Tc 011. 772/2010-7 Natureza: Relatório de Auditoria Interessado: Tribunal de Contas da União. Unidade: Secretaria de Fiscalização de Tecnologia da Informação (Sefti) Advogado constituído nos autos: não há. Sumário



Baixar 3,88 Mb.
Página6/16
Encontro01.07.2018
Tamanho3,88 Mb.
1   2   3   4   5   6   7   8   9   ...   16
CONCLUSÃO

O TMS 6 – Gestão e uso de TI teve como objetivo avaliar se a gestão e o uso da tecnologia da informação estão de acordo com a legislação e aderentes às boas práticas de governança de TI.

Foram realizados 21 trabalhos, sendo um levantamento em 315 organizações públicas federais, catorze auditorias para avaliação de controles gerais de TI, quatro auditorias em objetos específicos (que avaliaram o Sistema de Acompanhamento de Contratos do Dnit, o sistema informatizado que dá suporte ao Sistema Nacional de Transplantes, as contratações da APF com o Serpro e um contrato de consultoria para segurança da informação no MCT), um monitoramento de sete acórdãos que deliberaram para onze jurisdicionados, e a consolidação de todos os trabalhos neste relatório.

Após a elaboração de questionário eletrônico para levantamento da situação de governança de TI na APF (doravante chamado perfil GovTI2010), a base de dados com o perfil de governança de TI na APF foi atualizada, apresentando um cenário de baixa maturidade em que se destacam (excerto dos votos do Relator nos catorze processos de avaliação de controles gerais de TI):

a) mais de 60% das organizações não possuem planejamento estratégico de TI;

b) algumas organizações continuam a ter sua TI totalmente controlada por pessoas estranhas a seus quadros de pessoal;

c) são graves os problemas de segurança da informação, já que informações críticas não são protegidas adequadamente;

d) metade das organizações não possui método ou processo para desenvolvimento de softwares e para aquisição de bens e serviços de informática, o que gera riscos de irregularidades em contratações;

e) a atuação sistemática da alta administração com respeito à TI ainda é incipiente;

f) mais da metade das organizações está no estágio inicial de governança de TI, e apenas 5% encontram-se em estágio aprimorado.

Com respeito à avaliação de controles gerais de TI, foram elaboradas as matrizes de planejamento e possíveis achados, treinados 28 auditores e realizadas catorze auditorias.

Quadro 15 – iGovTI declarado x avaliado pelo TCU



Sigla

Organização

iGovTI declarado

iGovTI recalculado pelo TCU

Variação

AmE

AMAZONAS DISTRIBUIDORA DE ENERGIA S/A

31,70%

Inicial

24,67%

Inicial

-7,04%

Anatel

AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES

54,04%

Intermediário

22,31%

Inicial

-31,73%

Dnit

DEPARTAMENTO NACIONAL DE INFRAESTRUTURA DE TRANSPORTES

27,26%

Inicial

24,37%

Inicial

-2,89%

Dnocs

DEPARTAMENTO NACIONAL DE OBRAS CONTRA AS SECAS

37,50%

Inicial

24,91%

Inicial

-12,59%

Finep

FINANCIADORA DE ESTUDOS E PROJETOS

39,89%

Inicial

33,97%

Inicial

-5,92%

FNDE

FUNDO NACIONAL DE DESENVOLVIMENTO DA EDUCAÇÃO

59,22%

Intermediário

43,99%

Intermediário

-15,23%

Ibama

INSTITUTO BRASILEIRO DO MEIO AMBIENTE E DOS RECURSOS NATURAIS RENOVÁVEIS

26,46%

Inicial

22,56%

Inicial

-3,90%

MCT

MINISTÉRIO DA CIÊNCIA E TECNOLOGIA

42,61%

Intermediário

21,58%

Inicial

-21,03%

MP

MINISTÉRIO DO PLANEJAMENTO, ORÇAMENTO E GESTÃO

31,71%

Inicial

27,26%

Inicial

-4,45%

MRE

MINISTÉRIO DAS RELAÇÕES EXTERIORES

51,19%

Intermediário

34,33%

Inicial

-16,86%

MS

MINISTÉRIO DA SAÚDE

30,07%

Inicial

23,85%

Inicial

-6,22%

Susep

SUPERINTENDÊNCIA DE SEGUROS PRIVADOS

8,97%

Inicial

9,69%

Inicial

0,71%

TRT-2-SP

TRIBUNAL REGIONAL DO TRABALHO 2ª REGIÃO/SP

33,78%

Inicial

26,78%

Inicial

-7,00%

TRT-4-RS

TRIBUNAL REGIONAL DO TRABALHO 4ª REGIÃO/RS

62,62%

Aprimorado

45,93%

Intermediário

-16,69%

Essas catorze auditorias evidenciaram que a situação de governança de TI é pior em treze dos catorze auditados, sugerindo que na APF a situação também pode ser pior que a apresentada por meio da tabulação dos dados declarados pelos jurisdicionados no perfil GovTI2010 (Acórdão 2.308/2010-TCU-Plenário). O Quadro 15 apresenta a comparação de pares de valores do iGovTI2010 para os catorze auditados, sendo um dos valores calculado com os dados oferecidos pelos jurisdicionados e outro calculado com base na avaliação realizada pelos auditores do TCU após a solicitação das evidências que suportariam as declarações dos gestores.

A Figura 2 apresenta o gráfico da variação do iGovTI (avaliado pelo TCU menos o declarado) contra o valor do iGovTI2010 declarado, e a análise de regressão linear dos valores sugere que quanto maior é a autoavaliação da instituição, maior é a queda percentual dessa avaliação depois de aplicados os critérios das auditorias do TCU.

Isto sugere que o iGovTI2010 é mais confiável na faixa inicial e menos confiável nas faixas aprimorada e intermediária. Entretanto não é possível calcular um deflator geral a partir da amostra de catorze instituições visto que: a) a amostra não pode ser considerada representativa da população, pois não foi selecionada segundo critérios estatísticos de amostragem; b) não há razões para crer que o grau de otimismo na autoavaliação seja homogêneo ou proporcional à sua autoavaliação.

Em que pese a variação de confiabilidade, típica de dados obtidos por meio declaratório, o iGovTI se mostra útil três razões principais: a) estabelece um arcabouço de boas práticas que deixa mais claro para os gestores o que se espera deles e como a sua gestão será avaliada; b) a maioria das instituições encontra-se na faixa mais confiável do iGovTI (faixa inicial); c) mesmo com a revisão do iGovTI para baixo após as auditorias, as instituições com índices corrigidos mais elevados de fato apresentam algumas práticas de governança implantadas, reconhecimento esse que serve para estimular os respectivos gestores a prosseguirem no esforço de melhorar a sua governança de TI.



Figura 2 – Variação do iGovTI após a auditoria do TCU

Desta forma, evidenciou-se fragilidade da governança de TI nos catorze auditados por meio da evidenciação da ausência ou deficiência de controles gerais de TI.

Em outra linha de investigação do TMS, a avaliação de quatro objetos específicos de TI permitiu identificar consequências da ausência ou deficiência dos controles gerais de TI. Assim evidenciou-se, por exemplo, que:

a ausência de controles gerais de segurança da informação no Dnit contribui para diversas vulnerabilidades, inclusive já exploradas em sede de fraude no Sistema de Acompanhamento de Contratos da Autarquia, o qual gere R$ 24 bilhões em contratos ativos, possui (Acórdão 2.831/2011-TCU-Plenário);

a ausência de processo de software no Ministério da Saúde contribui para que o código do sistema que suporta o programa nacional de transplantes não implemente as regras de negócio na forma prevista na legislação, com consequências que podem afetar inclusive a credibilidade do programa (TC 029.074/2010-0);

o não funcionamento do comitê de TI no Ministério da Ciência e Tecnologia impediu a avaliação de produtos de um contrato de consultoria para implantação de controles gerais de segurança da informação, acarretando, além de indícios de pagamento indevido (em apuração), ausência de benefício para o órgão devido a não implantação, até o fim da auditoria, dos controles (TC 029.120/2010-1).

É obrigação dos gestores da alta administração adotarem as medidas necessárias à implantação dos controles gerais de TI que integram uma boa estrutura de governança de TI, evitando consequências como as acima citadas. Esse foi o tom de dois eventos promovidos em 2011 pelo TCU, quando foi convidado o mais alto dirigente em cada instituição da Administração Pública Federal (poderes Executivo, Legislativo e Judiciário, além do Ministério Público) para discutir ‘O papel da Alta Administração na Governança de TI’ (eventos realizados em 16/6/2011 e 4/8/2011, com mais de trezentos participantes em cada um deles).

No monitoramento do cumprimento de determinações e recomendações formuladas por meio de diversos acórdãos prolatados de 2004 a 2009, aos órgãos governantes superiores de TI, realizado no âmbito das ações relativas ao presente TMS, identificou-se oportunidade de melhoria na atuação daqueles órgãos (Acórdão 1.145/2011-TCU-Plenário). Em especial, faz-se necessária maior atuação das auditorias internas, por meio da inclusão dos temas de TI nas suas matrizes de risco.

Ainda que os OGS tenham atuado por meio da implantação de algumas recomendações a eles dirigidas, não se evidenciou melhora substantiva na situação de governança de TI nos entes da APF.

Os próprios gestores públicos confirmaram que suas organizações são dependentes dos sistemas informatizados para a consecução de seus objetivos institucionais, (51% para imediatamente de prestar serviços aos cidadãos se seus sistemas sofrerem interrupção), de forma que a TI deve ser tema prioritário na fiscalização realizada pelas auditorias internas.

Apresenta-se na Figura 3 um gráfico com nova análise dos dados coletados a partir do perfil GovTI2010, em que se posicionaram as organizações públicas pesquisadas por meio do seu iGovTI2010 e do seu orçamento total administrado.

Os valores de orçamento administrado foram obtidos mediante a extração, a partir do sistema Siafi, da receita (29 registros) e da despesa (4.034 registros) totais realizadas em 2010 (procedimento realizado pela Diretoria de Gestão de Informações Estratégicas do TCU), detalhadas por órgão e UG, e pelo pareamento entre as unidades referidas na extração do Siafi e aquelas constantes do levantamento que gerou o perfil GovTI2010.

O conceito de orçamento administrado refere-se ao volume total de recursos (receitas ou despesas) administrado pela unidade. Considera-se que, quanto maior o orçamento administrado por uma dada unidade, maior é a sua importância no cenário nacional e maior a relevância e criticidade da TI que suporta a sua execução.



Com respeito aos aspectos legais das contratações analisadas, verificou-se a forte tendência de contratação por meio do Sistema de Registro de Preços (SRP). O fato seria um bom indicativo se esse sistema não estivesse sendo utilizado de forma distorcida, conforme o TCU já havia detectado (Acórdão 1.487/2007-TCU-Plenário), pois o planejamento conjunto para a criação de uma ata, que deveria ser a regra, é a exceção, enquanto a adesão tardia (carona), que deveria ser a exceção, tornou-se prática comum. Nesse sentido, entende-se que as orientações propostas mitigarão, já no curto prazo, a continuidade de ocorrências de desconformidade.

Figura 3 – Avaliação de riscos: iGovTI2010 x Valor Administrado

O mesmo ocorre com as contratações dos entes da APF com empresas públicas prestadoras de serviços de TI. Tais contratações não são excepcionalizadas da legislação, e o conjunto de orientações proposto contribuirá para que a situação esteja conforme os preceitos legais e as boas práticas em contratações.

Outro assunto analisado foi o limite imposto pela governança corporativa para o amadurecimento da governança de TI. Produziu-se argumentação no sentido de que a ausência de maturidade em governança corporativa limita a maturidade em governança de TI, e indicou-se, às comissões temáticas pertinentes das casas legislativas e à CGDC, estudo realizado pelo TCU contendo proposta de anteprojeto de lei para alteração da LRF por meio da inclusão de dispositivos que visam ao fortalecimento da governança corporativa nos entes públicos.

O conjunto de recomendações propostas aos órgãos governantes superiores, fundamental para o aperfeiçoamento da governança de TI na APF, apresenta-se extenso e complexo, motivo pelo qual se propõe determinar à Sefti/TCU que promova a divulgação, inclusive por meio de eventos, dessas orientações, como forma de mitigar os riscos da sua implementação.

O conjunto de orientações propostas abrange a totalidade dos órgãos e entidades dos poderes executivo e judiciário, além do ministério público, por meio dos comandos dirigidos aos OGS. Entretanto as casas legislativas e o TCU, mesmo não estando na jurisdição de nenhum OGS, também devem primar pelo aperfeiçoamento das governanças de TI e corporativa, motivo pelo qual serão propostas recomendações para que essas três casas avaliem todas as orientações expedidas no acórdão que vier a ser proferido e adotem as medidas necessárias a sua implementação.

As recomendações supra se alinham aos objetivos estratégicos ‘Instituir modelo de governança corporativa e gestão estratégica’ e ‘Promover a melhoria da governança no TCU’ constantes, respectivamente, da agenda estratégica do Senado Federal (síntese disponível em http://www.senado.gov.br/noticias/veja-a-sintese-da-agenda-estrategica-da-administracao-do-senado-federal.aspx) e do Plano Estratégico do TCU em vigor (disponível em http://portal2.tcu.gov.br/portal/page/portal/TCU/planejamento_gestao/planejamento2011/pet.pdf).

Por fim, considerando que o referencial estratégico em vigor do TCU contempla como objetivo estratégico ‘Contribuir para o aperfeiçoamento da gestão e do desempenho da Administração Pública’, o qual tem como um de seus indicadores o ‘índice de governança corporativa dos órgãos da Administração Pública Federal’, considerando também que as unidades de auditoria interna são atores essenciais à boa governança de TI, e considerando ainda as deficiências dos sistemas de controles internos (controles internos dos gestores e atuação das unidades de auditoria interna) conforme evidenciado neste TMS, há espaço para que o TCU contribua para o cumprimento do comando previsto na Constituição Federal, art. 74, mas que somente poderá ocorrer mediante trabalho de avaliação sistematizada dos sistemas de controles internos dos poderes.



1   2   3   4   5   6   7   8   9   ...   16


©livred.info 2017
enviar mensagem

    Página principal