avaliação por Tipo de Fornecedor
Fonte: Anexos do GAPRE 333/2015
Dado isso, com base em dados de contratações vigentes de 2014 até 05/2015, foi
detectado o volume de R$ 21.036.290.864 distribuídos em contratos com fornecedores com
situação não aprovada (qualificado tecnicamente ou reprovado) no cadastro corporativo, sendo
que a orientação da empresa é a utilização de empresas com status aprovado. A Tabela a seguir
apresenta esses dados:
Tabela – Empresas contratadas e não aprovadas no cadastro corporativo (vigentes em 2014 até
05/2015).
CNPJ
Qtd.
Contratos Nome
Cód.
Fornecedor
Situação
Cadastral*
Total
Contratado(R$)
Informações suprimidas por solicitação da Unidade Examinada, em função de sigilo, na forma dos artigos 4º, inciso IV, da
LAI e 3º, inciso V, do Decreto nº 7.724/2012.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
36
* Q = Qualificado tecnicamente, mas incompleto no critério legal ou econômico, R = Reprovado nos critérios de
avaliação, Desistente = Não completou o cadastro no tempo limite do processo, Inexistente = Não foi encontrado na
base de cadastro, R/Q = significa Reprovado em alguma família e Qualificado em outra.
Fonte: Elaborado com base em dados de Solicitação de Auditoria
Essa situação fragiliza os controles de compras, pois a avaliação cadastral é feita,
conforme já mostrado acima, com base em critérios legais, econômicos e técnicos, que existem
exatamente para assegurar um mínimo de segurança à companhia no momento de firmar seus
contratos envolvendo valores relevantes, prazos longos e serviços críticos. Além do mais, a
Petrobras aplicou no período 2014/2015 o montante de R$ 9.034.570,00 em processos de avaliação
cadastral (técnica e econômica), com contratos envolvendo empresas terceirizadas, ou seja, a
Petrobras paga para as empresas serem avaliadas e tem contratado empresas não aprovadas, não
utilizando os resultados das avaliações. Esse custo de manutenção reforça a necessidade de
utilização adequada do cadastro corporativo.
III. Empresas investigadas na Operação Lava-Jato com registro de cadastro ativo no
portal Petronect
Foram identificados fornecedores pertencentes ao grupo de empresas envolvidas em
investigações da Operação Lava-Jato com registro desbloqueado no portal de Cadastro da
Petronect. Essa situação contraria o bloqueio cautelar anunciado pela própria Petrobras em
30/12/2014, tendo como base a instauração de Comissões para Análise de Aplicação de Sanção
(CAASE). As empresas encontradas estão listadas na Tabela a seguir:
Tabela – Lista de empresas da Lava-jato com cadastro desbloqueado no Petronect
Informações suprimidas por solicitação da Unidade Examinada, em função de sigilo, na forma
dos artigos 4º, inciso IV, da LAI e 3º, inciso V, do Decreto nº 7.724/2012.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
37
Empresa CNPJ Processo CAASE
Engevix Construções S/A 182940510001/39 21/2014
Ecovix – Engevix Construções
Oceânicas S/A
117545250001/39 21/2014
Jaraguá Equipamentos Industriais
do Nordeste
089240180001/91 23/2014
Odebrecht Utilities S/A 151222750001/75 67/2014
Schain Petróleo e Gás S/A 089762580003/00 26/2015
SOG – Óleo e Gás S/A 076390710001/88 66/2014
Fonte: Elaborado pela equipe de auditoria em consulta ao sistema Petronect.
##/Fato##
Causa
Descasamento dos processos de gestão de fornecedores e acompanhamento contratual, aliado à
insuficiência dos controles internos do processo de gestão de fornecedores.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“I. Resultados do Boletim de Avaliação de Desempenho (BAD) não retroalimentam o
processo de reavaliação cadastral para efeito de requalificação de fornecedores.
No que tange ao trecho “Segundo a Petrobras, o Boletim de Avaliação de Desempenho
(BAD) é uma avaliação realizada periodicamente (de três em três meses) para identificar
se os serviços prestados, referentes a determinado contrato, estão dentro dos resultados
esperados pela Empresa. Caso não seja realizada esta avaliação, o fornecedor
responsável pelo contrato é bloqueado para pagamento. Esta avaliação recebe nota de 0
a 100 e pode refletir nas novas contratações, se o contratante usar o BAD como critério”,
apresenta-se os seguintes esclarecimentos:
Inicialmente, destaca-se que a periodicidade mínima obrigatória do BAD é de três em três
meses, porém o fiscal do contrato poderá realizar um BAD a qualquer momento em que
julgar necessário. Informa-se, ainda, que o bloqueio de pagamento pela não realização do
BAD refere-se somente ao período de medição em questão, e que após realizar o Boletim,
o contrato com o fornecedor estará desbloqueado para pagamentos.
Além disso, esclarece-se, no que tange à retroalimentação do BAD, que existe o
procedimento PP-5B0-00047-G, de análise e retroalimentação periódica das informações
de desempenho na situação cadastral do fornecedor.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
38
Com relação ao parágrafo acima, o correto entendimento é que o BAD servirá como
subsídio para abertura de um COD Comercial, que poderá culminar com a
desqualificação técnica da empresa do cadastro, após passar por todos os trâmites do
processo. Destaca-se, mais uma vez, que o BAD não serve como requisito de avaliação
cadastral, porém alimenta o sistema de consequências da Petrobras.
Considerando a situação cadastral e as informações de BAD apresentadas em tabelas,
efetuou-se a complementação das informações com uma análise sob a ótica do Sistema de
Consequências
O sistema de consequências por baixo desempenho contratual (BAD) só leva em
consideração empresas com médias de BAD menor do que 30 pontos (SOMENTE
CONCEITO PÉSSIMO) em 3 (três) avaliações no semestre. Para essas empresas foi
aberto processo de COD Comercial, conforme demostrado na tabela acima.
Conforme já esclarecido, o sistema de consequências trata de 3 indicadores (BADs, IADC
e Itens Cancelados), abrangendo assim todos os tipos de fornecedores.
Além destes processos estruturados hoje pela Companhia para tratar dos problemas
identificados no relacionamento com o Fornecedor, em 2013 foram identificadas
oportunidades de melhorias no processo de avaliação de desempenho e nos sistemas de
consequências.
Nesse contexto, foi criado o Programa de Melhoria na Gestão da Base de Fornecedores
(PBGF), no qual um dos objetivos é a revisão do Cadastro e o saneamento dos gargalos
Informações suprimidas por solicitação da Unidade Examinada, em função de sigilo,
na forma dos artigos 4º, inciso IV, da LAI e 3º, inciso V, do Decreto nº 7.724/2012.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
39
de tempo entre as informações disponíveis na empresa sobre ocorrências de problemas
com o fornecedor e suas consequências.
O PGBF traz duas novas formas de gerenciar o desempenho dos fornecedores e de
considerar o histórico da execução dos contratos para retroalimentar as informações de
Seleção:
• SOF - Status de Ocorrências do Fornecedor: status disponível no cadastro, que considera
ocorrências de problemas administrativos e de SMS para sinalizar os possíveis impactos
da contratação de determinado Fornecedor. Este status foi criado para agilizar o reflexo
da existência destes problemas no momento da Seleção.
• IDF - Índice de Desempenho do Fornecedor: sistema único para avaliação de
desempenho de fornecedores de Bens e Serviços, irá substituir o BAD, o IADC e avaliação
de itens cancelados.
O PGBF melhora a utilização do sistema de consequências em fornecedores com baixo
desempenho, além do relevante ganho de uniformização do processo de seleção, por meio
do direcionamento para priorizar fornecedores com melhores desempenhos através da
utilização do SOF e IDF.
II. Existência de contratos vigentes celebrados com fornecedores com Avaliação Cadastral
não Aprovada.
No que pertine à afirmação que “Dado isso, com base em dados de contratações vigentes
de 2014 até 05/2015, foi detectado o volume de R$ 21.036.290.864 distribuídos em
contratos com fornecedores com situação não aprovada, ou seja, qualificado tecnicamente
ou reprovado, no cadastro corporativo, sendo que a orientação da empresa é a utilização
de empresas com status aprovado. A Tabela a seguir apresenta esses dados:”, apresenta-
se os seguintes esclarecimentos:
Inicialmente, deve-se ressaltar que, as empresas com status Q (qualificadas tecnicamente)
são selecionadas em casos de baixa competitividade.
Esclarece-se, ainda, que dentro do escopo do PGBF (Programa de Melhorias na Gestão
da Base de Fornecedores), novos procedimentos corporativos de seleção de empresas
estão em fase de implementação. Estes procedimentos levam em consideração alguns
critérios/indicadores, exemplificados a seguir. Há valores básicos definidos acima dos
quais fornecedores devem ser selecionados, considerando a respectiva família de bens ou
serviços (item de cadastro). Estes valores podem ser alterados, desde que atendida uma
lógica pré-estabelecida nos procedimentos, e mediante justificativa.
- Status Cadastral do Fornecedor (A);
- Índice de Desempenho do Fornecedor - IDF (substituirá o BAD);
- Índice de Risco Financeiro do Fornecedor – IRFF;
- Grau de Risco de Integridade – GRI (Fraude e Corrupção).”
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
40
É importante ressaltar que o Cadastro Corporativo de Fornecedores não se aplica a todos
as contratações realizadas pela PETROBRAS. Ele se destina aos fornecimentos de
materiais e serviços que a Petrobras contrata com frequência e para os quais existe um
mercado fornecedor minimamente competitivo.
III. Empresas investigadas na Operação Lava Jato com registro de cadastro ativo no
portal Petronect.
Considerando as empresas apontadas no relatório de auditoria, completou-se a tabela
fornecida com os CNPJs referentes a cada uma das Comissões para Análise de Aplicação
de Sanção - CAASEs abertas.
Informa-se, ainda, que nenhum dos fornecedores listados deveria estar bloqueado, logo
não existe descumprimento do bloqueio cautelar. Esclarece-se que o bloqueio foi aplicado
a outras empresas do grupo econômico com razões sociais semelhantes.
Quanto à SOG, a empresa foi bloqueada em 30/12/2014 e desbloqueada em 09/03/2015
em virtude de decisão judicial.”
##/ManifestacaoUnidadeExaminada##Análise do Controle Interno
Quanto ao fato de que os “Resultados do Boletim de Avaliação de Desempenho (BAD)
não retroalimentam o processo de reavaliação cadastral para efeito de requalificação de
fornecedores”, entende-se que os dados encaminhados pela unidade são suficientes para mostrar
que o BAD sensibiliza o processo de cadastro via Sistema de Consequências, ressaltando-se “que
o BAD não serve como requisito de avaliação cadastral, porém alimenta o sistema de
consequências da Petrobras”, sendo uma das consequências a desqualificação por baixo
desempenho, como mostrado na complementação da tabela de exemplos.
Quanto à “Existência de contratos vigentes celebrados com fornecedores com
Avaliação Cadastral não Aprovada”, entende-se que a questão da baixa competividade em alguns
setores não elimina a necessidade de manutenção e utilização do cadastro corporativo. Na verdade,
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
41
reforça a necessidade da Petrobras em obter informações para mitigar o risco de dependência de
um único fornecedor.
Quanto à existência de “Empresas investigadas na Operação Lava Jato com registro
de cadastro ativo no portal Petronect”, entende-se que as alegações são pertinentes e a companhia
possui as Comissões para Análise de Aplicação de Sanção – CAASEs para tratar essa situação.
No entanto, a Petrobras cita a existência do projeto em andamento PGBF (Programa
de Melhorias na Gestão da Base de Fornecedores), responsável pela implementação de melhorias
no processo de gestão de fornecedores. Assim, em que pese as justificativas apresentadas
dirimirem muitos dos pontos desta constatação, opina-se por manter recomendação no sentido de
acompanhar o andamento do PGBF e sua interface com os temas tratados aqui, principalmente no
contexto atual de mudanças na companhia.
##/AnaliseControleInterno##
Recomendações:
Encaminhar a esta CGU report semestral do andamento do PGBF, destacando as alterações nos
processos de inclusão, manutenção e gestão de fornecedores. Deverão ser encaminhadas, no
mínimo, as seguintes informações, escopo das atividades, cronograma de implementação,
responsáveis e áreas envolvidas.
1.1.1.7 CONSTATAÇÃO
Fragilidades na utilização do módulo de Compras e Aquisições do Petronect relacionadas à
condução de processos de contratação
Fato
Fator de Risco
Associado
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
I. Baixo índice de utilização do Petronect pelas áreas de compras da Petrobras Holding.
Após análise de base de dados encaminhada pela Petrobras, percebe-se que, dos 223
setores de compras da Petrobras holding, somente 95 (43%) possuem cadastro no sistema
Petronect (código SRM), sendo que, entre estes, 85 (38%) possuem registro de efetivo lançamento
de oportunidades no período de 2013 a 2015. Esse último percentual representa um baixo índice
de utilização do portal de compras e aquisições pelas áreas da holding, tendo em vista que a
Petrobras já paga por essa solução tecnológica, conforme contratos 4600332744 e 4600488171.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
42
Conforme consulta aos relatórios de medição, esses contratos envolveram dispêndios na ordem de
R$ 30,5 milhões somente em 2015.
Em resposta a solicitação de auditoria, a Petrobras informou que:
“Está sendo desenvolvida solução sistêmica com o objetivo de padronizar os
processos de contratações de bens e serviços, garantir a rastreabilidade de
informações nestes processos e tornar obrigatória a utilização da Petronect para
os processos de contratações de bens e serviços, salvo exceções para os casos em
que a obrigatoriedade de utilização do Portal não é aplicável (...).”
Também foi encaminhado cronograma planejado pela área de
MATERIAIS/OGBS/GPDM, contendo ações de implantação da citada solução sistêmica. Essas
ações iniciam em Abril/2016 e estão planejadas para finalizar em Abril/2017.
Em que pese a Petrobras já ter projeto em andamento para mitigar essa fragilidade,
firma-se a opinião de que os riscos inerentes a não utilização do portal de compras persistem,
incorrendo em execução manual do processo e aumentando a exposição da companhia às situações
de ineficiência e possibilidade de comportamento divergente do Código de Ética.
II. Utilização do portal de compras sem o devido preenchimento de campos essenciais para
a rastreabilidade e controle do processo.
O sistema Petronect foi construído para apoiar o processo de compras e contratações
do grupo Petrobras e está apto a automatizar inclusive o processo de classificação das propostas,
conforme figura abaixo, tornando o processo seguro e transparente. No entanto, o sistema é
bastante flexível, permitindo a utilização parcial de suas funcionalidades, conforme a decisão das
áreas compradoras.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
43
Figura - Processo do Portal de Compras e Contratações da Petrobras no Petronect
Fonte: Portal Petronect
Por meio da análise da base de dados do sistema, para os processos licitatórios
ocorridos entre janeiro de 2013 a outubro de 2015, foi verificado que 15,6% das oportunidades
foram publicadas com o preenchimento incompleto de alguma das informações essenciais ao
processo licitatório, fazendo da ferramenta uma mera aplicação de comunicação e transferência de
arquivos entre a Petrobras e seus fornecedores. Dessas informações essenciais, destacam-se a
descrição da oportunidade, o preço do item cotado, descrição do item, quantidade de itens, detalhes
do local de entrega e informações sobre a classificação final do certame. A tabela a seguir resume
as ocorrências de dados incompletos identificados na base de dados de oportunidades:
Tabela – Ocorrências na base de oportunidades com lances enviados e sem declínio
Ocorrência Qtd. de
oportunidades
Campo Descrição da Oportunidade contendo somente menção ao código
do convite 1.598
Campo Descrição do Item contendo referência apenas à PPU 1.779
Campo Descrição do Item contendo apenas referência à DFP 34
Campo Descrição do Item contendo referência somente ao termo do
convite 100
Campo Preço com valores zerados 46.198
Campo Preço com valores menores do que 1. 54.077
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
44
Inexistência de campo contendo informação sobre a empresa ganhadora,
principalmente para processos de técnica e preço (dois envelopes) Todos
Fonte: Base de dados encaminhada como resposta à solicitação de auditoria
Para os casos dos preços dos itens, notou-se que 16% das oportunidades são
operacionalizadas com a inserção de zeros ou valores simbólicos, conforme pode ser visto no
Gráfico abaixo, em que se percebe a assimetria causada pelos valores de R$ 0 a R$ 10 (primeira
barra).
Gráfico: Histograma da Frequência dos Valores de Oportunidades 2013-2015.
Fonte: Elaborado pela equipe de auditoria
Como referência para comparação do gráfico acima, pode-se mostrar a distribuição
das contratações realizadas no mesmo período pela Petrobras Holding. Nota-se no gráfico a seguir
que há diferença significativa na frequência dos valores contratados, comparando-se as mesmas
classes de valores, em especial a classe inicial de R$ 0 a R$ 10. Como os contratos, tipicamente,
advêm de oportunidades do Petronect, a primeira faixa dos valores do gráfico anterior não
representa a realidade contratada, ou seja, não está refletida no outro gráfico. Em termos
percentuais, a faixa de R$ 0 a R$ 10 de oportunidades corresponde a 16% do total, enquanto a
mesma faixa de contratos corresponde a 0,2%.
-
20.000
40.000
60.000
80.000
100.000
120.000
140.000
160.000
180.000
Qtd
. de
Op
ort
un
idad
es
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
45
Gráfico: Histograma da Frequência dos Valores de Contratos celebrados no período 2013-
2015.
Fonte: Elaborado pela equipe de auditoria
Notou-se também que os valores reais estão presentes na verdade em planilhas
externas, anexas ao sistema. Essas planilhas, DFP (Demonstrativos de Formação de Preços) ou
Planilha de Preços Unitários (PPU), são repassadas aos fornecedores para que estes possam
elaborar suas propostas e reencaminhá-las, via sistema, para a avaliação da área compradora. Após
o período de coleta de propostas, as planilhas são consolidadas e as empresas classificadas
manualmente pelo funcionário da Petrobras operador da compra, apesar de o sistema possuir esta
funcionalidade. Após a seleção manual, o comprador informa o resultado final da licitação a todos
participantes na Sala de Colaboração, não registrando informações sobre a proposta ganhadora em
campo específico do sistema. O fato gera o risco de ocorrência de equívocos e fraudes na
classificação dos fornecedores, além de dificultar processos de controle e rastreabilidade, já que
os critérios e detalhes sobre a classificação e sobre o ganhador do certame estão presentes apenas
em arquivos anexos e não no banco de dados do sistema, que foi construído para este propósito.
Ademais, a situação elimina uma das possibilidades que a empresa disporia para
realizar análises mercadológicas e pesquisas de preços, além disso, onera a operação, pois, nesse
caso, também não é possível migrar os dados da empresa ganhadora automaticamente para o
sistema que realiza a gestão contratual, devendo o lançamento ser realizado também manualmente
no outro sistema, o que, novamente, compromete a rastreabilidade e acrescenta novos riscos de
fraudes e equívocos ao processo.
Adicionalmente, conforme item 1.4 – Critério de apuração do uso do Portal Petronect,
do Anexo 5 – Critérios de Rateio, do Contrato 4600332744, firmado entre Petrobras e Petronect,
o valor do rateio dos custos de operação do sistema Petronect entre as empresas do grupo é baseado
no valor da menor cotação obtida em cada licitação. Sem o uso correto do campo valor na
ferramenta, essa medição fica prejudicada, e compromete o equilíbrio do rateio dos custos desse
contrato.
Além das planilhas de preços, também são inseridos pelos fornecedores documentos
adicionais, como certidões técnicas e certificados de qualificação em órgãos competentes,
- 20.000 40.000 60.000 80.000
100.000 120.000 140.000 160.000 180.000
Qtd
. de
Co
ntr
ato
s
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
46
documentos importantes para o caso de seleções também baseadas em critérios técnicos. Esses
documentos são acessados pelas equipes de compras e juntados num repositório único chamado
Pasta Eletrônica. Convém destacar aqui que a Pasta Eletrônica representa uma boa prática na
condução desses processos de compra, pois agrega todos os arquivos do fluxo, desde a demanda
da área requisitante, até os documentos de contratação.
Outro ponto que merece atenção é que não foi identificado campo específico para
guardar a informação sobre qual é a empresa ganhadora da oportunidade, tanto para processos de
técnica e preço, quanto para somente preço. Entende-se que essa informação existe fora do
Petronect, no processo externo presente na pasta eletrônica, contudo, para efeito de controle e
rastreabilidade, esse tipo de informação precisa estar disponível na base de dados do portal,
reduzindo o retrabalho para geração de informações gerenciais sobre os processos de compra.
III. Inexistência de segregação de funções no processo de criação, aprovação, publicação e
encerramento de oportunidades no sistema.
Em análise à base de dados encaminhada restou evidenciada a possibilidade de um
único usuário percorrer todos os estados (status) de uma oportunidade, sem a necessidade, no
sistema, de intervenção de outro usuário aprovador. Como exemplo, a oportunidade 7001271020,
com valor transacionado de R$ 3.917.819.583,78, foi criada, completada e concluída pela chave
U350, como mostrado no Quadro abaixo:
Quadro - Exemplo de fluxo de alterações e mudanças de status de uma oportunidade
Primeira versão da oportunidade 70012711020:
Status Descrição Usuário Data Hora Obs.
I1039 Incompleta U350 03/04/2014 15:10:14
I1009 Rascunho U350 03/04/2014 15:10:14
I1021 Criada U350 03/04/2014 15:10:14
I1038 Completa U350 11/06/2014 17:43:43
I1041 Concluída U350 16/06/2014 16:08:42
I1015 Em aprovação U350 16/06/2014 16:08:42
I1011 Publicada WF-
BATCH 16/06/2014 16:09:10
Usuário de sistema,
publicação automática.
I1023 Encerrada U350 03/12/2014 14:57:18
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
47
Última alteração na oportunidade 70012711020:
Status Descrição Usuário Data Hora Obs.
I1015 Em aprovação U350 25/08/2014 13:24:01
I1038 Completa U350 25/08/2014 13:24:01
I1021 Criada U350 25/08/2014 13:24:01
I1041 Concluída U350 25/08/2014 13:24:01
I1040 Eliminada
WF-
BATCH 25/08/2014 13:24:16 Usuário de sistema,
publicação automática.
I1011 Publicada
WF-
BATCH 25/08/2014 13:24:16
Fonte: Base de dados encaminhada pela Petrobras
Sabe-se que o andamento do processo de aprovação ocorre externamente ao sistema,
por meio da troca de comunicação entre os escalões competentes. Essa situação compromete
vantagens de se usar um sistema automatizado para um processo, dentre as quais a rastreabilidade
das atividades, a integração de controles internos e a forma eficiente de acessá-las. Nesse exemplo,
o sistema nada informa sobre quem aprovou essa oportunidade, sendo necessário esforço manual
de buscar na pasta eletrônica desse processo, percorrer os comunicados emitidos e tentar encontrar
o respectivo memorando de autorização, enquanto que, se houvesse suporte da ferramenta, bastaria
uma consulta simples ao sistema.
IV. Inconsistências no relacionamento entre o código da oportunidade gerado no Petronect
e o código do contrato gerado no sistema SAP/ECC.
Após análise de base de dados de todas as contratações vigentes em 2015, verificou-
se que apenas 5,35% dos registros continham a oportunidade relacionada ao processo de
contratação. A Petrobras informa que esse atributo tem “atendimento parcial por limitação do
sistema”. Sabe-se que nem todas as oportunidades lançadas via Petronect tornam-se instrumentos
contratuais, pois a participação dessa ferramenta se encerra no momento do recebimento,
aprovação e negociação das propostas. Além disso, muitas das oportunidades são cotações ou são
canceladas sem fechamento de negócio. Porém, a maioria, culmina em acordos contratuais, não só
envolvendo valores significativos, mas também relevantes, por se tratar de fornecimento de
materiais ou serviços críticos para o processo de produção, correspondendo o Petronect a cerca de
70% do volume de compras da companhia, segundo informado pela Empresa.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
48
Para ilustrar essa situação tem-se o gráfico abaixo, mostrando que, dos 20.993
contratos vigentes em 2015 e distribuídos por ano de início de vigência, apenas 1.125 possuem a
oportunidade de origem vinculada:
Gráfico - Quantidade de contratos vigentes em 2015 com e sem código Petronect (Sim).
Fonte: Elaborado pela equipe de Auditoria
Essa situação contribui para dificuldades na rastreabilidade dos processos de
contratação, demonstrando que a integração entre os sistemas Petronect/SAP-ECC carece de
melhorias estruturantes visando lograr os ganhos de governança que a utilização de sistemas
integrados proporciona.
##/Fato##
Causa
Deficiência na institucionalização do processo de compras, que, apesar de contar com solução
única e automatizada (portal Petronect), não possui utilização uniforme em todas as áreas de
compras da companhia, ficando expostas à ausência de rastreabilidade no processo e ao risco
operacional.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“I. Baixo índice de utilização do Petronect pelas áreas de compras da Petrobras Holding.
Em relação a este tema cabe acrescentar que a Petrobras está, neste momento, passando
por um processo de reestruturação, no qual foi proposta a centralização das áreas de
contratação de bens e serviços da companhia. Um dos objetivos desta reestruturação é o
de padronizar os processos de compras, com a consequente adoção institucionalizada das
ferramentas corporativas de apoio ao processo.
-
1.000
2.000
3.000
4.000
5.000
6.000
Não
Sim
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
49
Com a implantação do Projeto Bóson, conforme citado no item 1.1.1.3, o Portal Petronect
será a ferramenta corporativa única para criação das solicitações de cotação,
recebimento e análise de propostas.
II. Utilização do portal de compras sem o devido preenchimento de campos essenciais para
a rastreabilidade e controle do processo.
A Petrobras reconhece as fragilidades apontadas e vem trabalhando na criação de
alternativas para garantir o completo preenchimento das informações da oportunidade.
Medidas como orientações corporativas e treinamentos à distância vêm sendo adotadas
com intuito de orientar e capacitar os usuários (Petrobras e fornecedores) quanto ao
correto uso da ferramenta.
Além disso, as áreas de MATERIAIS/OGBS/GPDM e Petronect estão desenvolvendo um
estudo de uma solução sistêmica, que garanta o correto preenchimento dos valores das
cotações realizadas pelos fornecedores. Esta solução visa garantir a aposição das
informações de cotações, inclusive nos casos em que o detalhamento for apresentado
através de planilhas eletrônicas.
Cabe neste item apenas um comentário a respeito da informação do campo “descrição da
oportunidade”. O campo em questão consiste em uma simples descrição, em formato de
texto, feita pelo usuário (contratador), sobre o processo de contratação, acrescida do
número coletivo (número sistêmico que agrupa solicitações de cotações). O texto incluído
pelo comprador possui como objetivo a organização dos processos daquele comprador,
sendo a oportunidade rastreada pelo seu número sistêmico, campo este estruturado e sem
permissão para edição.
Importante destacar quanto ao tema que, com o objetivo de primar pela segurança e
transparência do processo, as informações do campo preço são preenchidas pelo
fornecedor, não tendo a comissão acesso para editá-los em nenhuma hipótese.
Ademais, ressalta-se que, na hipótese de divergência entre os valores lançados no sistema
(oportunidade) pelo fornecedor e os valores preenchidos na PPU em anexo, deve valer
sempre a última.
Acrescenta-se ainda que, pelo princípio da competitividade dos procedimentos licitatórios,
a comissão não deveria desclassificar proposta vantajosa cujo preenchimento sistêmico
tenha sido equivocado quando da existência de PPU anexo válida.
III. Inexistência de segregação de funções no processo de criação, aprovação, publicação
e encerramento de oportunidades no sistema.
A ferramenta Portal de Compras foi desenvolvida com objetivo de registrar de forma
sistêmica as seguintes atividades do processo de contratação:
f.11 Constituir comissão de licitação
f.12 Definir modalidade de licitação
f.13 Selecionar tipo de licitação
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
50
f.14 Selecionar empresa(s)
f.18 Elaborar instrumento convocatório
f.19 Expedir instrumento convocatório
f.20 Enviar carta convite
f.21 Publicar aviso de processo de licitação
f.22 Receber documentação e propostas
f.29 Realizar análise da documentação e propostas
f.30 Julgar propostas
f.31 Classificar propostas
f.32 Divulgar classificação das propostas
f.50 Elaborar relatório da comissão de licitação
f.51 Obter assinatura do relatório da comissão de licitação
f.57 Assinar instrumento contratual
As ações executadas neste sistema, em alguns casos, limitam-se ao simples registro da
ação previamente realizada pela comissão, ou por outra parte envolvida no procedimento
licitatório. Já em outros casos, a própria execução da ação se dá por meio do sistema.
Vejamos o exemplo da atividade “seleção de empresas”. A lista de empresas incluídas na
oportunidade não consiste no ato de selecionar empresas para licitação e sim no simples
registro deste. De acordo com os procedimentos corporativos, o ato de seleção de
empresas é realizado previamente à instauração, e aprovado através de autoridade
competente. Já o envio do convite aos fornecedores constitui atividade cuja ação, bem
como o seu registro, são feitos por meio do sistema Portal de Compras.
As demais atividades do processo são realizadas e registradas através de procedimentos
manuais ou outros sistemas de suporte. A título de exemplo, a atividade de instauração do
procedimento licitatório não é realizada diretamente por meio do sistema Portal de
Compras, no entanto, conforme procedimento corporativo, as autorizações devem ser
obtidas junto à autoridade competente da área solicitante ou da área contratante, sendo a
aprovação objeto de verificação da comissão de licitação.
As funções exercidas pelo comprador no sistema do Portal de Compras são aquelas de
atribuição da comissão de licitação, e as ações imputadas no sistema são feitas por um
representante desta, em geral o próprio presidente.
Com intuito de melhor integrar as atividades pertinentes ao processo de contratação, a
área de MATERIAIS/OGBS vem desenvolvendo alguns projetos corporativos que visam a
aumentar a rastreabilidade do processo e a integrar os controles internos, sendo estes:
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
51
- Projeto Bóson – visa a integrar o processo de contratação realizado através da
ferramenta do Portal de compras, garantindo a rastreabilidade entre a oportunidade e os
documentos de compra criados no SAP – ECC. O projeto ainda inclui aspectos como a
obrigatoriedade de uso do Portal de Compras, para atendimento às requisições de
compras, e a necessidade de determinação da proposta vencedora na própria ferramenta.
- Projeto Apoio à Contratação – visa a sistematizar as etapas que antecedem a efetivação
da licitação, incluindo seu processo de instauração.
IV. Inconsistências no relacionamento entre o código da oportunidade gerado no
Petronect e o código do contrato gerado no sistema SAP/ECC.
Para este item, nos remetemos às considerações realizadas no item “III””.
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
A manifestação do gestor vai ao encontro dos fatos apresentados na constatação,
ressaltando a necessidade de acompanhamento da implementação do Projeto Bóson e suas
implicações no processo de compras e aquisições da companhia e do Grupo Petrobras. Ressalta-
se que a questão da baixa utilização do sistema Petronect pelas áreas de compras da companhia
está sendo tratada por recomendação do item 1.1.1.3 deste relatório.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: No âmbito da Petronect, efetuar revisão dos controles de integridade dos campos
do sistema em conjunto com as necessidades da área de Materiais da Petrobras e sem onerar o
contrato 4600332744, relativo ao Portal de Compras.
Recomendação 2: Realizar estudo sobre a viabilidade técnica e financeira de incluir na aplicação
do portal de compras o instituto da segregação de funções nos diversos pontos de controle do
processo de compras e aquisições.
Recomendação 3: Incluir na aplicação do portal de compras campo específico para identificar a
empresa ganhadora em todas as modalidades de oportunidades possíveis, atentando para critérios
de economicidade e eficiência e sem onerar o contrato 4600332744
Recomendação 4: Encaminhar à CGU report semestral do andamento do Projeto Bóson,
destacando as alterações nos processos de compras e contratações da companhia. Deverão ser
encaminhadas no mínimo as seguintes informações: escopo das atividades, cronograma de
implementação, responsáveis e áreas envolvidas.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
52
280
-
50
100
150
200
250
300
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
15
9-1
60
Qu
anti
dad
e d
e O
po
rtu
nid
ades
Faixa de Valores de Oportundiades (x 1000)
1.1.1.8 CONSTATAÇÃO
Fracionamento de oportunidades feitas como Pequenos Serviços ou Dispensa com valores
próximos ao limite que dispensa o processo licitatório (R$ 160.000).
Fato
Fator de Risco
Associado
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
Em análise realizada nos dados das oportunidades lançadas entre os anos de 2013 e
2015 com valores na faixa de R$ 100.000,00 a R$ 160.000,00, foi identificada expressiva
concentração de oportunidades do tipo Pequenos Serviços – RF ou Dispensa Total ao redor do
valor limite para realização de Convite (R$ 160.000). Como mostrado no gráfico abaixo, a média
da quantidade de oportunidades por faixa de valor é de 90, sendo que para a faixa de valor de
159.000 a 160.000 foram encontrados 280 casos, mais de três vezes acima da média, totalizando
R$ 44.721.681,48 em valor transacionado.
Gráfico – Quantidade de oportunidades lançadas no período 2013-2015 com valores de
R$100.000 a R$160.000 por faixas de R$1.000.
Fonte: Dados encaminhados em resposta a Solicitações de Auditoria.
Após análise detalhada desses casos, notou-se que a composição do preço dos itens
dessas oportunidades totaliza valor próximo de R$ 160.000,00. Chama atenção o fato de o
Média = 90
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
53
somatório de diversos itens com as respectivas quantidades gerarem total com valor abaixo do
limite de dispensa por valor, como pode ser visto nos quadros exemplificativos abaixo:
Quadro – Exemplos de oportunidades com itens fechando valores próximos a R$ 160.000,00.
Tipo: Peq. Serviços – RF
Oportunidade Data Descrição Org. de
Compras Fornecedor
7001245792 21/02/2014
1489927145 - ANP-01
- SERVIÇO DE
INSTALA EPSERV_MAT
TRANSELETRON
SERVICOS
TECNICOS
ESPECIALI
Item Qtde. Valor Item Total
Mobilização de pessoal 12 1.736,22
20.834,64
Serviços de instalação
de SEL 60 1.835,30
110.118,00
Disponibilidade de
malas de operações 40 460,96
18.438,40
Hospedagem 12 884,06
10.608,72
Total
159.999,76
Oportunidade Data Descrição Org. de
Compras Fornecedor
7001536733 15/05/2015
1797319155 -
OPERAÇÃO DO
SISTEMA DE ENER BC_MAT
WARTSILA BRASIL
LTDA.
Item Qtde. Valor Item Total
Comissionamento e
Start-up da caldeira 10.000 15.999,80 159.999,80
Total 159.999,80
Oportunidade Data Descrição Org. de
Compras Fornecedor
7001542022 28/05/2015
1804281155 -
AVALIAÇÃO DE
PARÂMETROS HI RNCE_MAT FUNDACAO BIO-RIO
Item Qtde. Valor Item Total
Silicato água_planilha
BDCO/laudo -MR4 23 129,36 2.975,28
Amônia água_planilha
BDCO/laudo -MR4 23 155,23 3.570,29
Nitratoágua_planilha
BDCO/laudo-ME9+ME10 72 129,36 9.313,92
COD/COP água_planilha
BDCO/laudo - ME9 36 388,08 13.970,88
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
54
Amônia água_planilha
BDCO/laudo -ME9 36 155,23 5.588,28
Relatório de Fontes da
Morg Sed MR3+MR4 1 12936 12.936,00
MPS água_planilha
BDCO/laudo -
ME9+ME10 72 77,62 5.588,64
Sulfetos água_planilha
BDCO/laudo -ME9 36 194,04 6.985,44
Nitrato água_planilha
BDCO/laudo -MR4 23 129,36 2.975,28
Relatório de fontes da
Morg em sed - ME9 1 12936 12.936,00
MPS água_planilha
BDCO/laudo -MR4 23 77,62 1.785,26
C/N elem e isot
sedplanilha
BDCOlaudoME9 108 323,4 34.927,20
Fosfato água_planilha
BDCO/laudo -MR4 23 129,36 2.975,28
Nitritoágua_planilha
BDCO/laudo-ME9+ME10 72 129,36 9.313,92
Fosfato água_planilha
BDCO/laudo -ME9 36 129,36 4.656,96
COD/COP água_planilha
BDCO/laudo - MR4 23 388,08 8.925,84
Nitrito água_planilha
BDCO/laudo -MR4 23 129,36 2.975,28
Relatório de hidroquímica
em água - ME9 1 12936 12.936,00
Silicato água_planilha
BDCO/laudo -ME9 36 129,36 4.656,96
Total 159.992,71
Fonte: Dados encaminhados em resposta a Solicitações de Auditoria.
Essa situação, valores tão próximos do limite, configura fuga da necessidade de
realizar certames licitatórios (Convite, Tomada de Preço ou Concorrência), conforme Decreto
2.745/98 e o Padrão PG-0V4-00156L.
Em que pese o fato de essa situação refletir o processo organizacional de compras, pois
o processo decisório é feito fora do Petronect, entende-se que a ferramenta, enquanto aplicação
especializada na automação de processos de compras, inserida em um contexto pautado por
normas legais e um regramento corporativo, deveria conter elementos de controle para mitigar
esse risco de ilegalidade.
Em outros exemplos, mostrados na Tabela abaixo, percebe-se um conjunto de
oportunidades lançadas com datas coincidentes, mesma organização de compra, mesmo
fornecedor e valores próximos ao limite R$ 160.000, que se somando o total, alcançaria valor não
enquadrável em pequenos serviços:
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
55
Tabela – Exemplos de oportunidades com indicativo de fracionamento de valores
Tipo: Peq. Serviços - RF
Unidade: Unidade EPSERV_MAT
Data: 02/07/2014
Fornecedor com menor lance: TRANSELETRON SERVICOS TECNICOS ESPECIALI
Cód. Oportunidade Descrição Valor Total do Menor
Lance
7001318457 1568119145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318471 1568138145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318472 1568139145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318473 1568141145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318474 1568142145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318477 1568146145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318478 1568147145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318479 1568148145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318480 1568149145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318481 1568150145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318482 1568151145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318483 1568152145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318485 1568155145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318486 1568156145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318489 1568167145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318491 1568157145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318492 1568159145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318500 1568168145 - CONTRATAÇÃO DE SERVIÇO DE I 159.996,00
7001318476 1568145145 - CONTRATAÇÃO DE SERVIÇO DE I 159.934,00
TOTAL 3.039.862,00
Tipo: Peq. Serviços - RF
Unidade: Unidade EPSERV_MAT
Data: 07/04/2014
Fornecedor com menor lance: TRANSELETRON SERVICOS TECNICOS ESPECIALI
Cód. Oportunidade Descrição Valor Total do Menor
Lance
7001270075 1515528145 - MRL-222 - SERVIÇO DE INSTAL 159.999,96
7001270326 1515758145 - RO-102 - SERVIÇO DE INSTALA 159.999,96
7001270355 1515785145 - MA-15 - SERVIÇO DE INSTALAÇ 159.999,96
7001270402 1515788145 - MONTAGEM - SERVIÇO DE INSTA 159.999,94
7001270073 1515518145 - MA-15 - SERVIÇO DE INSTALAÇ 159.999,86
7001270423 1515902145 - MRL-134 - SERVIÇO DE INSTAL 159.999,86
TOTAL 959.999,54
Tipo: Peq. Serviços - RF
Unidade: Unidade BA_MAT
Data: 19/02/2015
Fornecedor com menor lance: BASE EMPREENDIMENTOS E SERVICOS LTDA
Cód. Oportunidade Descrição Valor Total do Menor Lance
7001472101 1729247155 - RECUPERAÇÃO DO ACESSO AO PO 159.980,00
7001472094 1729615155 - RECUPERAÇÃO ACESSO POÇO TQ- 159.980,00
TOTAL 319.960,00
Fonte: Dados encaminhados em resposta a Solicitações de Auditoria.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
56
##/Fato##
Causa
Inexistência de controle sistematizados por parte da ferramenta (Petronect/SRM) de oportunidades
que indiquem fracionamento de compras.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“A área do Materiais/OGBS/ASBS mantém rotina de verificação de conformidade VC-63
(Anexo 7) desenvolvida em 09/2015, cuja aplicação é retroativa a junho/2014, na qual se
busca identificar possíveis casos de fracionamento. Nesta rotina, entende-se por
fracionamento a colocação de pedidos de uma mesma unidade organizacional, com mesmo
fornecedor, para atendimento à mesma área cliente, em curto período de tempo, e cujo
somatório dos pedidos ultrapasse o limite de dispensa por valor da unidade.
Todos os casos identificados pela rotina são enviados às gerências executivas das áreas
responsáveis pela contração, de modo que as mesmas possam avaliar a legitimidade dos
processos.
O caso da empresa “TRANSELETRON SERVICOS TECNICOS ESPECIALI” já havia sido
identificado pela gerência do Materiais/OGBS/ASBS, e encaminhado às gerências
executivas responsáveis pela contratação, para que avaliassem a legitimidade dos
processos.
O caso da empresa “BASE EMPREENDIMENTOS E SERVICOS LTDA” não foi
identificado pela verificação de conformidade devido ao fato de que as referidas
oportunidades não levaram à criação de pedidos nos sistema SAP–ECC, não devendo ser
considerado como uma evidência de fracionamento, tendo em vista que os documentos de
compras não foram criados.”
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Em que pese o gestor indicar que realiza acompanhamento manual de processos de
compras com indicativos de fracionamento dos limites legais da companhia, entende-se que tal
preocupação também deveria estar refletida sistematicamente nos controles da ferramenta
Petronect/SRM, pois com a escala de processamento da solução automatizada consegue-se mais
efetividade nesse tipo de verificação. Assim, opina-se pela manutenção da constatação.
##/AnaliseControleInterno##
Recomendações:
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
57
Recomendação 1: Realizar verificação dos casos concretos de processos de dispensa e pequenos
serviços nitidamente próximos ao limite de Convite, procedendo à análise da necessidade e da real
execução dos serviços efetivamente pagos, incluindo a responsabilização dos envolvidos e o
ressarcimento financeiro quando cabível.
Recomendação 2: Instituir controles na aplicação de compras do Petronect para mitigar o risco de
fuga aos limites legais de licitação, incluindo o limite de convite e os limites de competência de
cada nível decisório, gerando relatórios para acompanhamento das unidades do controle interno e
compliance da Petrobras
1.1.1.9 CONSTATAÇÃO
Empresas inidôneas e suspensas com participação em convites e contratações
Fator de Risco
Associado
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
Fato
O Procedimento Corporativo PG-0V4-00156 L - Contratar Bens Serviços determina
que uma das atribuições da Comissão de Licitação é:
“6.3.5.3. Assegurar que não participem do procedimento licitatório
fornecedores que façam parte da listagem de “Empresas Impedidas de
Transacionar com a Petrobras” ou constem como inidôneas no Portal da
Transparência da Controladoria Geral de União (CGU). Para essa
verificação, consultar a página de Materiais, em “Sanções e
Impedimentos”.” (Original sem grifos)
Durante o período de campo, dentro do escopo das avaliações realizadas, não foram
identificadas evidências de execução do procedimento acima, no entanto, foi evidenciado que a
empresa Petronect monitora, periodicamente, de forma não automática, o cadastro de empresas
inidôneas e suspensas do Governo Federal (CEIS) e caso observe a inclusão de empresa
fornecedora da Petrobras, encaminha comunicado para a área de cadastro da Petrobras realizar o
devido bloqueio.
Ocorre que, em pesquisas realizadas no banco de dados do sistema, foi possível
constatar que no período de 01/01/2013 a 25/01/2016 foram enviados 12.589 (doze mil quinhentos
e oitenta e nove) convites de oportunidades para empresas com sanção ativa no Cadastro Nacional
de Empresas Inidôneas e Suspensas (CEIS), o que contraria o que está estabelecido no
procedimento corporativo mencionado acima. Esses convites foram originados de 9.430 (nove mil
quatrocentos e trinta) oportunidades diferentes e destinados a setenta empresas diferentes.
Em análise semelhante, foi possível constatar o estabelecimento dos dois contratos
abaixo, com duas empresas que possuem sanção ativa no CEIS.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
58
Quadro - Contratos firmados pela Petrobras com empresas impedidas
Início
Sanção
Início
Contrato
Fim
Sanção
Fim
Contrato Nº Contrato Fornecedor Sancionador Sanção
15/12/2014 15/05/2015 14/12/2016 13/05/2016 4600492582
TELEMAR
NORTE
LESTE S/A
Tribunal Regional
do Trabalho da 15ª
Região
Suspensão -
Lei de
Licitações
01/02/2013 10/11/2014 27/07/2017 09/11/2015 4600457392
CAVIGLIA
-
INDUSTRIA
DE
MOVEIS -
EMPRESA
BRASILEIRA DE
CORREIOS E
TELÉGRAFOS
Impedimento
- Lei do
Pregão
Fonte: Elaborado pela equipe de auditoria
Desta forma, conforme evidenciado, o item 6.3.5.3. do Procedimento Corporativo PG-
0V4-00156 L – Contratar Bens Serviços não está sendo seguido. Esta atividade visa eliminar dos
processos aquisitivos a possibilidade de participação de empresas que estejam impedidas de
contratar com o poder público. Em decorrência da falha, foi possível identificar o estabelecimento
de duas contratações com empresas que possuíam sanção ativa no CEIS.
##/Fato##
Causa
Não execução do procedimento relativo ao Sistema de Consequências da companhia aplicável ao
processo de contratação.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“A CGU afirma que houve descumprimento do item 6.3.5.3, do Procedimento Corporativo
PG-0V4-00156 L – Contratar Bens Serviços, que visa a assegurar a não participação em
procedimento licitatório de empresas impedidas de transacionar com a Petrobras, ou que
constem como inidôneas no Portal da Transparência da Controladoria Geral da União
(CGU), em razão da suposta contratação de duas empresas que possuíam sanção ativa no
CEIS.
Relata que foram encaminhados convites de oportunidades a empresas constantes no
referido Portal, que possuem as seguintes sanções: suspensão – Lei de Licitações, e
impedimento - Lei do Pregão.
No primeiro caso apresentado pela CGU, a Telemar Norte Leste S.A encontra-se suspensa
pelo Tribunal Regional do Trabalho da 15ª Região, ou seja, esta penalidade não alcança
as contratações da Petrobras.
Isso porque o referido Padrão proíbe a contratação de empresas que estejam “Impedidas
de Transacionar com a Petrobras”, ou que constem como inidôneas no Portal da
Transparência da Controladoria Geral de União. Isto é, a norma interna da Companhia
não alcança as empresas suspensas por outros órgãos da Administração Pública.
Ressalta-se que tal entendimento é corroborado pelo Tribunal de Contas da União,
conforme pode ser visto nas seguintes decisões: Decisão n.º 352/1998-Plenário, sessão de
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
59
10/6/1998; Decisão n.º 36/2001- Plenário, sessão de 7/2/2001; Acórdão n.º 296/2003-
Plenário, in Ata n.º 11; e Acórdão nº 2.617/2010 –2ª Câmara, in Ata n.º 17.
Já o outro fato apresentado se refere à contratação de empresa que foi penalizada com
base no art.7º da Lei 10.520/2002 (Lei do Pregão). Nesse contexto, cumpre esclarecer que
a Petrobras não está vinculada a esta Lei por ser uma sociedade de economia mista, com
natureza de pessoa jurídica de direito privado e, embora integre a Administração Pública
Indireta da União, não se confunde com nenhuma das pessoas da União, Estados, Distrito
Federal ou Municípios.
Logo, não houve irregularidades nas contratações apontadas pela CGU.”
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
O fato relata a não execução de parte do Procedimento Corporativo PG-0V4-00156 L,
o qual estabelece controle interno delegado à Comissão de Licitação para certificar a não
participação de empresas impedidas de contratar com a Administração Pública nas oportunidades
abertas pela Petrobras. A Companhia optou por não executar o controle e o delegou à empresa
terceira, aumentando o risco de suas contratações. A contratação citada revela a real possibilidade
de concretização do risco de se contratar indevidamente empresa com sanção ativa.
A análise dos instrumentos normativos citados pelo Gestor revela que:
O Gestor tem razão ao questionar a consideração das penalidades de Suspensão
provenientes da Lei de Licitações (Lei 8.666/1993). Conforme jurisprudência citada em
sua manifestação (Decisão n.º 352/1998-TCU-Plenário, Decisão n.º 36/2001-TCU-
Plenário), a abrangência das punições de Suspenção provenientes da citada Lei têm
abrangência restrita ao próprio Órgão sancionador. Com esse entendimento, o fato foi
revisto de forma a não considerar como inadequados os convites enviados a empresas nessa
situação. Desta forma, foram enviados 9.412 e não 12.589 convites, de 7.333 e não 9.430
oportunidades, destinados a 48 e não 70 diferentes empresas;
O Acórdão n.º 296/2003-Plenário não guarda relação direta com o objeto analisado;
O Acórdão nº 2.617/2010 –2ª Câmara estabelece “9.6. recomendar à Prefeitura Municipal
de Ilhéus/BA, como boa prática administrativa, que ante à eventual ausência de cadastro
de fornecedores municipais, efetue prévia consulta ao Sistema Integrado de Material,
Patrimônio e Serviços do Governo do Estado da Bahia (Simpas), de forma a observar,
dentre outras informações de seu interesse, a existência de qualquer restrição a licitantes,
notadamente quando da realização de certames para compras de materiais ou prestação
de serviços que envolvam recursos federais;” A citação não guarda relação direta com o
fato relatado;
O Gestor sustenta que penalizações efetuadas com base no art. 7º da Lei 10.520/2002
(Lei do Pregão) não vinculam a Petrobras, enquanto sociedade de economia mista, cujos processos
licitatórios não ocorrem à luz da citada Lei. O argumento não se sustenta já que o citado
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
60
instrumento normativo é claro ao declarar que: “ficará impedido de licitar e contratar com a
União, Estados, Distrito Federal ou Municípios”, estando a companhia inserida, inequivocamente,
nesse contexto.
Impende citar também que, por trás do comando do item 6.3.5.3 do normativo citado,
há os princípios que regem a Administração Pública e, destes, pode-se dispor para a presente
análise da eficiência e da moralidade.
Como eficiência, parte-se do pressuposto que uma das funções de se ter um sistema
para cadastro e avaliação de fornecedores é assegurar a competividade e saber da capacidade de
cumprimento contratual, previamente ao processo de contratação. Assim, antes de elaborar toda
uma métrica própria para indicar riscos ao fornecimento, há de se olhar para fora também e
observar como outros sistemas de avaliação de desempenho avaliam aquele fornecedor específico,
como é o caso do CEIS, divulgado publicamente no Portal da Transparência.
Como moralidade, se num momento de seleção de fornecedores houver informações
de sanções prévias, isso deve sim fazer parte do processo de análise de viabilidade do
fornecimento. É temerário o comportamento isolado de análise de fornecedores pela Petrobras sem
considerar os indicadores de desempenho já publicamente disponíveis.
Dessa forma, opina-se pela manutenção da constatação em questão, reforçando a
necessidade da Petrobras sensibilizar seus mecanismos de avaliação de fornecedores com o CEIS,
observando os critérios de gestão de riscos que seu negócio requer e atentando para os comandos
legais e seus normativos internos.
##/AnaliseControleInterno##
Recomendações:
Recomendação 1: Aprimorar os controles internos aplicáveis ao Sistema de Consequências e ao
processo de contratação, de forma a inviabilizar a possibilidade de participação de empresas
suspensas ou inidôneas nos processos licitatórios e nas contratações.
Recomendação 2: Realizar verificação do caso concreto de contratação da empresa sancionada,
procedendo à análise da necessidade e da real execução dos serviços efetivamente pagos, incluindo
a responsabilização dos envolvidos e o ressarcimento financeiro quando cabível
1.1.1.10 CONSTATAÇÃO
Arranjo institucional que favorece a contratação direta e recorrente dos mesmos
fornecedores (SAP e Accenture).
Fato
Fator de Risco
Associado
A Petrobras está exposta a comportamentos incompatíveis com seus
padrões de ética e conformidade e a falha para detectar em tempo hábil
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
61
ou remediar tais comportamentos poderá ter um efeito material adverso
sobre os negócios da Companhia.
Com base em Relatório da Auditoria Independente de 2014:
“A Petronect foi constituída em 18 de outubro de 2002, tendo por objeto social atuar no
provimento de serviços de comércio eletrônico, compreendendo o desenvolvimento de
sistemas e gerência de portais eletrônicos relacionados ao processo de aquisição de
materiais, serviços e produtos. Sua receita é totalmente auferida com a Petróleo
Brasileiro S.A. – Petrobras, controladora e acionista da Sociedade, e seu custo adquirido
em grande parte com os também acionistas SAP Brasil Ltda. e Accenture do Brasil Ltda.
(grifo nosso).”
Segundo as demonstrações contábeis do exercício de 2014 da Petrobras Negócios
Eletrônicos S.A. (e-PETRO CNPJ: 05.070.908/0001-95), que consolida os dados da Petronect
(CNPJ: 05.370.858/0001-61), os Custos de Serviços Prestados somaram R$ 57.986.000,00. Esses
custos, segundo as notas explicativas, estão relacionados às operações dos portais Progredir,
Cadastro, Contratações, COFIP, Diligenciamento e Cotações, dentre outros. As notas também
destacam que “estes custos são referentes aos contratos de prestação de serviços com os sócios
Accenture e SAP, os quais são alocados aos projetos, e vinculados à prestação de serviços”. Esse
fato também é capturado na seção de outras partes relacionadas, que menciona que “a sociedade
possui contratos com as acionistas Accenture do Brasil Ltda. e SAP Brasil Ltda. para execução
de serviços em plataforma eletrônica de operação de portais, desenvolvimento de soluções,
operação de cotações e Diligenciamento”. Também se encontra menção na seção Intangível, que
relata que a “a Sociedade apresenta em seu ativo intangível, licenças de softwares e
desenvolvimento que são adquiridos na Accenture do Brasil Ltda. e na SAP Brasil Ltda., referente
às licenças, utilizados na manutenção e criação de projetos customizados” (Demonstrações
Contábeis, 31/12/2014, Jornal do Comércio, 24/04/2015).
A Petronect é responsável por abrigar as soluções do Cadastro Corporativo e de
Compras e Contratações (Procurement) para o Grupo Petrobras. Conforme se depreende do trecho
acima em negrito, a Petronect possui como maiores fornecedores os acionistas SAP e Accenture e
como maior cliente seu acionista Petrobras. Esse arranjo pode ser mais facilmente visualizado na
Figura a seguir:
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
62
Figura – Relacionamentos contratuais Petronect e acionistas
Fonte: Elaborado pela equipe de auditoria
Convém destacar que a Petronect não contém quadro próprio de pessoal (contrata a
Accenture/SAP), nem infraestrutura para hospedar suas soluções (rateia custos com a Petrobras),
além de não atuar no mercado, pois presta serviço somente ao Grupo Petrobras. Acrescente-se
ainda a não obrigatoriedade do uso da sua solução (portal Petronect) para compras e contratações
pelas áreas da Petrobras Holding e nem para as empresas do grupo. O percentual de utilização do
portal de Petronect nos últimos cinco anos distribui-se em 30% dos valores transacionados e 70%
das quantidades de aquisições. Segundo a própria Petrobras, “não há restrição corporativa
normalizada quanto às Unidades organizacionais que devem ou podem usar o Portal” (Carta
MATERIAIS/REL/CRC 0001/2015).
A relação contratual Petrobras-Petronect está estabelecida, para as soluções de
Cadastro e Compras, pelos contratos 4600391360, com valor total de R$ 25.896.984,41, e
4600332744, com valor total de R$ 186.956.371,14, sendo o pagamento realizado por meio de
medição. Esses contratos foram celebrados por dispensa de licitação, tendo como fundamento legal
o Decreto nº 2745/98, item 2.1, alínea F “-, descrito abaixo.
“2.1 A licitação poderá ser dispensada nas seguintes hipóteses:
(..)
f) quando a operação envolver exclusivamente subsidiárias ou controladas da
PETROBRÁS, para aquisição de bens ou serviços a preços compatíveis com os
praticados no mercado, bem como com pessoas jurídicas de direito público interno,
sociedades de economia mista, empresas públicas e fundações ou ainda aquelas sujeitas
ao seu controle majoritário, exceto se houver empresas privadas que possam prestar ou
fornecer os mesmos bens e serviços, hipótese em que todos ficarão sujeitos a licitação; e
quando a operação entre as pessoas antes referidas objetivar o fornecimento de bens ou
serviços sujeitos a preço fixo ou tarifa, estipuladas pelo Poder Público” (grifo nosso)
(...)
Desse fundamento, foram consideradas duas linhas de análise que corroboram a
necessidade de que deveria haver processo licitatório, com base nos trechos grifados, (i) sobre a
necessidade de envolver exclusivamente subsidiárias ou controladas, abordando a questão de que
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
63
a Petronect não se enquadra nessas hipóteses, e (ii) outra sobre a questão de haver empresas
privadas que possam prestar ou fornecer os mesmos bens e serviços prestados pela Petronect,
principalmente, serviços de recursos humanos para operação e auxílio no portal de compras e
cadastro.
(i) Sobre a necessidade de envolver exclusivamente subsidiárias ou controladas.
Sobre a primeira linha de análise, verifica-se que o legislador imputou a aplicabilidade
da dispensa somente à contratação de subsidiárias e controladas, quando ainda aplicáveis outras
condições cumulativamente. Diante da clareza da limitação imposta, em que pese eventuais
visualizações de ganho de sinergia por meio da construção de aliança com os fornecedores SAP e
Accenture, firma-se a opinião de que esse enquadramento para a contratação por dispensa está
inadequado.
Na mesma toada, o Tribunal de Contas da União (TCU), ao analisar caso análogo (AC-
3019-48/15-P), firma entendimento que:
“O conceito de "controlada", nos termos do art. 165, § 5º, inciso II, da Constituição
Federal e do art. 2º, inciso II, da Lei Complementar 101/2000 (LRF), restringe-se à
sociedade cuja maioria do capital social com direito a voto pertença, direta ou
indiretamente, a ente da Federação.” (Original sem grifo)
E assim, nesses casos não enquadráveis como “controlada”, firma-se não ser
admissível a contratação por dispensa de licitação com base somente no fundamento de ser
subsidiária ou controlada.
Nesse sentido, somando-se ao argumento teórico, percebeu-se que, na prática, a
Petronect é composta de empregados da sua sócia Accenture do Brasil Ltda., não constando
nenhum registro empregatício na base da Relação Anual de Informações Sociais (RAIS). Alguns
desses empregados atuam diretamente nas instalações da Petrobras, prestando serviços de apoio
ao processo de compras, ou mesmo operando o portal para emissão de lances de cotação em nome
da área de compras responsável, a exemplo das chaves E8ES, A5EJ, A6YE, E934, maiores
usuários do sistema, que atuam como cotadores ou compradores para a área de Exploração e
Produção. De fato, o que se vê é que a Petrobras, por meio da Petronect, terceiriza parte do seu
processo de cotações/compras para um ente privado sem realização de processo licitatório.
Somando-se a isso, tem-se o fato de que a Petronect possui caráter decididamente
privado, como mostra o documento que subsidiou a decisão de criá-la (DIP Materiais 193/2002),
que diz que: “A nova companhia terá caráter privado, uma vez que a e-Petro possuirá 49% das
ações ordinárias (capital votante) e os outros sócios, em conjunto, 51%.”.
Indo além, na tentativa de se averiguar a economicidade dos negócios da Petronect
com seus sócios, foram solicitados os contratos da Petronect com suas sócias/fornecedoras
(SAP/Accenture) para conhecimento dos preços dos serviços acordados. Em resposta à Solicitação
de Auditoria nº 8 a Petrobras informou que:
“Esclarecemos que a Petrobras se encontra impossibilitada de fornecer a documentação
solicitada, tendo em vista que a empresa Petronect possui personalidade jurídica própria,
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
64
e que a Companhia não tem gestão sobre os contratos e termos aditivos firmados com os
principais fornecedores daquela empresa.”
Na tentativa de se elucidar a negativa citada acima, solicitou-se à Petrobras que se
pronunciasse sobre a real posição da Petronect na governança da companhia, se coligada,
controlada ou subsidiária. Em resposta, a estatal informa que essa questão está em aberto, não
havendo um consenso entre seus sócios, como se pode depreender do trecho abaixo:
“Enquanto as duas primeiras (SAP e Accenture) consideravam a Petronect de natureza
privada e, portanto, empresa Coligada ao Sistema Petrobras, estando de acordo com a
implantação total ou parcial das proposições apontadas no GT; a e-Petro, por sua vez, a
considerava, sob o ponto de vista contábil, como uma empresa Controlada.
Diante disso, ficou registrado que o Conselho de Administração da Petronect aguardaria
posicionamento da acionista e-Petro, para, então, submeter a proposição de alteração do
Acordo de Acionistas da Petronect para definição do seu enquadramento societário
(Controlada ou Coligada).
Atualmente, a matéria vem sendo discutida no âmbito interno da Petrobras, mediante
análise de risco empresarial sobre as possíveis alternativas para adequação societária da
Petronect, de forma a subsidiar futura deliberação da Diretoria Executiva da Petrobras,
harmonizando com as novas regras contábeis estabelecidas pelo IFRS 10 – Consolidated
Financial Statements e IFRS 11 – Joint Agreement do IASB (grifo nosso).”
Dessa forma, pelo próprio entendimento exarado pela Petrobras não há que se falar em
subsistência de fundamentos válidos para a dispensa de processo de contratação da Petronect com
fulcro no Decreto nº 2745/98, item 2.1, alínea F.
(ii) Sobre a questão de haver empresas privadas que possam prestar ou fornecer os
mesmos bens e serviços.
Sobre a segunda linha de análise, o Acordo de Acionistas da Petronect orienta no item
15.12 que “em caso de operação comercial entre a companhia e terceiro em competição
mercadológica com Acionista, esta terá preferência, respeitadas as condições e preços
propostos”. Esse direito de preferência não é automático, pressupõe condições mercadológicas
favoráveis, sendo necessária para isso, no mínimo, consulta ao mercado de cotações do serviço
que se quer contratar. Em consulta sobre essa temática, a Petrobras informou que “na qualidade
de acionista, (...) a pesquisa de preços ao mercado é realizada” e apresenta como evidência a
menção feita pela Auditoria Independente na seção de partes relacionadas nos dois últimos
relatórios de demonstrações contábeis, que diz que “as operações com as referidas empresas
foram realizadas em condições de mercado”.
Assim, embora haja posicionamento da Auditoria Independente sobre algum nível de
verificação de preços de mercado, não se pode firmar opinião sobre a real vantagem para a
Petrobras de não promover um processo competitivo para se buscar a melhor oferta desses
serviços, ainda mais que:
a) Os serviços prestados pela Accenture do Brasil Ltda., que compreendem fornecimento de
mão-de-obra para a prestação de serviços da Petronect ao Grupo Petrobras, não são
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
65
serviços exclusivos. Considerando que a Accenture não é a única empresa prestadora de
consultoria em atividades de Tecnologia da Informação, percebe-se que a contratação desse
tipo de serviço pela Petrobras deverá ser regida por processo licitatório, podendo ser
prestado por outro fornecedor que não o sócio da Petronect, pois se trata de atividade típica
de serviços informatizados. Evidência disso é o fato de que sistemas SAP existem em
outras empresas e elas não necessariamente contratam sempre a Accenture do Brasil Ltda.
para desenvolver e manter seus projetos, como é caso da própria Petrobras, que, na época
da implantação do seu SAP-ERP, utilizou serviços da consultoria Ernest & Young;
b) Especificamente, sobre a contratação Petronect - SAP do Brasil Ltda., admite-se haver a
possibilidade de contratação por inexigibilidade, devido à exclusividade no fornecimento
das licenças de software, pois os serviços da Petronect são fornecidos sob a plataforma
SRM (Supplier Relationship Management) desde 20/11/2006, produto exclusivo desse
fornecedor. Outro ponto é que a Petrobras já utiliza para gestão de seus recursos a versão
SAP ERP (Enterprise Resource Planning), que, naturalmente, deve estar integrada à
solução de cadastro e compras e contratações, para ganho de eficiência na
operacionalização de forma a minimizar riscos de falhas e custos adicionais. Entretanto,
cabe destacar que a aquisição de licenças de software, bem como os serviços de consultoria
advindos disso, são feitos no mercado como projetos, ou seja, possuem início e fim
determinados, além de um produto operacional entregue. O que se tem no caso em
discussão é que a SAP Brasil Ltda. posiciona-se de forma indefinida nesse arranjo
institucional, sendo remunerada como fornecedora e como sócia, sem justificativa
aparente, pois seu papel, de fornecedor do software se cumpre quando da entrega e
implementação dessas soluções e, logicamente, quando do pagamento das licenças
utilizadas, sendo acionada eventualmente para manutenções e atualizações, com ajustes
específicos. Evidência disso é a própria Petrobras que, ao usar o produto SAP ERP para
sua operação diária, não tem a SAP Brasil Ltda. como sócia, tem na verdade como
fornecedora.
(iii) Conclusão
Dados esses pontos, consolidam-se as seguintes premissas (i) a própria Petrobras tem
dúvidas sobre o enquadramento societário da Petronect no seu conjunto de empresas, o que tem
impactos na forma de relacionamento contratual; (ii) os serviços prestados pela Petronect na
verdade são prestados por um dos sócios privados (Accenture). Assim, firma-se a opinião da
necessidade de realizar procedimento licitatório para os serviços que a Petronect oferece à
Petrobras, em especial os serviços envolvendo recursos humanos e operação de sistemas, sendo
que a Petronect, enquanto fornecedora dos serviços do portal de cadastro e compras, não deve ser
contratada por dispensa de licitação para prestar serviços de recursos humanos para a Petrobras
(como a operação do portal para cotações ou o auxílio às áreas de compras).
Adicionalmente, alerta-se para o fato de que o arranjo societário aqui discutido expõe
a Petrobras ao risco de ilegalidade, podendo ser questionado também pelo Tribunal de Contas da
União, que, conforme Acórdão AC-0272-04/16-P, item 9.4.1, promoverá trabalho específico sobre
a contratação direta da Petronect pela Petrobrás. Convém ainda lembrar que a Corte de Contas já
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
66
se pronunciou sobre situação similar no caso Caixa-CPM Braxis (Acórdão AC‐3019‐48/15‐P),
tendo indicado a ilegalidade de contratações diretas entre estatal e coligada.
Reforçando, pode-se mencionar também a Súmula nº 265 do Tribunal de Contas da
União que diz que:
“A contratação de subsidiárias e controladas com fulcro no art. 24, inciso XXIII, da Lei
nº 8.666/93 somente é admitida nas hipóteses em que houver, simultaneamente,
compatibilidade com os preços de mercado e pertinência entre o serviço a ser prestado
ou os bens a serem alienados ou adquiridos e o objeto social das mencionadas
entidades.” (grifo nosso)
A citada súmula apresenta-se no contexto do inciso XXIII do art. 24 da Lei de
Licitações, que se reflete, em essência e por princípio, no Decreto 2.745/98, item 2.1, F, já citado
anteriormente.
##/Fato##
Causa
Interpretação equivocada da norma e consequente ausência de processo licitatório para
desenvolvimento de soluções de TI para o portal Petronect.
##/Causa##
Manifestação da Unidade Examinada
Em relação a esta constatação a Petrobras apresentou as seguintes considerações:
“Argui a CGU que “a sociedade possui contratos com as acionistas Accenture do Brasil
Ltda. e SAP Brasil Ltda. para execução de serviços em plataforma eletrônica de operação
de portais, desenvolvimento de soluções, operação de cotações e Diligenciamento”
Além disso, menciona que “a Sociedade apresenta em, seu ativo intangível, licenças de
softwares e desenvolvimento que são adquiridos na Accenture do Brasil Ltda. e na SAP
Brasil Ltda., referente às licenças, utilizados na manutenção e criação de projetos
customizados”.
Nesse contexto, é importante esclarecer que:
· Licenças de Sistemas/Softwares e respectivas Taxas de Manutenção são contratadas
junto à SAP. Os fornecimentos de licenças e softwares pela SAP são aqueles
compatibilizáveis com os existentes na Petrobras, e estão relacionados aos papéis
esperados dos acionistas, conforme anexo ao Acordo de Acionistas da Petronect.
· Operação dos Portais e Desenvolvimento de Soluções é contratada junto à Accenture, em
função de vínculo de origem ao “core business” da Procurement Negócios Eletrônicos
S.A. - Petronect. A Accenture não fornece Recursos Humanos. É fundamental destacar que
a Accenture é contratada para a prestação específica de serviços de sua “expertise” e
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
67
associados ao “core business” da Petronect. São serviços contratados e realizados como
BPO (Business Process Outsourcing), com indicadores de performance associados. O
desenvolvimento de soluções é contratado “por entregas” sob demanda da Petronect. Os
serviços fornecidos pela Accenture estão relacionados com os papéis esperados dos
acionistas, conforme anexo ao Acordo de Acionistas da Petronect.
Quando o trecho se refere ao “Grupo Petrobras”, é importante destacar que no
Planejamento Estratégico 2015-2017 da Petronect foi aprovada, pelo seu Conselho de
Administração, a possibilidade de prospecção de novos clientes (fora do Grupo).
Com relação às contratações realizadas pela Petronect com os seus acionistas,
esclarecemos que os respectivos contratos foram firmados com valores de mercado,
conforme os Relatórios dos Auditores Independentes (PwC – PricewaterhouseCoopers)
encaminhados em atendimento ao item 1 da SA201503830/012.
Ressalta-se ainda que os portais foram desenvolvidos pela Petronect de forma customizada
para uso exclusivo da Petrobras, em alinhamento com seus processos de negócios e
procedimento de contratação específico. Não há empresa no mercado com solução
semelhante.
Destaca-se que os serviços prestados pela Petronect para a Petrobras não se referem ao
fornecimento de recursos humanos, mas sim prestação de serviços de operação,
manutenção e suporte ao uso dos portais de Compra e Cadastro. Serviços contratados e
realizados como BPO (Business Process Outsourcing), com indicadores de performance
associados.
Excepcionalmente e mediante solicitação de uma área de compras, pode haver a alocação
de um Especialista (profissional da Petronect), que atuará exclusivamente como
orientador ou esclarecedor de dúvidas, exclusivamente relacionadas às funcionalidades
do Portal Petronect, para os compradores contratadores dessa área de compras.
(i) Sobre a necessidade de envolver exclusivamente subsidiárias ou controladas.
No que tange à menção de que: “Nesse sentido, somando-se ao argumento teórico,
percebeu-se que, na prática, a Petronect é composta de empregados da sua sócia
Accenture do Brasil Ltda., não constando nenhum registro empregatício na base da
Relação Anual de Informações Sociais (RAIS).
Alguns desses atuam diretamente nas instalações da Petrobras, prestando serviços de
apoio ao processo de compras, ou mesmo operando o portal para emissão de lances de
cotação em nome da área de compras responsável, a exemplo das chaves E8ES, A5EJ,
A6YE, E934, maiores usuários do sistema, que atuam como cotadores ou compradores
para a área de Exploração e Produção. De fato, o que se vê é que a Petrobras, por meio
da Petronect, terceiriza parte do seu processo de cotações/compras para um ente privado
sem realização de processo licitatório.”, cumpre esclarecer que:
- O Acordo de Acionistas da Petronect, em seu anexo 1, atribui o papel de desenvolver
soluções e integração de sistemas ao acionista Accenture. Esses serviços são prestados
através de contratos de prestação de serviços com a Petronect.
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
68
- As chaves relacionadas são de Colaboradores/Prestadores de Serviço (Serviço
contratado e realizado como BPO - Business Process Outsourcing, com indicadores de
performance associados) que atuam, nas instalações da Petronect, como Cotadores para
o Segmento de Negócio do E&P, realizando apenas a coleta de preços de forma
automatizada (para processos de Dispensa de Valor), sem poder decisório
(responsabilidade da gerência de subordinação), utilizando o Sistema SAP da Petrobras
e demais ferramentas corporativas, conforme resposta ao item 6 da SA 201503830/008.
(ii) Sobre a questão de haver empresas privadas que possam prestar ou fornecer os
mesmos bens e serviços.
Afirma a CGU que “...embora haja posicionamento da Auditoria Independente sobre
algum nível de verificação de preços de mercado, não se pode firmar opinião sobre a real
vantagem para a Petrobras de não promover um processo competitivo para se buscar a
melhor oferta desses serviços.”
Sobre esse ponto, esclarecemos o que segue:
- Operação dos Portais e Desenvolvimento de Soluções são contratadas junto à
ACCENTURE, em função de vínculo de origem ao “core business” da Procurement
Negócios Eletrônicos S.A. - PETRONECT.
- São serviços contratados e realizados como BPO (Business Process Outsourcing), com
indicadores de performance associados. O desenvolvimento de soluções é contratado “por
entregas” sob demanda da Petronect.
- Os serviços prestados pela Petronect para a Petrobras são serviços exclusivos por tratar-
se de desenvolvimento, operação, manutenção e suporte ao uso de Portais desenvolvidos
de forma customizada para os processos de negócios da Petrobras e suas peculiaridades
de procedimentos de contratação.
- Sistemas SAP são plataformas que podem e são usadas por outras empresas. A Petronect
usa a plataforma SAP para desenvolver funcionalidades customizadas para a Petrobras,
através da contratação da Accenture, que possui este papel na sociedade, conforme anexo
1 do Acordo de Acionistas.
- Cabe destacar a condição de preferência, registrada no Acordo de Acionistas, ao
Acionista em competição mercadológica, respeitadas as condições e preços propostos
(AA, Cláusula 15.12).
- Esclarecemos que o papel da SAP na sociedade é o fornecimento de tecnologia
compatível com a existente na Petrobras, conforme anexo 1 do Acordo de Acionistas da
Petronect.
- Importante destacar que licenças de Sistemas/Softwares e respectivas Taxas de
Manutenção são contratadas junto à SAP.
(iii) Conclusão
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
69
Esclarecemos que os serviços prestados pela Petronect, para a Petrobras, referentes aos
Portais de Compras e Contratação, não se limitam aos serviços prestados pela Accenture.
A operação de portais eletrônicos inclui, basicamente, serviços de help desk, manutenção,
treinamento, suporte avançado, comunicação com clientes, dentre outros. A Petronect
possui outros prestadores de serviços para realizar a totalidade dos serviços necessários
à operação dos Portais. Cabe à Accenture executar os serviços relacionados ao seu papel
na sociedade, conforme anexo 1 do Acordo de Acionistas da Petronect.
Ressaltamos que a Petronect não fornece recursos humanos para a Petrobras, por não
fazer parte do core business da empresa e não estar alinhado com o seu estatuto social
(Capítulo II Art. 3º).
Acrescentamos ainda, que as contratações diretas da Petronect para o provimento dos
sistemas de Compras e Cadastro se sustentam, conforme pareceres jurídicos, não só no
aspecto societário da empresa Petronect, mas principalmente no item 2.3 do Decreto nº
2745 – Inviabilidade fática. Os pareceres foram divulgados através dos Documentos
Internos Petrobras:
- DIP-JURÍDICO-JSERV 7302-10 –> refere-se ao Contrato do Portal de Compras (Anexo
8)
- DIP JURIDICO-JSERV 5449-2012 -> refere-se ao Contrato do Portal de Cadastro
(Anexo 9)”
##/ManifestacaoUnidadeExaminada##
Análise do Controle Interno
Em sua manifestação, a Petrobras sustenta que as soluções foram desenvolvidas pela
Petronect de forma customizada, e que não há empresa com solução semelhante no mercado. Com
relação a isso, é lógico pensar que uma solução customizada não será encontrada igual no mercado,
mas sim a capacidade de desenvolvimento desse tipo de solução, sendo esse o foco da contratação,
e não a solução em si. Essas customizações são feitas na plataforma padrão do fornecedor SAP,
que é solução corporativa comum no mercado de softwares de gestão de processos.
Em outro ponto, a companhia alega que a Petronect não fornece recursos humanos,
mas sim “prestação de serviços de operação, manutenção e suporte ao uso dos portais de Compra
e Cadastro”. Assumindo-se que não há como fornecer esses serviços de forma totalmente
automatizada, há de se utilizar de recursos humanos para tal. Logo a Petronect também fornece
pessoal para essas atividades acessórias ao processo de compras na Petrobras, além da já
reconhecida alocação de especialistas com atuação exclusiva como “orientador ou esclarecedor de
dúvidas”.
Sabe-se que a Petrobras é dependente dessa solução customizada (Petronect) e que o
Acordo de Acionistas da Petronect assegura a primazia da contratação dos sócios, mas é
exatamente por isso que se questiona o arranjo societário presente na formação da coligada
Dinheiro público é da sua conta www.portaldatransparencia.gov.br
70
Petronect, que sedimenta a necessidade de contratação direta, a despeito da promoção do processo
competitivo em uma área que não guarda as especificidades do setor de petróleo e gás, que é o
desenvolvimento de soluções de tecnologia da informação. Nessa baila, a área auditada apresenta
dois pareceres da área jurídica que corroboram a situação de contratação direta. Contudo, essas
análises, realizadas em 2010, não levaram em conta versões atualizadas de documentação
importante para a análise do pleito (Estatuto Social, Acordo de Acionistas, Contratos e seus
aditivos), sendo embasados em versões iniciais de 2002 e em outros pareceres de 2008.
Dessa forma, opina-se pela manutenção da constatação, recomendando-se ao gestor
que reavalie o processo de contratação da Petronect, atentando, por analogia, para o seguinte
entendimento do TCU:
“Não se admite contratação direta com base no art. 25 da Lei 8.666/1993 em razão, única
e exclusivamente, da relação societária entre a empresa estatal e a sociedade na qual
detém participação acionária. Tal relação, por si só, não caracteriza a inexigibilidade de
licitação pela inviabilidade de competição, pois não retira a aptidão de outras empresas
para fornecer determinado produto ou serviço nos termos pretendidos (Acórdão
1220/2016 Plenário, Informativo de Jurisprudência 287). ”
##/AnaliseControleInterno##
Recomendações:
Reavaliar o processo de contratação da Petronect pela Petrobras, envolvendo as áreas de
compliance da companhia, em especial a assessoria jurídica, para que emita parecer legal
atualizado sobre o tema, e a Diretoria de Governança, Risco e Conformidade (GRC), para
avaliação de risco empresarial, incluindo - como possível elemento mitigador - a formalização de
processo licitatório para seleção de prestador relacionados ao desenvolvimento, assistência e
suporte de soluções SAP para o portal Petronect.