Tc 011. 772/2010-7 Natureza: Relatório de Auditoria Interessado: Tribunal de Contas da União. Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti) Advogado constituído nos autos: não há. Sumário



Baixar 3,88 Mb.
Página2/16
Encontro01.07.2018
Tamanho3,88 Mb.
1   2   3   4   5   6   7   8   9   ...   16

Considerando que as informações contidas no ofício supra podem ser orientadoras para os gestores, propõe-se determinar à Sefti que dê publicidade, inclusive por meio do sítio do TCU na internet, às informações acerca da governança de tecnologia da informação que foram solicitadas aos gestores nesta fiscalização (subitem ).

3ª fase – avaliação dos controles gerais de TI

Nessa fase foram avaliados os controles gerais de TI nos entes jurisdicionados selecionados. As fiscalizações foram realizadas em três etapas contendo cinco, cinco e três auditorias, respectivamente, num total de treze auditorias, sendo que cada etapa foi executada sequencialmente às demais, de forma a proporcionar o melhor aproveitamento dos recursos humanos disponíveis na unidade coordenadora.

Aproximadamente 25 dias antes do início de cada etapa, foi enviado um ofício de requisição de informações a cada um dos entes jurisdicionados selecionados para aquela etapa. Esse ofício teve como objetivo solicitar antecipadamente alguns documentos e informações necessários à execução dos procedimentos de auditoria, o que em tese reduziria o esforço necessário durante a fase de execução.

Uma vez selecionados os entes jurisdicionados, a Secex, de cuja clientela o ente faz parte, foi convidada a coordenar a auditoria proposta, com o apoio operacional e metodológico da Sefti.

Os entes selecionados foram quatro Ministérios (Saúde, Ciência e Tecnologia, Relações Exteriores e Planejamento), cinco autarquias (Dnit, Susep, Anatel, Dnocs e FNDE), uma fundação (Ibama), dois tribunais (TRT das 2ª e 4ª Regiões), uma empresa pública (Finep) e uma sociedade de economia mista (Amazonas Energia).

Catorze equipes participaram da FOC, sendo uma de cada uma das onze unidades técnicas do TCU a seguir – Secex/AM, Secex/CE, Secex/RJ, Secex/RO, Secex/RR, Secex/RS, Secex/SP, Secex/1, Secex/5, Secex/6, Secex/9 – e três equipes da Sefti.

A seleção dos jurisdicionados auditados seguiu o seguinte critério: escolha da instituição com contratos de maior materialidade para prestação de serviços de TI dentro da clientela das unidades técnicas participantes, com homologação pela Secex que realizaria a auditoria, cabendo eventuais ajustes em função da experiência de cada Secex com seus auditados.

Cabe destacar que a seleção dos jurisdicionados a serem auditados, feita pela coordenação em conjunto com as unidades técnicas do TCU, não é estatisticamente representativa, o que não permite a generalização dos resultados aqui apresentados.

A fase de planejamento dessas auditorias, de duração de duas semanas, foi caracterizada por um treinamento prático, na forma de execução da fiscalização assistida pela Sefti, sobre as questões e procedimentos de auditoria definidos na etapa de preparação e validados na auditoria-piloto de controles gerais (2ª fase). O treinamento previsto para essa fase foi realizado por meio de videoconferência no caso de auditoria sob a responsabilidade de uma ou mais Secex situadas nos estados, e presencialmente para as Secex da sede. Nessa etapa de planejamento, houve um auditor da Sefti alocado em cada equipe em tempo integral.

Durante a fase de execução, prevista para três semanas, o auditor de TI da Sefti integrou a equipe por uma semana, de modo a orientar e auxiliar a execução de alguns procedimentos.

As atividades previstas para a fase de relatório foram de responsabilidade das Secex, estando a Sefti e seus auditores à disposição para o esclarecimento de dúvidas e sugestões sobre o tema. No mesmo período, o auditor de TI da Sefti que participou do trabalho foi alocado em tempo parcial na atividade de acompanhamento da elaboração do relatório final. Importante ressaltar que, embora a Sefti tenha disponibilizado recursos para todas as equipes de auditoria, os processos (TC) foram coordenados e conduzidos pelas Secex, cabendo à Sefti alocar um auditor para participar das equipes, em tempo integral na fase de planejamento e em tempo parcial na fase de execução.

Ao final de cada etapa, um dos entes já avaliados em controles gerais de TI foi selecionado, segundo critérios de relevância estabelecidos pela Sefti, para ter algum aspecto específico de um objeto de TI avaliado detalhadamente (auditoria específica).

4ª fase – auditorias específicas

As auditorias específicas foram realizadas por AUFC da Sefti acerca de alguns aspectos específicos de objetos de TI de jurisdicionados que receberam avaliação de controles gerais de TI, de forma a evidenciar possíveis consequências das fragilidades na governança de TI detectadas à época.

Foram selecionados os seguintes objetos:

contratos de entes da APF com o Serpro, devido à materialidade e aos indícios, obtidos no primeiro grupo de auditorias, de que esses contratos não estavam aderentes ao arcabouço legal (TC 022.241/2010-8);

sistema informatizado que suporta o Sistema Nacional de Transplantes, devido às fragilidades identificadas nos controles gerais relativos à segurança da informação no Datasus durante a ACGTI no Ministério da Saúde, à materialidade do programa (com dotação aproximada de R$ 1,3 bilhão para 2010) e ao apoio do sistema à política de governo com grande relevância social, uma vez que se interfere em aspectos de manutenção e qualidade da vida humana (TC 029.074/2010-0);

Contrato 02.003.00/2009, firmado entre o Ministério de Ciência e Tecnologia (MCT) e a empresa Módulo Security Solutions S.A. (Módulo), cujo objeto é consultoria em segurança da informação, incluindo suas possíveis implicações na governança de TI do Ministério, devido ao seguinte: identificação de fragilidades nos controles gerais relativos à segurança da informação no MCT durante a ACGTI; materialidade do contrato (R$ 3.292.151,00); existência de representação de equipe de auditoria registrando indícios de irregularidade na gestão do contrato (TC 022.815/2010-4); possibilidade de multiplicação na APF desse tipo de contrato, devido à edição das Normas Complementares do GSI sobre gestão de segurança da informação (TC 029.120/2010-1).

5ª fase – monitoramento nos OGS

Essa fase teve como objetivo monitorar as determinações e recomendações contidas em diversos acórdãos estruturantes (e.g., Acórdãos 1.094/2004, 2.471/2008, 1.603/2008, todos do Plenário do TCU). Por essas determinações e recomendações estarem relacionadas ao tema abordado pelo TMS 2010, além do fato de que as ações empreendidas pelos OGS deveriam ter impacto na situação da governança de TI na APF, optou-se por inserir seus monitoramentos no escopo do trabalho.

Falhas e impropriedades eventualmente encontradas nas auditorias das fases anteriores podem ter como uma de suas causas a ausência ou a deficiência de orientações e normativos que fundamentem a atuação dos gestores de TI. Em virtude dessa provável constatação, era necessário realizar monitoramento das ações referentes à promoção da governança de TI conduzidas pelos órgãos com essa competência.

Uma única ação de fiscalização conduzida pela Sefti (TC 028.772/2010-5; Acórdão 1.145/2011-TCU-Plenário) monitorou deliberações contidas em sete acórdãos, dirigidas a onze órgãos governantes superiores.

6ª fase – consolidação

O objetivo dessa fase consiste em agregar os resultados de todas as fiscalizações previstas, de modo a sintetizar os achados e conclusões sobre a gestão e uso de TI na APF, o que se faz por meio deste relatório.

Avaliações do trabalho

Como medida para avaliar o trabalho realizado, foram feitas duas avaliações: uma com as equipes participantes e outra com os responsáveis pelos jurisdicionados auditados nas ACGTI.

A avaliação feita pelos analistas do TCU que participaram da FOC (síntese no anexo 4, fl. 34) teve como objetivo avaliar a atuação da Sefti como unidade coordenadora dos trabalhos, bem como buscar oportunidades de melhoria no processo de condução de FOC, uma vez que, como unidade técnica especializada, é razoável imaginar que esse tipo de trabalho (coordenação de FOC) seja uma atividade relativamente comum à Sefti. A coordenação desta Secretaria teve índice de 90% de satisfação e recebeu informações que constituem oportunidades de melhoria.

A avaliação feita com os responsáveis pelos entes auditados (síntese no anexo 4, fl. 1) teve como objetivo verificar a satisfação no relacionamento entre auditor e auditado, além de possibilitar o aperfeiçoamento individual das condutas das diversas equipes em trabalhos futuros. A pesquisa indicou 94% de satisfação dos auditados com as equipes de auditoria e registrou oportunidades de melhoria para a atuação dessas.

Limitações

A limitação registrada por algumas equipes diz respeito à demora, por parte do auditados, em responder às solicitações das equipes e em disponibilizar as informações requeridas.
Volume de recursos fiscalizados

O volume de recursos fiscalizados foi de cerca de R$ 47,6 bilhões, conforme consta do apêndice . O valor corresponde a soma dos valores dos contratos analisados nas diversas auditorias, mais a soma dos valores dos contratos de obras do Dnit cadastrados no Sistema de Acompanhamento de Contratos – Siac, objeto da auditoria do TC 010.474/2010-2.

Benefícios estimados

Devido aos objetivos pretendidos com este TMS, não se obtiveram benefícios quantificáveis.

Os benefícios não quantificáveis se traduzem na indução de melhorias na organização interna (governança e gestão de TI) das catorze unidades auditadas, bem como indução da melhoria da estrutura da governança de TI de toda a APF por meio de orientações aos órgãos governantes superiores.

Processos conexos

Os processos conexos a este são os constantes do apêndice .

RESULTADOS DA AVALIAÇÃO EMPREENDIDA

Processo de planejamento estratégico institucional

Considerando que a governança de TI deve prover meios para que as ações de TI estejam alinhadas ao negócio, a primeira questão de auditoria da FOC (‘O Unidade executa o processo de planejamento estratégico institucional de acordo com as boas práticas?’) buscou evidenciar como os entes auditados organizam suas estratégias de negócio de longo prazo, o que normalmente resulta em um documento chamado Plano Estratégico Institucional (PEI).

O que se esperava, segundo o previsto no critério 2 do Programa Nacional de Gestão Pública e Desburocratização (Gespública), eram documentos resultantes do planejamento de longo prazo do negócio com as seguintes características:

publicados formalmente;

elaborados com a participação de todas as partes envolvidas em sua execução;

elaborados com métodos e técnicas reconhecidos no mercado, o que conduz a planejamentos de melhor qualidade;

desdobrados pelas diversas áreas executoras, em planos de médio e curto prazo;

divulgados;

avaliados periodicamente.

Registre-se que o Gespública, instituído pelo Decreto 5.378/2005, é uma diretriz presidencial focada no cumprimento do princípio da eficiência e, em 2010, teve dotação de R$ 5,35 milhões (ação 2D330000 – Fomento à Melhoria da Gestão Pública – do Programa 1.088 – Fortalecimento da Capacidade de Gestão Pública, constante do volume II da Lei 12.214/2010 – LOA 2010).

O Quadro 2 apresenta o resultado obtido na avaliação in loco, o qual evidencia que mais da metade dos auditados não possuem planos de negócio para o longo prazo. Além disso, à exceção do Ministério da Saúde, os demais auditados tinham planos incompletos (e.g., falta de metas para os objetivos estratégicos) e apresentavam outras falhas decorrentes da ausência da totalidade das características elencadas no item .

Em outra linha de análise, os dados constantes do Apêndice (linha A da tabela) evidenciam que cinco auditados que declararam possuir processo de planejamento estratégico institucional de fato não o possuem, ante a ausência de evidências apresentadas às equipes do TCU, o que sugere que a situação descrita no Acórdão 2.308/2010-TCU-Plenário pode ser pior, ou seja, pode haver mais pesquisados que não executam o processo de planejamento estratégico institucional além dos 21% que declararam não o executar.

Registre-se que, no monitoramento realizado (TC 028.772/2010-5, Acórdão 1.145/2011-TCU-Plenário), foi identificado que o único OGS a orientar seus jurisdicionados quanto ao tema foi o CNJ, o que contribuiu para a suposta melhora da situação, se comparados os dados de 2007 e 2010 (anexo 2, fl. 4, item 42), sendo que, diante do cenário evidenciado, há oportunidade e conveniência para aprimoramento da atuação dos demais OGS.

Quadro 2 – Processo de planejamento estratégico (achados)



Possíveis achados

Dnit

SE/MS

SE/MCT

Ibama

Susep

TRT-SP

Dnocs

SE/MRE

TRT-RS

Anatel

Finep

SE/MP

ADE

FNDE

Inexistência do Plano Estratégico Institucional

X

 

X

X

 

 

X

X

 

 

 

X

X

X

Falhas no Plano Estratégico Institucional

 

 

 

 

X

X

 

 

X

X

X

 

 

 

Falhas no Processo de Planejamento Estratégico Institucional

 

 

 

 

X

X

 

 

X

X

X

 

 

 


1   2   3   4   5   6   7   8   9   ...   16


©livred.info 2017
enviar mensagem

    Página principal