ADVOCACIA-GERAL DA UNIO - AGU ESCOLA DA AGU CMARA DOS DEPUTADOS - CD CENTRO DE FORMAO, TREINAMENTO E APERFEIOAMENTO - CEFOR CONTROLADORIA-GERAL DA UNIO

- CGU SECRETARIA FEDERAL DE CONTROLE INTERNO - SFC TRIBUNAL DE CONTAS DA UNIO - TCU INSTITUTO SERZEDELLO CORRA - ISC PROGRAMA DE PS-GRADUAO

Mara Hanashiro

AUDITORIA DE TI NA CGU: Proposta de Modelo de Implementao de Auditoria de Tecnologia da Informao no mbito da Controladoria-Geral da Unio

Braslia 2009

Mara Hanashiro

AUDITORIA DE TI NA CGU: Proposta de Modelo de Implementao de Auditoria de Tecnologia da Informao no mbito da Controladoria-Geral da Unio

Relatrio tcnico-cientfico apresentado para aprovao no curso de Especializao em Auditoria Interna e Controle Governamental do Instituto Serzedelo Corra do Tribunal de Contas da Unio.

Orientador: Andr Luiz Furtado Pacheco

Braslia 2009

Autorizao Autorizo a divulgao do texto completo no stio da Cmara dos Deputados, da TCU, da AGU e da CGU a reproduo total ou parcial, exclusivamente, para fins acadmicos e cientficos. Assinatura: ___________________________ Data: ____/____/______

Hanashiro, Mara. Auditoria de TI na CGU [manuscrito]: proposta de modelo de implementao de auditoria de tecnologia da informao no mbito da Controladoria-Geral da Unio / Mara Hanashiro. -- 2009. 95 f. Orientador: Andr Luiz Furtado Pacheco. Impresso por computador. Trabalho de concluso de curso Relatrio tcnico-cientfico (especializao) -- Escola da AGU, da Advocacia-Geral da Unio, Centro de Formao, Treinamento e Aperfeioamento (Cefor), da Cmara dos Deputados, Secretaria Federal de Controle Interno (SFC), da Controladoria Geral da Unio e Instituto Serzedello Corra (ISC), do Tribunal de Contas da Unio, Curso de Especializao em Auditoria Interna e Controle Governamental, 2009. 1. Brasil. Controladoria-Geral da Unio (CGU). Secretaria Federal de Controle Interno (SFC). 2. Auditoria, Brasil. 3. Tecnologia da informao, Brasil. I. Ttulo. CDU 336.126.5:004(81)

Auditoria de TI na CGU: Proposta de Modelo de Implementao de Auditoria de Tecnologia da Informao no mbito da Controladoria-Geral da Unio

Monografia Curso de Especializao em Auditoria Interna e Controle Governamental do Instituto Serzedelo Corra do Tribunal de Contas da Unio 2 Semestre de 2009.

Aluno: Mara Hanashiro

Banca Examinadora:

Andr Luiz Furtado Pacheco

Francisco Eduardo de Holanda Bessa

Braslia,

de

2009.

Esse trabalho dedicado a todos que combatem a corrupo no Pas e lutam por uma administrao mais eficaz, eficiente e efetiva dos recursos pblicos.

Agradeo a Deus por tudo, a minha me Vera pelo constante apoio, a meu namorado Rafael pelo incentivo, ao meu orientador Andr pelo direcionamento, aos professores desse Curso pelas novas vises apresentadas, aos colegas do Curso pelo apoio e companheirismo, aos queridos amigos que participaram ativamente desse projeto, a minha Coordenadora e a meus colegas de trabalhos pela compreenso e aos Coordenadores-Gerais e servidores que contriburam to prontamente com a coleta de informaes. Obrigada a todos vocs!

"Felicidade quando o que voc pensa, o que voc diz e o que voc faz esto em harmonia." (Gandhi)

RESUMO

Diante dos altos investimentos em Tecnologia da Informao (TI) no contexto da Administrao Pblica e da importncia da utilizao eficiente e eficaz da Tecnologia da Informao para auxiliar no alcance dos objetivos das instituies pblicas, crescente a necessidade de Auditorias de TI. Por isso, esse trabalho tem como finalidade primria apresentar uma proposta para a implantao formal de um modelo de Auditoria de TI no mbito da Controladoria-Geral da Unio (CGU), especificamente, dentro da Secretaria Federal de Controle (SFC). Antes disso, a fim de se identificar as fragilidades de Auditoria de TI dentro da SFC, apresentado um diagnstico realizado por meio de entrevistas e aplicao de questionrios junto aos Coordenadores-Gerais e aos servidores de TI das reas finalsticas. Tal diagnstico detectou fragilidades no mbito da SFC no que diz respeito a esse tipo de auditoria, tais como: subaproveitamento dos servidores de TI nas aes de controle de TI; baixo nvel de maturidade do processo de Auditoria de TI dentro das Coordenaes pesquisadas; falta de capacitao nessa rea de atuao; ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI; e inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. Aps a deteco das fragilidades, so abordadas as caractersticas funcionais e organizacionais das Unidades temticas da SFC a fim de verificar quais tambm poderiam ser aplicadas ao modelo proposto. Por fim, com o propsito de se eliminar ou mitigar as fragilidades da Auditoria de TI dentro da CGU e considerando os benefcios de se tratar cada auditoria como um novo projeto, foi apresentado um modelo de escritrio de projetos de Auditoria de TI para a SFC, bem como suas caractersticas bsicas e os requisitos iniciais para sua criao. Palavras-chave: Controladoria-Geral da Unio, Secretaria Federal de Controle Interno, Tecnologia da Informao, Auditoria de TI, escritrio de projetos.

LISTA DE FIGURAS Figura 2.1 Gasto Total em TI - Evoluo .......................................................................................18 Figura 2.2 - Gasto Total em TI - Distribuio ...................................................................................19 Figura 2.3 Deficincias em Governana de TI (TCU, 2008d)........................................................21 Figura 2.4 Estrutura organizacional da Sefti (Fonte: Stio eletrnico do TCU). ............................27 Figura 3.1 - Organograma da Controladoria-Geral da Unio. ...........................................................35 Figura 3.2 - Organograma da Secretaria Federal de Controle Interno...............................................36 Figura 3.3 - Organograma da Diretoria de Planejamento e Coordenao das Aes de Controle (DC). ..................................................................................................................................................36 Figura 3.4 - Organograma da Diretoria da rea Econmica (DE). ...................................................37 Figura 3.5 - Organograma da Diretoria da rea de Infra-Estrutura (DI)...........................................37 Figura 3.6 - Organograma da Diretoria de Pessoal, Previdncia e Trabalho (DP). ...........................38 Figura 3.7 Organograma da Diretoria de Auditoria da rea de Produo e Tecnologia (DR). .....38 Figura 3.8 Organograma de Auditoria da rea Social (DS)...........................................................39 Figura 3.9 Distribuio dos servidores de TI nas reas finalsticas da SFC. ..................................45 Figura 3.10 Distribuio de servidores de TI nas Diretorias finalsticas da SFC. ..........................45 Figura 3.11 Necessidade de Auditoria de TI (percepo dos Coordenadores)...............................46 Figura 3.12 - Necessidade de Auditoria de TI (percepo dos servidores de TI)..............................46 Figura 3.13 Realizao de trabalhos de Auditoria de TI (percepo dos Coordenadores). ............49 Figura 3.14 Realizao de trabalhos de Auditoria de TI (percepo dos servidores de TI). ..........51 Figura 3.15 Frequncia de participao do servidor em atividades. ...............................................51 Figura 3.16 Nvel de Maturidade da Auditoria de TI (perspectiva dos Coordenadores)................53 Figura 3.17 Nvel de Maturidade da Auditoria de TI (perspectiva dos servidores de TI). .............53 Figura 3.18 Ocorrncias das dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos Coordenadores). ......................................................................................................54 Figura 3.19 Ocorrncias das dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos servidores de TI). ....................................................................................................55 Figura 5.1 Organograma da SFC com a insero da GSTIN..........................................................68 Figura 5.2 Estrutura da GSTIN. ......................................................................................................69 Figura 5.3 Estrutura matricial balanceada da relao GSTIN x Unidades finalsticas. ..................75

LISTA DE TABELAS Tabela 2.1 Gasto Total em TI na APF. ...........................................................................................18 Tabela 3.1 Procedimentos de Auditoria de TI no Sistema ATIVA. ...............................................31 Tabela 3.2 Quantidade de Ordens de Servio que utilizam procedimentos de TI. .........................31 Tabela 3.3 Lista de Coordenadores da rea finalstica da SFC.......................................................40 Tabela 3.4 Quantidade de servidores de TI lotados nas reas finalsticas da SFC. ........................41 Tabela 3.5 Situao atual dos servidores que entraram em vagas especficas de TI. .....................44 Tabela 3.6 Comparao das opinies dos Coordenadores e Servidores: necessidade Auditoria de TI. .......................................................................................................................................................47 Tabela 3.7 Necessidade de Auditoria de TI das Coordenaes sem servidores de TI....................48 Tabela 3.8 Dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos Coordenadores). .................................................................................................................................54 Tabela 3.9 Dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos servidores de TI). ...............................................................................................................................55 Tabela 3.10 Critrios de Auditoria de TI. .......................................................................................56 Tabela 5.1 Influncia das estruturas organizacionais nos projetos (Fonte: PMBOK). ...................73

LISTA DE ABREVIATURAS ABNT AFC APF CF88 CGU COBIT CRG DC DCOPE DCPLA DCREX DCTEQ DE DEDIC DEFAZ I DEFAZ II DEPOG DI DIAMB DICIT DIENE DIINT DITRA DIURB DP DPPAS DPPCE DPSES DPTEM DR DRAGR DRCOM DRCULT DRDAG DRTES DS Associao Brasileira de Normas Tcnicas Analista de Finanas e Controle Administrao Pblica Federal Constituio Federal de 1988 Controladoria-Geral da Unio Control Objectives for Information and Related Technology Corregedoria-Geral da Unio Diretoria de Planejamento e Coordenao das Aes de Controle Coordenao-Geral de Operaes Especiais Coordenao-Geral de Planejamento e Avaliao Coordenao-Geral de Recursos Externos Coordenao-Geral de Tcnicas, Procedimentos e Qualidade Diretoria da Auditoria da rea Econmica Coordenao-Geral de Auditoria das reas de Desenvolvimento, Indstria e Comrcio Exterior Coordenao-Geral de Auditoria da rea Fazendria I Coordenao-Geral de Auditoria da rea Fazendria II Coordenao-Geral de Auditoria dos Programas das reas de Planejamento, Oramento e Gesto Diretoria de Auditoria da rea de Infra-Estrutura Coordenao-Geral de Auditoria da rea do Meio Ambiente Coordenao-Geral de Auditoria das reas de Cincia e Tecnologia Coordenao-Geral de Auditoria da rea de Minas e Energia Coordenao-Geral de Auditoria da rea de Integrao Nacional Coordenao-Geral de Auditoria da rea de Transportes Coordenao-Geral de Auditoria da rea de Cidades Diretoria de Auditoria de Pessoal, Previdncia e Trabalho Coordenao-Geral de Auditoria da rea de Previdncia Social Coordenao-Geral de Auditoria da rea de Pessoal e Benefcios e de Tomada de Contas Especial Coordenao-Geral de Auditoria da rea de Servios Sociais Coordenao-Geral de Auditoria das reas de Trabalho e Emprego Diretoria de Auditoria da rea de Produo e Tecnologia Coordenao-Geral de Auditoria das reas de Agricultura, Pecuria e Abastecimento Coordenao-Geral de Auditoria da rea de Comunicaes Coordenao-Geral de Auditoria da rea de Cultura Coordenao-Geral de Auditoria da rea de Desenvolvimento Agrrio Coordenao-Geral de Auditoria das reas de Turismo e Esportes Diretoria de Auditoria da rea Social

DSDES DSEDU I DSEDU II DSI DSSAU DSSEG GSTI-DR GSTIN INTOSAI ISACA ISO ITIL LDO NBR ODP OGU PDG PL PLC PLS PMBOK PMI PMO SEFTI SFC SIAFI SLTI/MP SOF/MP SPCI TCU TFC TI

Coordenao-Geral de Auditoria da rea de Desenvolvimento Social Coordenao-Geral de Auditoria da rea de Educao I Coordenao-Geral de Auditoria da rea de Educao II Diretoria de Sistemas e Informao Coordenao-Geral de Auditoria da rea de Sade Coordenao-Geral de Auditoria das reas de Justia e Segurana Pblica Grupo de Solues em Tecnologia da Informao da Diretoria de Auditoria da rea de Produo e Tecnologia Coordenao-Geral de Auditoria de Tecnologia da Informao International Organization of Supreme Audit Institutions Information Systems Audit and Control Association International Organization for Standardization Information Technology Infrastructure Library Lei de Diretrizes Oramentrias Norma Brasileira Observatrio da Despesa Pblica Oramento Geral da Unio Programa de Dispndios Globais Projeto de Lei Projeto de Lei da Cmara Projeto de Lei do Senado Project Management Body Of Knowledge Project Management Institute Project Management Office Secretaria Fiscalizao de Tecnologia da Informao Secretaria Federal de Controle Sistema Integrado de Administrao Financeira do Governo Federal Secretaria de Logstica de Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto Secretaria de Oramento Federal do Ministrio do Planejamento, Oramento e Gesto Secretaria de Preveno da Corrupo e Informaes Estratgicas Tribunal de Contas da Unio Tcnico de Finanas e Controle Tecnologia da Informao

SUMRIO
1 INTRODUO............................................................................................................................................ 15 2 TECNOLOGIA DA INFORMAO E SEUS CONTROLES NO CONTEXTO DA APF....................... 18

2.1 A Tecnologia da Informao no contexto da Administrao Pblica......................................18 2.2 Importncia da Auditoria de TI ................................................................................................22 2.3 Situao atual da Auditoria de TI dentro da Administrao Pblica .......................................24 2.3.1 Auditoria de TI no TCU ....................................................................................................26
3 SITUAO DA AUDITORIA DE TI NA CGU......................................................................................... 30

3.1 Histrico da Auditoria de TI na SFC........................................................................................30 3.2 Estrutura da SFC ......................................................................................................................34 3.3 Diagnstico de Auditoria de TI ................................................................................................39 3.3.1 Metodologia.......................................................................................................................39 3.3.2 Resultados..........................................................................................................................42 3.4 Consideraes acerca do Diagnstico ......................................................................................57
4 UNIDADE DE TEMAS ESPECFICOS ..................................................................................................... 60

4.1 DCREX ....................................................................................................................................60 4.2 DPPCE......................................................................................................................................61 4.3 Assessoria de Obras da DI........................................................................................................63 4.4 ODP ..........................................................................................................................................63 4.5 Consideraes sobre as Unidades temticas ............................................................................64
5 PROPOSTA.................................................................................................................................................. 66

5.1 Fundamentos do Modelo ..........................................................................................................66 5.2 Estrutura da GSTIN..................................................................................................................68 5.3 Atribuies da GSTIN..............................................................................................................70 5.4 Auditoria de Conformidade x Auditoria de Operacional .........................................................72 5.5 Funcionamento Organizacional................................................................................................73 5.6 Papel do Gerente de Projetos....................................................................................................75 5.7 Requisitos de Implantao........................................................................................................77
6 CONCLUSO.............................................................................................................................................. 80 7 REFERNCIAS ........................................................................................................................................... 83 APNDICE A Questionrio para Servidores da SFC com conhecimentos na rea de TI ........................... 86 APNDICE B Questionrio para Coordenadores-Gerais da SFC ............................................................... 90

APNDICE C Organograma Completo da SFC .......................................................................................... 94 ANEXO A Acrdos do TCU ...................................................................................................................... 95

15 1 INTRODUO Nos ltimos anos, a exemplo do que ocorre no setor privado, as atividades do setor pblico tm se tornado cada vez mais dependentes de processos de Tecnologia da Informao (TI) e das informaes geradas por eles. Dentro da Administrao Pblica Federal (APF) brasileira, h investimentos na ordem de bilhes de reais para capacitao e modernizao tecnolgica, uma vez que a TI necessria em todos os rgos da APF, seja como base operacional para as demais demandas da unidade, seja como fator provedor de informao essencial sua funo precpua. Assim, a rea de Tecnologia da Informao tem se tornado estratgica para toda Administrao Pblica. Entretanto, por ser uma rea relativamente nova, possui ainda, na maioria dos rgos, controles internos deficientes. Diante disso, essencial que esses controles sejam fortalecidos. Como a Controladoria-Geral da Unio (CGU) o rgo Central do Sistema de Controle Interno do Poder Executivo da Administrao Federal, torna-se importante que o rgo d maturidade s aes de controle de Auditoria de TI. Portanto, o desafio deste trabalho apresentar uma proposta para a implantao formal de um modelo de Auditoria de TI no mbito da Controladoria, especificamente, dentro da Secretaria Federal de Controle (SFC). Como justificativas para a proposta apresentada destacam-se a atual situao da TI no contexto da Administrao Pblica, a importncia da Auditoria de TI para a utilizao eficiente e eficaz da Tecnologia da Informao e a real situao desse tipo de auditoria dentro da Administrao Pblica. A fim de se fazer um diagnstico da situao da Auditoria de TI no mbito da SFC, identificando-se as fragilidades e a necessidade da Auditoria de TI, foi realizada uma pesquisa de opinio, com aplicao de questionrios, junto a 20 Coordenadores-Gerais das reas finalsticas da SFC e junto a 44 servidores com conhecimento em TI que atuam nessas Coordenaes. Os resultados dessa pesquisa sero apresentados nesse trabalho, servindo de motivao para a proposta do modelo apresentado.

16 O ponto principal desse modelo a criao de um escritrio de projetos de Auditoria de TI, que ter como objetivo ser um ncleo de realizao de aes de controle1, decises estratgicas, capacitao e apoio tcnico acerca desse tipo de auditoria. Esta proposta de trabalho de concluso de curso tem como objetivos especficos: 1) Fazer um diagnstico da Auditoria de TI dentro da Secretaria Federal de Controle Interno. 2) Apresentar proposta de modelo para implementao de Auditoria de TI no mbito da CGU. Complementarmente, podem ser citados os seguintes objetivos secundrios: 1) Levantar a discusso dentro da SFC sobre a criao de Coordenaes voltadas a temas especficos, como TI, obras e convnios, a fim de complementar os trabalhos realizados pelas Coordenaes voltadas a Ministrios, aumentando a qualidade das aes de controle de assuntos especficos. 2) Contribuir para a conscientizao dos Gestores Pblicos na melhoria da Governana de TI e da Segurana da Informao em todos os rgos Pblicos. 3) Contribuir para a demonstrao da necessidade de legislao especfica que regule a TI dentro da APF, a fim de exigir que critrios de Segurana da Informao e Governana de TI sejam aplicados em todos os rgos. Esse trabalho est organizado da seguinte forma: O Captulo 2 aborda a importncia da Tecnologia da Informao no atual contexto da Administrao Pblica, a importncia da realizao de aes de controle sobre a utilizao da TI e a situao da Auditoria de TI dentro da Administrao Pblica, com nfase no Tribunal de Contas da Unio (TCU). O Captulo 3 trata da apresentao do resultado da pesquisa que buscou diagnosticar a situao da Auditoria de TI no contexto da SFC do ponto de vista dos Coordenadores-Gerais das reas finalsticas e dos servidores com conhecimento em Tecnologia da Informao. O Captulo 4 apresenta quatro Unidades da CGU voltadas para o tratamento de temas especficos.

As aes de controle executadas pelo Sistema de Controle Interno do Poder Executivo Federal podem ser classificadas em dois grupos de tcnicas de trabalho: a) auditoria: da avaliao tcnica, operacional e/ou legal da gesto pblica e da aplicao dos recursos pblicos por entidades de direito pblico ou privado. b) fiscalizao: trata-se da verificao da existncia e adequao dos produtos das aes de governo.

17 O Captulo 5 apresenta, como forma de buscar a soluo dos problemas apresentados no Captulo 3, a proposta de um escritrio de projetos de Auditoria de TI na estrutura organizacional da SFC. Por fim, o Captulo 6 apresenta as concluses desse trabalho, as dificuldade e limitaes enfrentadas para sua elaborao e as sugestes de trabalhos futuros.

18 2 TECNOLOGIA DA INFORMAO E SEUS CONTROLES NO CONTEXTO DA APF Neste captulo, far-se- uma abordagem sobre a Tecnologia da Informao dentro da Administrao Pblica. Em seguida, tratar-se- da importncia da Auditoria de TI e, por fim, apresentar-se- brevemente a situao da Auditoria de TI nesse contexto. 2.1 A Tecnologia da Informao no contexto da Administrao Pblica Em 2008, o Tribunal de Contas da Unio realizou um trabalho de levantamento de gastos em TI na APF (TCU, 2008a). Esse levantamento verificou que os gastos identificveis em TI dentro da APF cresceram de 4,2 a 6,5 bilhes de reais, de 2002 a 2006, como pode ser observado na Tabela 2.1 e na Figura 2.1, ambas retiradas do Relatrio do TCU (2008a):
Descrio Subelementos de TI (OFSS) Subfuno Tecnologia da Informao excludos os subelementos de TI Empresas Estatais SERPRO (subfuno 126) Total Crescimento anual 2002 2.036.284.489,57 1.024.551.927,07 1.090.337.577,00 (no OFSS) 4.151.175.995,64 2003 1.870.242.033,40 971.216.010,01 1.468.532.159,00 (no OFSS) 4.309.992.205,41 4% 2004 2.322.875.424,48 621.302.338,78 1.781.696.550,00 843.174.107,53 5.569.050.424,79 29% 34% 2005 2.572.695.553,92 912.656.959,51 1.686.118.044,00 1.043.704.402,63 6.215.176.965,06 12% 50% 2006 2.657.370.973,08 1.060.686.897,57 1.515.333.994,00 1.292.195.461,67 6.525.589.332,32 5% 57%

4% Crescimento em relao a 2002 Fonte: SIAFI Gerencial, Dest (Anexo II, fls. 164/167) e BGU

Tabela 2.1 Gasto Total em TI na APF.

Fonte: SIAFI Gerencial, Dest (Anexo II, fls. 164/167) e BGU

7.000,00 6.500,00 6.000,00 5.500,00 5.000,00 4.500,00 4.000,00 3.500,00 3.000,00 2.500,00 2.000,00

Em Milhes

2002 2003 2004 2005 2006

Figura 2.1 Gasto Total em TI - Evoluo

19 Para estimar os gastos de TI do Oramento Geral da Unio (OGU), realizou-se a soma das despesas realizadas na subfuno Tecnologia da Informao (126), dos gastos efetuados em subelementos especficos de TI e dos gastos das Estatais, esses ltimos contidos no Oramento de Investimento por meio da mesma funo (126) e no Programa de Dispndios Globais (PDG) por meio de rubricas prprias de TI. A distribuio desses gastos pode ser observada na Figura 2.2:
3500 3000 2500 2000 1500 1000 500 0

Em Milhes

2002

2003

2004

2005

2006

SUBFUNO TI (126)

SUBELEMENTOS DE TI

EMPRESAS ESTATAIS

Figura 2.2 - Gasto Total em TI - Distribuio

Entretanto, apesar da realizao dessa estimativa, verificou-se que a estrutura do OGU no permite a identificao precisa dos gastos em TI por no conter classificaes oramentrias especficas para todos os tipos de bens e servios relacionados ao domnio de Tecnologia da Informao, assim como pela disperso desses dispndios nas aes finalsticas e de apoio de cada rgo ou Entidade, restando sem identificao parcela significativa dos gastos em TI. Como resultado desse trabalho, em atendimento determinao do TCU (Acrdo n 371/2008 Plenrio), a Secretaria de Oramento Federal (SOF/MP) incluiu na Lei de Diretrizes Oramentrias (LDO) 2009 dispositivo prprio categorizao de despesas com TI. J o Departamento de Coordenao e Governana das Empresas Estatais (DEST/MP) promoveu a incluso de rubricas especficas para a rea de TI nos Programas de Dispndios Globais das Instituies Financeiras e do Setor Produtivo Estatal. Todavia, apesar de as estimativas de gastos j serem elevadas, a importncia da Tecnologia da Informao para a Administrao Pblica no est apenas nos recursos utilizados diretamente na sua aquisio e manuteno. Muitas vezes, mais valiosa do que a prpria TI a informao gerida por ela. Por exemplo, o valor do Sistema Integrado de Administrao Financeira do Governo Federal (SIAFI) (STN, 2009b), instrumento para controle e acompanhamento dos gastos pblicos,

20 cresce vertiginosamente se forem considerados todos os recursos por ele geridos e os riscos envolvidos caso o Sistema apresente problemas operacionais e de segurana da informao. Nesse caso, qual seria o prejuzo se o banco de dados do SIAFI e seu backup fossem destrudos? Esse prejuzo seria muito maior do que valor dos recursos aplicados em seu desenvolvimento e manuteno, pois significaria a perda de todas as informaes referentes s movimentaes financeiras do Governo Federal. Entretanto, no bastam o reconhecimento da necessidade da TI e o aumento dos investimentos se no houver uma aplicao correta e gerenciada destes recursos, de forma que a TI atenda s necessidades de negcio de cada Entidade, ou seja, agregue valor s suas funes finalsticas. Assim, medida que a tecnologia exerce influncia direta sobre os produtos da Organizao, a TI e as informaes geradas por meio dela deixam de ser uma questo meramente operacional e administrativa para se tornar uma questo estratgica. Um dos grandes problemas observado nas organizaes pblicas a falta de solues para selecionar, processar e organizar a grande quantidade de informao disponvel a um administrador (gestor), de modo a torn-las teis no controle da gesto pblica. Alm da necessidade do gestor, h tambm aquela do cliente que, para a organizao pblica, o cidado, que vem, cada vez mais, exigindo eficincia e transparncia na gesto dos recursos pblicos. Com isso, surge, dentro da Administrao Pblica, a necessidade de implementao da Governana de TI2 (IT GOVERNANCE INSTITUTE, 2007), de forma a alinhar o uso da TI aos objetivos de negcio de cada rgo e da Administrao como um todo, possibilitando que se garanta: i. ii. iii. iv. v. a continuidade dos servios; o atendimento a marcos regulatrios; a definio clara do papel da TI dentro dos rgos; o alinhamento dos processos operacionais e de gesto a padres que atendam a necessidade do negcio; e a definio de regras claras acerca de responsabilidades sobre decises e aes dentro da Entidade.
2

Governana de TI um conjunto de estruturas e processos que visa garantir que a TI suporte e maximize adequadamente os objetivos e estratgias de negcio da organizao, adicionando valores aos servios entregues, balanceando os riscos e obtendo o retorno sobre os investimentos em TI.

21 Essas garantias tornam-se essenciais e obrigatrias em um contexto em que a Informao torna-se muito mais acessvel e, portanto, menos protegida. A disponibilidade das informaes possibilita o aumento da eficcia e da eficincia de todos os processos que as utiliza. Por outro lado, se no houver garantia de que a manipulao de tais informaes monitorada e realizada de forma responsvel, esta disponibilidade torna-se uma ameaa para a segurana da informao. Importante salientar ainda que a Governana de TI no uma disciplina isolada, ela parte integral da Governana Corporativa3. O aumento da demanda por transparncia e conformidade faz com que a Direo da Organizao estenda a governana para a TI e fornea liderana, estruturas organizacionais e processos que assegurem que as estratgias de TI sustem e cubram as estratgias e objetivos do rgo. Em 2008, o TCU publicou um sumrio executivo (TCU, 2008b) com os resultados sobre o levantamento da Governana de TI na APF realizado pela Secretaria de Fiscalizao em TI (Sefti), com o objetivo de coletar informaes acerca dos processos de aquisio de bens e servios de TI, de segurana da informao, de gesto de recursos humanos de TI, e das principais bases de dados e sistemas da Administrao Pblica Federal. Participaram dessa pesquisa 255 rgos/Entidades da APF, sendo que os principais achados so apresentados na Figura 2.3:

Figura 2.3 Deficincias em Governana de TI (TCU, 2008d).

3

De acordo com o Instituto Brasileiro de Governana Corporativa (IBGC), Governana Corporativa o sistema pelo qual as sociedades so dirigidas e monitoradas, envolvendo os relacionamentos entre acionistas/cotistas, conselho e administrao, diretoria, auditoria independente e conselho fiscal. As boas prticas de Governana Corporativa tm a finalidade de aumentar o valor da sociedade, facilitar seu acesso ao capital e contribuir para a sua perenidade.

22 Assim, em um contexto em que toda tecnologia aparenta ser atraente e milagrosa, mas so recorrentes as deficincias em Governana de TI, os processos de aquisio e desenvolvimento de tecnologia devem ser bem planejados e alinhados aos objetivos institucionais do rgo, de modo a impedir desperdcios de recursos pblicos e agregar valor Organizao.

2.2 Importncia da Auditoria de TI

Diante deste novo contexto, a TI tambm precisa ser objeto de aes de controle do Sistema de Controle Interno da Administrao Pblica Federal, de forma a garantir que os critrios da informao - efetividade, eficincia, confidencialidade, integridade, disponibilidade, conformidade e confiabilidade (IT GOVERNANCE INSTITUTE, 2007) sejam atendidos, contribuindo para a eficcia, a eficincia e a economicidade dos servios pblicos e para a preveno de irregularidades, de desvios e de perdas de recursos pblicos, auxiliando, inclusive, no combate corrupo. Pode-se distinguir basicamente dois tipos de auditoria que envolvem a Tecnologia da Informao: i. Auditoria com TI: nesse tipo de auditoria, a tecnologia funciona como ferramenta de auxlio realizao dos trabalhos. As tcnicas de auditoria que empregam ferramentas informatizadas para analisar bases de dados ou agregar eficincia aos trabalhos do auditor so conhecidas como Tcnicas de Auditoria Assistidas por Computador (TAAC) ou, em ingls, Computer Assisted Audit Techniques (CAAT). ii. Auditoria de TI: nesse tipo de auditoria, a tecnologia objeto dos trabalhos, ou seja, verifica-se a conformidade e a operacionalidade dos controles dos processos baseados em Tecnologia da Informao. O foco desse trabalho a Auditoria de TI, que uma rea abrangente e que envolve diversos objetos da rea da Tecnologia da Informao, tais como: a) Gesto de TI O objeto da ao de controle no a tecnologia em si, mas a prpria Gesto dessa tecnologia, envolvendo anlise das atividades de planejamento, execuo e controle dos processos de TI da Unidade examinada. b) Dados O objeto das aes de controle so bases de dados a serem analisadas, com o auxlio de softwares (exemplos: ACL, Excel ou Access), utilizando-se critrios estabelecidos em funo dos dados analisados. A partir desse processo, so obtidas

23 informaes sobre integridade e duplicidades dos dados, evidenciando-se fragilidades de controles das bases.4 c) Softwares O objeto das aes de controle so softwares desenvolvidos ou adquiridos pelas Unidades. d) Infra-Estrutura O objeto das aes de controle a infra-estrutura tecnolgica, que envolve redes de computadores, servidores e demais hardwares. e) Segurana da Informao O objeto das aes de controle a de segurana dos processos, redes, sistemas e informaes da Unidade examinada, envolvendo os aspectos lgicos e fsicos de segurana da informao. f) Processos Licitatrios e Contratos de TI O objeto das aes de controle so os processos licitatrios, dispensas e/ou inexigibilidades realizados pelas Unidades examinadas para aquisio de bens ou servios de TI e os contratos deles resultantes. Apesar de haver diversas classificaes para as Auditorias de TI (tais como Auditoria de Dados, Auditoria de Sistemas, entre outras), elas no sero apresentadas nesse trabalho, pois, variam de autor para autor e, na realidade, so auditorias que se misturam e se sobrepem. Por exemplo, a Auditoria de Sistemas visa analisar softwares. Todavia, alm da avaliao de suas funcionalidades, tambm se costuma verificar as questes legais de seu processo de aquisio e seus requisitos de segurana. Com isso, em uma nica ao de controle, h procedimentos de Auditoria de Sistemas, de Segurana e de Aquisio. Por toda essa abrangncia de objetos, a Auditoria de TI ferramenta fundamental para que a Administrao Pblica controle seus atos relacionados TI, nos mesmo moldes que fiscaliza suas outras atividades, resultado do seu poder-dever de controlar suas prprias aes do ponto de vista legal e de mrito. Com isso, a Tecnologia da Informao pode deixar de gerar prejuzos comuns pela ineficincia de sua aquisio e gesto. Alm disso, podem ser evitados muitos desvios e fraudes decorrentes de controles ainda incipientes nessa rea de conhecimento.

Todavia, podem ser extradas informaes para a realizao de auditorias em diversas reas, como por exemplo, bases de dados com informaes de dirias e passagens concedidas a servidores. Nesse ltimo caso, no se falaria em Auditoria de TI, mas de Auditoria com TI.

24

2.3 Situao atual da Auditoria de TI dentro da Administrao Pblica

A Auditoria de TI j est presente no controle interno de diversas instituies pblicas, sendo mais atuante, estruturada e madura nas instituies pblicas financeiras, como o Banco Central e o Banco do Brasil. Entretanto, na maioria dos rgos de execuo de programas e polticas pblicas e, at mesmo, nos rgos de Controle, como a Controladoria-Geral da Unio, esse tipo de auditoria apresenta-se em um nvel de maturidade iniciante e, em muitos casos, so realizadas quando realizadas de maneira ad hoc, ou seja, no h padres, metodologias ou normas gerais a serem seguidas para planejamento e execuo das aes de controle. A ausncia de uma metodologia de Auditoria de TI padronizada acarreta aes de controle desordenadas realizadas por diferentes departamentos de um mesmo rgo, com critrios de avaliao diferentes e, muitas vezes, para um mesmo tipo de constatao, recomendaes incoerentes e conflitantes. Outra deficincia da ausncia de padronizao a dificuldade de comunicao e entendimento entre auditor e auditado. O uso de uma linguagem comum facilita a compreenso do auditado sobre os parmetros utilizados nas aes de controle e constataes e recomendaes geradas. Assim, torna-se mais fcil a realizao de aes corretivas por parte do gestor de forma preventiva s aes de controle ou em resposta a recomendaes geradas. A abrangncia desse tipo de auditoria (vide Seo 2.2) outro fator que dificulta os trabalhos de aes de controle em TI. A diversidade de reas de abordagem exige que as equipes de auditoria possuam membros com amplos conhecimentos nas reas que integram o escopo da auditoria a ser realizada, sendo essencial que haja constante treinamento dos auditores que atuem nessa rea. De acordo com o TCU (TCU, 2008b), no sumrio executivo sobre o levantamento da Governana de TI na APF, as Auditorias de TI ainda so pouco freqentes entre os pesquisados, sendo que apenas 40% dos 255 rgos/Entidades participantes da pesquisa declararam ter realizado alguma Auditoria de TI nos ltimos cinco anos. Mesmo entre os 101 rgos/Entidades que a realizaram, 68% executaram, no mximo, uma Auditoria de TI por ano. Alm disso, apenas 19% dos pesquisados declararam possuir equipe interna de Auditoria de TI. Conforme concluso desse sumrio, tal resultado indica que a realizao de Auditorias de TI em bases peridicas no uma realidade entre os pesquisados. Com isso, esses rgos/Entidades esto perdendo a oportunidade de usar essas auditorias para aperfeioar os seus controles internos

25 de TI e, conseqentemente, promover a melhoria da sua Governana de TI. Inclusive, no Acrdo 1.603/2008 Plenrio (ANEXO A), o TCU recomenda Controladoria-Geral da Unio que realize regularmente auditorias de TI e/ou promova aes para estimular a realizao dessas auditorias nos rgos/Entidades da APF. Outra questo importante a ser levantada em relao Auditoria de TI dentro da APF o atual contexto legal e infra-legal em relao Tecnologia da Informao. Por melhores que sejam as referncias e metodologias implementadas, as Entidades que realizam aes de controle de TI sobre outros rgos enfrentam um problema que vai alm de suas prprias infra-estruturas e capacidades fiscalizatrias. Uma das grandes dificuldades a sustentao nas recomendaes das auditorias de que as melhores prticas da Governana de TI devem ser seguidas, j que no existem instrues normativas ou legislao dentro da APF que obrigue a utilizao dessas prticas, apesar de elas influenciarem diretamente na eficincia, na eficcia e economicidade da Tecnologia da Informao. Dentre as lacunas da legislao brasileira, de acordo com aula apresentada na disciplina de Auditoria de Tecnologia da Informao do curso de Auditoria Interna e Controle Governamental, podem ser citadas as seguintes omisses em relao aos seguintes eventos: a) Acesso no autorizado aos sistemas. b) Interceptao no autorizada de informaes. c) Uso no autorizado de sistemas de informtica. d) Alterao de dado ou programa de computador. e) Difuso de vrus eletrnico. f) Quebra de privacidade de banco de dados. Dessa forma, por mais bem estruturado que seja o processo de auditoria, ele ainda fica amarrada falta de instrues legais ou normativas que possam dar suporte s suas recomendaes, prevalecendo, muitas vezes, apenas o bom senso de ambas as partes: auditor e auditado. Tal lacuna legislativa tambm motivao para esse trabalho, pois quanto mais se trabalhar nessa rea e mostrar suas fragilidades, maiores sero os estmulos para que se legisle e regule a rea de Tecnologia da Informao dentro do Governo Federal. Todavia, apesar de todos os problemas apresentados, a Auditoria de TI na APF tambm apresenta evolues. A fim de solucionar algumas das lacunas legislativas, encontra-se em tramitao no Congresso Nacional o Projeto de Lei PL-84/1999 (incorporou os projetos de lei PLC89/2003, PLS-76/2000, PLS-137/2000 e outros) que dispe sobre crimes cometidos na rea de

26 informtica e tipifica condutas realizadas mediante uso de rede de computadores ou Internet, ou que sejam praticadas contra sistemas informatizados e similares. Em tramitao desde 2009, o Projeto foi aprovado na Cmara dos Deputados em 2005 e teve substitutivo aprovado no Senado Federal em 2009. Atualmente, encontra-se na Comisso de Constituio e Justia e de Cidadania (CCJC) da Cmara dos Deputados. A transformao desse Projeto em Lei possibilitar que se responsabilizem agentes pblicos que cometerem crimes na rea de informtica que, hoje em dia, ainda no so tipificados. Assim, ser possvel que haja punies, na esfera judicial, de agentes pblicos responsveis por crimes na rea de tecnologia da informao, eventualmente verificados a partir de Auditorias de TI. A publicao da Instruo Normativa n 04/2008 (BRASIL, 2008a), que dispe sobre o processo de contratao de servios de Tecnologia da Informao pela Administrao Pblica Federal direta, autrquica e fundacional, tambm um grande avano no processo de aquisio e prestao de servios de Tecnologia da Informao. Alm da constante evoluo das auditorias bancrias na rea de TI, o Tribunal de Contas da Unio tambm apresenta grandes avanos, como pode ser visto na seo 2.3.1.

2.3.1 Auditoria de TI no TCU

Com o reconhecimento da importncia estratgica da rea de Tecnologia da Informao, da expressiva materialidade tanto das aquisies relacionadas Tecnologia da Informao quanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e do uso cada vez mais crescente da TI para manipulao e armazenamento de dados da Administrao Pblica Federal, introduzindo novos riscos e aumentando a fragilidade de algumas atividades, o Tribunal de Contas da Unio criou, em agosto de 2006, a Secretaria de Fiscalizao de Tecnologia da Informao Sefti (TCU, 2009). Por meio da Resoluo-TCU n 199, de 28 de dezembro de 2006 (BRASIL, 2006b) - que define a estrutura, as competncias e a distribuio das funes de confiana das unidades da Secretaria do Tribunal de Contas da Unio, e da Portaria-SEFTI n 001, de 02 de abril de 2007 (BRASIL, 2007b) - que dispe sobre a organizao interna e estabelece as competncias das subunidades da Secretaria de Fiscalizao de Tecnologia da Informao, a Sefti foi formalmente constituda e teve suas atribuies gerais definidas. A Sefti possui a funo de fiscalizar a gesto e o uso de recursos de TI na Administrao Pblica Federal, conduzindo trabalhos especficos em Fiscalizao de Tecnologia da Informao e

27 servindo de suporte s demais Secretarias do Tribunal. Alm disso, elabora e dissemina metodologias, manuais e procedimentos para planejamento e execuo de fiscalizaes de Tecnologia da Informao, visando maior qualidade dos trabalhos de fiscalizao nessa rea (TCU, 2009). Inicialmente, a Sefti era dividida em duas Diretorias: a Diretoria de Fiscalizao de Aquisies de Tecnologia da Informao (Difati), qual cabia a apreciao das questes relacionadas s contrataes de TI que enfatizam a conformidade legal com os preceitos da Legislao de Licitaes; e a Diretoria de Auditoria de Tecnologia da Informao (Dati), qual cabiam as questes relacionadas s auditorias de natureza operacional, como auditoria de dados e de sistemas ou mesmo de programas de governo nos quais a Tecnologia da Informao era fator predominante (ex.: e-GOV) (BORBA, 2008). Em 25 de novembro de 2008, a Portaria-SEFTI N 3 (BRASIL, 2008c) revogou a PortariaSEFTI n 1, de 2 abril de 2007 e definiu nova organizao interna e estabeleceu as competncias das subunidades da Secretaria de Fiscalizao de Tecnologia da Informao. Com a nova organizao a Secretaria passou a ter trs Diretorias (Figura 2.4), a saber: a) Diretoria de Fiscalizao de Governana de Tecnologia da Informao 1 DIGOV1. b) Diretoria de Fiscalizao de Governana de Tecnologia da Informao 2 DIGOV2. c) Diretoria de Fiscalizao de Governana de Tecnologia da Informao 3 DIGOV3.

Figura 2.4 Estrutura organizacional da Sefti (Fonte: Stio eletrnico do TCU).

Diferentemente da organizao anterior, as novas Diretorias atuam em todas as reas de Auditoria de TI, no havendo mais diviso por assunto tratado.

28 Em 2008, o TCU produziu um Sumrio executivo sobre um levantamento de auditoria realizada com o objetivo de coletar informaes para criao de referencial estratgico para a Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), e identificar formas de atuao de Entidades fiscalizadoras de TI (TCU, 2008c). Durante esse levantamento, foram realizados contatos formais mediante questionrios e entrevistas em Unidades do TCU e Entidades externas. Assim, foram feitas entrevistas com representantes de 24 Entidades externas e 46 Unidades do TCU. Tambm foram recebidas respostas de 25 Entidades internacionais de fiscalizao superior e de 13 Tribunais de Contas Estaduais e Municipais. Alm da consulta aos pares nacionais e estrangeiros, o mesmo levantamento permitiu que se interagisse com Entidades de auditoria de outros segmentos pblicos de privados para a sondagem de boas prticas e do perfil que uma unidade de auditoria especializada em TI poderia assumir em termos de atuao e recursos humanos adequados a sua composio (BORBA, 2008). Tal coleta de informao gerou os seguintes produtos: 1. Base de dados sobre fiscalizao de TI; 2. Proposta de formas de atuao da Sefti; 3. Plano de divulgao permanente da Sefti; 4. Desenvolvimento profissional para os servidores da Sefti; 5. Oportunidades de atuao conjunta; 6. Proposta de seleo de novos servidores por meio de concurso pblico especfico; 7. Levantamento de modelos e de procedimentos de fiscalizao de outras unidades tcnicas; 8. Lista de ferramentas de apoio a fiscalizaes de TI; 9. Lista de critrios de auditoria de TI; 10. Controle de qualidade das fiscalizaes da Sefti; e 11. Proposta de contedo e de estrutura da pgina da Sefti no portal do TCU. Os resultados das aes de controle de TI realizadas pela Sefti so registradas em relatrios que, aps julgados, so transformados em Acrdos do TCU, onde so emitidas vrias recomendaes e determinaes baseadas nos padres e modelos de Governana de TI e Segurana da Informao. Os principais Acrdos relacionados Auditoria de TI esto listados no ANEXO A. Em 2009, foi realizada pela Sefti, dentro do TCU, uma pesquisa de satisfao dos consultantes sobre as consultas tcnicas internas produzidas pela Secretaria. Dos 44 questionrios enviados, 21 foram respondidos. A pesquisa teve como principais resultados: a) 76% dos consultantes se declararam Muito Satisfeitos com a facilidade de acesso consulta tcnica da Sefti e 24% se declaram Satisfeitos. b) 67% dos consultantes consideraram o tempo de resposta informao solicitada Muito Satisfatrio e 33% consideraram satisfatrio.

29 c) 67% dos consultantes afirmaram que o grau de conhecimento demonstrado pelos consultores Muito Satisfatrio e 33% afirmaram ser satisfatrio. d) 95% dos consultantes declaram terem adotado a posio opinada pelos consultores e 5% no se lembravam. e) 95% dos consultantes declaram que a consulta tcnica correspondeu s suas expectativas e 5% no responderam. f) 100% dos consultantes responderam que voltariam a procurar os mesmos consultores para uma nova consulta tcnica. Assim, foi verificada alta satisfao do pblico interno que participou da pesquisa com os trabalhos de consultoria da Secretaria.

30

3 SITUAO DA AUDITORIA DE TI NA CGU

Inicialmente, sero abordados o histrico da Auditoria de TI no mbito da SFC e a estrutura organizacional da Secretaria dentro da CGU. Em seguida, sero apresentados a metodologia e os resultados do Diagnstico de Auditoria de TI.

3.1 Histrico da Auditoria de TI na SFC

Em 2004 e 2006, foram realizados concursos para a seleo de novos servidores para a CGU, que previram vagas especficas para candidatos com conhecimento em TI para serem lotados na SFC. Alm desses, h servidores e tcnicos que entraram em vagas de conhecimento geral, mas com conhecimentos especficos de TI. Com a entrada desses servidores, foram iniciadas algumas tentativas por parte das Diretorias de aumentar e aperfeioar as aes de controle nessa rea de conhecimento. No segundo semestre de 2006, a Diretoria de Auditoria da rea Social (DS) comeou a incentivar os servidores com conhecimentos em Tecnologia da Informao a participarem de Congressos e cursos de Auditoria de TI. Alm de possibilitar que servidores recm nomeados tivessem uma noo inicial acerca do assunto, esse incentivo teve como resultados os seguintes produtos:

um minicurso de multiplicao dos conhecimentos adquiridos nos Congressos, que teve

como pblico alvo outros colegas interessados no assunto; e

um artigo (ANTUNES et al., 2007) sobre os critrios de Auditoria de TI mais utilizados e

apresentao de trabalhos ad-hoc de aes de controle de TI realizados dentro da Diretoria. Ressalta-se que esse artigo foi publicado apenas um ano depois de sua elaborao, na 2 edio da Revista da CGU. No incio de 2007, foi criado o Grupo de Solues em TI da DR (GSTI-DR), constitudo pela Ordem de Servio n 73/DR/SFC/CGU-PR, de 09/04/2007, com a finalidade de estudar, elaborar, propor e implementar solues na rea de Tecnologia da Informao, de forma a agregar facilidades s prticas e procedimentos gerais vinculados s aes de controle executadas e demandadas pelas Coordenaes-Gerais da DR. Os detalhes dos trabalhos realizados constam dos autos do Processo n 00190.008093/2007-13 da CGU. O GSTI-DR submeteu 4 projetos ao Colegiado de Coordenadores desta Diretoria, dos quais dois foram aprovados, conforme disposto no item 3 da Ordem de Servio n 73/2007:

31 1) Projeto de Desenvolvimento de Procedimentos de Auditoria em TI. 2) Projeto de Padronizao de Banco de Dados. O primeiro projeto teve como resultado a criao de procedimentos de Auditoria de TI, inseridos no Sistema ATIVA5, conforme Tabela 3.1:
REA DE EXAME CDIGO DO PROCEDIMENTO TTULO DO PROCEDIMENTO

018000 060209 060209 060209 070307 070307 070307 070307 070307 070307 070307 070307 070307

0001 0001 0002 0003 0025 0026 0027 0028 0029 0030 0031 0032 0033

Planos de Auditoria de Tecnologia da Informao Aquisies de bens e servios de TI - Parte Geral Pagamentos contratuais relacionados TI Aquisies de bens e servios de TI - parte especfica Planejamento Estratgico de TI Poltica de Segurana da Informao Posio da rea de Informtica no organograma do rgo/Entidade Terceirizao em Tecnologia da Informao Gerenciamento de Projetos de TI Relacionamento do Setor de Informtica com os demais Setores Definio de arquitetura da informao Processo de desenvolvimento de sistemas Capacitao dos recursos humanos de TI

Tabela 3.1 Procedimentos de Auditoria de TI no Sistema ATIVA.

Desde a insero dos procedimentos no Sistema, j foram geradas 179 Ordens de Servio6 (OS) utilizando-se desses procedimentos, conforme Tabela 3.2:
PROCEDIMENTO REA DE CDIGO DO EXAME PROCEDIMENTO QTD. DE OS 112 16 16 10 3 3 2 3 4 3 2 3

2 TOTAL 179 Tabela 3.2 Quantidade de Ordens de Servio que utilizam procedimentos de TI.

018000 060209 060209 060209 070307 070307 070307 070307 070307 070307 070307 070307 070307

0001 0001 0002 0003 0025 0026 0027 0028 0029 0030 0031 0032 0033

5 6

Sistema de informao das aes de controle da SFC. Ordem de servio o instrumento formal pelo qual so demandadas tarefas no mbito da CGU.

32 O segundo projeto teve incio com as discusses do GSTI-DR, mas seu produto final s foi gerado no segundo semestre de 2009, a partir de uma parceria entre a Diretoria de Sistemas e Informao (DSI) e a Diretoria de Planejamento e Coordenao das Aes de Controle (DC). Como desdobramento dessa parceria houve a criao da soluo Banco de Dados Interativo (BDI/CGU) cujo objetivo disponibilizar um ambiente de Sistema Gerenciador de Banco de Dados (SGBD) para manipulao e tratamento de dados s diversas Unidades da Controladoria-Geral da Unio. Assim, essas Unidades, com o auxlio de ferramentas de auditoria, ganharam a possibilidade de realizar o cruzamento de dados entre sistemas governamentais auditados pela CGU. Com isso, espera-se o aumento da abrangncia, tempestividade e qualidade dos trabalhos de auditoria realizados. A Ordem de Servio DSI n 98, de 09/11/2009, institui a Poltica de uso da Soluo BDI-CGU. De acordo com informaes de servidores, aps trocas sucessivas do Diretor da rea, de mudanas de lotao de servidores de TI e de priorizao de outras atividades dentro das Coordenaes, os trabalhos do GSTI-DR foram paralisados. Ainda em 2007, a servidora Mara Hanashiro elaborou uma dissertao de mestrado voltada para a Auditoria de TI, cujo ttulo Metodologia para Desenvolvimento de Procedimentos para Auditoria de TI Aplicada Administrao Pblica (HANASHIRO, 2007), que tambm deu origem a um artigo (HANASHIRO; PUTTINI, 2007). Este trabalho objetivava propor uma metodologia, baseada nas diretrizes do COBIT (IT GOVERNANCE INSTITUTE, 2007) e demais modelos de melhores prticas de TI, aplicvel Administrao Pblica Federal, que possibilitasse planejar uma Auditoria de TI e desenvolver procedimentos a serem aplicados durante sua execuo, de forma a padronizar os processos de auditoria dentro do rgo auditor e criar uma linguagem comum entre auditor e auditado. Como resultados, foram apresentados um estudo dos modelos, padres e normas de TI mais conhecidos nacional e internacionalmente; um modelo de fases para realizao de auditorias de TI; e, por fim, uma metodologia para desenvolvimento de procedimentos para estas auditorias. Em 2008, o servidor Rogrio Xavier Rocha elaborou monografia intitulada Proposta de Procedimento Simplificado de Auditoria de Gesto em Segurana da Informao em rgo do Poder Executivo Federal (ROCHA, 2008). Esta pesquisa teve por objetivo principal propor um Procedimento de Auditoria de Gesto em Segurana da Informao em rgos da Administrao Pblica Federal, baseado em controles de normas consagradas em Segurana da Informao, tais como a NBR ISO/IEC 17799:2005, atual NBR ISO/IEC 27002 (ABNT, 2005). A partir de

33 levantamentos sobre os principais riscos e vulnerabilidades encontradas que impactam uma gesto efetiva da Segurana da Informao em rgos da Administrao Pblica Federal, buscava, por meio do procedimento proposto, incentivar uma implementao gradativa e sedimentada de diversos controles por meio das aes de controle do Sistema de Controle Interno do Poder Executivo Federal, que tem por misso constitucional auxiliar a gesto pblica na consecuo de seus objetivos. No mesmo ano, o servidor Carlos Alberto dos Santos Silva elaborou dissertao de mestrado intitulada Diretrizes para Auditoria do Processo de Contratao de Tecnologia da Informao na Administrao Pblica Federal (SILVA, 2008). Em seu trabalho, verificou que os rgos de controle interno do setor pblico, no que se refere TI e em especial contratao de servios de TI no vinham atuando de maneira sistemtica. Segundo o autor, um dos fatores que contribui para esta situao a ausncia de um modelo de auditoria que contemple a verificao tanto das questes relacionadas eficincia dos processos gerenciais da contratao de servios de TI quanto s questes relacionadas aos aspectos legais desses processos. Diante disso, sua pesquisa objetivava construir um conjunto de diretrizes para a auditoria no processo de contratao de servios de TI, aplicvel ao setor pblico. Para o alcance do objetivo proposto na pesquisa, inicialmente foi identificada, com base nos relatrios de auditoria da Controladoria-Geral da Unio, a abrangncia das auditorias na contratao de servios de TI. Aps a identificao dos processos gerenciais relacionados contratao de servios de TI, foram elaboradas as diretrizes de auditoria. A base tcnica para a construo das diretrizes foram as orientaes contidas em um Quadro Referencial Normativo (QRN), no COBIT 4.1 (IT GOVERNANCE INSTITUTE, 2007) e nas normas gerais e normas de auditoria aplicveis ao poder Executivo Federal. A verso preliminar das diretrizes foi submetida a um grupo de auditores que apresentaram suas percepes sobre as citadas diretrizes. Essas percepes foram analisadas e culminaram na verso final das diretrizes que descrevem os pontos de controle sobre os quais se devem atuar, resultando no rol de verificaes necessrias formulao e fundamentao da opinio por parte dos auditores sobre o processo de contratao de servios de TI no mbito da Administrao Pblica. Como produtos desse processo de pesquisa, foram identificados 101 diretrizes com seus respectivos referenciais tcnicos, operacionais e legais que amparam as verificaes de conformidade estabelecidas nas diretrizes.

34 Apesar de no tratar diretamente de Auditoria de TI, outro projeto de pesquisa importante, em curso, a do servidor Jos Geraldo Loureiro Rodrigues, Diretor da Diretoria de Sistemas e Informao (DSI) da CGU. Aluno do Mestrado em Gesto do Conhecimento e Tecnologia da Informao da Universidade Catlica de Braslia, o servidor criou o Wiki-GOV (RODRIGUES, 2009a) com a finalidade de compartilhar conhecimentos resultantes de suas pesquisas sobre Governana de TI no Setor Pblico.

3.2 Estrutura da SFC

De acordo com as informaes sobre a histria de criao do rgo, contidas no stio da CGU (CGU, 2009), a Controladoria-Geral da Unio (CGU) foi criada no dia 2 de abril de 2001, pela Medida Provisria n 2.143-31, sendo inicialmente denominada Corregedoria-Geral da Unio (CGU/PR). Quase um ano depois, o Decreto n 4.177, de 28 de maro de 2002 (BRASIL, 2002a), integrou a Secretaria Federal de Controle Interno (SFC) e a Comisso de Coordenao de Controle Interno (CCCI) estrutura da ento Corregedoria-Geral da Unio. O mesmo Decreto transferiu para a Corregedoria-Geral da Unio as competncias de Ouvidoria-geral, at ento vinculadas ao Ministrio da Justia. A Medida Provisria n 103, de 1 de janeiro de 2003, convertida na Lei n 10.683, de 28 de maio de 2003, alterou a denominao do rgo para Controladoria-Geral da Unio, assim como atribuiu ao seu titular a denominao de Ministro de Estado do Controle e da Transparncia. As competncias da CGU foram definidas pela Lei n 10.683, de 28 de maio de 2003 e pela Portaria n 570, de 11 de maio de 2007, que aprova o Regimento Interno da Controladoria-Geral da Unio (BRASIL, 2007a). O Decreto n 5.683, de 24 de janeiro de 2006 (BRASIL, 2006a), alterou a estrutura da CGU, criando a Secretaria de Preveno da Corrupo e Informaes Estratgicas (SPCI), responsvel por desenvolver mecanismos de preveno corrupo. Assim, a CGU passou a ter a competncia no s de detectar casos de corrupo, mas de antecipar-se a eles, desenvolvendo meios para prevenir a sua ocorrncia. O Decreto n 6.656, de 20 de novembro de 2008, d nova redao a alguns artigos do Decreto n 5.683, de 24 de janeiro de 2006, alterando Diretorias e criando a Assessoria Especial de Gesto de Projetos. Por fim, a Portaria n 1.215, de 25 de junho de 2009, institui o Observatrio da Despesa Pblica ODP da Controladoria-Geral da Unio.

35 Com a criao da SPCI, as principais funes exercidas pela CGU controle, correio, preveno da corrupo e ouvidoria foram agrupadas, consolidando-as em uma nica estrutura funcional, que pode ser observada na Figura 3.1 do organograma7 do rgo:

Figura 3.1 - Organograma da Controladoria-Geral da Unio.

A Secretaria Federal de Controle Interno (destacada na Figura 3.1) responsvel por avaliar a execuo dos oramentos da Unio, fiscalizar a implementao dos programas de governo e fazer auditorias sobre a gesto dos recursos pblicos federais sob a responsabilidade de rgos e Entidades pblicos e privados, entre outras funes. As competncias da SFC podem ser observadas no Decreto n 5.683, de 24 de janeiro de 2006. De acordo com essa Norma:
Art. 11. s Diretorias de Auditoria das reas Econmica, Social, de Infra-Estrutura, de Produo e Tecnologia e de Pessoal, Previdncia e Trabalho compete realizar as atividades de auditoria e fiscalizao da execuo dos programas e aes governamentais dos rgos e Entidades da administrao pblica federal, nas suas respectivas reas, exceo dos rgos e unidades da Presidncia da Repblica, da Advocacia-Geral da Unio, do Ministrio das Relaes Exteriores e do Ministrio da Defesa (BRASIL, 2006a).

O organograma8 da SFC e suas Diretorias pode ser observado na Figura 3.2:

7 8

Organograma adaptado do stio eletrnico da CGU com insero do ODP. Organograma adaptado da intranet da CGU.

36

Figura 3.2 - Organograma da Secretaria Federal de Controle Interno.

A seguir so apresentados os organogramas das seis Diretorias da SFC e de suas respectivas Coordenaes-Gerais9:

Figura 3.3 - Organograma da Diretoria de Planejamento e Coordenao das Aes de Controle (DC).

Organogramas traados a partir do estabelecido nos Decretos n 5.683, de 24 de janeiro de 2006 e n 6.656, de 2 de novembro de 2008.

37 A Diretoria de Planejamento e Coordenao das Aes de Controle (DC), apresentada na Figura 3.3, a Diretoria que tem como funes principais orientar, aprovar, coordenar, monitorar e supervisionar a execuo das atividades a cargo das Coordenaes-Gerais finalsticas, realizando aes de controle apenas excepcionalmente. As demais Diretorias so formadas por Coordenaes de execuo de aes de controles em suas respectivas reas de atuao, como mostram a Figura 3.4, a Figura 3.5, a Figura 3.6, a Figura 3.7 e a Figura 3.8 a seguir apresentadas:

Figura 3.4 - Organograma da Diretoria da rea Econmica (DE).

Figura 3.5 - Organograma da Diretoria da rea de Infra-Estrutura (DI).

38 A Assessoria de Obras da DI, apesar de constar do organograma apresentado neste trabalho, no uma Unidade criada formalmente dentro da Diretoria e ser abordada na seo 4.3.

Figura 3.6 - Organograma da Diretoria de Pessoal, Previdncia e Trabalho (DP).

Figura 3.7 Organograma da Diretoria de Auditoria da rea de Produo e Tecnologia (DR).

39

Figura 3.8 Organograma de Auditoria da rea Social (DS).

O organograma completo da SFC, pode ser visualizado no APNDICE C.

3.3 Diagnstico de Auditoria de TI

O Diagnstico da Auditoria de TI uma coletnea de percepes e opinies dos Coordenadores das Unidades finalsticas da SFC e dos servidores com conhecimento em TI, doravante chamados de servidores de TI. A opinio dos Coordenadores importante porque, em geral, eles possuem a viso integral dos trabalhos de suas Unidades e possuem capacidade decisria para priorizao de aes de controle. J os servidores de TI costumam ter opinies mais tcnicas por terem conhecimento mais especializado da rea. A pesquisa demonstrar que muitas opinies so convergentes e permitem que se trace um perfil da Auditoria de TI dentro da SFC. Algumas distores sero observadas pela inexistncia de servidores de TI em todas as Coordenaes e pelas divergncias de percepes inerentes aos diferentes pontos de vista dos Coordenadores e servidores no mbito de suas atribuies.

3.3.1.1 Metodologia
Durante duas semanas, de 24/09/2009 a 09/10/2009, foram disponibilizados dois questionrios para o levantamento de dados para o diagnstico da Auditoria de TI dentro da SFC.

40 Os questionrios foram criados com o auxlio da ferramenta Google Docs (Google, 2009), que permite a criao de questionrios (Forms) para serem respondidos online. Os modelos dos questionrios podem ser visualizados nos APNDICES A e B. Para responder ao questionrio, bastava-se acessar o endereo eletrnico enviado dentro da mensagem eletrnica. Ao trmino do preenchimento, as respostas eram automaticamente enviadas para uma planilha de consolidao de dados do Google Docs. Cabe observar que o levantamento da lotao dos Coordenadores e servidores dentro da SFC tem como data de referncia o dia 21/09/2009 e permaneceu inalterada durante a aplicao da pesquisa. A seguir detalha-se a estratgia adotada para aplicao dos questionrios:

3.3.1.2 Coordenadores das reas finalsticas da SFC

Para compor o universo desta pesquisa, foram selecionados todos os Coordenadores de Unidades finalsticas da SFC, resultando em 24 entrevistados, conforme lista a seguir:
COORDENAO DEFAZ I DEFAZ II DEPOG DEDIC DSSEG DSDES DSSAU DSEDU I DSEDU II DIAMB DIENE DICIT DITRA DIURB DIINT DRAGR DRDAG DRTES DRCULT DRCOM DPPCE DPSES DPTEM DPPAS Total CARGO Coordenador-Geral de Auditoria da rea Fazendria I Coordenador-Geral de Auditoria da rea Fazendria II Coordenador-Geral de Auditoria dos Programas das reas de Planejamento, Oramento e Gesto Coordenador-Geral de Auditoria das reas de Desenvolvimento, Indstria e Comrcio Exterior Coordenadora-Geral de Auditoria das reas de Justia e Segurana Pblica Coordenador-Geral de Auditoria da rea de Desenvolvimento Social Coordenadora-Geral de Auditoria da rea de Sade Coordenador-Geral de Auditoria da rea de Educao I Coordenador-Geral de Auditoria da rea de Educao II Coordenadora-Geral de Auditoria da rea do Meio Ambiente Coordenador-Geral de Auditoria da rea de Minas e Energia Coordenadora-Geral de Auditoria das reas de Cincia e Tecnologia Coordenador-Geral de Auditoria da rea de Transportes Coordenador-Geral de Auditoria da rea de Cidades Coordenador-Geral de Auditoria da rea de Integrao Nacional Coordenador-Geral de Auditoria das reas de Agricultura, Pecuria e Abastecimento Coordenador-Geral de Auditoria da rea de Desenvolvimento Agrrio Coordenador-Geral de Auditoria da rea de Turismo e Esportes Coordenador-Geral de Auditoria da rea de Cultura Coordenador-Geral de Auditoria da rea de Comunicaes Coordenador-Geral de Auditoria das reas de Pessoal e Benefcios e de Tomada de Contas Especial Coordenador-Geral de Auditoria da rea de Servios Sociais Coordenador-Geral de Auditoria das reas de Trabalho e Emprego Coordenador-Geral de Auditoria da rea de Previdncia Social 24 Coordenaes

Tabela 3.3 Lista de Coordenadores da rea finalstica da SFC.

No caso dos Coordenadores, foram marcadas entrevistas para auxili-los a preencher o questionrio via Google Docs. Tal estratgia foi adotada para facilitar a compreenso das perguntas,

41 uma vez que a maioria dos Coordenadores no da rea de TI. Alm disso, dessa forma, foi possvel atrair a ateno integral do entrevistado e extrair informaes mais detalhadas. A solicitao de entrevista foi encaminhada via e-mail, com o endereo eletrnico do questionrio para que o entrevistado tivesse possibilidade de ter conhecimento prvio das perguntas. Os Coordenadores que se disponibilizaram a participar responderam agendando as entrevistas.

3.3.1.3 Servidores de TI
Inicialmente, como no foi possvel se obter uma lista oficial, foi realizado o levantamento informal, por meio de consulta com assessores dos gabinetes das Diretorias das SFC, da lista dos servidores da SFC com formao acadmica em TI e/ou que atuam em Auditorias de TI. O universo da pesquisa, que ocorreu por meio de censo, considerou apenas servidores que trabalhassem em Coordenaes de atuao predominantemente finalstica, no incluindo aqueles da Diretoria de Planejamento e Coordenao das Aes de Controle DC, por se tratar de uma Diretoria que, via de regra, no realiza aes de controle regulares. Assim, a lista final possui a seguinte distribuio dentro da SFC:
DIRETORIA COORDENAO
DEDIC DEFAZ I DEFAZ II DEPOG DI/GAB DICIT DIENE DITRA DP/GAB DPPAS DPPCE DPSES DPTEM DR/GAB DRAGR DRCOM DRDAG DS/GAB DSDES DSEDU II DSSAU DSSEG

DE

DE Total
DI

DI Total
DP

DP Total
DR

DR Total
DS

DS Total Total Geral

QTD DE SERVIDORES 1 4 1 3 9 3 2 2 1 8 3 3 1 1 1 9 2 2 3 2 9 1 2 5 3 1 12 47

Tabela 3.4 Quantidade de servidores de TI lotados nas reas finalsticas da SFC.

42 Ressalta-se que, embora a autora desse trabalho tambm seja servidora que ingressou na CGU em vaga destinada a TI, estando lotada na DSSAU, ela no foi contabilizada no universo da pesquisa. Os servidores foram convidados a responder ao questionrio por meio de uma mensagem eletrnica enviada para seus endereos de e-mail funcional. Aps 5 dias da primeira mensagem, foi enviado outro aviso alertando aqueles que ainda no tinham respondido sobre a proximidade do fim do prazo para resposta.

3.3.2 Resultados
Os resultados das pesquisas foram consolidados e deles foram extrados informaes e concluses que sero aqui apresentados. Entretanto, antes da apresentao dos resultados, algumas consideraes importantes devem ser feitas: i. Os resultados demonstram percepes, ou seja, para uma mesma Coordenao h a possibilidade de existirem respostas divergentes em relao aos pontos de vista dos Coordenadores e dos servidores. ii. O Coordenador da DRTES optou por responder o questionrio duas vezes, pois sua Coordenao envolve duas realidades distintas, uma vez que responsvel por dois Ministrios: Ministrio dos Esportes e Ministrio do Turismo. Por isso, apenas para efeito dessa pesquisa, a DRTES ser considerada como duas Coordenaes separadas: DRTES-ESP e DRTES-TUR. iii. Dos 24 Coordenadores, 20 responderam ao questionrio, sendo que destes, apenas 3 preferiram responder ao questionrio diretamente, sem a realizao de entrevista. Entretanto, pelo motivo exposto no item anterior, sero consideradas 21 Coordenaes na anlise dos resultados. iv. v. Dos 47 servidores do universo, 44 responderam ao questionrio. O Coordenador da DEFAZ I respondeu aos dois questionrios, por ser CoordenadorGeral, mas ter ingressado na Carreira de Analista de Finanas e Controle nas vagas de TI. vi. Para efeitos desse trabalho, so considerados servidores com conhecimento em TI os Analistas de Finanas e Controle (AFC) que entraram no rgo em vagas especficas de TI; e Analistas e Tcnicos de Finanas e Controle (TFC) que ingressaram em

43 vagas no especficas, mas so formados e/ou realizam aes de controle especficas na rea de TI. vii. Para efeito da pesquisa, foi pedido que os servidores e Coordenadores considerassem Auditoria de TI como sendo qualquer ao de controle dentro da Coordenao que envolva anlise de um objeto de Tecnologia da Informao, independente de haver Ordem de Servio formalizada. viii. So considerados trabalhos genricos de Auditoria de TI aqueles em que a TI no o foco principal do trabalho, como por exemplo, a avaliao de um contrato de aquisio de softwares em uma Auditoria de Avaliao da Gesto. ix. So considerados trabalhos especficos de Auditoria de TI aqueles em que a TI o principal foco da ao de controle, como por exemplo, a anlise de grandes bases de dados em busca de duplicidades e inconsistncias; a avaliao de aspectos de segurana algum sistema corporativo; ou a anlise da Governana de TI de alguma Unidade, entre outros. x. Embora Auditoria de TI seja uma auditoria comum como qualquer outro tipo, para efeito desse trabalho, as demais auditorias (como de obras, de gesto, de acompanhamento, oramentrias, entre outras) sero chamadas de Auditorias Comuns. A seguir so apresentados os principais resultados da pesquisa:

3.3.2.1 Distribuio de Servidores de TI

A partir da lista informal de servidores de TI da SFC, de consultas a cada uma das Portarias de nomeao de servidores da CGU (de 2004 a 2008), intranet da CGU e ao sistema SIAPE, foi possvel fazer um levantamento da quantidade de servidores que ingressaram na CGU em vagas especficas de TI, conforme Tabela 3.5:

44
SERVIDORES DE TI NA CGU (PERODO: 2004 A 2009) LOTAO SITUAO* QUANTIDADE TOTAL DE POSSES 183 TOTAL DE NOMEAES 190 Unidades finalsticas 38 SFC Outras Unidades 8 TOTAL SFC 46 Em exerccio na CGU Coordenaes Regionais 13 Outras 82 TOTAL CGU 141 Exoneraes e/ou vacncias 36 Em exerccio em outro rgo 2 Aposentadoria 1 Falecimento 1
* Dados referentes situao dos servidores de TI em 01/12/2009.

Tabela 3.5 Situao atual dos servidores que entraram em vagas especficas de TI.

Observa-se que a CGU registra um percentual de perda de servidores de TI, de 2004 a 2009, de 23%. No h dados oficiais que permitam fazer afirmaes sobre a perda de servidores de TI especificamente na SFC. No entanto, com base em coleta informal, estima-se que esta perda, seja proporcional ou superior da CGU como um todo, pois, alm dos servidores que mudam de rgo, a SFC acaba por perder servidores de TI com as remoes e permutas internas. Cabe ressaltar que, em setembro de 2009, na ocasio de realizao da pesquisa, 41 servidores que ingressaram em vagas especficas de TI estavam lotados em Unidades finalsticas da SFC. Em novembro, dois desses servidores foram removidos para Coordenaes Regionais e um pediu vacncia para tomar posse em outro rgo. No caso da lista de servidores de TI que participaram do universo da pesquisa, pelo conhecimento e percepo que possuem da rea de TI, tambm foram considerados alguns casos excepcionais de servidores no graduados em alguma rea de Tecnologia da Informao, mas que, por necessidade/interesse, atuam nessa rea e de servidores formados em alguma rea de conhecimento de TI, mas que ingressaram na CGU em vagas destinadas execuo de Auditoria Comum. Portanto, para efeito dessa pesquisa, ser considerado o universo dos 47 servidores apresentados na Tabela 3.4. Assim, a quantidade de servidores de TI por Coordenao de reas finalsticas da SFC pode ser visualizado no grfico a seguir:

45

Distribuio dos Servidores de TI nas reas Finalsticas da SFC

6 5 4 3 2 1 0 1 1 4 3 3 2 2 0 0 0 1 1 1 1 3 3 2 2 0 3 2 0 0 1 2 0 1 3 5

DRTES -TUR

DRTES P -ES

DRCULT

DIINT

DIAMB

DIURB

DS EDU I

DPS ES

DPPAS

DRAGR

DPPCE

DRDAG

DS DES

DEDIC

DIENE

DEPOG

DR/ GAB

DP/ GAB

DS GAB /

DI/ GAB

DEFAZ II

DEFAZ I

DE

DI

DP

DR

DS

Figura 3.9 Distribuio dos servidores de TI nas reas finalsticas da SFC.

A distribuio dos 47 servidores de TI por Diretoria de reas finalsticas da SFC apresentada no grfico a seguir:

Distribuio de Servidores de TI nas Diretorias Finalsticas da SFC

DS 26% DR 19% DE 19%

DI 17%

DP 19%

Figura 3.10 Distribuio de servidores de TI nas Diretorias finalsticas da SFC.

Das 25 Coordenaes finalsticas (considerando a DRTES como duas: DRTES-ESP e DRTES-TUR), 18 (72%) possuem servidores com conhecimento em TI em seu corpo tcnico.

DS EDU II

DPTEM

DRCOM

DS AU S

DS EG S

DICIT

DITRA

46

3.3.2.2 Grau de necessidade da Auditoria de TI dentro da SFC

Perguntados sobre como poderia ser classificada a necessidade de TI dentro do escopo da Coordenao, 24% dos Coordenadores afirmaram que a necessidade Muito Alta, outros 52% afirmaram que a necessidade Alta e os demais 24% afirmaram que a necessidade Mdia, conforme grfico a seguir:

Figura 3.11 Necessidade de Auditoria de TI (percepo dos Coordenadores).

Dos 44 servidores que participaram da pesquisa, perguntados sobre como poderia ser classificada a necessidade de TI dentro do escopo da Coordenao, 27% dos servidores afirmaram que a necessidade Muito Alta, outros 48% afirmaram que Alta, 11% afirmaram que Mdia, 5% afirmaram que Baixa e os demais 9% afirmaram que Muito Baixa, conforme grfico a seguir:

Figura 3.12 - Necessidade de Auditoria de TI (percepo dos servidores de TI).

47 A comparao das opinies dos Coordenadores e dos servidores possibilita fortalecer o diagnstico do grau de necessidade de Auditoria de TI em cada rea finalstica da SFC, conforme tabela a seguir:
GRAU DE NECESSIDADE DA AUDITORIA DE TI
DIRETORIA COORDENAO
DEDIC DEFAZ I DE DEFAZ II DEPOG

OPINIO DO COORDENADOR
Alta. Alta. Alta. Muito Alta.

DISTRIBUIO DA OPINIO DOS SERVIDORES

Alta. Mdia. Alta. Muito Alta. Mdia. Alta. Alta. Alta. Muito Alta. Alta. Baixa. Muito Baixa. Muito Baixa. Mdia. Alta. Alta. QNR Muito Alta. Muito Alta. Muito Alta. Alta. Muito Alta. Alta. Alta. Muito Alta. Baixa. Muito Alta. Alta. Muito Baixa. Alta. Alta. Muito Alta. Muito Alta. Muito Baixa. Muito Alta. Muito Alta. Alta. Alta. Alta. Alta. Alta. Alta. Mdia. Alta. Mdia.

GAB/DI DI DICIT DIENE DITRA GAB/DP DPPAS DPPCE DPSES DPTEM GAB/DR DRAGR DR DRCOM DRDAG GAB/DS DSDES

NA Mdia. Mdia. Alta. NA Muito Alta. Muito Alta. QNR Alta. NA QNR QNR QNR NA Muito Alta.

DP

DS

DSEDU II

Alta.

DSSAU DSSEG
NA: No se aplica por se tratar de Gabinete de Diretoria.

Alta. Mdia.
QNR: Questionrio no respondido.

Tabela 3.6 Comparao das opinies dos Coordenadores e Servidores: necessidade Auditoria de TI.

48 Ressalta-se que a tabela anterior apenas contemplou as respostas dos Coordenadores que possuem servidores de TI em seu corpo tcnico. Observa-se que na DE, na DP e na DS, em geral, as opinies dos servidores foram ao encontro das opinies dos Coordenadores. A DI foi a Coordenao que apresentou mais divergncia de opinies. Esse fato pode ser explicado pela grande importncia que apresenta outro tipo de auditoria temtica: a Auditoria de Obras. Como a rea de atuao primria na DI infra-estrutura, em geral, a TI acaba ficando em segundo plano, apesar de tambm ser necessria em algumas das Coordenaes dessa Diretoria. Em relao DR, verifica-se que no h censo sobre a necessidade de Auditoria de TI na Diretoria, uma vez que dentro de uma mesma Unidade existem opinies conflitantes, at mesmo pela diversidade de temas tratados pelas Coordenaes que compem a Diretoria. Alm disso, devido ao fato de os Coordenadores da DR que possuem servidores de TI em seu corpo tcnico no terem respondido ao questionrio, no possvel fazer comparao de opinies. Um caso a parte so os 9 servidores que se encontram lotados nos gabinetes das Diretorias. A DP uma Diretoria que centraliza muitos dos trabalhos de Auditoria de TI no prprio Gabinete, tendo seus servidores a percepo de que a necessidade Muito Alta. Por outro lado, a DI tem seu Gabinete focado em Auditorias de Obras, sendo a necessidade de Auditoria de TI mnima nessa Unidade. J o gabinete da DS no realiza trabalhos nessa rea, embora a demanda seja alta nas Coordenaes da Diretoria. J nas Coordenaes que no possuem servidores de TI, o grau de necessidade de Auditoria de TI configura-se da seguinte forma:
GRAU DE NECESSIDADE DA AUDITORIA DE TI
DIRETORIA
DI

COORDENAO
DIAMB DIINT DIURB DRCULT DRTES-ESP DRTES-TUR DSEDU I

OPINIO DO COORDENADOR
Alta. Alta. Alta. Alta. Mdia. Mdia. Muito Alta.

DR DS

Tabela 3.7 Necessidade de Auditoria de TI das Coordenaes sem servidores de TI.

Observa-se que as Coordenaes DIAMB, DIINT, DIURB e DRCULT, que consideram Alta a necessidade de Auditoria de TI dentro de seus trabalhos, no possuem nenhum servidor de TI em seu corpo tcnico.

49 Cabe observar que no caso das Coordenaes DSEDU I e DSEDU II, houve uma opo estratgica de se manter os 5 servidores de TI na DSEDU II como forma de se treinar os servidores e coordenar melhor os trabalhos na rea de Educao. Assim, formou-se um ncleo informal de TI que atua em trabalhos de Auditoria de Tecnologia da Informao em ambas as Unidades. Salienta-se que a pesquisa realizada apresenta as percepes dos participantes, podendo servir como base para um trabalho mais detalhado em que se realize um diagnstico tcnico para se determinar e hierarquizar as prioridades de Auditoria de TI dentro da SFC.

3.3.2.3 Trabalhos realizados

Dos 21 Coordenadores que responderam aos questionrios, 14 (66,70%) possuem servidores de TI em seu corpo tcnico e 7 (33,30%) no possuem. No caso dos Coordenadores, apenas 57% afirmaram que j foram realizados trabalhos especficos de Auditoria de TI em sua Coordenao, apesar de 66,70% possurem servidores de TI. Por outro lado, 86% afirmaram que j foram realizados trabalhos genricos de Auditoria de TI, fato que demonstra que mesmo no possuindo servidores especializados, algumas Unidades j realizam trabalhos, mesmo que superficiais, na rea.

Figura 3.13 Realizao de trabalhos de Auditoria de TI (percepo dos Coordenadores).

Como exemplos de trabalhos genricos de Auditoria de TI apresentados pelos entrevistados, podem-se citar:

DPPAS: no mbito do Ministrio da Previdncia Social - MPS, foi realizada uma

verificao da contratao de empresa para a prestao de servios de informtica.

DIINT: anlise do contrato de gerenciamento de informaes relativas ao projeto

transposio do So Francisco.

50

DSSAU: anlise de contratos de aquisio de softwares, de terceirizados de TI, e de

dispensa de licitao para desenvolvimento de sistema de gesto de despesas para uma autarquia durante Avaliao da Gesto. Como exemplos de trabalhos especficos de Auditoria de TI citados pelos entrevistados, podem-se citar:

DSDES: anlise de duplicidades de base de dado de pagamentos do Programa Bolsa Famlia

e cruzamento entre benefcios do PBF (Programa Bolsa Famlia) x Pronaf (Programa Nacional de Fortalecimento da Agricultura Familiar).

DPPAS: batimentos das informaes constantes das bases de dados dos sistemas
corporativos do INSS, com vistas verificao da regularidade dos pagamentos dos benefcios previdencirios.

DIENE: Todos os contratos de informtica, de 2003 a 2008, da SPOA do Ministrio de

Minas e Energia (MME).

DSSAU: Auditoria de aspectos de segurana e integridade da informao do GESCON,

sistema informatizado que gerencia convnios, no Fundo Nacional de Sade.

DEPOG: Auditoria de acompanhamento nos processos de pagamento do contrato celebrado

entre o Ministrio do Planejamento e o Serpro tendo como objeto o Sistema de Integrado de Administrao de Recursos Humanos (SIAPE) e auditoria de acompanhamento na nova contratao de servios de TI realizada pelo Ministrio do Planejamento em 2009, sob a tica da Instruo Normativa n 04/2008.

DSEDU II: Anlise de contratos de aquisies de computadores para distribuio em escolas

do Brasil e Cruzamento dos registros referentes aos 240.000 servidores ativos dos Sistemas RAIS X SIAPE x Sistema de Avaliao do INEP, a fim de diagnosticar recebimentos indevidos. Dos Servidores que participaram da pesquisa, 66% afirmaram que j foram realizados trabalhos especficos e 77% afirmaram que j foram realizados trabalhos genricos de Auditoria de TI em suas Unidades de lotao, desde 2004. Ressalta-se que as afirmaes dos servidores no incluem os trabalhos de Auditoria de TI realizados nas Coordenaes que no possuem servidores de TI.

51
Realizao de trabalhos genricos de Auditoria de TI nas Coordenaes
NO 23%

Realizao de trabalhos especficos de Auditoria de TI nas Coordenaes

NO 34%

SIM 77%

SIM 66%

Figura 3.14 Realizao de trabalhos de Auditoria de TI (percepo dos servidores de TI).

Perguntados sobre a opo que melhor retrata a frequncia com que o servidor realizou atividades de Auditoria Comum, Aes de Controle com foco em TI10 e Trabalhos de Informtica11 no ltimo ano, os servidores se manifestaram da forma apresentada no grfico a seguir:

Frequncia de Participao do Servidor em Atividades

Auditoria Comum Aes de Controle de TI 15 14 10 7 3 3 6 9 5 15 8 10 5 4 Trabalhos de Informtica 18

Nunca

Raramente

Eventualmente

Muitas Vezes

S empre

Nunca Raramente Eventualmente Muitas Vezes Sempre Auditoria Comum 6,82% 6,82% 11,36% 34,09% 40,91% Aes de Controle de TI 22,73% 13,64% 34,09% 18,18% 11,36% Trabalhos de Informtica 15,91% 20,45% 31,82% 22,73% 9,09%

Figura 3.15 Frequncia de participao do servidor em atividades.

Com base nos dados apresentados, conclui-se que 75% dos servidores realizam trabalhos de Auditoria Comum Muitas Vezes ou Sempre, enquanto apenas 29,54% executam a aes de controle
10 11

Auditorias e fiscalizaes cujo objeto seja referente rea de Tecnologia da Informao. Trabalhos de suporte de informtica, tais como configurao de impressora, formatao de documentos, entre outros.

52 com foco em TI Muitas Vezes ou Sempre, sendo que a maioria desses servidores (85,11% do universo) prestou concurso para vagas especficas de TI. Outra questo que merece destaque nos resultados que, somando-se as freqncias Eventualmente, Muitas Vezes e Sempre, observa-se que 63,64% dos colaboradores da pesquisa executam trabalhos relacionados informtica (sem foco em Auditoria), embora a CGU tenha uma rea especfica para esse tipo de demandas, a Diretoria de Sistemas e Informao (DSI). Inclusive, por meio do Memorando-Circular n 0200/2004/SCGU/CGU-PR, de 22 de novembro de 2004, foi recomendado s demais reas da CGU que no desenvolvessem solues de informtica, salvo os casos que fossem previamente justificados e acordados junto DSI. O suporte tcnico aos usurios tambm realizado pela DSI, por meio de empresa terceirizada.

3.3.2.4 Nveis de Maturidade

Baseado no COBIT 4.1 (IT GOVERNANCE INSTITUTE, 2007), foram adaptados seus nveis de maturidade para o processo de Auditoria de TI, resultando nos nveis a seguir relacionados:

0 Inexistente: A Coordenao no reconhece a existncia de um processo de Auditoria de

TI.

1 Inicial /Ad-Hoc: H evidncias de que a Coordenao reconhece que o processo de

Auditoria de TI existe e que as necessidades devem ser mapeadas. Entretanto, no h um processo padronizado e a execuo das aes de controle de TI feita caso a caso e baseada apenas nos processos genricos de auditoria da Secretaria Federal de Controle.

2 Repetvel, porm intuitivo: Os processos para a realizao de Auditoria de TI so

estruturados e procedimentos similares so seguidos por diferentes indivduos para a mesma tarefa dentro da Coordenao. H forte dependncia do conhecimento individual e existe alguma documentao.

3 Definido: Os processos de Auditoria de TI so padronizados, documentados e

comunicados dentro da Coordenao. Entretanto, deixa-se a cargo dos indivduos seguirem os processos. No h certeza de que eventuais desvios sero detectados.

4 Gerenciado: Existe a possibilidade de monitorar e medir a conformidade dos processos

de Auditoria de TI com os procedimentos definidos dentro da prpria Coordenao. H aes para melhoria.

53

5 Otimizado: Os processos foram refinados at alcanarem as melhores prticas, com

base no resultado de melhoria contnua e comparaes com outras organizaes e coordenaes. No caso dos Coordenadores, com o objetivo de no influenciar suar respostas, no lhes foi apresentado nem os nmeros nem os nomes de cada nvel, apenas as definies. Com base nessa classificao, os Coordenadores tiveram a seguinte percepo da maturidade do processo de Auditoria de TI em suas Coordenaes:
Nvel de Maturidade da Auditoria de TI dentro de cada Coordenao 17

Quantidade de Coordenaes

18 16 14 12 10 8 6 4 2 0

3 0 0 1 0

0 - Inexistente. 1 - Inicial /Ad- 2 - Repetvel, 3 - Definido. Hoc. porm intuitivo.

45 - Otimizado. Gerenciado.

Figura 3.16 Nvel de Maturidade da Auditoria de TI (perspectiva dos Coordenadores).

Apenas um Coordenador classificou sua Unidade como estando no nvel de maturidade 4 Gerenciado, estando fora do padro observado nas demais, onde a maioria das Unidades foi classificada no nvel 1-Inicial/Ad Hoc e algumas no nvel 2- Repetvel, porm intuitivo. A tabela a seguir apresenta as ocorrncias dos Nveis de Maturidade das Coordenaes sob a tica dos servidores de TI:

Nvel de Maturidade da Auditoria de TI dentro de cada C oordenao

Quantidade de Servidores
35 30 25 20 15 10 5 0 7 7 1 0 0 29

01 - Inicial / Ad- 2 - Repetvel, 3 - Definido. Inexistente. Hoc. porm intuitivo.

45 - Otimizado. Gerenciado.

Figura 3.17 Nvel de Maturidade da Auditoria de TI (perspectiva dos servidores de TI).

54 Vale ressaltar que o nvel de maturidade da Auditoria de TI nas Coordenaes est diretamente relacionado com o nvel de maturidade da Auditoria de TI na SFC. Assim, por a pesquisa ter sido censitria, pelos resultados, pode-se inferir que o nvel de maturidade de Auditoria de TI predominante na SFC o 1 - Inicial/Ad-Hoc. Casos em que os nveis de maturidade esto mais elevados do que a mdia so, provavelmente, esforos isolados da prpria Coordenao.

3.3.2.5 Dificuldades
Os Coordenadores foram questionados sobre quais so as dificuldades enfrentadas para a realizao de Auditorias de TI. A lista de dificuldades est a seguir apresentada:
Cdigo Dificuldades A Tempo insuficiente para a realizao dos trabalhos. B Falta de apoio da alta administrao. C No uma prioridade dentro da Coordenao. D Falta de servidores capacitados em Auditoria de TI. E Deficincia nos procedimentos de Auditoria de TI. F Deficincia de recursos tecnolgicos. G Ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI. H Falta de apoio tcnico sobre Auditoria de TI. I Inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. J Outras. Tabela 3.8 Dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos Coordenadores).

Solicitou-se aos entrevistados que selecionassem todas as alternativas aplicveis Coordenao, mas que somente escolhessem aquelas que representassem problemas efetivamente enfrentados durante trabalhos de Auditoria de TI. Assim, por mais que no exista apoio tcnico sobre Auditoria de TI dentro da SFC, por exemplo, esse item s deveria ser escolhido se esse fato j tivesse sido um problema enfrentado pela Coordenao. Os resultados so apresentados a seguir:
Dificuldades enfrentadas para a realizao de Auditoria de TI
13 10 Ocorrncias 8 4 2 1 C D E F G H I J 8 11 8 8

Dificuldades

Figura 3.18 Ocorrncias das dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos Coordenadores).

55 Dessa forma, a dificuldade relatada com maior freqncia foi a falta de servidores capacitados em Auditoria de TI. Esse item foi marcado todas as vezes em que a quantidade de servidores de TI fosse insuficiente dentro da Coordenao para o volume de aes de controle necessrias nessa rea e/ou quando as especificidades dos trabalhos exigissem capacitaes/treinamentos mais especficos. As outras duas dificuldades de maior freqncia entre os entrevistados foram a deficincia nos procedimentos de Auditoria de TI e a ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI. Os servidores tambm foram questionados sobre as dificuldades enfrentadas para a realizao de Auditorias de TI. A lista de dificuldades est a seguir apresentada:
Cdigo Dificuldades A Tempo insuficiente para a realizao dos trabalhos. B Falta de apoio da alta administrao. C Falta de prioridade dentro da Coordenao. D Falta de incentivo dentro da Coordenao. E Deficincia na capacitao para esse tipo de auditoria. F Deficincia nos procedimentos de Auditoria de TI. G Deficincia de recursos tecnolgicos. H Ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI. I Falta de apoio tcnico sobre Auditoria de TI. J Inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. K Outras. Tabela 3.9 Dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos servidores de TI).

Assim como ocorreu com os Coordenadores, solicitou-se aos servidores que selecionassem as alternativas aplicveis Coordenao, mas que somente escolhessem aquelas que realmente tenham sido problemas enfrentados durante trabalhos de Auditoria de TI. Os resultados esto relacionados a seguir:
Dificuldades enfrentadas para a realizao de Auditoria de TI
35 Ocorrncias 24 18 14 4 A B C D E F G H I J K 34 29 20 32 33 35

Dificuldades

Figura 3.19 Ocorrncias das dificuldades enfrentadas para a realizao de Auditoria de TI (perspectiva dos servidores de TI).

56 No caso dos servidores, cinco dificuldades foram apontadas por mais de 80% dos servidores: falta de apoio da alta administrao, deficincia na capacitao para esse tipo de auditoria, ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI, falta de apoio tcnico sobre Auditoria de TI e inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC.

3.3.2.6 Critrios de Auditoria utilizados

De acordo com o GAO (GAO, 1994), os critrios de auditoria so os (...) padres utilizados para determinar se uma dada condio satisfaz ou supera o esperado. Segundo o Manual de Auditoria de Natureza Operacional do TCU (TCU, 2000), os critrios de auditoria so fixados no decorrer do levantamento, ao final do qual devem estar suficientemente precisos e detalhados, para que possam desempenhar, em relao auditoria que ser executada, os papis descritos abaixo:

definio de um arcabouo conceitual bsico, facilitando a comunicao entre os

membros da equipe, bem como entre essa e, de um lado, os demais integrantes do TCU e, de outro, os gestores do objeto da auditoria;

delimitao do escopo da auditoria, tornando palpveis os seus objetivos; orientao da coleta de dados, indicando como obter evidncias significativas; fixao de parmetros balizadores das concluses e recomendaes da auditoria.
Os critrios de auditoria podem ser encontrados nos relatrios de auditorias j realizadas, na legislao pertinente, nas normas internas do objeto da auditoria, nas informaes prestadas pelos gestores e no desempenho observado no passado ou em situaes similares. Na pesquisa, foi solicitado aos servidores que, no caso de existirem Auditorias de TI na Coordenao, informassem quais os critrios de auditoria utilizados nessas aes de controle. O resultado apresentado na tabela seguinte:

CRITRIOS DE AUDITORIA
LEI n 8.666/93. (BRASIL, 1993) Acrdos do TCU. Instruo Normativa n 04/2008. (BRASIL, 2008a) LEI n 10.520/2002. (BRASIL, 2002b) COBIT 4.1. (IT GOVERNANCE INSTITUTE, 2007) NBR ISO/IEC 27002:2005 (NBR ISO/IEC 17799:2005). (ABNT, 2005) ITIL v.3. (OGC, 2009) Outros. Tabela 3.10 Critrios de Auditoria de TI.

OCORRNCIA
27 26 20 19 14 11 7 2

57 Importante observar que os Acrdos do TCU s ficam abaixo da Lei n 8.666/93 em nmero de ocorrncias. Tal fato pode dar-se por trs motivos: 1) a abrangncia dos assuntos tratados pelos Acrdos; 2) as lacunas legais existentes para vrios problemas encontrados durante as aes de controle; e 3) a experincia j adquirida pelo TCU nesse tipo de auditoria. Por emanarem recomendaes e determinaes acerca do assunto, servem de diretrizes para os trabalhos. Verificou-se que a base utilizada para definio dos critrios de Auditoria de TI so essencialmente a mesma utilizada por outros rgos de controle, como o TCU, demonstrando que a maioria dos instrumentos tericos para a realizao desse tipo de auditoria est disponvel e conhecida. Todavia, observa-se que esse simples conhecimento no suficiente para a estruturao e aprimoramento do processo de auditoria de TI no mbito da SFC. Os critrios mais utilizados tambm so um indicativo de que o tipo de Auditoria de TI predominante nos trabalhos da SFC a que envolve a anlise de licitaes e contratos de TI.

3.4 Consideraes acerca do Diagnstico

No contexto da SFC, a perda de aproximadamente 23%, de 2004 a 2009, dos servidores de TI, abordada no item 3.3.2.1, acarreta na perda de quase do conhecimento da Secretaria em Auditoria de Tecnologia da Informao, uma vez que, em geral, em decorrncia do nvel de maturidade predominante na SFC, o conhecimento nesse tipo de Auditoria baseado no indivduo e no nos processos organizacionais. Quando se analisa cada Coordenao isoladamente, a perda de conhecimento pode chegar a 100%, principalmente no caso daquelas que possuem apenas um servidor de TI. Com base na seo 3.3.2.2, observou-se que, no geral, consenso entre Coordenadores e servidores de TI a alta necessidade da Auditoria de TI no mbito de suas Coordenaes. Alm disso, verificou-se que a estratgia de distribuir os servidores de TI dentro da SFC sem que houvesse apoio institucional formalizado, apoio tcnico e capacitao para a realizao de Auditoria de TI teve como consequncia o subaproveitamento do conhecimento especfico desses servidores e o desvio de foco dos trabalhos realizados por eles. A maioria, 70% de todos os participantes da pesquisa, considerou que suas Coordenaes se enquadram no Nvel de Maturidade 1 Inicial /Ad-Hoc, em que h evidncias de que a Coordenao reconhece que o processo de Auditoria de TI existe e que as necessidades devem ser mapeadas. Entretanto, no h um processo padronizado e a execuo das aes de controle de TI

58 feita caso a caso e baseada apenas nos processos genricos de auditoria da Secretaria Federal de Controle. Observou-se tambm que as dificuldades enfrentadas para a realizao de Auditoria de TI dentro da Coordenao guardam coerncia entre ambos os pontos de vista: a) Para os Coordenadores, a falta de servidores capacitados, que envolve tanto a quantidade insuficiente de servidores de TI quanto a deficincia de capacitao especfica para os servidores de TI existentes nas Unidades, foi o item de maior ocorrncia. Essa dificuldade coerente com a terceira de maior ocorrncia por parte dos servidores, a deficincia na capacitao para esse tipo de auditoria. b) A ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI e a falta de apoio tcnico sobre Auditoria de TI foram duas dificuldades que foram apontadas por mais de 60% do total de participantes da pesquisa. Essas duas dificuldades influenciam diretamente na qualidade dos trabalhos realizados, uma vez que a ausncia de uma padronizao de linguagem de Auditoria de TI contribui para a realizao de aes de controle desordenadas, com critrios de avaliao diferentes e, muitas vezes, para um mesmo tipo de constatao, recomendaes incoerentes e conflitantes, dificultando a comunicao entre auditor e auditado. A falta de apoio tcnico impossibilita o monitoramento e uma melhoria institucional e eficaz desse tipo de auditoria. c) As dificuldades do item b so consequncia de outra dificuldade que apresentou alta ocorrncia (66,15%): a inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. Em decorrncia do modelo de alocao pulverizada dos servidores de TI dentro da SFC, a inexistncia desse ncleo uma barreira centralizao de conhecimentos e informaes sobre Auditoria de TI, que poderiam ser acessados e repassados a todos de maneira institucional, evitando que a nica opo aos servidores que realizem esse tipo de auditoria seja a consulta a fontes alternativas e, muitas vezes, ineficazes e no seguras. Todavia, houve a aparente discordncia entre Coordenadores e servidores acerca de uma dificuldade: a falta de apoio da alta administrao para a realizao de Auditorias de TI. Esse tipo de questo, diferentemente das demais, est sujeita a percepes altamente influenciadas por fatores organizacionais do rgo. Provavelmente, os Coordenadores interpretaram essa dificuldade como

59 uma questo impositiva, ou seja, para a maioria deles, no h da alta administrao nenhum ato que impossibilite a realizao de Auditorias de TI. Por outro lado, para os servidores de TI, essa dificuldade pode ter sido interpretada como uma questo omissiva, ou seja, o fato de a alta administrao no emitir atos que demonstrem incentivo Auditoria de TI demonstram sua falta de apoio. Dessa forma, verificou-se que a Auditoria de TI ainda um processo incipiente dentro da SFC, apesar da alta necessidade diagnosticada. Assim, o resultado do Diagnstico vem ao encontro da proposta a ser apresentada nesse trabalho, uma vez que este visa mitigar os principais problemas enfrentados.

60

4 UNIDADE DE TEMAS ESPECFICOS

Apesar de a SFC ter como forma tradicional de atuao a diviso de Coordenaes baseada na diviso ministerial do Governo Federal, existem algumas Unidades que so voltadas para atuao acerca de temas especficos. Das Unidades voltadas a temas dentro das SFC, trs so voltadas a atividades de auditorias e fiscalizaes: a Coordenao-Geral de Recursos Externos (DCREX), a Coordenao-Geral de Auditoria da rea de Pessoal e Benefcios e de Tomada de Contas Especial (DPPCE) e a Assessoria de Obras da Diretoria de Auditoria da rea de Infra-Estrutura. Por meio da aplicao de questionrios procurou-se compreender as atribuies, a forma de atuao e os motivos que levaram criao dessas Unidades que exercem ou apiam aes de controles voltadas a temas. Os trs Coordenadores das Unidades de temas especficos responderam ao questionrio por meio de entrevista. Alm disso, foi realizada uma entrevista, no prevista inicialmente, com o responsvel pelo Observatrio de Despesas Pblicas (ODP), Unidade no pertencente SFC, devido s suas caractersticas inovadoras em relao ao contexto da CGU.

4.1 DCREX
A Coordenao-Geral de Recursos Externos (DCREX) existe desde 1992, quando fazia parte da Secretaria do Tesouro Nacional (STN), tendo recebido seu nome atual em 2006. O Decreto n 5.683/2006 vinculou a Coordenao-Geral de Recursos Externos ao Gabinete da SFC e, posteriormente, foi alterado pelo Decreto n 6.656/2008 que transferiu a Coordenao para o mbito da Diretoria de Planejamento e Coordenao das Aes de Controle. A criao da Coordenao foi motivada pelo fato de que, por exigncia dos Organismos Internacionais, o Governo Federal teria que manter uma unidade de controle para atender s auditorias especficas demandadas pelos acordos internacionais. Dentre as diversas atribuies da Unidade, para o contexto desse trabalho, destacam-se principalmente:

Coordenar as aes de controle relativas ao acompanhamento e avaliao dos

projetos de cooperao tcnica internacional e projetos de financiamentos externos.

Negociar com os Bancos internacionais e Organismos de Cooperao as carteiras de

projetos auditadas ano a ano.

61

Manter o controle de qualidade dos relatrios por intermdio de revises constantes

de todos os relatrios produzidos pelas Unidades da SFC.

Elaborar material instrucional referente a normas e procedimentos internacionais

aplicveis ao tema.

Elaborar e Ministrar cursos de atualizao dos auditores sobre o tema auditoria de

recursos externos.

Elaborar e ministrar cursos de capacitao de gestores. Realizar auditorias em projetos de outros poderes (legislativo e judicirio), alm de
projetos estaduais, quando a SFC/CGU convidada a proceder desta forma.

Assessorar o Gabinete da SFC e da Secretaria Executiva sobre o tema.

A Coordenao funciona como apoio tcnico s demais Unidades, realizando apenas aes de controle em casos excepcionais. Assim, as aes de controle que envolvem recursos externos so realizadas prioritariamente pelas Coordenaes finalsticas da SFC/CGU, ficando a cargo da DCREX a realizao direta apenas de auditorias especficas em projetos de outros poderes no mbito federal (por exemplo, os projetos do TCU, do Senado e dos Tribunais Superiores), de Estados e/ou de Municpios quando solicitada pelos Organismos Internacionais ou por algum outro rgo do governo. De acordo com o Coordenador da Unidade, a importncia da existncia de unidade especializada, como o caso da DCREX, deve-se ao fato de ser necessria a manuteno de um acervo de conhecimento vivo, alm de registros documentais, sobre a experincia de auditoria junto a Organismos Internacionais. Sem esta experincia no seria possvel o reconhecimento das tcnicas de trabalho da CGU na esfera internacional e tambm seria dificultada a atualizao dos procedimentos de auditoria. Ainda de acordo com o Coordenador, os especialistas so a garantia de que os generalistas no se percam em sua generalidade, tendendo superficialidade. Com isso, as unidades especializadas complementam a viso generalista das unidades finalsticas.

4.2 DPPCE
A Coordenao-Geral de Auditoria da rea de Pessoal e Benefcios e de Tomada de Contas Especial (DPPCE) resultante da unio da Coordenao-Geral de Auditoria da rea de Pessoal (DPPES) e da Coordenao-Geral de Auditoria de Tomada de Contas Especial (DPTCE).

62 A criao dessas Unidades, em 2000, foi motivada pelas diversas normas do TCU que exigem o cumprimento de atribuies como: registro dos atos de aposentadorias, penses e admisses e o envio de TCE. Embora o Regimento Interno da Controladoria-Geral da Unio ainda no contemple a unio das duas Unidades, as atribuies da DPPCE esto definidas em seus Artigos 37 e 38, destacandose:

Criar trilhas e indicadores de pessoal para subsidiar as aes de controle. Verificar a exatido e suficincia dos dados relativos admisso e desligamento de
pessoal e concesso de aposentadorias e penses na Administrao direta, autrquica e fundacional, e emitir parecer sobre tais atos.

Orientar as unidades de controle interno sobre o exame da regularidade dos dados

relativos folha de pagamento de pessoal e benefcio de servidores pblicos;

Orientar as unidades de controle interno no planejamento e execuo de auditorias

nos programas e aes destinados a pagamento de pessoal e benefcios de servidores pblicos;

Examinar e controlar os processos de tomadas de contas especiais e emitir os

respectivos relatrios e certificados de auditoria;

Acompanhar o julgamento das tomadas de contas especiais e tornar disponveis os

registros das aes realizadas, para fins de acompanhamento de resultados da CGU;

Propor normas tcnicas e procedimentos relativos s aes de controle na rea de

Pessoal, benefcios e TCE para fins de implementao pela DCTEQ;

Propor a realizao de atividades de treinamento, com o respectivo contedo

programtico, relativas s aes de controle na rea de pessoal, benefcios e TCE para implementao pela DCTEQ;

Propor a edio de manuais pertinentes rea de pessoal, benefcios e TCE, e mantlos Atualizados. As aes de controle acerca dos temas de pessoal e TCE so executadas predominantemente pela Unidade e complementarmente por outras Coordenaes e pelas Controladorias-Regionais. De acordo com o Coordenador, a criao da Unidade voltada para as aes de controle do tema em questo proporcionou diversos benefcios, tais como: melhor orientao para as unidades, roteirizao, manualizao, treinamento e concentrao de tcnicos.

63

4.3 Assessoria de Obras da DI

Diferentemente das duas Unidades tratadas anteriormente, a Assessoria de Obras da Diretoria de Auditoria da rea de Infra-Estrutura (DI) no se trata de uma Coordenao, mas sim de uma Unidade de assessoramento da Diretoria. Ela foi informalmente criada em outubro de 2008, como resultado da percepo, por parte do Diretor da rea, da necessidade de uma Unidade de apoio tcnico para a realizao de auditorias de obras. Assim, surgiu a Assessoria com as atribuies de capacitar e orientar tecnicamente as demais Unidades da SFC e as Controladorias-Regionais da CGU na realizao de auditorias de obras, alm de padronizar entendimentos e procedimentos do assunto. A ideia da Assessoria servir de apoio tcnico s demais Unidades, realizando aes de controle apenas em casos excepcionais. A despeito da sua criao recente, a Assessoria j apresenta como resultado os seguintes benefcios: 1. Diagnstico dos diferentes entendimentos das unidades da CGU nas aes de controle de Obras. 2. Uniformizao e consolidao de conceitos e opinies sobre controle de obras, por meio da gerao de Notas tcnicas. 3. Preparao de material para capacitao dos analistas/tcnicos da SFC e das Controladorias-Regionais em auditoria de obras. 4. Incio da padronizao e validao dos procedimentos e entendimentos de Auditoria de Obras. Apesar dos benefcios j percebidos com a criao da Assessoria, a rea ainda no foi formalizada pela Alta Administrao do rgo, no constando do Regimento Interno da CGU e, em decorrncia disso e da baixa comunicao entre as Coordenaes de Diretorias distintas, ainda no se presta formalmente a dar apoio tcnico a outras Coordenaes da SFC fora da DI.

4.4 ODP
Diante da percepo da importncia da utilizao da informao, por meio da Portaria n 1215, de 25 de junho de 2009, foi criado o Observatrio da Despesa Pblica (ODP) da Controladoria-Geral da Unio, Unidade de operao permanente, ligada hierarquicamente ao Gabinete do Ministro e operacionalmente Diretoria de Informaes Estratgicas (SPCI/DIE), com os seguintes objetivos (Artigo 1): I - antecipar situaes crticas para encaminhamento preventivo de solues;

64 II - construir cenrios que subsidiem estrategicamente as atividades cotidianas; III - fornecer informao til para identificao de focos pontuais para o processo de controle; IV - possibilitar a produo imediata de conhecimentos para demandas especficas; e V - potencializar a velocidade e a preciso nas tomadas de decises estratgicas. O desenvolvimento dos trabalhos tcnicos ocorre por meio do levantamento de dados e gerao de informao de interesse relacionada ao tema em foco por meio da utilizao de solues de tecnologia da informao. Em seguida, a informao gerada transferida s unidades tcnicas da CGU para a anlise de pertinncia e posterior devoluo das confirmaes para realimentao do ciclo de produo de informaes at sua sntese final. Dessa forma, de acordo com o Artigo 3 da Portaria supra, o ODP dever produzir os seguintes resultados tcnicos: I - o monitoramento de temas por quadros de indicadores, como um insumo gerencial disposio dos dirigentes da CGU; II - a produo de material preditivo, com o uso de tcnicas de minerao de textos e dados, recursos de inteligncia artificial e integrao de bases de dados para possibilitar a antecipao de fatos e o encaminhamento de solues; e III - a organizao de aglomerados de informaes para que os dirigentes da CGU tenham conhecimento til e oportuno disposio para tomada de deciso.

4.5 Consideraes sobre as Unidades temticas

As entrevistas com os Coordenadores das Unidades temticas se mostraram de fundamental importncia para que se conhea e analise as situaes que levaram a essa organizao funcional diferente das demais Coordenaes da SFC. Comparando-se as trs Unidades temticas da SFC, observa-se que as caractersticas da Auditoria de TI se aproximam muito mais das necessidades que motivaram a criao da Assessoria de Obras, por envolverem tipos de auditorias que, embora no demandadas por legislao, necessitam de conhecimentos mais especficos e tcnicos dos temas para a realizao de aes de controle. Assim como est sendo realizado na Assessoria de Obras, necessrio que haja um ncleo tcnico na SFC para centralizar o conhecimento de Auditoria de TI; capacitar servidores das Coordenaes da SFC e das Controladorias-Regionais da CGU; padronizar metodologias,

65 entendimentos e procedimentos; servir de apoio tcnico para as demais reas; e uniformizar recomendaes. Alm disso, diferente de como ocorre na Assessoria de Obras, uma Unidade de Auditoria de TI tambm teria a necessidade de realizar aes de controle mais complexas ou que envolvam vrias reas da Administrao Pblica. O ODP, apesar de ainda se encontrar em processo de estruturao, um exemplo de Unidade uma viso mais moderna, que valoriza a informao e utiliza-se fortemente da comunicao entre as diversas reas da CGU. O aumento da comunicao eficiente entre as reas fortalece o funcionamento da CGU como um rgo nico, agrega qualidade s aes de controle e diminui o retrabalho. O ODP , ainda, uma fonte de informaes importante para uma Unidade de Auditoria de TI. Todavia, nenhuma das posies organizacionais ocupadas pelas Unidades temticas j existentes na SFC atenderia as necessidades de uma Unidade de Auditoria de TI. As trs Unidades da SFC encontram-se ligadas estrutura de alguma Diretoria j existente. Todavia, no caso da Assessoria de Obras da DI e da DPPCE, os trabalhos ficam restritos s suas Diretorias, havendo pouca ou nenhuma interao com Coordenaes de outras Diretorias, diminuindo o alcance dos trabalhos de apoio tcnico e capacitao. J a DCREX, apesar de possuir alto grau de comunicao com as demais Diretorias, est ligada a uma Diretoria de atividades de planejamento e coordenao que, em regra, oferece apoio tcnico, mas no executa aes de controle.

66

5 PROPOSTA
Para tentar minimizar as dificuldades de realizao de Auditoria de TI detectadas no Captulo 3 e com base nas foras e fraquezas detectadas nas Unidades temticas j existentes na SFC, ser proposto um modelo de Unidade de Auditoria de TI dentro da SFC, baseado no conceito de escritrio de projetos.

5.1 Fundamentos do Modelo

Por meio da utilizao das tcnicas de Gerncia de Projetos, possvel tornar ordenadas e controlveis atividades geralmente realizadas de forma desordenada e pontual (ad hoc). Agregando, assim, valor organizao e s atividades realizadas por ela. O modelo apresentado baseado nos conceitos do Project Management Body of Knowledge - PMBOK (2008), que um conjunto de conhecimentos em gesto de projetos amplamente reconhecidos como boas prticas, elaborado pelo Project Management Institute (PMI). No se trata de uma metodologia, mas de uma viso geral sobre a correta aplicao de habilidades, ferramentas e tcnicas que pode aumentar a chance de sucesso dos projetos. Devido diversidade das reas de Auditoria de TI, s peculiaridades de cada ambiente auditado, vasta possibilidade de definio de escopos e delimitao de tempo para realizao, cada auditoria pode ser tratada como um projeto. De acordo com a Associao Brasileira de Normas Tcnicas (ABNT), na norma NBR 10006 (ABNT, 2000), Projeto processo nico consistindo de um grupo de atividades coordenadas e controladas com datas para incio e trmino, empreendido para alcance de um objetivo conforme requisitos especficos, incluindo limitaes de tempo, custo e recursos. Na mesma linha, segundo o PMBOK (PMI, 2008), Um projeto um esforo temporrio empreendido para criar um produto, servio ou resultado exclusivo.. Temporrio significa que todos os projetos possuem um incio e um final definidos. Toda auditoria delimitada no tempo. Um projeto cria entregas exclusivas, que so produtos, servios ou resultados. Uma auditoria produz resultados finais em forma de documentos, como pareceres, recomendaes e relatrios. A exclusividade ou singularidade uma caracterstica importante das entregas do projeto. Por exemplo, muitas auditorias podem ser realizadas, mas cada uma possui um escopo especfico, uma equipe diferente, procedimentos especficos voltados para o escopo, tempo de execuo diferentes, entre outras particularidades. A presena de elementos repetitivos no muda a

67 singularidade da auditoria. Neste contexto, ao se analisar a Auditoria de TI no mbito de um rgo de controle governamental, devido variedade de reas e extenso de assuntos a serem abordados, percebe-se que cada auditoria, regra geral, ser nica, com seus requisitos e limitaes especficos. Diante disto, tratar a Auditoria de TI como um projeto possibilitar que se apliquem a ela as tcnicas de Gerenciamento de Projeto conhecidas e mais aceitas no mercado nacional e internacional, aumentando-se a qualidades dos produtos e diminuindo-se os riscos de fracasso das aes de controle. Nesse contexto, cada ao de controle de Auditoria de TI poder ser considerada um projeto. Dessa forma, este trabalho prope a criao de um escritrio de projetos de Auditoria de TI no mbito da SFC. De acordo com o PMBOK 2008, um escritrio de projetos (Project Management Office PMO) um corpo ou Entidade organizacional qual so atribudas vrias responsabilidades relacionadas ao gerenciamento centralizado e coordenado dos projetos sob seu domnio. Ainda de acordo com a literatura em questo, as responsabilidades de um PMO podem variar desde fornecer funes de suporte ao gerenciamento de projetos at ser responsvel pelo gerenciamento direto de um projeto. O PMO se concentra no planejamento, na priorizao e na execuo coordenados de projetos e subprojetos vinculados aos objetivos gerais de negcios. Alm disso, ele pode centralizar as lies aprendidas e metodologias utilizadas nos projetos, de forma a permitir acesso a esse conhecimento a todas as equipes e projetos de auditoria; gerenciar recursos compartilhados entre todos os projetos administrados; orientar, treinar e supervisionar projetos; desenvolver e gerenciar polticas, procedimentos, formulrios e outras documentaes compartilhadas do projeto; e coordenar as comunicaes entre projetos. Portanto, o escritrio de projetos seria uma Unidade onde os projetos de Auditoria de TI poderiam ser centralizados e coordenados de forma a melhor distribu-los dentro da organizao, possibilitando que as iniciativas de auditoria deixem de ser predominantemente ad hoc e possam ser padronizadas e bem gerenciadas de acordo com padres e tcnicas selecionados pelo prprio escritrio, de forma a criar uma metodologia documentada e homologada dentro da organizao. Alm disso, a existncia dessa unidade possibilita a melhoria contnua do processo, uma vez que pode centralizar o aprendizado e os problemas resultantes de cada projeto, utilizando-os para corrigir fragilidade da metodologia e adapt-la a mudanas que possam ocorrer em padres e modelos a embasam.

68 Assim, os projetos de auditoria poderiam ser mais bem programados e coordenados, o conhecimento adquirido nas auditorias no se perderia em Coordenaes isoladas e a padronizao de diretrizes e linguagem dentro do rgo de controle seria viabilizada. Portanto, prope-se nesse trabalho a criao de um escritrio de projetos de Auditoria de TI com denominao de Coordenao-Geral de Auditoria de Tecnologia da Informao (GSTIN), seguindo o padro de nomenclatura da Secretaria Federal de Controle.

5.2 Estrutura da GSTIN

Inicialmente, a Coordenao-Geral de Auditoria de Tecnologia da Informao (GSTIN), com o status de Coordenao da SFC, devido ao fato de no haver Diretoria com aes de controle voltadas a temas, estaria diretamente ligada ao Secretrio Federal de Controle Interno, na forma mostrada na Figura 5.1.

Figura 5.1 Organograma da SFC com a insero da GSTIN.

Futuramente, com a criao de outras coordenaes baseadas em temas, tais como Obras e Convnios, poderia ser criada uma Diretoria temtica, qual a GSTIN estaria subordinada. Tal

69 Diretoria teria a mesma estrutura organizacional das demais da SFC, com a diferena de que suas Coordenaes seriam organizadas com base nos temas que tratariam e no divididas por Ministrio. Como forma de atuao inicial, prope-se a criao da Coordenao nos seguintes moldes:

1 Coordenador-Geral; 1 Assistente Tcnico; e 5 Chefes de Diviso.

Cada Diviso forma uma equipe de projeto, em que o Chefe de Diviso teria o papel de Gerente de Projetos, conforme Figura 5.2 a seguir apresentada:

Figura 5.2 Estrutura da GSTIN.

O modelo apresenta 5 Divises, pois cada Equipe de Projeto atuaria com contraparte de uma Diretoria da SFC, de forma a se estabelecer 5 canais de comunicao. Cada Equipe seria responsvel pelo gerenciamento, comunicao e apoio tcnico das Coordenaes de sua Diretoria contraparte.

70 Cada Diviso teria 5 servidores compondo a Equipe de Projeto. Essa configurao poderia ser remanejada caso houvesse a percepo, aps estudos tcnicos e realizao de auditorias, de que determinada Diretoria demandasse mais fora de trabalho do que as outras. O remanejamento temporrio de servidores dentro da GSTIN tambm seria possvel para composio de equipes de projetos de acordo com o mapeamento de perfis mais indicados para cada projeto. Por fim, as Unidades finalsticas deveriam continuar dispondo de servidores de TI para a realizao de trabalhos de Auditoria de TI que necessitem apenas de orientao e/ou apoio tcnico da GSTIN.

5.3 Atribuies da GSTIN

O Coordenador-Geral da GSTIN, sem prejuzo das demais atribuies inerentes ao cargo, teria como funes principais: planejar e coordenar as atividades tcnicas e administrativas desenvolvidas na Coordenao; aprovar os relatrios de auditoria e de fiscalizao na sua rea de competncia; identificar as necessidades e propor treinamentos e capacitao de seus servidores; e praticar os atos de administrao da Coordenao-Geral. A Coordenao atuaria nos Ministrios e respectivas Entidades supervisionadas, exceto no Ministrio das Relaes Exteriores, no Ministrio da Defesa, na Advocacia-Geral da Unio e nos rgos da Presidncia da Repblica, pois so escopo de suas Secretarias de Controle Interno (CISET), como consta no Decreto n.o 3.591, de 6 de dezembro de 2000, que dispe sobre o Sistema de Controle Interno do Poder Executivo Federal. Cabe ressaltar que a Advocacia-Geral da Unio ainda no possui sua CISET, mas o rgo j possui um projeto para sua criao que est em trmite por meio do Processo n 00400.016613/2009-01. Para definio das atribuies da GSTIN, foi realizado um estudo do Regimento Interno da CGU (BRASIL, 2007a) e das competncias da Sefti (BRASIL, 2008c), tendo como resultado as atribuies apresentadas a seguir: a) Elaborar o planejamento das aes de controle que envolvam a rea de Tecnologia da Informao a serem executadas ou coordenadas pela prpria Coordenao. b) Elaborar os pedidos de aes de controle, que posteriormente sero convertidos em ordens de servio, contendo a definio dos trabalhos, em forma, perodo e escopo. c) Coordenar, acompanhar e monitorar as aes de auditoria e fiscalizao especficas da rea de Tecnologia da Informao executadas por outras Coordenaes-Gerais ou Controladorias-Regionais.

71 d) Executar aes de controle que envolvam objetos de Tecnologia da Informao selecionados por sua mdia/alta materialidade, criticidade e/ou relevncia; por no serem alcanados pelas demais Coordenaes-Gerais ou Controladorias-Regionais; ou, ainda, por exigirem auditorias operacionais com alta especificidade tcnica. e) Recomendar, quando for o caso, a instaurao de tomadas de contas especiais, de sindicncias e de processos administrativos e disciplinares. f) Coordenar o processo de alocao da fora de trabalho, quando necessrio, junto s unidades de controle interno para a execuo de aes de controle especficas da rea de Tecnologia da Informao. g) Acompanhar a implementao das recomendaes decorrentes das aes de controle da respectiva rea de atuao. h) Apurar, em articulao com a CRG e com a SPCI, os atos ou fatos inquinados de ilegalidade ou irregularidade, praticados por agentes pblicos ou privados, na utilizao de recursos pblicos federais nos assuntos referentes Tecnologia da Informao. i) Manter comunicao constante com troca de informaes estratgicas com o Observatrio de Despesas Pblicas com o objetivo de utilizar os produtos dessa Unidade para possibilitar o adiantamento das aes de controle e, em contrapartida, mant-la atualizada sobre informaes acerca dos Sistemas de Informao da Administrao Pblica Federal. j) Manter comunicao constante com a DSI com o objetivo programar cursos tcnicos de capacitao e manter atualizados informaes referentes gesto de TI. k) Propor a realizao de atividades de treinamento, com o respectivo contedo programtico, relativas s aes de controle da rea de Tecnologia da Informao, para implementao em conjunto com a DCTEQ, em consonncia com a poltica de desenvolvimento de recursos humanos da CGU. l) Elaborar normas tcnicas e procedimentos relativos s aes de controle da rea de Tecnologia da Informao em conjunto com a DCTEQ. m) Propor a edio de manuais pertinentes s aes de controle da rea de Tecnologia da Informao, e mant-los atualizados. n) Exercer outras atividades correlatas.

72

5.4 Auditoria de Conformidade x Auditoria de Operacional

O termo Auditoria pode ser entendido como a aplicao de um conjunto de metodologias, procedimentos, tcnicas e mtodos de reviso, avaliao, aferio e anlise com a finalidade de obteno de informao ou conhecimento acerca da regularidade ou dos resultados das finanas, atividades, projetos, programas, polticas e rgos governamentais (TCU, 2004). Para efeitos desse trabalho, de acordo com seu foco e escopo, uma auditoria pode ser classificada como de Conformidade ou Operacional. A Auditoria de Conformidade consiste na verificao da obedincia a normas e a regulamentos internos ou externos, alm da verificao da salvaguarda de ativos a fim de impedir fraudes e desvios de recursos. A Auditoria Operacional consiste na avaliao sistemtica dos programas, projetos, atividades e sistemas governamentais, assim como dos rgos e Entidades da Administrao Pblica. Esse tipo de auditoria abrange duas modalidades: a auditoria de desempenho operacional, tambm conhecida como performance audit, e a avaliao de programa. De acordo com TCU (2000), o objetivo da auditoria de desempenho operacional examinar a ao governamental quanto aos aspectos da economicidade, eficincia e eficcia, enquanto a avaliao de programa busca examinar a efetividade dos programas e projetos governamentais. Entretanto, na prtica, no existem limites definidos entre os dois tipos de auditoria, uma vez que uma auditoria operacional pode apresentar verificaes de conformidade e vice-versa. Assim, na realidade, existem as auditorias predominantemente de conformidade, em que o foco a aderncia Normas, e aquelas que so predominantemente operacionais, em que o foco a verificao dos resultados. No caso do modelo proposto, a GSTIN seria prioritariamente responsvel pela realizao de Auditorias de TI predominantemente operacionais, enquanto as Coordenaes finalsticas ficariam responsveis pelas Auditorias de TI predominantemente de Conformidade. Isso porque as auditorias operacionais, em geral, necessitam de conhecimento aprofundado das questes tcnicas que envolvem o escopo escolhido. Mesmo que a Coordenao finalstica possua um servidor de TI em seu corpo tcnico, pela abrangncia de reas de conhecimento dentro do universo da Tecnologia da Informao, muitas vezes, esse servidor se depara com dificuldades de realizar uma ao de controle de TI de forma independente, sem algum apoio tcnico. Todavia, como ocorre com as demais Coordenaes finalsticas, a GSTIN deve fazer o planejamento das auditorias a serem realizadas em um determinado perodo. Nesse momento, deve-

73 se analisar caso a caso para se definir quais aes de controle sero realizadas pela prpria Coordenao e quais sero realizadas pelas Unidades finalsticas. Dessa forma, pode acontecer de uma Unidade finalstica ficar responsvel pela realizao de uma auditoria operacional de pequeno porte ou de a GSTIN ficar responsvel por uma auditoria de conformidade de grande porte e que envolva a anlise de mais de uma rea da Administrao Pblica, englobando vrios Ministrios.

5.5 Funcionamento Organizacional

Com a criao da GSTIN, importante que seja analisada a nova estrutura organizacional da SFC, uma vez que se trata de um fator ambiental que pode interferir na disponibilidade de recursos e na maneira como os projetos sero conduzidos. De acordo com o PMBOK (PMI, 2008), as estruturas organizacionais variam de funcionais a projetizadas, com diversas estruturas matriciais entre elas, com as caractersticas genericamente apresentadas na Tabela 5.1:

Estrutura da Organizao Matricial Caractersticas do Projeto Autoridade do gerente de projetos Disponibilidade de recursos Quem controla o oramento do projeto Funo do gerente de projetos Funcional Pouca ou nenhuma Pouca ou nenhuma Gerente funcional Fraca Limitada Limitada Gerente funcional Balanceada Baixa a moderada Baixa a moderada Misto Tempo integral Forte Moderada a alta Moderada a alta Gerente de projetos Tempo integral Tempo integral Por Projeto Alta a quase total Alta a quase total Gerente de projetos Tempo integral

Tempo parcial Tempo parcial

Equipe administrativa Tempo parcial Tempo parcial Tempo parcial do gerenciamento de projetos

Tempo integral

Tabela 5.1 Influncia das estruturas organizacionais nos projetos (Fonte: PMBOK).

Na CGU, atualmente, predomina a estrutura funcional clssica, salvo algumas excees, como as operaes especiais (aes de controle realizadas com coordenao da DCOPE12, mas envolvendo servidores de diversas Coordenaes-Gerais e Controladorias-Regionais).
12

Coordenao-Geral de Operaes Especiais.

74 Com a criao da GSTIN, a SFC seria uma organizao mista, pois teria uma estrutura projetizada dentro da prpria Coordenao, uma estrutura funcional clssica nas demais Unidades da Secretaria e uma estrutura Matricial Balanceada na relao da GSTIN com as demais Unidades finalsticas.
A organizao funcional clssica uma hierarquia em que cada funcionrio possui um superior bem definido. No nvel superior, os funcionrios so agrupados por especialidade, como produo, marketing, engenharia e contabilidade. As especialidades podem ser subdivididas em organizaes funcionais, como engenharia mecnica e eltrica. Cada departamento em uma organizao funcional far o seu trabalho do projeto de modo independente dos outros departamentos. (PMI, 2008)

No caso da SFC, as Diretorias so divididas por temas de especialidade e os servidores so alocados em Coordenaes-Gerais de acordo com os Ministrios nos quais exercero aes de controle.
Em uma organizao projetizada, os membros da equipe so geralmente colocados juntos. A maior parte dos recursos da organizao est envolvida no trabalho do projeto e os gerentes de projetos possuem grande independncia e autoridade. As organizaes projetizadas em geral possuem unidades organizacionais denominadas departamentos, mas esses grupos se reportam diretamente ao gerente de projetos ou oferecem servios de suporte aos vrios projetos. (PMI, 2008)

No caso da GSTIN, em relao aos trabalhos que envolvam apenas essa Coordenao, cada Chefe de Diviso ser um Gerente de Projetos e cada Diviso ser o equivalente a um departamento de projetos, que pode ser divido em uma ou mais equipes de auditoria, como j apresentado na Figura 5.2.
As organizaes matriciais so uma combinao de caractersticas das organizaes funcionais e projetizadas. As matrizes fracas mantm muitas das caractersticas de uma organizao funcional e o papel de gerente de projetos mais parecido com a de um coordenador ou facilitador do que com o de um gerente de projetos propriamente dito. As matrizes fortes possuem muitas das caractersticas da organizao projetizada e podem ter gerentes de projetos em tempo integral com autoridade considervel e pessoal administrativo trabalhando para o projeto em tempos integral. Enquanto a organizao matricial balanceada reconhece a necessidade de um gerente de projetos, ela no fornece a ele autoridade total sobre o projeto e sobre seu financiamento. (PMI, 2008)

A SFC possuir uma estrutura matricial balanceada decorrente da atuao da GSTIN, pois ela poder realizar auditorias apenas com os membros de seu quadro tcnico ou em conjunto com servidores das Unidades finalsticas. Quando os trabalhos forem mistos, qualquer integrante da GSTIN poder ser gerente do projeto. Os trabalhos mistos podem envolver uma ou mais Coordenaes da rea fim, como mostram as situaes 2 e 3 da Figura 5.3:

75

Figura 5.3 Estrutura matricial balanceada da relao GSTIN x Unidades finalsticas.

Quando os trabalhos forem na Unidade finalstica com apoio tcnico da GSTIN, o gerente de projetos pertencer Coordenao demandante e, caso necessrio, com apoio tcnico de algum gerente de projeto do Escritrio de Projetos de Auditoria de TI. Cabe observar que a adoo de uma Coordenao Projetizada em uma estrutura tradicionalmente funcional, como a maioria dos rgos pblicos, um grande desafio, que exigir um planejamento bem elaborado e uma reeducao cultural na Instituio, a fim de que sejam evitados dificuldades de comunicao, deficincias na execuo de projetos e choques de autoridade entre a hierarquia tradicional e os gerentes de projeto.

5.6 Papel do Gerente de Projetos

Na estrutura projetizada, a autoridade do gerente de projeto varia de alta a quase total, assim como sua disponibilidade de recursos. O gerente exerce seu papel e possui sua equipe disponvel em tempo integral, como descrito na tabela Tabela 5.1. J na matriz balanceada, a autoridade do gerente de projeto varia de baixa a moderada, assim como sua disponibilidade de recursos. O gerente exerce seu papel em tempo integral, mas s possui a equipe disponvel em tempo parcial, como descrito na tabela Tabela 5.1. Dessa forma, no mbito da GSTIN, o gerente de projetos teria um alto nvel de autoridade, guardados os limites das competncias da Coordenao, e equipe disponvel em tempo integral do projeto. Todavia, quando gerenciasse equipes mistas, com servidores das Unidades finalsticas,

76 apesar de sua atuao como gerente ser de tempo integral, a abrangncia de sua autoridade e a disponibilidade dos membros da equipe teriam que ser negociados juntamente com os Coordenadores das demais Unidades participantes. De acordo com o PMBOK, o gerente de projetos a pessoa designada pela organizao executora para atingir os objetivos do projeto. Alm de todas as habilidades da rea especfica e das proficincias ou competncias de gerenciamento geral exigidas, o gerenciamento de projetos eficaz requer que o gerente tenha conhecimento sobre as tcnicas de gerenciamento e tenha capacidade de aplic-las, alm de ter capacidade para liderar e orientar sua equipe, bem como atingir os objetivos do projeto e equilibrar as restries existentes. Dentre as competncias que necessitam de grande ateno de um gerente de projeto esto a comunicao eficiente e a capacidade de lidar com os stakeholders ou partes interessadas.
As partes interessadas so pessoas ou organizaes (por exemplo, clientes, patrocinadores, organizao executora ou o pblico) ativamente envolvidas no projeto ou cujos interesses podem ser positiva ou negativamente afetados pela execuo ou trmino do projeto. Elas tambm podem exercer influncia sobre o projeto, suas entregas e sobre os membros da equipe do projeto. (PMI, 2008)

No caso da GSTIN, vrios atores podem ser considerados stakeholders, dos quais podem ser citados: os Coordenadores das Unidades finalsticas, os rgos e Entidades auditados, o Coordenador da GSTIN, o Secretrio Federal de Controle Interno, empresas de informtica, a sociedade, entre outros. Os interesses de todas essas organizaes podem influenciar positiva ou negativamente os projetos de Auditoria de TI. Cabe ao gerente saber conduzir seus projetos de forma a diminuir os impactos negativos causados por essas partes interessadas e aproveitar ao mximo as influncias positivas.
A equipe de gerenciamento do projeto precisa identificar as partes interessadas, tanto internas quanto externas, a fim de determinar os requisitos e as expectativas em relao ao projeto de todas as partes envolvidas. Alm disso, o gerente do projeto precisa gerenciar a influncia das vrias partes interessadas em relao aos requisitos do projeto para garantir um resultado bem sucedido. (PMI, 2008)

Para isso, o gerente de projetos precisa saber se comunicar, de forma a distribuir informaes queles que tenham direito e/ou obrigao de acess-las e de forma a agregar eficincia ao processo de gerenciamento. Uma boa comunicao junto equipe de projeto (interna) e junto aos demais stakeholders (externa) so de extrema importncia para o sucesso de um projeto.

77

5.7 Requisitos de Implantao

A implantao da GSTIN deve ser planejada e executada considerando-se tambm as tcnicas de gerenciamento de projetos. Antes que seja criada por meio de um instrumento legal, seu processo de implantao j deve estar integralmente planejado. Para a implantao da Coordenao, devem ser atendidos alguns requisitos: a) Projeto bsico: o projeto deve contemplar a estrutura organizacional da Coordenao, os recursos necessrios e o planejamento contendo as etapas, as atividades e o cronograma de implantao. b) Concurso pblico: realizao de concurso para contratao de novos servidores com rea de formao em Tecnologia da Informao. Tais servidores seriam alocados de forma a suprir as necessidades da DSI, atender Coordenaes deficitrias em servidores de TI e compor o corpo tcnico da GSTIN. c) Formao da equipe: a seleo da equipe da GSTIN deve considerar as reas de conhecimento dos servidores, a experincia em auditorias e as competncias de gerenciamento de projetos. A equipe de servidores deve possuir servidores com especialidades nas mais diversas reas da Tecnologia da Informao, mesclando novos servidores com experincia no mercado de TI da iniciativa privada e servidores da Casa com experincia em auditorias, licitaes e contratos. d) Recursos tecnolgicos: a GSTIN deve ser provida de recursos tecnolgicos suficientes para a realizao de suas atividades. Por exemplo, para a realizao de Auditorias de Dados, deve haver computadores com processamento adequado ao tamanho e complexidade das operaes. Alm disso, a Coordenao deve possuir ferramentas informatizadas de apoio s auditorias. e) Plano de comunicao: deve ser elaborado um plano de comunicao entre a GSTIN e as demais Coordenaes da SFC, o ODP, a CRG, SPCI e as Controladorias-Regionais, de forma a buscar uma comunicao eficiente entre as Unidades. Alm disso, devem ser estabelecidas parcerias com outros rgos, como Banco Central, Banco do Brasil, Tribunal de Contas da Unio e Secretaria de Logstica de Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto, a fim de conjuntamente melhorem as metodologias e tcnicas de Auditoria de TI e fomentarem a Governana de TI, a Segurana da Informao e o fortalecimento dos controles internos de TI no mbito da Administrao Pblica.

78 f) Capacitao em gerenciamento de projetos: a equipe da GSTIN deve ser treinada em boas prticas de gerenciamento de projetos, de forma a utilizarem esses conhecimentos nas auditorias e servirem de multiplicadores junto a outros servidores que tero atuao de gerentes de projetos de Auditoria de TI nas Unidades finalsticas e nas Controladorias-Regionais. g) Capacitao em licitaes e contratos: como praticamente toda a Tecnologia da Informao da Administrao Pblica envolve licitaes e contratos, a equipe deve ser amplamente capacitada nessa rea, com grande enfoque na Instruo Normativa n 04/2008. h) Capacitao em Auditoria de TI: a equipe deve ter um treinamento introdutrio sobre os principais conceitos e tcnicas de Auditoria de TI e sobre problemas reais j encontrados na Administrao Pblica. i) Capacitao tcnica de TI: a equipe deve ter treinamento de assuntos tcnicos especficos da Tecnologia da Informao, de maneira a nivelar seus conhecimentos com os das Unidades Auditadas. j) Mapeamento tcnico das necessidades de Auditoria de TI: deve ser realizado um mapeamento tcnico junto s Unidades finalsticas e os Ministrios para identificar e classificar a necessidade de Auditoria de TI de cada rea e detectar os possveis objetos de auditoria. k) Testes piloto de auditoria operacional: o Coordenador-Geral da GSTIN deve escolher objetos para a realizao de testes piloto de Auditoria de TI de natureza Operacional. Para a realizao dos testes j devem ser utilizadas as boas prticas de gerenciamento de projetos e devem ser elaborados procedimentos especficos para os escopos das auditorias a serem realizadas. l) Testes piloto em conjunto com outras Coordenaes: devem ser realizados testes pilotos em conjunto com as Unidades finalsticas, de maneira a modelar a forma de comunicao e de atuao com as demais reas envolvidas. m) Correes: com os resultados do mapeamento e dos testes piloto, devem ser realizados ajustes e correes na estrutura da GSTIN e nos processos de trabalho. n) Planejamento dos trabalhos sistemticos: aps a realizao das correes necessrias, deve ser elaborado um planejamento dos trabalhos a serem realizados pela Coordenao. O planejamento deve estar alinhado com os objetivos estratgicos

79 da CGU e com o mapeamento tcnico realizado das necessidades de Auditoria de TI na Administrao Pblica Federal, respeitados os limites de atuao da SFC. o) Apoio tcnico: elaborao de protocolo de fornecimento de apoio s Coordenaes finalsticas e s Controladorias-Regionais. Devem ser estabelecidas as regras e as formas de realizao de consultas tcnicas pelas demais reas. p) Fornecimento de treinamentos: devem ser elaborados treinamentos para servidores das Unidades finalsticas e das Controladorias-Regionais para a realizao de Auditorias de TI de complexidade baixa e mdia. q) Capacitao contnua: devem ser promovidos cursos de capacitao contnua para os servidores da GSTIN de acordo com as necessidades detectadas com a realizao dos trabalhos. r) Melhoria contnua: a GSTIN deve possuir indicadores para medio de qualidade de suas metodologias e dos resultados de seus trabalhos com o objetivo de se detectar fragilidades e implementar solues. s) Banco de prticas comuns da iniciativa privada: deve ser criado (e atualizado constantemente) um banco de dados com informaes sobre as prticas comuns da iniciativa privada na aquisio de bens e servios de TI, tais como: formas de contratao mais usuais de determinado produtos, produtos exclusivos por sua funcionalidade ou qualidade tcnica, cotao de preos de mercados dos produtos mais comercializados, empresas detentoras de produtos exclusivos que realizam vendas diretas, empresas que apenas realizam vendas por meio de parceiros, entre outras. Alm de todos os requisitos apresentados, a Auditoria de TI no deve ser implantada sem alinhamento com os objetivos de negcio da Instituio. Nesse caso, os conceitos de Governana tambm devem ser aplicados, de maneira que a atuao da GSTIN no seja independente da SFC como uma Coordenao isolada, mas que esteja alinhada aos objetivos estratgicos da CGU e das polticas governamentais.

80

6 CONCLUSO
A partir da verificao dos altos investimentos e da crescente dependncia em Tecnologia da Informao no contexto da Administrao Pblica, observou-se a necessidade de fortalecimento da Auditoria de TI. Todavia, observou-se que, na maioria dos rgos e Entidades da Administrao Pblica, as aes de controle de Tecnologia da Informao so ainda incipientes. Por isso, com o objetivo de se verificar a percepo dos servidores sobre a necessidade e a situao desse tipo de Auditoria, realizou-se um Diagnstico de Auditoria de TI no mbito da SFC. A partir da, constatou-se que a maioria dos servidores de TI e dos Coordenadores-Gerais das Unidades finalsticas da SFC consideram a necessidade de Auditoria de TI alta dentro do escopo de suas reas de atuao, bem como declararam que o nvel de maturidade dos processos de Auditoria de TI ainda Inicial, ou seja, no h um processo padronizado e a execuo das aes de controle de TI feita caso a caso e baseada apenas nos processos genricos de auditoria da Secretaria Federal de Controle. Ademais, foram tambm detectadas, dentre outras fragilidades, o subaproveitamento dos servidores de TI nas aes de controle de TI; a falta de capacitao nessa rea de atuao; a ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI; e a inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. A fim de buscar solucionar tais questes, foi proposta a criao de um escritrio de projetos de Auditoria de TI para a SFC, a Coordenao-Geral de Auditoria de TI (GSTIN). Essa Coordenao teria como principais funes a execuo de aes de controle de TI, o gerenciamento de auditorias de TI realizadas em conjunto com outras Coordenaes, a centralizao de conhecimento nesse tipo de ao de controle, a capacitao dos servidores de TI e o apoio tcnico a outras unidades na realizao de Auditorias de TI. Sua forma de atuao seria orientada pelas melhores prticas de gerenciamento de projetos, de forma a agregar eficincia e eficcia s auditorias realizadas. Com isso, criar-se-iam condies para que se elevasse o nvel de maturidade da Auditoria de TI no mbito da SFC, aumentasse a capacidade tcnica nesse tipo de ao de controle, realizasse um melhor aproveitamento do conhecimento dos servidores de TI, padronizasse uma linguagem de Auditoria de TI para a SFC, elevasse a qualidade dos trabalhos, expandisse a capacidade de atuao da SFC nesse tipo de auditoria, executassem aes de controle em reas em que a SFC ainda no teve capacidade tcnica e operacional de atuao.

81 Ademais, os impactos das exoneraes, vacncias, remoes e permutas poderiam ser diminudos se houvesse a concentrao formal do conhecimento em um ncleo tcnico de Auditoria de TI, diminuindo o foco no indivduo e fortalecendo a Instituio. Alm desses benefcios primrios, so conseqncias secundrias da implementao do modelo proposto: a identificao de problemas crnicos de Tecnologia da Informao na Administrao Pblica, o fortalecimento da Governana e da Segurana de TI nas Unidades auditadas, identificao de problemas crnicos de Tecnologia da Informao na Administrao Pblica, o incentivo produo de normas especficas que regulem a TI dentro da APF e, por fim, o fortalecimento da comunicao com outros rgos de controle na rea de TI. A pesquisa tambm possibilitou a percepo da aprovao, por parte dos CoordenadoresGerais e servidores de TI, de que necessrio o investimento da CGU no fortalecimento desse tipo de auditoria dentro da SFC por meio da criao de um ncleo tcnico. O apoio desses agentes tambm de fundamental importncia para que a proposta alcance o xito desejado. Dessa forma, a implementao do modelo no seria uma imposio da Alta Administrao, mas o resultado da deteco de uma necessidade real por parte da maioria dos futuros clientes da nova Coordenao dentro da SFC. Portanto, este trabalho alcanou seus objetivos iniciais de se fazer um diagnstico da Auditoria de TI dentro da SFC e de se apresentar uma proposta de modelo para implementao de Auditoria de TI no mbito da CGU. O alcance dos objetivos secundrios s poder ser efetivamente verificado a partir dos desdobramentos futuros, pois conseqncia do fortalecimento da discusso dos problemas apresentados e das solues propostas sobre Auditoria de TI e de outras auditorias especializadas no mbito da SFC. Durante a realizao dessa pesquisa, foram verificadas as seguintes dificuldades e

limitaes:
a) Ausncia de previso especfica para liberao dos servidores em horrio de expediente para elaborao da monografia e realizao de pesquisas. Essa liberao no necessitaria ser em tempo integral, pois a liberao parcial j agregaria qualidade ao trabalho e pesquisa. b) Inexistncia de lista oficial dos servidores que atuam na SFC e que entraram na carreira de Analista de Finanas e Controle em vagas especficas de TI ou que

82 tenham conhecimento tcnico sobre o assunto. Tal fato ensejou o levantamento de uma lista no oficial que, alm do gasto de tempo para sua realizao, est sujeita ao risco de estar incompleta, mesmo com a realizao de circularizao. c) Dificuldade de agendamento de entrevistas com os Coordenadores-Gerais devido quantidade de compromissos inerentes aos seus cargos, fato que ocasionou a prorrogao de prazo inicialmente previsto para a realizao da pesquisa. d) Dificuldade de levantamento das informaes sobre o histrico da Auditoria de TI dentro da CGU. Os dados levantados referem-se ao perodo de 2004 a novembro de 2009, uma vez que no foram encontradas informaes sobre anos anteriores. Alm disso, as informaes disponveis esto pulverizadas e altamente vinculadas ao conhecimento individual de alguns servidores. Por fim, com objetivo de dar continuidade a essa pesquisa, como trabalhos futuros, sugerem-se: a) A realizao de um mapeamento tcnico, junto aos rgos e Entidades da Administrao Pblica dos possveis objetos de Auditoria de TI, com a finalidade de se identificarem os trabalhos que possam ser escopo das aes de controle. b) A elaborao de metodologia de Auditoria de TI baseada nas melhores prticas de Gerenciamento de Projetos. c) A elaborao de novos procedimentos de Auditoria de TI e a atualizao daqueles j existentes com base nos critrios mais aceitos e na legislao brasileira. Tal processo iterativo e deve sofrer melhoria contnua.

83

7 REFERNCIAS

ANTUNES, V.A.; BARCARO, E.; HANASHIRO, M.; REIS, R.V. dos; ROCHA, A. L. M da. Perspectivas para a auditoria de tecnologia da informao no mbito da CGU. Revista da CGU, Braslia, Ano II, n 2, p. 62-69, out. 2007. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. NBR 10006: Gesto da qualidade diretrizes para a qualidade no gerenciamento de projetos. Rio de Janeiro, dez. 2000. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. NBR ISO/IEC 27002:2005: Tecnologia da Informao Tcnicas de segurana Cdigo de Prtica para a gesto da segurana da informao. Rio de Janeiro, 2005. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS ABNT. NBR ISO/IEC 27001:2006: Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao - Requisitos. Rio de Janeiro, 2006. BORBA, Edward Lcio Vieira. A Estratgia de Implantao de uma Unidade Especializa em Auditoria de TI (Estudo de caso da SEFTI/TCU). Monografia de Ps-Graduao, Faculdade Omini, Braslia, 2008. BRASIL. Lei n 8.666, de 21 de junho de 1993. Stio oficial da Presidncia da Repblica. Disponvel em <http://www.planalto.gov.br/legislacao>. Acesso em 24 nov. 2009. BRASIL. Decreto n.o 3.591, de 6 de dezembro de 2000. Stio oficial da Presidncia da Repblica. Disponvel em <http://www.planalto.gov.br/legislacao>. Acesso em: 06 ago. 2009. BRASIL. Decreto n 4.177, de 28 de maro de 2002. Stio oficial da Presidncia da Repblica. Disponvel em <http://www.planalto.gov.br/legislacao>. Acesso em: 06 ago. 2009. BRASIL. Decreto n 10.520, de 17 de julho de 2002. Stio oficial da Presidncia da Repblica. Disponvel em <http://www.planalto.gov.br/legislacao>. Acesso em: 22 ago. 2000. BRASIL. Decreto n 5.683, de 24 de janeiro de 2006. Stio oficial da Presidncia da Repblica. Disponvel em <http://www.planalto.gov.br/legislacao>. Acesso em: 06 ago. 2009. BRASIL. Tribunal de Contas da Unio. Resoluo n 199, de 28 de dezembro de 2006. Disponvel em <http://portal2.tcu.gov.br/portal/page/portal/TCU/isc/legislacao_isc/RES2006_199.pdf>. Acesso em: 29 nov. 2009 BRASIL. Portaria n.o 570, de 11 de maio de 2007, aprova o Regimento Interno da ControladoriaGeral da Unio. Controladoria-Geral da Unio. Braslia, DF, 11 maio 2007. BRASIL. Tribunal de Contas da Unio. Portaria n 001, de 02 de abril de 2007. Secretaria de Fiscalizao de Tecnologia da Informao. Braslia, 2007. BRASIL. Instruo Normativa n 04, de 19 de maio de 2008. Secretaria de Logstica e Tecnologia da Informao do Ministrio do Planejamento, Oramento e Gesto. Braslia, DF, 04 maio 2008.

84 BRASIL. Tribunal de Contas da Unio. Acrdo n 1.603 - Plenrio. 2008. Levantamento do referencial estratgico da Secretaria de Fiscalizao de Tecnologia da Informao (Sefti). Braslia, 2008. BRASIL. Tribunal de Contas da Unio. Portaria N 003, de 25 de novembro de 2008. Secretaria de Fiscalizao de Tecnologia da Informao. Braslia, 2008. CONTROLADORIA-GERAL DA UNIO. Histrico da CGU. Disponvel em <http://www.cgu.gov.br/CGU/Historico/index.asp>. Acesso em: 30 set. 2009. GAO (1994). Government auditing standards: 1994 revision. Washington, 1994. GOOGLE. Google Docs. Disponvel em <http://www.docs.google.com>. Acesso em: 5 ago. 2009. HANASHIRO, Mara. 2007. Metodologia para Desenvolvimento de Procedimentos e Planejamento de Auditorias de TI aplicadas Administrao Pblica Federal. Dissertao de Mestrado Universidade de Braslia, Braslia, 2007. HANASHIRO, M. ; PUTTINI, R. S. Metodologia para Desenvolvimento de Procedimentos de Auditoria de Tecnologia da Informao Aplicada Administrao Pblica Federal Brasileira. Proceedings of 6th International Information and Telecommunication Technologies Symposium, Braslia, 2007. IT GOVERNANCE INSTITUTE. COBIT 4.1, Rolling Meadows, 2007. OFFICE OF GOVERNMENT COMMERCE. Informaes Oficiais sobre o ITIL. Disponvel em <http://www.itil-officialsite.com/home/home.asp>. Acesso em: 20 out. 2009. PROJECT MANAGEMENT INSTITUTE. A guide to the Project Management Body of Knowledge (PMBOK Guide), Quarta Edio, 2008. ROCHA, Rogrio Xavier. Proposta de Procedimento Simplificado de Auditoria de Gesto em Segurana da Informao em rgo do Poder Executivo Federal. Monografia (Aperfeioamento/Especializao em Gesto da Segurana da Informao e Comunicaes) Universidade de Braslia. Braslia, 2008. RODRIGUES, Jos Geraldo Loureiro. Wiki-GOV: Governana de TI para o Setor Pblico. <http://www.governanca.net> Acesso em: 23 nov. 2009. SECRETARIA DO TESOURO NACIONAL. Informaes sobre o SIAFI. Disponvel em <http://www.tesouro.fazenda.gov.br/SIAFI>. Acesso em: 25 out. 2009. SILVA, Carlos Alberto dos Santos. Diretrizes para Auditoria do Processo de Contratao de Tecnologia da Informao na Administrao Pblica. Dissertao de mestrado - Universidade Catlica de Braslia, Braslia, 2008. TRIBUNAL DE CONTAS DA UNIO. Manual de Auditoria de Natureza Operacional - TCU, Coordenadoria de Fiscalizao e Controle. Braslia, 2000.

85 TRIBUNAL DE CONTAS DA UNIO. Apostila do curso de TEORIA DA AUDITORIA. Braslia, fev. de 2004. TRIBUNAL DE CONTAS DA UNIO. Relatrio de Levantamento de Auditoria elaborado no mbito da Secretaria de Auditoria de Tecnologia da Informao SEFTI (Gastos em Tecnologia da Informao na Administrao Pblica Federal), TC n 007.972/2007-8. Braslia, 2008. TRIBUNAL DE CONTAS DA UNIO. Sumrio Executivo: Levantamento acerca da Governana de Tecnologia da Informao na Administrao Pblica Federal, 2008. Disponvel em <http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/sumarios>. Acesso em: 17 out. 2009. TRIBUNAL DE CONTAS DA UNIO. Sumrio Executivo: Levantamento do Referencial Estratgico da Secretaria de Fiscalizao de Tecnologia da Informao, 2008. Disponvel em <http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao/sumarios>. Acesso em: 10 out. 2009. TRIBUNAL DE CONTAS DA UNIO. Auditoria da Sefti alerta para situao preocupante da governana de TI. Informativo do Tribunal de Contas da Unio, ano XXIII, n 152, 27 nov. 2008. TRIBUNAL DE CONTAS DA UNIO. Fiscalizao de Tecnologia da Informao. Disponvel em <http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_informacao>. Acesso em: 13 ago. 2009.

86

APNDICE A QUESTIONRIO PARA SERVIDORES DA SFC COM CONHECIMENTOS NA REA DE TI

Prezados Colegas, Esse questionrio parte da etapa de elaborao do meu Trabalho de Concluso de Curso - TCC do curso de Especializao em Auditoria Interna e Controle Governamental, promovido conjuntamente pela Cmara dos Deputados, Advocacia-Geral da Unio, Controladoria-Geral da Unio e Tribunal de Contas da Unio. O tema desse TCC "Proposta de Modelo de Implementao de Auditoria de Tecnologia da Informao - TI no mbito da Controladoria-Geral da Unio". Os resultados advindos da aplicao desse questionrio subsidiaro a motivao para a proposta a ser apresentada. Para efeitos desse questionrio, considerar Auditoria de TI como sendo toda ao de controle realizada pela Coordenao que tenha como objetivo avaliar os processos de compra e de fornecimento para infra-estrutura de TI, a integridade dos registros (dados), a segurana da informao, a prestao de servios de informtica, a aquisio de softwares, entre outros. Ressaltase que a ao de controle no precisa ter uma Ordem de Servio formal para ser considerada Auditoria de TI. Os nomes dos colaboradores no sero divulgados. Caso no visualize o questionrio no corpo do e-mail, clique no link https://spreadsheets.google.com/viewform?formkey=dHJLdzZSZEZRMUJCelExR2ZvRXNmZnc6 MA para responder ao questionrio. Solicito que respondam s questes aqui apresentadas at o dia 02/10/2009. Desde j, agradeo pela colaborao e coloco-me disposio para fornecer qualquer informao adicional. Mara Hanashiro Analista de Finanas e Controle CGU/SFC/DS/DSSAU Ramal: 7307

Questionrio
1 Como pode ser classificada a necessidade de Auditoria de TI dentro do escopo da Coordenao? * Para efeito de avaliao, considerar Auditoria de TI como sendo qualquer ao de controle dentro da Coordenao que envolva anlise de um objeto de Tecnologia da Informao, independente de haver Ordem de Servio formalizada. ( ( ( ( ( ) Muito Baixa ) Baixa. ) Mdia. ) Alta. ) Muito Alta.

87 2 - Selecione as opes que melhor retratam a frequncia com que voc realizou as atividades a seguir no ltimo ano: * Nunca Auditoria Comum. Aes de controle com foco em TI. Trabalhos relacionados informtica, mas no Auditoria. ( ) ( ) Raramente ( ) ( ) Eventualmente ( ) ( ) Muitas vezes ( ) ( ) Sempre ( ) ( )

( )

( )

( )

( )

( )

3 - Na sua Coordenao, existem trabalhos genricos de Auditoria de TI? Exemplo: avaliao de um contrato de aquisio de softwares em uma Auditoria de Avaliao da Gesto. ( ) SIM ( ) NO Caso a resposta seja SIM, citar o(s) exemplo(s) mais relevante(s): ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ 4 - Na sua Coordenao, j foram realizados trabalhos especficos de Auditoria de TI, em que o objeto de TI o foco principal? Exemplo: anlise de grandes bases de dados em busca de duplicidades, avaliao de algum sistema corporativo, entre outros. ( ) SIM ( ) NO Caso a resposta seja SIM, citar o(s) exemplo(s) mais relevante(s), informando se houve ou no a emisso de Ordem de Servio para as aes citadas. Caso a resposta seja NO, apresentar sua opinio sobre as razes pelas quais tais trabalhos no sejam realizados. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ 5 - Classificar o nvel de maturidade da Auditoria de TI dentro da Coordenao: Classificao adaptada com base nos nveis de maturidade do COBIT (Control Objectives for Information and related Technology). ( ) 0 Inexistente. A Coordenao no reconhece a existncia de um processo de Auditoria de TI.

88 ( ) 1 Inicial /Ad-Hoc. H evidncias de que a Coordenao reconhece que o processo de Auditoria de TI existe e que as necessidades devem ser mapeadas. Entretanto, no h um processo padronizado e a execuo das aes de controle de TI feita caso a caso e baseada apenas nos processos genricos de auditoria da Secretaria Federal de Controle - SFC. ( ) 2 Repetvel, porm intuitivo. Os processos para a realizao de Auditoria de TI so estruturados e procedimentos similares so seguidos por diferentes indivduos para a mesma tarefa dentro da Coordenao. H forte dependncia do conhecimento individual e existe alguma documentao. ( ) 3 Definido. Os processos de Auditoria de TI so padronizados, documentados e comunicados dentro da Coordenao. Entretanto, deixa-se a cargo dos indivduos seguirem os processos. No h certeza de que eventuais desvios sero detectados. ( ) 4 Gerenciado. Existe a possibilidade de monitorar e medir a conformidade dos processos de Auditoria de TI com os procedimentos definidos dentro da prpria Coordenao. H aes para melhoria. ( ) 5 Otimizado. Os processos foram refinados at alcanarem as melhores prticas, com base no resultado de melhoria contnua e comparaes com outras organizaes e coordenaes. 6 - Quais as dificuldades enfrentadas para a realizao de Auditorias de TI? Marcar todas as que se aplicarem ao caso da Coordenao, mas apenas quando a opo realmente consistir em um fator dificultador para a realizao de aes de controle de TI. ( ( ( ( ( ( ( ( ( ( ( ) Tempo insuficiente para a realizao dos trabalhos. ) Falta de apoio da alta administrao. ) Falta de prioridade dentro da Coordenao. ) Falta de incentivo dentro da Coordenao. ) Deficincia na capacitao para esse tipo de auditoria. ) Deficincia nos procedimentos de Auditoria de TI. ) Deficincia de recursos tecnolgicos. ) Ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI. ) Falta de apoio tcnico sobre Auditoria de TI. ) Inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. ) Outros: ________________________________________

7 - Citar potenciais objetos de Auditoria de TI que ainda no sofrem ao de controle ou sofrem aes incipientes e as razes pelas quais deveriam ser escopo de auditorias: Exemplos de razes: grande materialidade, criticidade e/ou relevncia, entre outras. Se possvel, dar detalhes sobre o contexto do objeto e sobre os recursos financeiros envolvidos. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________

89 8 - No caso de existirem auditorias de TI na Coordenao, informar quais as referncias bibliogrficas, normas e bases legais utilizadas: ( ( ( ( ( ( ( ( ) COBIT. ) ITIL. ) LEI n 8.666/93. ) NBR ISO/IEC 27002:2005 (NBR ISO/IEC 17799:2005). ) LEI n 10.520/2002. ) Instruo Normativa n 04/2008. ) Acrdos do TCU. ) Outros: _______________________

9 - Citar ferramentas de auxlio na Auditoria de TI, caso sejam utilizadas. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________

Observaes Gerais
Se necessrio, acrescentar informaes adicionais acerca do assunto, de acordo com a realidade de sua Coordenao. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________

Informaes Bsicas do Entrevistado

Nome Completo: _______________________________________________________ * Ressalta-se que os nomes dos colaboradores no sero divulgados em nenhum momento desse trabalho. E-mail: _______________________________ _ Cargo: ________________________________ Ano de ingresso na carreira: __________ Coordenao: _________________________ * Usar a sigla. Por exemplo: DSSAU. Formao Acadmica: ___________________________

90

APNDICE B QUESTIONRIO PARA COORDENADORES-GERAIS DA SFC

Prezados Coordenadores, Esse questionrio parte da etapa de elaborao do meu Trabalho de Concluso de Curso - TCC do curso de Especializao em Auditoria Interna e Controle Governamental, promovido conjuntamente pela Cmara dos Deputados, Advocacia-Geral da Unio, Controladoria-Geral da Unio e Tribunal de Contas da Unio. O tema desse TCC "Proposta de Modelo de Implementao de Auditoria de Tecnologia da Informao - TI no mbito da Controladoria-Geral da Unio". Os resultados advindos da aplicao desse questionrio subsidiaro a motivao para a proposta a ser apresentada. O questionrio deve respondido, preferencialmente, por meio de entrevista a ser agendada de acordo com a disponibilidade de cada Coordenador. Caso no seja vivel, solicito a gentileza de respond-lo eletronicamente at o dia 02/10/2009. Para efeitos desse questionrio, considerar Auditoria de TI como sendo toda ao de controle realizada pela Coordenao que tenha como objetivo avaliar os processos de compra e de fornecimento para infra-estrutura de TI, a integridade dos registros (dados), a segurana da informao, a prestao de servios de informtica, a aquisio de softwares, entre outros. Ressaltase que a ao de controle no precisa ter uma Ordem de Servio formal para ser considerada Auditoria de TI. Os nomes dos colaboradores no sero divulgados. Caso no visualize o questionrio no corpo do e-mail, clique no link https://spreadsheets.google.com/viewform?formkey=dFhOc3hXQ1M1OEozcERHdDJLQ3lKS2c6 MA para responder ao questionrio. Solicito que respondam s questes aqui apresentadas at o dia 02/10/2009. Desde j, agradeo pela colaborao e coloco-me disposio para fornecer qualquer informao adicional. Mara Hanashiro Analista de Finanas e Controle CGU/SFC/DS/DSSAU Ramal: 7307

Questionrio
1 Como pode ser classificada a necessidade de Auditoria de TI dentro do escopo da Coordenao? * Para efeito de avaliao, considerar Auditoria de TI como sendo qualquer ao de controle dentro da Coordenao que envolva anlise de um objeto de Tecnologia da Informao, independente de haver Ordem de Servio formalizada. ( ) Muito Baixa ( ) Baixa.

91 ( ) Mdia. ( ) Alta. ( ) Muito Alta.

2 Existem servidores com conhecimentos em Tecnologia da Informao dentro da Coordenao? ( ) SIM ( ) NO Caso a resposta seja SIM, informar a quantidade desses servidores: _________ Caso a resposta seja SIM, informar o(s) nome(s) desse(s) servidore(s): ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ 3 - Na sua Coordenao, existem trabalhos genricos de Auditoria de TI? Exemplo: avaliao de um contrato de aquisio de softwares em uma Auditoria de Avaliao da Gesto. ( ) SIM ( ) NO Caso a resposta seja SIM, citar o(s) exemplo(s) mais relevante(s): ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ 4 - Na sua Coordenao, j foram realizados trabalhos especficos de Auditoria de TI, em que o objeto de TI o foco principal? Exemplo: anlise de grandes bases de dados em busca de duplicidades, avaliao de algum sistema corporativo, entre outros. ( ) SIM ( ) NO Caso a resposta seja SIM, citar o(s) exemplo(s) mais relevante(s), informando se houve ou no a emisso de Ordem de Servio para as aes citadas. Caso a resposta seja NO, apresentar sua opinio sobre as razes pelas quais tais trabalhos no sejam realizados. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ Caso a resposta seja SIM, se possvel, informar a quantidade de auditorias de TI realizadas no ano de 2008. ____________

92 5 - Escolher a opo que melhor represente o nvel de maturidade da Auditoria de TI dentro da Coordenao: Classificao adaptada com base nos nveis de maturidade do COBIT (Control Objectives for Information and related Technology). ( ) A Coordenao no reconhece a existncia de um processo de Auditoria de TI. ( ) H evidncias de que a Coordenao reconhece que o processo de Auditoria de TI existe e que as necessidades devem ser mapeadas. Entretanto, no h um processo padronizado e a execuo das aes de controle de TI feita caso a caso e baseada apenas nos processos genricos de auditoria da Secretaria Federal de Controle SFC. ( ) Os processos para a realizao de Auditoria de TI so estruturados e procedimentos similares so seguidos por diferentes indivduos para a mesma tarefa dentro da Coordenao. H forte dependncia do conhecimento individual e existe alguma documentao. ( ) Os processos de Auditoria de TI so padronizados, documentados e comunicados dentro da Coordenao. Entretanto, deixa-se a cargo dos indivduos seguirem os processos. No h certeza de que eventuais desvios sero detectados. ( ) Existe a possibilidade de monitorar e medir a conformidade dos processos de Auditoria de TI com os procedimentos definidos dentro da prpria Coordenao. H aes para melhoria. ( ) Os processos foram refinados at alcanarem as melhores prticas, com base no resultado de melhoria contnua e comparaes com outras organizaes e coordenaes.

6 - Quais as dificuldades enfrentadas para a realizao de Auditorias de TI? Marcar todas as que se aplicarem ao caso da Coordenao, mas apenas quando a opo realmente consistir em um fator dificultador para a realizao de aes de controle de TI. ( ( ( ( ( ( ( ( ( ( ) Tempo insuficiente para a realizao dos trabalhos. ) Falta de apoio da alta administrao. ) No uma prioridade dentro da Coordenao. ) Falta de servidores capacitados em Auditoria de TI. ) Deficincia nos procedimentos de Auditoria de TI. ) Deficincia de recursos tecnolgicos. ) Ausncia de uma linguagem comum ou padro dentro da SFC sobre Auditoria de TI. ) Falta de apoio tcnico sobre Auditoria de TI. ) Inexistncia de um ncleo consultivo de Auditoria de TI dentro da SFC. ) Outros: _______________________________________________________

7 - Citar potenciais objetos de Auditoria de TI que ainda no sofrem ao de controle ou sofrem aes incipientes e as razes pelas quais deveriam ser escopo de auditorias: Exemplos de razes: grande materialidade, criticidade e/ou relevncia, entre outras. Se possvel, dar detalhes sobre o contexto do objeto e sobre os recursos financeiros envolvidos.

93 ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________

Observaes Gerais
Se necessrio, acrescentar informaes adicionais acerca do assunto, de acordo com a realidade de sua Coordenao. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________

Informaes Bsicas do Entrevistado

Nome Completo: _______________________________________________________ * Ressalta-se que os nomes dos colaboradores no sero divulgados em nenhum momento desse trabalho. E-mail: _______________________________ Cargo: ________________________________ Ano de ingresso na carreira: __________ Coordenao: _________________________ * Usar a sigla. Por exemplo: DSSAU. Formao Acadmica: ___________________________ Oramento total previsto para 2009: _______________ Oramento de TI previsto para 2009: _________________ * Deixar em branco caso no seja possvel essa identificao.

94 APNDICE C ORGANOGRAMA COMPLETO DA SFC

95

ANEXO A ACRDOS DO TCU

A tabela abaixo apresenta os principais Acrdos do TCU envolvendo Tecnologia da Informao:

Deciso / Acrdo Deciso 669/1995 Plenrio Deciso 445/1998 Plenrio Deciso 957/1999 Plenrio
Deciso 1049/2000 Plenrio Deciso 295/2002 Plenrio Deciso 1098/2002 Plenrio Deciso 1380/2002 Plenrio Acrdo 38/2003 Plenrio Acrdo 94/2003 Plenrio Acrdo 1921/2003 Plenrio Acrdo 1558/2003 Plenrio Acrdo 1521/2003 Plenrio Acrdo 461/2004 Plenrio Acrdo 782/2004 1 Cmara Acrdo 2094/2004 Plenrio Acrdo 140/2005 Plenrio Acrdo 441/2005 1 Cmara Acrdo 2023/2005 Plenrio Acrdo 2138/2005 Plenrio Acrdo 562/2006 Plenrio Acrdo 786/2006 Plenrio Acrdo 914/2006 Plenrio Acrdo 1386/2006 Plenrio Acrdo 1663/2006 Plenrio Acrdo 71/2007 Plenrio Acrdo 1092/2007 Plenrio Acrdo 1480/2007 Plenrio Acrdo 1505/2007 Plenrio Acrdo 1999/2007 Plenrio Acrdo 1934/2007 Plenrio Acrdo 1603/2008 Plenrio Acrdo 2471/2008 Plenrio Acrdo 906/2009 Plenrio Acrdo 2812/2009 Plenrio

Assunto Auditoria nos sistemas de arrecadao da SRF Auditoria nos sistemas do FGTS Auditoria para verificao dos procedimentos preparatrios para se evitar problemas com o Bug do ano 2000 Auditoria de Segurana da Informao na Previdncia Social Auditoria no Sistema de Patrimnio da Unio Auditoria nos sistemas INSS e Dataprev Auditoria no Siafi Auditoria nos sistemas de loterias da Caixa Auditoria no Siape Auditoria na base de benefcios da Previdncia Social Problemas na Contratao de Servios de TI no MDIC Inadequao de compra de softwares por meio do Contrato Select da Microsoft Auditoria no Datasus Auditoria no Sistema de Pagamentos do Exrcito Entendimentos acerca da Contratao de Bens e Servios de TI Auditoria no Ministrio da Agricultura (insuficincia de RH de TI) Auditoria no Sistema Financeiro da Caixa Auditoria na Gesto de TI do MTE Uso do prego nas licitaes de TI Auditoria no Sistema de Doao de rgos Auditoria no MDIC (padres do novo modelo para contratao de TI) Auditoria no Sistema Fies (Educao) Auditoria no Governo Eletrnico Federal Auditoria no Sistema de Informaes Para Infncia e Adolescncia Auditoria na base Infoseg (Segurana Pblica) Auditoria nos sistemas de arrecadao da Infraero Recomendaes para o novo modelo para contratao de TI Auditoria no Mdulo de Consignaes do Siape Recomendaes para o novo modelo para contratao de TI Levantamento da legislao e jurisprudncia aplicveis s contrataes de servios de TI Levantamento acerca da Governana de TI na Administrao Pblica Federal Auditoria na Terceirizao de TI na Administrao Pblica Federal Auditoria no Cadastro nico do Programa Bolsa Famlia Auditoria no Sistema Informatizado de Controle de bitos da Previdncia Social