Tc 011. 772/2010-7 Natureza: Relatório de Auditoria Interessado: Tribunal de Contas da União. Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti) Advogado constituído nos autos: não há. Sumário



Baixar 3,88 Mb.
Página1/16
Encontro01.07.2018
Tamanho3,88 Mb.
  1   2   3   4   5   6   7   8   9   ...   16

TRIBUNAL DE CONTAS DA UNIÃO TC 011.772/2010-7

Gabinete do Ministro Aroldo Cedraz





GRUPO I – CLASSE VII – Plenário.

TC 011.772/2010-7

Natureza: Relatório de Auditoria

Interessado: Tribunal de Contas da União.

Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti)

Advogado constituído nos autos: não há.
Sumário: TMS 6/20010. GESTÃO E USO DE TECNOLOGIA DA INFORMAÇÃO (TI). RELATÓRIO CONSOLIDADEO. 21 TRABALHOS, ABRANGENDO 315 ORGANIZAÇÕES PÚBLICAS FEDERAIS. CONSIDERAÇÕES A RESPEITO DAS CONTRATAÇÕES DE SOLUÇÕES DE TI PELO SISTEMA DE REGISTRO DE PREÇOS (SRP). CONSIDERAÇÕES SOBRE O TEMA “GOVERNANÇA CORPORATIVA E GOVERNANÇA DE TI”. RECOMENDAÇÕES E DETERMINAÇÕES.
RELATÓRIO

Trata-se de relatório consolidado das ações do TMS 6/2010, cujo objeto foi avaliar se a gestão e o uso da tecnologia da informação estão de acordo com a legislação e aderentes às boas práticas de governança de TI.

2. O objetivo maior dessa fase do trabalho consiste em agregar os resultados de todas as fiscalizações previstas, de modo a sintetizar os achados e conclusões sobre a gestão e uso de TI na Administração Pública Federal (APF).

3. Passo a transcrever, a seguir, o relatório de consolidação das informações obtidas nessas Auditorias, nos moldes apresentados pela equipe coordenadora da Secretaria de Fiscalização de Tecnologia da Informação (Sefit):


[...] INTRODUÇÃO

Origem do TMS

Por meio de Comunicação da Presidência do TCU de caráter reservado na sessão de 31/3/2010, foi apresentado o plano de fiscalização para 2010/2011, quando foi então aprovado o Tema de Maior Significância (TMS) 6 – Gestão e uso de TI (Tecnologia da Informação), para ser conduzido sob coordenação da Sefti.

Posteriormente, por meio de diversos despachos do relator, Ministro Aroldo Cedraz (TC 009.329/2010-2), foram autorizadas as 21 fiscalizações que compuseram este TMS.

Visão geral

Por que TI é importante na APF?

O levantamento de auditoria que resultou no Acórdão 2.308/2010-TCU-Plenário, um dos trabalhos integrantes do presente TMS, solicitou que os entes pesquisados elencassem os sistemas de informação de maior relevância no suporte para cada uma das suas três principais ações finalísticas, solicitando ainda que a informação contemplasse o nível de criticidade do sistema para a consecução da ação (pergunta 5.1, fl. 26, anexo 2).

Os dados apresentados no Quadro 1 (incluindo todas as respostas enviadas no levantamento supra, inclusive as que chegaram após a prolação do acórdão) registram que 74% dos pesquisados declararam que seu negócio é afetado se os seus sistemas de informação pararem de funcionar de forma adequada.

Quadro 1 – Maturidade de governança de TI e existência de sistemas críticos


Criticidade

(Se o sistema parar, o negócio...)



Maturidade inicial

Maturidade intermediária

Maturidade aprimorada

Total

... para imediatamente.

82

63

9

154

51%

... para em uma semana.

12

6

3

21

7%

... para em um mês.

5

1



6

2%

... é afetado, mas não para.

27

13

3

43

14%

... não é afetado.

50

26

1

77

26%

Total

176

179

16

301

100%

Quando analisamos os dados da previsão orçamentária dos 77 pesquisados que informaram que seu negócio não é afetado pela parada dos seus sistemas de informação (apêndice ), observamos que 38 deles possuem previsão de gastos em TI acima de R$ 1 milhão, sugerindo a possibilidade de erro na avaliação empreendida por alguns gestores e a dependência dos sistemas de informação na quase totalidade das organizações da APF pesquisadas.

Esses dados evidenciam a importância da TI na condução das políticas públicas do Governo Federal.

Antecedentes da fiscalização

Os seguintes antecedentes fundamentam a estratégia que foi proposta para a condução do TMS 6 – Gestão e uso de TI:

por meio de levantamento em 255 entes da APF realizado no ano de 2007, o relator do processo no TCU registrou que ‘Não se pode ignorar que os fatos evidenciados neste Levantamento de Auditoria preocupam, pois sugerem um quadro inquietante da governança de TI na Administração Pública Federal’ (voto do Acórdão 1.603/2008-TCU-Plenário);

por meio de auditoria integrada, com foco em controles da governança de TI e testes substantivos em processos de contratação de serviços de TI, o TCU identificou inúmeras falhas, algumas delas consideradas graves pelo Relator (relatório e item 10 do voto do Acórdão 2.471/2008-TCU-Plenário);

o Acórdão 2.471/2008-TCU-Plenário expediu diversas medidas que ‘podem contribuir para reduzir de forma significativa as falhas acima relacionadas e para aperfeiçoar a gestão pública’ (item 11 do voto do Acórdão 2.471/2008-TCU-Plenário). No mesmo sentido, o Acórdão 1.603/2008- TCU- Plenário também expediu diversas recomendações estruturantes sobre o tema governança de TI;

por diversas vezes, esta Corte se deparou com constatações graves decorrentes, dentre outros, da falta de implantação de uma estrutura adequada nos entes públicos para lidar com aspectos da governança de TI, em especial na área de segurança da informação. Citamos como exemplos os indícios de fraude no módulo de consignações do sistema Siape (Acórdão 1.505/2007-TCU-Plenário), as falhas de segurança da informação no sistema Infoseg (Acórdão 71/2008-TCU-Plenário), os indícios de fraude na concessão de benefícios gerenciados pelo Cadastro Único (Acórdão 906/2009-TCU-Plenário) e as falhas nos controles e indícios de fraude no sistema do Cadastro Integrado da Dívida Ativa da União – Cida (Acórdão 3.382/2010-TCU-Plenário);

havia determinação, contida no item 9.9 do Acórdão 1.603/2008-TCU-Plenário, para que a Sefti desse continuidade aos trabalhos de acompanhamento da governança de TI, nos seguintes termos:

‘9.9. determinar à Secretaria de Fiscalização de Tecnologia da Informação – Sefti que realize fiscalizações nas áreas consideradas mais críticas da governança de TI nos órgãos/entidades fiscalizados e organize outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a situação da governança de TI na Administração Pública Federal;’

Órgãos Governantes Superiores (OGS)

Conforme descrito no voto condutor do Acórdão 1.145/2011-TCU-Plenário, os OGS são aqueles que ‘têm a responsabilidade por normatizar e fiscalizar o uso e a gestão de TI em seus respectivos segmentos da Administração Pública Federal’. Assim, os OGS serão os destinatários das orientações propostas neste trabalho.

Do relatório daquele decisum, extraímos onze OGS:

Conselho Nacional de Justiça (CNJ);

Conselho Nacional do Ministério Público (CNMP);

Advocacia-Geral da União (AGU/PR);

Controladoria-Geral da União (CGU/PR);

Gabinete de Segurança Institucional (GSI/PR);

Ministério do Planejamento, Orçamento e Gestão (MP);

Secretaria de Logística e Tecnologia da Informação (SLTI/MP);

Secretaria do Orçamento Federal (SOF/MP);

Departamento de Coordenação e Governança das Estatais (Dest/MP);

Fundação Escola Nacional de Administração Pública (Enap/MP);

Secretaria do Tesouro Nacional (STN/MF).

Para os fins deste trabalho, identificamos ainda outros três OGS de interesse:

Câmara de Políticas de Gestão, Desempenho e Competitividade (CGDC) do Conselho de Governo;

Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal;

Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR).

A CGDC é OGS de interesse devido ao seguinte dispositivo do Decreto 7.478/2011 (sublinhou-se):

Art. 2º Compete à CGDC:

(...)

II – estabelecer diretrizes estratégicas e planos para formulação e implementação de políticas de melhoria da gestão da administração pública federal;



O Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal é OGS de interesse devido ao seguinte dispositivo do Decreto 5.707/2006:

Art. 7º Fica criado o Comitê Gestor da Política Nacional de Desenvolvimento de Pessoal, com as seguintes competências:

I – avaliar os relatórios anuais dos órgãos e entidades, verificando se foram observadas as diretrizes da Política Nacional de Desenvolvimento de Pessoal;

II – orientar os órgãos e entidades da administração pública federal direta, autárquica e fundacional na definição sobre a alocação de recursos para fins de capacitação de seus servidores;

III – promover a disseminação da Política Nacional de Desenvolvimento de Pessoal entre os dirigentes dos órgãos e das entidades, os titulares das unidades de recursos humanos, os responsáveis pela capacitação, os servidores públicos federais e suas entidades representativas; e

IV – zelar pela observância do disposto neste Decreto.

A CGPAR é OGS de interesse devido ao seguinte dispositivo do Decreto 6.021/2007 (sublinhou-se):

Art. 3º Compete à CGPAR:

(...)

I – aprovar diretrizes e estratégias relacionadas à participação acionária da União nas empresas estatais federais, com vistas à:



(...)

b) promoção da eficiência na gestão, inclusive quanto à adoção das melhores práticas de governança corporativa;

O apêndice contém os normativos que estabelecem os mandatos dos OGS.

Controle interno e auditoria interna

Dentre os trabalhos realizados na condução deste TMS, citam-se catorze auditorias para avaliação de controles gerais de TI (ver item adiante). Considerando que, nas reuniões de encerramento dessas auditorias, por vezes não restava cristalina aos gestores a diferença entre controle interno e auditoria interna, entende-se oportuno trazer à baila as definições a seguir, constantes da IN – TCU 63/2010:

Art. 1º (...)

X. controles internos: conjunto de atividades, planos, métodos, indicadores e procedimentos interligados, utilizado com vistas a assegurar a conformidade dos atos de gestão e a concorrer para que os objetivos e metas estabelecidos para as unidades jurisdicionadas sejam alcançados;

XI. órgãos de controle interno: unidades administrativas, integrantes dos sistemas de controle interno da administração pública federal, incumbidas, entre outras funções, da verificação da consistência e qualidade dos controles internos, bem como do apoio às atividades de controle externo exercidas pelo Tribunal.

A título de complemento, transcrevem-se ainda dois excertos das normas contidas na Estrutura Internacional de Práticas Profissionais (International Professional Practices Framework – IPPF), marco de referência do Instituto de Auditores Internos (The Institute of Internal Auditors – IIA), que contêm orientações para que a atividade de auditoria interna (AI) seja efetiva:

Definição de Auditoria Interna: A auditoria interna é uma atividade independente e objetiva que presta serviços de avaliação e de consultoria com o objetivo de adicionar valor e melhorar as operações de uma organização. A auditoria auxilia a organização a alcançar seus objetivos através de uma abordagem sistemática e disciplinada para a avaliação e melhoria da eficácia dos processos de gerenciamento de risco, controle e governança corporativa.

(...)

IPPF 2120-1: O gestor e a alta administração são responsáveis pelos processos de gestão de risco e controles da organização.



Pelos excertos transcritos, observa-se que a atividade de controle interno tem por objetivo mitigar os riscos de que a organização não alcance seus objetivos e a responsabilidade pela sua implantação (ou não) é inerente ao gestor responsável pelo processo que recebe o controle.

Por sua vez, a auditoria interna é uma atividade, exercida de forma independente da gestão, que tem como um dos objetivos a avaliação dos controles internos.

Critérios de auditoria e evolução normativa

Em 2007, ao conduzir TMS para avaliar a governança de TI (Acórdão 2.471/2008-TCU-Plenário), o TCU praticamente só dispunha de critérios relacionados às boas práticas, como o Cobit (framework da governança de TI) e a NBR 17.799:2005 (atualmente NBR 27.002:2005 – norma de boas práticas em segurança da informação).

Os trabalhos realizados naquele ano deram origem aos Acórdãos 1.603/2008 e 2.471/2008, ambos do Plenário do TCU, que induziram a positivação de diversos critérios de auditoria para a governança de TI no ordenamento jurídico brasileiro.

Tais normas foram então utilizadas como critérios neste TMS, sendo que os resultados sugerem que diversas dessas normas ainda não são de conhecimento dos gestores, em especial as relacionadas à segurança da informação.

Assim, foi composto um quadro sintético com os critérios utilizados em cada tema auditado, e propõe-se determinar à Sefti que promova a divulgação dos critérios de auditoria contidos no Apêndice , a fim de continuar a atividade de orientação que vem desenvolvendo (subitem ).

Objetivos e questões de auditoria

Objetivos

O objetivo geral da fiscalização foi avaliar se a gestão e o uso da tecnologia da informação estão de acordo com a legislação e aderentes às boas práticas da governança de TI.

Constituem-se objetivos específicos da fiscalização:

elaboração de questionário eletrônico para levantamento da situação da governança de TI na APF (doravante chamado perfil GovTI2010);

atualização da base de dados com o perfil da governança de TI na APF;

elaboração das matrizes de planejamento e possíveis achados para a avaliação de controles gerais de TI;

realização de treinamento para avaliação de controles gerais de TI;

avaliação de controles gerais em catorze jurisdicionados;

validação das respostas dos questionários perfil GovTI2010 (nos catorze jurisdicionados);

avaliação de quatro objetos específicos de TI;

avaliação da atuação dos órgãos governantes superiores (SLTI/MP, GSI/PR, CGU/PR etc);

obtenção da relação de causa-efeito entre maturidade dos controles gerais de TI e desconformidades nos objetos específicos de TI;

obtenção da relação de causa-efeito entre a atuação dos órgãos governantes superiores e a situação da governança de TI na APF;

ratificação ou retificação da situação da governança de TI declarada no perfil GovTI2010, em confronto com a que for evidenciada in loco.

Por oportuno, apresentamos o conceito de controles gerais de TI obtido de documento do Instituto de Auditores Internos intitulado GTAG Information Technology Controls Auditing:

Controles gerais de TI – Aplicam-se a todos os componentes do sistema, dos processos, e dos dados de uma organização ou ambiente. Controles gerais incluem, mas não estão limitados às políticas de segurança da informação, de administração, de acesso e de autenticação, de segregação de funções chaves de TI, de gestão de aquisição e implementação de sistemas, de gestão de mudanças, de cópias de segurança e de continuidade do negócio. (tradução livre).

Escopo

Fazem parte do escopo das auditorias que compuseram a Fiscalização de Orientação Centralizada (FOC):



controles gerais de TI;

contratos de soluções de TI, nos quais se buscava evidenciar consequências da ausência ou deficiência dos controles gerais de TI.

Uma vez que inexistia contrato de TI em vigor no Dnocs, ente auditado pela Secex/CE, aquela unidade técnica não realizou os testes substantivos nas contratações de TI.

Considerando ainda o cenário obtido por meio do TMS realizado em 2007 (Acórdão 2.471/2008-TCU-Plenário) e os resultados iniciais do levantamento que gerou o Acórdão 2.308/2010-TCU-Plenário, havia expectativa de que os órgãos públicos ainda se encontrassem com pouca maturidade de governança de TI.

Assim, optou-se pela estratégia de desenvolver um método para avaliar a governança de TI em instituições com baixa maturidade, de tal forma que auditores não especialistas em TI, orientados por auditores especialistas, pudessem executar a avaliação pretendida.

O método foi construído por meio de questões e procedimentos de auditoria para que fossem avaliadas duas principais classes de objetos: controles dos processos organizacionais da governança de TI e alguns produtos e artefatos resultantes da execução desses processos. Também foram estabelecidos parâmetros mínimos que garantissem a existência dos produtos ou dos controles avaliados, tudo em função do escopo pretendido (maior amplitude e menor profundidade na avaliação). Os parâmetros foram baseados nos critérios de auditoria positivados na legislação brasileira (ver item – Critérios de auditoria e evolução normativa) e nas boas práticas nacionais e internacionais, como Cobit, normas NBR ISO/IEC 38.500, 27.002, 12.207, 15.504 e 20.000 e PMBoK.

Assim, a inexistência de registro de achado de auditoria na FOC (o que praticamente não ocorreu) não significa que o jurisdicionado encontra-se aderente às boas práticas, mas sim que foram implantados os elementos mínimos verificados no escopo deste trabalho, elementos que podem ser deduzidos a partir das requisições de informações feitas nos trabalhos de campo, que estão contidas no Apêndice .

Fiscalizações integrantes do TMS

Conforme será detalhado adiante, este TMS foi conduzido por meio de 21 trabalhos:

um levantamento de auditoria;

catorze auditorias para avaliação de controles gerais de TI (ACGTI), conduzidas na modalidade Fiscalização de Orientação Centralizada (FOC);

quatro auditorias em objetos específicos de TI (e.g., sistemas, contratos, projetos);

um monitoramento de deliberações com orientações aos OGS;

uma fiscalização consolidadora dos vinte trabalhos anteriores, que se materializa neste relatório.

Questões de auditoria

O levantamento perfil GovTI2010 foi realizado por meio de trinta questões, subdivididas em 152 itens, organizadas segundo sete (das oito) dimensões do Gespública: liderança, estratégias e planos, cidadãos, sociedade, informações e conhecimento, pessoas e processos (anexo 2, fls. 25v-26v).

Cada uma das catorze auditorias que integraram a FOC de avaliação de controles gerais de TI foi realizada por meio das doze questões de auditoria a seguir:

O Unidade executa o processo de planejamento estratégico institucional de acordo com as boas práticas?

O Unidade executa o processo de planejamento estratégico de TI de acordo com as boas práticas?

A organização da área de TI é adequada às atividades a que ela deve dar suporte?

O Unidade executa o processo orçamentário de TI segundo a legislação e as boas práticas?

Há processo de software estabelecido no Unidade?

Há processo de gerenciamento de projetos de TI estabelecido no Unidade?

Há processos de gestão de serviços de TI que apoiem o Unidade na administração da qualidade dos serviços de TI?

O Unidade executa os processos corporativos de segurança da informação segundo a legislação e as boas práticas?

Há plano de capacitação de profissionais de TI que auxilie no desenvolvimento das competências necessárias para a boa execução dos trabalhos?

O Unidade realiza monitoração do desempenho da gestão e uso de TI?

O Unidade realiza o processo de contratação de bens e serviços de TI segundo as normas vigentes?

O Unidade realiza o processo de gestão de contratos de bens e serviços de TI segundo as normas vigentes?

Cada uma das quatro auditoras específicas teve suas próprias questões de auditoria, definidas de acordo com o objeto específico auditado.

Questões de auditoria não se aplicam ao monitoramento nos órgãos governantes superiores.

As questões de auditoria da FOC, com seus possíveis achados, encontram-se no Apêndice . Registre-se que dos 57 possíveis achados apenas dois não foram evidenciados em qualquer das catorze fiscalizações.

Estratégia metodológica

Este trabalho seguiu o roteiro de auditoria de conformidade do TCU, mas não necessariamente guarda conformidade com todo o conteúdo das Normas de Auditoria do TCU (NAT), uma vez que todo o planejamento e boa parte da execução das fiscalizações ocorreram antes da publicação das NAT em 8/12/2010.

Diretrizes seguidas no planejamento

Foram seguidas as seguintes diretrizes no planejamento da FOC:

o resultado deve trazer visão sistematizada e sistêmica;

o TMS como um todo deve equilibrar abrangência e profundidade das questões de auditoria, por meio de uma abordagem iterativa e incremental;

a Sefti deve fornecer suporte metodológico, inclusive treinamento, a todos os participantes;

a Sefti deve fornecer apoio durante a execução de todas as fiscalizações, inclusive com um AUFC integrando a equipe em tempo parcial.


Estratégia de condução

O trabalho foi dividido em sete fases, a saber:

preparação;

1ª fase – levantamento do perfil GovTI;

2ª fase – auditorias-piloto;

3ª fase – avaliação dos controles gerais de TI;

4ª fase – auditorias específicas;

5ª fase – monitoramentos (órgãos governantes superiores);

6ª fase – consolidação.

Preparação

Realizada por meio de levantamento de auditoria (TC 001.484/2010-9; Acórdão 2.196/2010-TCU-1ª Câmara), teve por objetivo coletar informações que possam subsidiar o planejamento de auditorias relacionadas ao TMS.

1ª fase – levantamento perfil GovTI2010

Realizado também por meio de levantamento de auditoria (TC 000.390/2010-0; Acórdão 2.308/2010-TCU-Plenário), teve por objetivo acompanhar e manter base de dados atualizada com a situação da governança de TI na Administração Pública Federal.

2ª fase – auditorias-piloto

Nessa fase foram realizadas duas auditorias-piloto. A auditoria-piloto para avaliação de controles gerais de TI teve o objetivo de validar as matrizes de planejamento e osofícios de requisição de informações que seriam utilizadas na FOC (3ª fase), de modo a mitigar futuros riscos de auditorias.

Uma vez validada a matriz, foi elaborado treinamento visando capacitar os auditores das unidades técnicas e da Sefti nas questões e procedimentos de auditoria a serem utilizados nas próximas fases do TMS 2010.

A auditoria-piloto para teste dos papéis de trabalho foi realizada no Departamento Nacional de Infraestrutura de Transportes (Dnit), onde também se realizou a primeira auditoria específica, no Sistema de Acompanhamento de Contratos (Siac) da Autarquia, iniciando o processo de avaliação de causa-efeito pretendido neste trabalho (item ).

Dentre os papéis de trabalho validados, destacamos o Ofício de Comunicação de Auditoria, cujo modelo encontra-se no apêndice , que continha o pedido das informações que os gestores deveriam apresentar às equipes para a avaliação da governança de TI.



  1   2   3   4   5   6   7   8   9   ...   16


©livred.info 2017
enviar mensagem

    Página principal