ESCOLA BRASILEIRA DE ADMINISTRAO PBLICA E DE EMPRESAS
CENTRO DE FORMAO ACADMICA E PESQUISA CURSO DE MESTRADO EM ADMINISTRAO PBLICA AUDITORIA DE TECNOLOGIA DA INFORMAO NA ADMINISTRAO PBLICA NO MBITO DOS MUNICPIOS DO ESTADO DO RIO DE JANEIRO. DISSERTAO APRESENTADA ESCOLA BRASILEIRA DE ADMINISTRAO PBLICA E DE EMPRESAS PARA OBTENO DO GRAU DE MESTRE GUSTAVO BASTOS MONTEIRO Rio de Janeiro-2008 FUNDAO GETULIO VARGAS ESCOLA BRASILEIRA DE ADMINISTRAO PBLICA E DE EMPRESAS CENTRO DE FORMAO ACADMICA E PESQUISA CURSO DE MESTRADO EM ADMINISTRAO PBLICA TTULO AUDITORIA DE TECNOLOGIA DA INFORMAO NA ADMINISTRAO PBLICA: O CASO DOS MUNICPIOS DO ESTADO DO RIO DE JANEIRO DISSERTAO DE MESTRADO APRESENTADA POR: GUSTAVO BASTOS MONTEIRO E APROVADO EM I I PELA COMISSO EXAMINADORA ALKETAPECI ......... PRODUO EL VIA MIRIAM CAVALCANTI FADUL PH.D EM URBANISME RESUMO A difuso das doutrinas de gerenciamento orientadas para resultados no Brasil tem levado as organizaes pblicas a realizarem investimentos relevantes em tecnologia da informao como um componente de transparncia para as aes governamentais e como suporte para a tomada de decises pelos gestores pblicos. O uso intensivo da informtica em um mundo cada vez mais interconectado expe a administrao pblica a novos tipos de ameaas e vulnerabilidades. Nesse contexto, as entidades de fiscalizao devem ampliar sua forma de atuao, realizando controles mais rigorosos por meio de tcnicas prprias de auditorias de tecnologia da informao, que visam assegurar a integridade e segurana dos dados que trafegam pelas redes e sistemas de informao. O objetivo da presente pesquisa consistiu em identificar as principais impropriedades associadas ao uso da informtica nas administraes municipais sob a jurisdio do TCE-RJ, por meio do estudo de caso de sua experincia na realizao de auditorias operacionais em tecnologia da informao. A pesquisa foi realizada com base na literatura e na anlise dos achados das auditorias de sistemas, mostrando que este tipo de auditoria tem contribudo para tornar a gesto pblica municipal mais eficiente, eficaz e transparente. Palavras-chave: auditoria de tecnologia da informao; auditoria de sistemas; auditoria operacional; tribunal de contas; nova administrao pblica. ABSTRACT The diffusion of results-oriented management doctrines has been leading the public organizations to make important investments in information technology as a component of transparency for government actions and support for decision- making by public administrators. The intensive use of information technology in an increasingly interconnected world exposes the government to new forms of threats and vulnerabilities. In this context, the Courts of Accounts must expand the scope of their acting, performing more stringent controls through specific technics in information technology (IT) audit to ensure the integrity and security of data that travei across networks and information systems. The purpose of this research consisted to identify main improprieties associated with the use of computers in the local public administrations under the jurisdiction of TCE-RJ, by means of the case study of its experience in the accomplishment of performance audit in information technology. The research is based on the literature and analysis of findings from systems audits, showing that this kind of audit has contributed to making local public administration more efficient, effective and transparent. Key-words: information technology audit, systems audit, performance audit, court of accounts, new public management. Dedico este trabalho A minha esposa Rosimere, doce companheira e amiga de todas as horas, que suportou minhas ausncias ao longo desta jornada, no deixando jamais de me apoiar. A minhas amveis filhas Julia, Leticia e Luiza pela fora de suas presenas em minha vida, dando sentido e motivao. A minhas avs Julieta (in memorian) e Guiomar pelo exemplo de vida que nortearam meu caminho. A meus pais Enir e Maria de Lourdes pelo amor e orientao dedicados em minha formao, fundamentais ainda hoje. A meus irmos Maria Fernanda e Marcelo pela amizade de todas as horas. AGRADECIMENTOS Primeiramente agradeo a Deus por tudo, pela fora e inspirao para superao de mais este desafio. Aos Conselheiros Jos Maurcio de Lima Nolasco e Jos Gomes Graciosa, que na condio de Presidentes do Tribunal de Contas do Estado do Rio de Janeiro, autorizaram e deram suporte para que a Instituio investisse na minha capacitao atravs do Mestrado. Agradeo de modo especial aos amigos e colegas de trabalho Carlos Eduardo H. F. de Lemos e Sergio Lino da Silva Carvalho, que me apoiaram nesta longa jornada, dando sugestes e, principalmente, me incentivando a nunca desistir. Aos colegas do Tribunal de Contas do Estado do Rio de Janeiro, especialmente Ora. Paula Alexandra Nazareth e Celso Henrique de Oliveira, pelo apoio de todas as horas e pela extrema compreenso. Prof. a Alketa Peci pela orientao e valiosas sugestes para a melhoria deste trabalho. Aos colegas da turma de mestrado, pelos momentos de estudo e dedicao compartilhados e pelas novas amizades conquistadas. Aos professores do mestrado em administrao pblica da Fundao Getlio Vargas pelos preciosos ensinamentos. LISTA DE QUADROS Pg. Quadro 1 - Comparao entre auditoria tradicional e auditoria de desempenho. 40 Quadro 2 - Diferenas entre auditoria tradicional e auditoria operacional ........... 42 Quadro 3 - Limitaes da auditoria operacional .................................................. 45 Quadro 4 - Aspectos tcnicos verificados nos editais e contratos ....................... 58 Quadro 5 - Controle de Segurana da Informao .............................................. 87 Quadro 6 - Categorias de anlise identificadas ................................................... 92 LISTA DE FIGURAS Pg. Figura 1 - Dimenses da Auditoria de Natureza OperacionaL ............................. 36 Figura 2 - reas de atuao da TI ........................................................................ 55 Figura 3 - Fases de uma auditoria operacional ................................................... 59 Figura 4 - Integrao de Negcios Arquitetura de Informaes ....................... 68 Figura 5 - Governana de TI e Gerenciamento de TI .......................................... 70 Figura 6 - reas de Domnio da Governana de TI ............................................. 72 Figura 7 - Integrao dos Modelos de Governana de TI.. .................................. 75 Figura 8 - Melhores prticas e padres abrangidos pelo COBIT 4.1 ................... 77 Figura 9 - Arquitetura de TI. ................................................................................. 78 Figura 10 - Framework do COBIT ....................................................................... 81 Figura 11 - Forma de Navegao nos processos do COBIT ............................... 82 Figura 12 - Modelo de Maturidade do COBIT. ...................................................... 83 LISTA DE TABELAS Pg. Tabela 1 : Freqncias das categorias de anlise ............................................... 93 LISTA DE GRFICOS Pg. Grfico 1 - Planejamento estratgico na rea de informtica falho ou inexistente ........................................................................................ 94 Grfico 2 - Polticas de segurana da informao falhas ou inexistentes ........... 97 Grfico 3 - Procedimentos de contingncia falhos ............................................. 99 Grfico 4 - Procedimentos de cadastramentos de usurios na rede de computadores e nos sistemas de informao realizados sem formalidade ..................................................................................... 101 Grfico 5 - Ausncia de poltica de senha forte na rede de computadores e nos sistemas de informao ........................................................... 103 Grfico 6 - Ausncia de campo especfico nos sistemas de informao para registro de nmero do processo administrativo em operaes crticas ............................................................................................ 1 04 Grfico 7 - Arquivos de log ausentes ou com registro falho nos sistemas de informao ...................................................................................... 106 Grfico 8 - Sistema de informao em desacordo com legislao especfica vigente ............................................................................................ 107 Grfico 9 - Divergncia entre os valores registrados no sistema de controle da arrecadao e no sistema de contabilidade .............................. 109 Grfico 10 - Impropriedades no instrumento contratual que ferem a legislao vigente, notadamente a Lei Federal nO 8.666/93 ........................... 110 Grfico 11 - No execuo ou execuo parcial do objeto contratado .............. 112 ABNT CEDAE ANOP CERDS CRFB CPD CPRH DASP DETRAN EFS GAO ILACIF INCOSAI INTOSAI IPERJ IRE LRF MARE NAO OCDE OLACEFS PrND PRODERJ SGSI TCE-RJ TCU TI LISTA DE SIGLAS ................ , Associao Brasileira de Normas Tcnicas ................ , Companhia Estadual de guas e Esgoto ................ , Auditorias de Natureza Operacional ................ ' Projeto de Aperfeioamento do Controle Externo com Foco na Reduo da Desigualdade Social ................ , Constituio da Repblica Federativa do Brasil ................ , Centro de Processamento de Dados ................ ' Agncia Estadual de Meio Ambiente e Recursos Hdricos ................ , Departamento Administrativo do Servio Pblico ................ ' Departamento de Trnsito ................ , Entidades de Fiscalizao Superiores ................ , United States Government Accountability Office ................ , Instituto Latino-Americano e do Caribe de Cincias Fiscalizadoras ................ , Congresso Internacional de Entidades Fiscalizadoras Superiores ................ , Organizao Internacional de Entidades Fiscalizadoras Superiores ................ , Fundo nico de Previdncia Social do Estado do Rio de Janeiro ................ , Inspetoria Regional de Controle Externo ................ ' Lei de Responsabilidade Fiscal ................ , Ministrio da Administrao Federal e Reforma do Estado ................ , National Audit Office ................ , Organizao para a Cooperao e o Desenvolvimento Econmico ................ , Organizao Latino-Americana e do Caribe de Entidades Fiscalizadoras Superiores ................ ' Programa Nacional de Desburocratizao ................ ' Centro de Tecnologia da Informao e Comunicao do Estado do Rio de Janeiro ................ , Sistema de Gesto da Segurana da Informao ................ ' Tribunal de Contas do Estado do Rio de Janeiro ................ , Tribunal de Contas da Unio ................ , Tecnologia da Informao SUMRIO 1. INTRODUO ...................................................................................................................................... 12 1.1 OBJETIVOS ................................................................................................................................... 14 1.2 DELIMITAO DO ESTUDO .................................................................................................... 15 1.3 RELEVNCIA DO ESTUDO ....................................................................................................... 16 2. CONTROLE DA ADMINISTRAO PBLICA ............................................................................. 18 2.1 CONTROLE INTERNO ................................................................................................................ 20 2.2 CONTROLE EXTERNO ............................................................................................................... 21 2.3 CONTROLES QUANTO AO MOMENTO ................................................................................. 22 3. AUDITORIA OPERACIONAL ........................................................................................................... 24 3.1 NOVA GESTO PBLICA E A AUDITORIA OPERACIONAL ............................................ 24 3.2 AUDITORIA OPERACIONAL: EVOLUO HISTRICA ................................................... 29 3.3 ASPECTOS GERAIS DA AUDITORIA OPERACIONAL. ....................................................... 32 3.4 COMPARAO ENTRE A AUDITORIA OPERACIONAL E A AUDITORIA TRADICIONAL ......................................................................................................................................... 39 3.5 LIMITAES DA AUDITORIA OPERACIONAL .................................................................. .43 4. AUDITORIA DE TI ............................................................................................................................... 47 4.1 DEFINIO DE AUDITORIA DE TI ........................................................................................ .47 4.2 A IMPORTNCIA DA AUDITORIA DE TI .............................................................................. .48 4.3 A AUDITORIA DE TI NO TCE-RJ .............................................................................................. 49 4.4 DIFICULDADES IMPLEMENTAO DE AUDITORIA DE TI NA ADMINISTRAO PBLICA .................................................................................................................................................... 52 4.5 REAS DE ATUAO ................................................................................................................. 54 4.6 ETAPAS DA AUDITORIA DE TI NO TCE-RJ .......................................................................... 59 4.7 METODOLOGIA DE AUDITORIA DE TI ADOTADA PELO TCE-RJ ................................. 65 5. GOVERNANA DE TECNOLOGIA DA INFORMAO .............................................................. 67 5.1 DIFERENA ENTRE GOVERNANA DE TI E GERENCIAMENTO DE TI.. ..................... 69 5.2 DOMNIOS DA GOVERNANA DE TI ..................................................................................... 71 5.3 MODELOS PARA SUPORTE A GOVERNANA TI.. .............................................................. 73 6. METODOLOGIA .................................................................................................................................. 88 6.1 TIPO DE PESQUISA ..................................................................................................................... 88 6.2 UNIVERSO E AMOSTRA ............................................................................................................ 89 6.3 COLETA DE DADOS .................................................................................................................... 90 6.4 TRA T AMENTO DOS DADOS ..................................................................................................... 90 6.5 LIMITAES DO MTODO ...................................................................................................... 91 7. PESQUISA .............................................................................................................................................. 92 8. CONCLUSO ...................................................................................................................................... 113 9. REFERNCIAS BIBLIOGRFICAS ............................................................................................... 119 ANEXO A: LEGISLAO DE CONTROLE .......................................................................................... 126 ANEXO B: LEGISLAO APLICVEL TI ....................................................................................... 127 ANEXO C: TABELA COBIT ..................................................................................................................... 128 ANEXO D: MATRIZ DE PLANEJAMENTO .......................................................................................... 129 12 1. INTRODUO o fenmeno do desenvolvimento da auditoria operacional como modalidade de controle nas ltimas dcadas est relacionado a um conjunto de mudanas advindas da crise global do capitalismo ocorrida no final do sculo XX que afetaram um grande nmero de pases desenvolvidos e a maioria dos pases perifricos. No Brasil, a crise do Estado, como conhecido o fenmeno, caracterizou-se como uma crise do Estado desenvolvimentista, em que o Estado foi sempre o indutor do desenvolvimento, por meio de uma enorme interveno direta na economia. No decorrer dos anos 90, com a crescente democratizao do pas, desenvolveram-se as medidas para reduzir o intervencionismo estatal, por intermdio de reformas como a privatizao, a liberalizao comercial e a abertura da economia. o fenmeno da mudana de paradigma no controle da atividade estatal teve propores mundiais, como natural na era da globalizao. As Entidades Fiscalizadoras perceberam a necessidade de extrapolar a atividade de verificao da legalidade e regularidade das contas pblicas por informaes e anlises independentes acerca dos programas e projetos governamentais. o Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ), rgo de controle externo ligado ao Poder legislativo, vem tradicionalmente exercendo um controle de natureza formal, que consiste na verificao da regularidade da execuo dos gastos pblicos, da legalidade dos atos administrativos e da fidedignidade dos demonstrativos financeiros. Essa forma de atuao corresponde ao modelo tradicional adotado no mundo capitalista e reflete a presena dominante da organizao burocrtica na administrao pblica. Contudo, as transformaes que vem sofrendo a sociedade moderna, principalmente com o fenmeno da globalizao, que enfraqueceu a posio dos governos no controle dos fluxos financeiros e comerciais, impem modificaes 13 na forma de agir do Estado em relao s polticas pblicas implementadas. O Estado deve agir como mediador entre o mercado e a sociedade, devendo garantir a implantao de polticas pblicas que visem a minimizar as diferenas econmicas gritantes entre uma minoria abastada e uma maioria sem acesso educao e sem condies de se inserir no mercado de trabalho. Nesse contexto, a atuao do TCE-RJ fundamental, pois como rgo fiscalizador do governo do estado e dos municpios, vem ampliando sua atuao, de forma a avaliar a qualidade dos servios prestados pela administrao pblica, buscando orientar e redirecionar sua atuao. Atualmente, as organizaes pblicas tm feito um uso cada vez mais intenso de Tecnologia da Informao (TI) como ferramenta de suporte s suas atividades. O tratamento das informaes, conhecido como Tecnologia da Informao, Informtica ou Sistemas de Informao, faz parte de toda cadeia de processos da organizao, tendo se tornado componente crtico do planejamento, controle e execuo das polticas pblicas. Surge da a necessidade de se realizar procedimentos de auditoria em ambientes de TI para avaliar a eficcia dos controles aplicados sobre sistemas de informaes em processamento eletrnico de dados. O TCE-RJ realiza desde 1999 inspees operacionais em Tecnologia da Informao (TI), com o objetivo de verificar o ambiente operacional dos sistemas de informao, sob a tica da contingncia e segurana da informao, e auditar um sistema aplicativo especfico, buscando a preveno e deteco de fraudes informatizadas, bem como o aperfeioamento dos controles lgicos existentes. O propsito desta pesquisa consistiu em investigar a contribuio do TCE-RJ, por meio da auditoria da Tecnologia da Informao (TI), para o aperfeioamento da gesto pblica. Em nvel prtico, buscou-se verificar os achados de auditoria mais comuns, resultantes das inspees de carter operacional em Tecnologia da Informao realizadas pelo TCE-RJ, no mbito das administraes municipais do estado do Rio de Janeiro. 14 Os dados analisados, aqui denominados impropriedades e deficincias, consistem nos principais achados de auditoria obtidos nas inspees operacionais em TI nos municpios e referem-se a aspectos negativos da administrao na rea de informtica, como prticas antieconmicas, ineficcia, ineficincia, desperdcios, uso indevido de recursos, gastos inadequados e descumprimento de leis e outras normas. Sendo assim, o presente estudo visa responder seguinte questo: Quais as principais impropriedades no uso da Tecnologia da Informao verificadas pelo TCE-RJ nas administraes municipais sob sua jurisdio? 1.1 OBJETIVOS Objetivo Final Evidenciar as principais impropriedades constatadas nas auditorias de natureza operacional em TI realizadas pelo TCE-RJ nas administraes municipais sob sua jurisdio. Objetivos Intermedirios A. Definir o que auditoria operacional; B. Identificar na literatura disponvel as normas, padres e legislao aplicveis auditoria de natureza operacional em TI; C. Descrever a metodologia de auditoria de TI utilizada nas inspees realizadas pelo TCE-RJ em mbito municipal; D. Identificar e analisar os principais achados de auditoria das inspees realizadas pelo TCE-RJ na rea de TI luz das principais normas adotadas pelas Entidades de Fiscalizao Superiores (EFS). 15 1.2 DELIMITAO DO ESTUDO Diante da ampla rea de atuao do TCE-RJ, que engloba a estrutura do governo do Estado do Rio de Janeiro, com suas diversas secretarias e rgos da administrao indireta e empresas de economia mista, assim como os diversos municpios do Estado do Rio, com exceo da capital, faz-se necessria uma delimitao do escopo de atuao do estudo. Com a importncia dada pela Constituio de 1988 aos municpios, elevados a entes da federao, bem como por serem estes as instituies pblicas mais prximas do cidado, conhecendo como ningum a realidade circundante, o estudo pretende restringir-se na avaliao, por parte do TCE-RJ, da utilizao da Tecnologia da Informao como ferramenta estratgica de apoio s administraes municipais para a consecuo de suas atividades. Os municpios partilham parcelas de impostos federais e estaduais, existindo vrias polticas sociais, particularmente nas reas de sade e educao fundamental, que contam com diretrizes e recursos federais, mas so implementadas principalmente pelos municpios. Estes entes federados dependem cada vez mais do uso intensivo de TI para realizar o controle tanto do planejamento quanto da execuo de tais polticas. O estudo pretende evidenciar as principais deficincias relacionadas utilizao de TI pelos municpios do estado do Rio de Janeiro nos aspectos ligados gesto, execuo, segurana da informao e gerenciamento de contratos relativos a bens e servios de informtica. Os municpios foram selecionados para a pesquisa de forma a abranger as principais regies do estado do Rio de Janeiro, com base na diviso utilizada pelo TCE-RJ para o exerccio do controle externo em mbito municipal. Para tal fim, o TCE-RJ divide o estado em sete grandes regies, agrupando municpios de uma mesma rea geogrfica sob a jurisdio de uma Inspetoria Regional de Controle Externo (IRE). 16 Pretende-se, com esse estudo, expor a importncia das auditorias de TI para a melhoria na qualidade da gesto do ambiente de informtica das administraes municipais. 1.3 RELEVNCIA DO ESTUDO o quadro de extrema desigualdade social que caracteriza a sociedade brasileira atual aliado incapacidade do Estado em reverter essa situao impe s entidades fiscalizadoras um papel cada vez mais importante no apoio s administraes pblicas, no que tange ao aperfeioamento da gesto e, notadamente, neste trabalho, na gesto de polticas de TI. A sociedade brasileira cobra mais resultados dos organismos governamentais, que dependem cada vez mais da Tecnologia da Informao para o suporte s atividades da mquina administrativa. A gesto de TI passa a ser fundamental para que os gestores pblicos possam realizar o planejamento, controle e a efetiva execuo das polticas pblicas de que a sociedade brasileira tanto necessita, porque traz mais flexibilidade e transparncia aos processos. Faz-se necessrio, portanto, avaliar a forma como as administraes pblicas municipais vm utilizando a Tecnologia da Informao como instrumento de apoio a suas atividades, buscando verificar a qualidade dos servios prestados e identificar deficincias que obstaculizam sua operao de forma eficiente, eficaz e efetiva. Nesse contexto, a atuao dos diversos Tribunais de Contas fundamental, pois so eles os rgos encarregados de realizar o Controle Externo da gesto dos recursos pblicos. A auditoria operacional ganha tambm grande destaque, visto que um de seus objetivos o aprimoramento da qualidade do servio pblico. Ao detectar deficincias nessa rea e alertar sobre a necessidade de san-Ias, o auditor estar alcanando estes objetivos. 17 A relevncia deste trabalho reside no fato de mostrar que a adoo definitiva da auditoria de Tecnologia da Informao pelo Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ) ir contribuir para uma melhoria da gesto pblica municipal, ao evidenciar deficincias relativas ao uso da informtica e orientar sua atuao em direo s prticas adotadas pelo mercado. o TCE-RJ, ao realizar auditorias de cunho operacional em TI, est, em ltima instncia, realizando uma aproximao maior com a sociedade, respondendo prontamente aos anseios desta por melhor qualidade dos servios pblicos. 18 2. CONTROLE DA ADMINISTRAO PBLICA Controle a funo administrativa que tem por finalidade observar se os fatos se passaram de acordo com o que a administrao determinou. (SOUZA, 2006). No setor pblico, o controle tem como principal funo, entre outras, a busca de melhores resultados pelas administraes pblicas. O controle administrativo, segundo Carvalho Filho (2005), representa o conjunto de mecanismos administrativos e jurdicos por meio dos quais se exerce o poder de fiscalizao e de reviso da atividade administrativa em qualquer das esferas de Poder. Dessa forma, o controle da administrao est fulcrado nas normas elaboradas pelos representantes do povo, estabelecendo tipos e modos de controle de toda atuao administrativa, para a defesa da prpria administrao e dos direitos inerentes a todos os administrados. Segundo discorre Silva (2001), o controle do Estado, em termos genricos, ocorre por meio da separao e independncia dos poderes, conforme previsto no artigo 2. da Constituio da Repblica Federativa do Brasil, e que foram concebidos originariamente por Montesquieu, por meio de um sistema de freios e contrapesos. Afora este artigo, existem outros, na CRFB de 1988, que tratam do controle das aes do Estado e dos seus gestores (de recursos pblicos), quando imbudos de suas atribuies. Salienta-se que este controle compreende no somente atos do poder Executivo, bem como dos demais poderes, como gestores de atividades administrativas. Para Di Pietro (2001), o controle na administrao pblica definido como o poder de fiscalizao e correo que sobre ela exercem os rgos dos poderes Judicirio, Legislativo e Executivo, com o objetivo de garantir a conformidade de sua atuao com os princpios que lhes so impostos pelo ordenamento jurdico. Este conceito formal est balizado pelos princpios constitucionais previstos no artigo 37 da CRFB, a saber: legalidade, impessoalidade, moralidade, publicidade e eficincia. Este ltimo foi adicionado pela Emenda Constitucional n.O 19, de 04 de junho de 1998. 19 Na viso de Meirelles (2003, p. 636), controle em tema de administrao pblica tem a seguinte abordagem: o controle administrativo pode ser exercido pelos prprios rgos internos da Administrao (controle hierrquico propriamente dito) como por rgos externos incumbidos do julgamento dos recursos (tribunais administrativos) ou das apuraes de irregularidades funcionais (rgos correcionais). Todos eles, entretanto, so meios de controle administrativo. (MEIRELLES, 2003, p. 637). A Constituio Federal adotou dois sistemas de controle para a administrao pblica, quais sejam: o Controle Interno, realizado pelos prprios rgos estatais, ou seja, exercido pelo rgo controlador dentro da estrutura burocrtica que pratica os atos sujeitos ao seu controle; e Controle Externo, quando o rgo controlador situa-se externamente ao rgo controlado, mais precisamente realizado pelo Poder Legislativo com o auxlio do Tribunal de Contas. Observemos o que a Constituio Federal brasileira dispe sobre o assunto: Art. 70: A fiscalizao contbil, financeira, oramentria, operacional e patrimonial da Unio e das entidades da administrao direta, indireta, quanto legalidade, legitimidade, economicidade, aplicao de subvenes e renncia de receitas, ser exercida pelo Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada poder. Art. 71: O controle externo, a cargo do Congresso Nacional, ser exercido com o auxlio do Tribunal de Contas da Unio. (BRASIL, 1988) A Lei Complementar nO 101/2000, conhecida como Lei de Responsabilidade Fiscal (LRF), veio coroar, por meio de normas, toda a ao da administrao pblica, exigindo-lhe metas, prioridades e eficincia, fazendo com que o gestor direcione seus projetos e atividades s necessidades da comunidade. Por meio do Relatrio Resumido de Execuo Oramentria e Financeira e Relatrio de Gesto Fiscal, os controles interno e externo verificaro periodicamente a observncia dos limites e condies da LRF. Os referidos demonstrativos ensejam o controle simultneo da execuo oramentria. FUNDAO GETULIO VARGAS Biblioteca Mrio Henrique Simonsen 20 Os Tipos de Controle variam segundo o Poder, rgo ou autoridade que o exercita e o momento de sua efetivao: - Interno: realizado pela entidade ou rgo responsvel pela atividade controlada (mbito interno). - Externo: realizado por rgo estranho Administrao. - Prvio ou preventivo: antecede a concluso ou operatividade do ato, requisito de sua eficcia. Ex: a liquidao da despesa, para oportuno pagamento. - Concomitante ou sucessivo: acompanha a realizao do ato para verificar a regularidade de sua formao. Ex: realizao de auditoria durante a execuo do oramento. - Subseqente ou corretivo: efetivado aps a concluso do ato controlado, visando s devidas correes. Ex: a homologao do julgamento de uma concorrncia. 2.1 CONTROLE INTERNO Gasparini (1989) se refere ao controle interno como autocontrole, que exercido pelos rgos dos trs Poderes sobre suas prprias atividades, visando ratific-Ias ou desfaz-Ias, conforme sejam ou no legais, oportunas, convenientes e eficientes. E afirma que interno porque tanto o rgo controlador como o controlado integram a mesma organizao. Controle interno, segundo Meirelles (2003, p. 638), todo aquele realizado pela entidade ou rgos responsveis pela atividade controlada, no mbito da prpria Administrao. Assim, qualquer controle efetivado pelo Executivo sobre seus servios ou agentes considerado interno, como interno ser tambm o controle do Legislativo ou do Judicirio, por seus rgos de administrao, sobre seu pessoal e os atos administrativos que pratique. 21 o Controle Interno desenvolve-se de forma ininterrupta, principalmente na esfera do Poder Executivo, onde se situa parcela considervel das atividades administrativas bsicas, e envolve a atividade-meio (organizao e expedientes administrativos) e a atividade-fim (servios pblicos, poder de polcia, fomento). Rene, tambm, as atividades administrativas que servem de suporte aos Poderes Legislativo e Judicirio, bem como as atividades de outras instituies dotadas de autonomia, como o Tribunal de Contas e o Ministrio Pblico. Abrange, ainda, o exerccio das atividades delegadas pelo poder pblico aos particulares, como no caso das concesses e permisses de servios pblicos. 2.2 CONTROLE EXTERNO Para melhor entendimento do conceito de controle externo, MEIRELLES (2003, p. 632), define-o como a "faculdade de vigilncia, orientao e correo que um poder ou rgo ou autoridade exerce sobre a conduta funcional de outro, com objetivo de garantir a conformidade de sua atuao com os princpios que lhe so impostos pelo ordenamento jurdico" Silva (1989) afirma que o exerccio do controle externo, consubstanciado na fiscalizao contbil, financeira, oramentria, patrimonial e operacional coerente com o Estado Democrtico de Direito: ( ... ) somente quando vigem os princpios democrticos em todas as suas conseqncias - e entre elas das mais importantes a consagrao da diviso de poderes - e o oramento votado pelo povo atravs de seus legtimos representantes, que as finanas, de formal, se tornam substancialmente pblicas, e a sua fiscalizao passa a constituir uma irrecusvel prerrogativa da soberania. (SILVA, 1989, p. 627). As entidades governamentais de direito pblico interno ou de direito privado, portanto, esto obrigadas a se organizar a fim de atender s suas finalidades precpuas e s determinaes legais e constitucionais. o Tribunal de Contas, ainda que integre o Poder Legislativo, conforme determinao expressa no artigo 71 da Constituio Federal, exerce o papel de 22 fiscalizao como controle externo, cuja funo precpua verificar se a administrao pblica ou seus representantes esto obedecendo aos princpios de legalidade, impessoalidade, moralidade, publicidade e eficincia, consoante estabelece a Constituio Federal. o sistema de tribunais de contas brasileiros formado pelo Tribunal de Contas da Unio (TCU), Tribunal de Contas do Distrito Federal (TCDF), 26 tribunais de contas estaduais (TCE) e seis tribunais de contas com jurisdio municipal (TCM), totalizando 34 rgos. Os Tribunais de Contas do Estado tm jurisdio na administrao pblica do respectivo estado e da totalidade dos seus municpios, excetuados os seguintes casos: Bahia, Cear, Par e Gois, que possuem um tribunal de contas com jurisdio apenas sobre a administrao estadual (TCE) e um tribunal com jurisdio em todos os seus municpios (TCM); So Paulo e Rio de Janeiro, cujas capitais possuem tribunais de contas especficos (TCM), enquanto os TCE tm jurisdio na administrao pblica estadual e dos demais municpios do Estado. Em seu art. 31, 4, a Constituio Federal de 1988 vedou a criao de novos tribunais, conselhos ou rgos de contas municipais. 2.3 CONTROLES QUANTO AO MOMENTO Segundo Silva (2001), quanto forma do controle no momento do seu exerccio, a fiscalizao dos atos praticados pelo administrador pode ser a priori, concomitante ou a posteriori. No controle a priori, as aes de controle e avaliao acontecem antes da ocorrncia do evento ou fato que se pretende controlar, com o intuito de prevenir ou impedir o sucesso de atos indesejveis como erros, desperdcios ou 23 irregularidades. Neste tipo de controle, o ato tem sua eficcia suspensa at ser submetido anlise e aprovao formal do rgo de controle. No controle concomitante, a verificao do ato conjunto ao do administrador. Tem a finalidade de detectar erros, desperdcios ou irregularidades, no momento em que eles ocorrem, permitindo a adoo de medidas tempestivas de correo. Dessa forma, ajusta-se o desempenho ainda em andamento, a fim de se conseguir o objetivo. Uma das vantagens na sua utilizao o ato tido como irregular poder ser abortado durante a sua consecuo, impedindo maiores prejuzos ao errio. o controle a posteriori aprecia o ato aps a sua consumao, no permite qualquer ao corretiva relativamente ao desempenho completado, embora funcione como um mecanismo motivador, uma vez que uma variao desfavorvel, informada por meio de relatrios gerenciais, leva o gestor a implementar aes para corrigir o desempenho de sua rea ou da organizao, no futuro. A reparao do dano e a restaurao do status quo ante torna-se difcil. No Brasil, a nfase no modelo gerencial ou ps-burocrtico para a administrao pblica se deu com a elaborao do Plano Diretor da Reforma do Aparelho do Estado em 1995, o qual incorporou as bases da administrao pblica gerencial - ou Nova Administrao Pblica (New Public Management) , valendo-se das experincias de outros pases, com o objetivo de tornar a administrao pblica mais eficiente. Esta reforma administrava tambm alterou a forma de controle dos recursos pblicos , deslocando o seu enfoque dos meios (processos) para os fins (resultados), visando o aumento da satisfao dos usurios e dos nveis de eficincia, com base nas experincias anglo-americana do managerialism, consumerism e public service orientation (MNACO, 2007). 24 3. AUDITORIA OPERACIONAL Este captulo examina, de incio, os desafios para o novo gerencialismo pblico e a importncia da auditoria operacional nesse contexto. Em seguida, aborda as principais questes relacionadas adoo da auditoria operacional pela administrao pblica. Primeiramente, traa-se um panorama histrico de sua adoo pelas EFS no mundo e no Brasil. Em seguida, so mostradas as diversas definies de auditoria operacional adotadas pelas EFS e autores do assunto. apresentada uma comparao entre a auditoria dita tradicional, como conhecido o tipo de auditoria comumente adotado pelas EFS, e a auditoria operacional. Por fim, o captulo termina com uma anlise dos entraves que dificultam a adoo da auditoria operacional pelas EFS, abordando especificamente as particularidades dos tribunais de contas brasileiros. 3.1 NOVA GESTO PBLICA E A AUDITORIA OPERACIONAL A segunda metade do sculo XX foi um perodo de significativas transformaes tecnolgicas, sociais e econmicas e que se destaca pelo predomnio do conhecimento e da informao. A partir dessas transformaes, foram impostos novos padres de gesto s organizaes pblicas e privadas, devido ao incio de um processo de reestruturao produtiva apoiado no desenvolvimento cientfico e tecnolgico e na globalizao dos mercados. Nesse cenrio, a capacidade de implementar formas flexveis de gesto que possam fazer face s mudanas do mundo contemporneo se torna um consenso entre estudiosos da teoria organizacional como a melhor forma de uma instituio obter o sucesso (GUIMARES, 2000). Bresser Pereira (1998) destaca como desafio para a nova administrao pblica a transformao de estruturas burocrticas, hierarquizadas, com tendncias ao insulamento, em organizaes flexveis e empreendedoras. Essa transformao implicaria a racionalizao das organizaes pblicas atravs da adoo de padres de gesto desenvolvidos para o ambiente das empresas privadas devidamente adaptados natureza e necessidades do setor pblico. 25 A dcada de 1980 foi marcada por um grande crescimento do interesse em modificar o setor pblico, decorrente do processo de reforma do Estado pelo qual o Brasil atravessava. Faria (2005) destaca como propsitos no desenho da reforma do Estado a adoo de uma perspectiva de conteno dos gastos pblicos, da busca de melhoria da eficincia e da produtividade, do aumento da flexibilidade gerencial e da capacidade de resposta dos governos, buscando obter o mximo de transparncia na gesto pblica e de responsabilizao dos gestores priorizando o cidado, visto como "consumidor" de bens e servios do governo. De acordo com Faria (2005), o controle governamental, durante o perodo burocrtico, no se mostrou capaz de atender aos anseios da sociedade organizada quanto s prestaes de contas dos recursos pblicos aplicados pelos gestores. Os trabalhos se restringiam s anlises do aspecto contbil, com observncia rigorosa do cumprimento da legalidade e normatividade, demonstrando uma viso limitada por apresentar um carter formal e punitivo. Outro aspecto que predominava na administrao pblica burocrtica era o enfoque em processos, no se preocupando com a anlise do desempenho das organizaes e o atingimento das metas e dos resultados dos programas. Em palestra proferida no Congresso dos Tribunais de Contas do Brasil o ento ministro Nelson Jobim afirma que: O dficit pblico forou a adoo de um novo modelo de controle pelo Poder Pblico apontando para uma perspectiva de se verificar a eficincia no servio pblico. evidente a necessidade de se examinar o grau de alcance das metas dos programas (juzo de resultados) pois j no mais satisfaz apenas o acompanhamento dos processos.(JOBIM, 2005) Com o desenvolvimento dessa nova filosofia de administrao pblica por meio do modelo gerencial, ou ps-burocrtico, a funo do controle governamental passa a ser discutida como instrumento de grande relevncia para que o Estado possa efetivamente garantir que os conceitos de eficincia e eficcia, propostos pelo paradigma gerencial, possam ser seguidos. 26 o paradigma gerencial estabelece para o controle governamental um novo escopo na anlise dos gastos pblicos, cuja nfase passa a ser nos resultados alcanados, passando a inserir a perspectiva da transparncia das aes governamentais, atravs da disponibilizao de mecanismos que possibilitem a fiscalizao dos atos dos gestores pblicos. A administrao gerencial requer, por parte dos rgos e entidades da administrao pblica, uma viso e misso estratgica bem definidas, os objetivos de longo prazo em funo das metas, estabelecimento de metas de longo prazo, assim como de metas anuais de desempenho, as quais sero mensuradas atravs de indicadores desenvolvidos para esse propsito e tambm para contribuir para a melhoria da efetividade dos programas (NUNES, 2004). Carneiro (2002) comenta acerca de outra modificao introduzida na administrao pblica que foi a mudana de papel dos chamados administradores pblicos para gerentes ou gestores pblicos a fim de satisfazer s exigncias de um novo perfil gerencial de articulador e empreendedor, diferentemente do papel de supervisor ou administrador. So estabelecidos novos valores gerenciais: a primazia do cliente; a diversidade e flexibilidade; as habilidades multidimensionais; a delegao em lugar do controle e o gerente como um orientador focado em resultados. As mudanas de paradigmas do modelo de Estado e de sua administrao ocasionadas pelas transformaes da ps-modernidade impulsionaram o desenvolvimento da auditoria operacional como modalidade de controle. A implantao da administrao gerencial no setor pblico tida como o fator responsvel pelo surgimento das auditorias voltadas para resultados. Associada a esse fator passa a existir uma demanda crescente da sociedade pela responsabilizao dos agentes polticos, isto , por maiores nveis de accountability1 . importante tambm destacar que a implantao progressiva da administrao gerencial est freqentemente associada expanso e sofisticao 1 Accountability segundo Campos (1990) no possui traduo literal na lngua portuguesa mas pode-se afirmar que representa o compromisso tico e legal de se responder por uma responsabilidade delegada. 27 dos sistemas de informao, nfase no planejamento e implantao de critrios de desempenho para os rgos e entes pblicos, o que colaborou para o desenvolvimento das auditorias voltadas para resultados (NUNES, 2004). Organizaes internacionais, a exemplo da Organizao Internacional de Entidades de Fiscalizao Superiores - INTOSAI, vm buscando padronizar estruturas e processos de controle interno, baseados na eficincia e na efetividade, objetivando garantir a transparncia no controle dos resultados dos dispndios pblicos. No contexto da reforma do Estado, vrios so os debates acerca da forma como o controle externo pode contribuir para o aumento da responsabilizao dos agentes pblicos, para o aperfeioamento das aes do governo e para o fornecimento de informaes confiveis sociedade. Como resposta, desenvolve- se no mbito das Entidades de Fiscalizao Superiores (EFS 2 ) um tipo de fiscalizao - a auditoria operacional - que focaliza o mrito da ao pblica ao invs de priorizar a conformidade dos procedimentos de gesto. Barzelay (2002) coloca que a auditoria operacional reconhecida por pesquisadores e pelas EFS de alguns pases como o instrumento adequado para se formar juzo acerca do mrito da ao pblica. Desse modo, se uma EFS possui competncia para examinar a eficincia, a efetividade, a legitimidade da ao pblica, a ferramenta utilizada para exercer esse poder-dever a auditoria de desempenho, mesmo em pases onde a burocracia ctica quanto a doutrinas administrativas orientadas para desempenho, como Frana e Alemanha. Segundo Pollit (1999), aps o estudo que realizou em EFS de cinco pases (Inglaterra, Sucia, Dinamarca, Finlndia e Frana), inegvel a existncia de uma interface 3 entre auditoria de desempenho e reformas administrativas, pois, a maior parte das iniciativas de reforma administrativa dos pases que pesquisou mudou a nfase no controle de insumos e processos para novas formas de controle baseadas na medida dos resultados e impactos. Pollit (1999) ainda cita Power (1997) para evidenciar que o desenvolvimento da gesto 2 EFS o nome pelo qual so conhecidas no mundo as organizaes de controle externo 3 Interface- meio que promove a comunicao ou interao entre dois ou mais grupos (FERREI RA, 1999: 1124) I 28 do setor pblico e o desenvolvimento da auditoria de desempenho originam-se do mesmo conjunto de valores e esto entrelaados no mbito da mesma reforma tica. Segundo a Controladoria Geral dos Estados Unidos da Amrica (United States Govemment Accountability Office - GAO), os legisladores, os dirigentes do governo e o pblico em geral buscam no apenas informaes sobre os servios pblicos e a observncia quanto eficincia, efetividade, economia e conformidade com as leis e regulamentos oficiais, mas tambm querem saber se os programas de governo esto alcanando seus objetivos e resultados propostos e a que custo (GAO, 2005). As auditorias operacionais proporcionam avaliao independentemente do desempenho e da gesto dos programas de governo confrontados com critrios objetivos ou avaliaes das melhores prticas e outras informaes, sugerindo recomendaes para a melhoria dos programas com a introduo de aes corretivas, auxiliando o processo de deciso, melhorando o monitoramento da gesto, enfim contribuindo para a accountability pblica (GAO, 2005). Derlien (2001) observou que dentro do contexto de avaliao das polticas pblicas, em conjunto com o movimento do New Public Management, os atores principais no so mais os administradores dos programas de governo, mas os escritrios de auditoria, os Ministrios da Fazenda e as unidades centrais. Com isso, os avaliadores passam a ser os auditores cujos trabalhos buscam enfocar a medio dos resultados. Assim, valores como eficincia, eficcia, efetividade e economicidade passaram a ter papis relevantes, tornando-se parmetros norteadores no processo de redefinio da estrutura do Estado. Para enfrentar um dos muitos desafios do controle externo, a auditoria operacional se faz presente como instrumento capaz de subsidi-lo no acompanhamento das inovaes propostas para a reforma do Estado e, conseqentemente da administrao pblica, no sentido de elevar os nveis de transparncia, tornando o Estado mais permevel participao e ao controle dos cidados e mais eficaz no atendimento das demandas da sociedade. 29 3.2 AUDITORIA OPERACIONAL: EVOLUO HISTRICA No mbito da administrao pblica, a expresso auditoria operacional foi utilizada inicialmente em 1971, durante o VII Congresso Internacional de Entidades Fiscalizadoras Superiores - INTOSAI, que fora apontado como um dos marcos histricos desse tipo de auditoria (ARAUJO, 2001). Grande parte dos progressos da auditoria operacional so creditados ao GAO, sendo esse rgo considerado como o maior responsvel pelos avanos dessa rea. A normatizao desse tipo de auditoria se deu a partir da publicao pelo GAO da primeira verso das normas de auditoria governamental, em 1972, denominada Normas para Auditoria de Organizaes, Programas, Atividades e Funes Governamentais (Standards for Audit Of Govemmental Organizations, Programs, Activities and Functions) , que ficaram conhecidos como "Livro Amarelo" pela cor da sua capa (ARAUJO, 2001). Embora voltada, em geral, para todas as formas de auditoria, essa publicao mais conhecida pela contribuio dada auditoria operacional, constituindo-se, assim, em um documento significativo uma vez que definiu o conceito e o campo de atuao e editou as primeiras normas para a realizao desse tipo de auditoria. Em um estudo emprico e comparativo de anlise organizacional realizado nos rgos centrais de auditoria da OCDE, sobre os trabalhos de auditoria operacional, Barzelay (2002) verificou que, alm do GAO, foram criadas vrias organizaes que desenvolveram e disseminaram esses trabalhos. Segundo o autor, pode-se citar, nos Estados Unidos da Amrica (EUA), os Escritrios dos Inspetores Gerais (Office of Inspectors G e n e r a ~ , no Reino Unido, a Comisso de Auditoria para a Inglaterra e Pas de Gales (Audit Comission for England and Wales) , cuja jurisdio inclui o governo municipal, o Servio Nacional de Sade e a Polcia; o National Audit Office (NAO), cuja jurisdio compreende o restante do governo central e uma gama de inspetorias de setores ou rgos especficos em rpida expanso, como o Escritrio de Normas de Educao (Office of Standards in Education). Para o autor, as organizaes governamentais fundamentais na 30 rea de auditoria operacional so aquelas responsveis pela elaborao oramentria, auditoria, avaliao e reforma administrativa (Barzelay, 2002). Na Amrica Latina, por sua vez, o termo foi inserido pelo Instituto Latino- Americano e do Caribe de Cincias Fiscalizadoras - ILACIF, que passou a ser denominado em 1990 de Organizao Latino-Americana e do Caribe de Entidades Fiscalizadoras Superiores - OLACEFS (NASCIMENTO, 2002). O IX Congresso Mundial de Tribunais de Contas, realizado em 1977, em Lima (Peru), recomendou que os organismos de controle deveriam ampliar seus trabalhos de auditoria financeira, buscando examinar aspectos de eficincia, economia e efetividade contemplados pela auditoria operacional. Em 1998, no Congresso Internacional de Entidades Fiscalizadoras Superiores - INCOSAI, realizado em Montevidu, ficou definida a elaborao das Diretrizes para a aplicao da Auditoria Operacional pelo Comit de Normas de Auditoria da INTOSAI, em conjunto com as EFS. O projeto final contendo essas diretrizes foi aprovado em 2003 ( INTOSAI, 2005b). Alm dos Estados Unidos, pases como Inglaterra e Canad muito tm contribudo com a expanso e desenvolvimento e a aplicao de mtodos da auditoria operacional. Na Inglaterra, a auditoria operacional conhecida como auditoria de valor por dinheiro, value for money, no s porque tem por objetivo a verificao da irregularidade das contas, do ponto de vista contbil legal, mas tambm porque visa avaliar a possibilidade e prejuzo devido perda de eficincia e no observncia de requisitos de economicidade. Cabe tambm destacar as observaes de Barzelay (2002) acerca da institucionalizao da auditoria operacional no mundo: A forma pela qual os rgos de auditoria lidam com a institucionalizao da auditoria de desempenho muito provavelmente ter efeito significativo sobre a escala e a distribuio das atividades de reviso na esfera governamental. Tais reaes tendero a delinear o modo de operao e o impacto dos sistemas governamentais de responsabilizao e prestao de contas [accountability] (BARZELA Y, 2002, p. 28). 31 Oliveira (2000) afirma que a auditoria operacional teve a primeira perspectiva de aplicao no Brasil, a partir de 1986, na administrao pblica federal, atravs da edio do Decreto 93.874, cujo artigo 10, pargrafo segundo, estabelecia que alm de examinar os atos da gesto, a fim de certificar a exatido e a regularidade das contas, a auditoria deveria verificar a eficincia e a eficcia na aplicao dos recursos. Com a promulgao da Constituio Federal de 1988, institucionalizou-se o controle operacional na legislao brasileira, quando foram incorporados, por fora do "caput" do artigo 70, poderes ao Controle Externo exercido pelo Poder Legislativo com o auxlio do Tribunal de Contas da Unio, para exercer a "fiscalizao contbil, financeira, oramentria, operacional e patrimonial da Unio e das entidades da administrao direta e indireta" (BRASIL,2004, p.40). Sobre a institucionalizao da auditoria operacional no texto constitucional, Da Silva assevera: Em que pese o atraso na percepo da necessidade da realizao de auditoria operacional no setor pblico no Brasil, a incorporao de sua concepo explicitamente no texto constitucional, representa uma tomada de conscincia dos polticos e administradores pblicos.[ ... ] Este tipo de auditoria desempenha importante papel como instrumento gerencial na avaliao do grau de eficincia, economia, e eficcia com que so realizadas as operaes e atividades governamentais.(DA SILVA, 1993, p. 5), O Tribunal de Contas da Unio, por sua vez, passou a contar com a competncia constitucional de realizar " ... inspees e auditorias de natureza contbil, financeira, oramentria, operacional e patrimonial, nas unidades administrativas dos Poderes Legislativo, Executivo e Judicirio, ... " conforme determina o art. 71, inciso IV, incluindo a as fundaes e as sociedades institudas e mantidas pelo Poder Pblico Federal, nos termos do inciso 11 do citado artigo (BRASIL, 2004). Embora a instituio da auditoria operacional tenha se dado desde 1988, pode-se afirmar que sua efetiva implementao ainda est se processando, pelo fato de ter uma natureza diferenciada, cuja complexidade exige uma metodologia 32 especfica para assegurar a qualidade dos trabalhos, tendo como impulso definitivo a publicao da Lei de Responsabilidade Fiscal (LRF). A edio dessa Lei, ao atribuir aos Tribunais de Contas o dever de alertar as entidades pblicas sobre os fatos que comprometem custos e os resultados dos programas governamentais, tornou o exame da eficincia e eficcia desses programas um procedimento obrigatrio no mbito do controle externo. Dessa forma, os Tribunais de Contas, tiveram suas atribuies ampliadas a partir da insero da auditoria operacional, renovando as concepes de controle consubstanciadas no controle operacional e no conceito de economicidade. 3.3 ASPECTOS GERAIS DA AUDITORIA OPERACIONAL As auditorias de cunho operacional possuem nomenclaturas as mais variadas, dependendo da organizao ou pas que a adote. Segundo Freitas, dentre os variados rtulos disponveis, pode-se enumerar: auditoria operacional, auditoria de desempenho (performance audit) , auditoria de valor pelo dinheiro (value-for-money audit), auditoria administrativa, auditoria de gesto, auditoria de rendimento e auditoria de resultados (FREITAS, 2005). o TCU, rgo pblico pioneiro na realizao deste tipo de auditoria no Brasil, adotou inicialmente o termo auditoria de desempenho, ao editar seu primeiro manual sobre o assunto (TCU, 1998). O atual Manual de Auditoria de Natureza Operacional, editado em 2000 (TCU, 2000), incorporou a denominao presente no artigo 70 da Constituio Federal. A Organizao Internacional de Entidades Fiscalizadoras Superiores (INTOSAI, 2005b) utiliza o termo performance audit, traduzido para o portugus como auditoria de desempenho. Esta Organizao considera tambm o termo avaliao de programa como uma das numerosas ferramentas da auditoria operacional. 33 o Escritrio do Auditor Geral do Canad (OAG, 1995), rgo do governo canadense, adota o conceito de auditoria integrada (comprehensive audifing) , com significado mais abrangente, que engloba tanto aspectos de auditoria de regularidade como de desempenho. Arajo (2001) definiu auditoria operacional ou de otimizao de recursos como sendo aquela que objetiva avaliar o desempenho e a eficcia das operaes, os sistemas de informao e de organizao, e os mtodos de administrao; a propriedade e o cumprimento das polticas administrativas; e a adequao e a oportunidade das decises estratgicas. Assim como as diversas designaes, vrios so tambm os conceitos de auditoria operacional. Esse tipo de auditoria pode ser estudada em dois setores distintos: pblico e privado. Entretanto, o foco desse trabalho est voltado para a auditoria operacional no setor governamental. Assim, os conceitos aqui expostos referem-se ao entendimento dos autores quanto auditoria operacional nessa rea. As normas de auditoria governamental do GAO resumem a auditoria operacional como resultados de avaliaes sobre uma evidncia da seguinte' forma: As auditorias operacionais implicam exame objetivo e sistemtico da evidncia para apresentar uma avaliao independente do desempenho e da gesto de um programa com base em critrios objetivos, assim como avaliaes que proporcionem um enfoque prospectivo ou que sintetizem informaes sobre as melhores prticas ou anlises de temas transversais. (GAO, 2005, p. 45) Haller et ai (1995) apresentam a auditoria operacional com sendo um processo de revises metdicas de programas, organizaes, atividades ou segmentos, confrontando o desempenho real com o esperado, tendo como finalidade avaliar e comunicar se os recursos da organizao esto sendo usados eficientemente. A INTOSAI, atravs das suas Diretrizes para a Aplicao de Normas de Auditoria Operacional (2005b), enfoca a eficincia e eficcia, sem desprezar a 34 observncia da economicidade, conceituando assim: "a auditoria operacional um exame independente da eficincia e da eficcia das atividades, dos programas e dos organismos da Administrao Pblica, prestando a devida ateno economia, com o objetivo de realizar melhorias". Arajo (2001) entende que a auditoria operacional pode ser realizada no todo ou em partes de uma organizao com o objetivo de propor recomendaes e comentrios que contribuiro para melhorar os aspectos da economia, eficincia e eficcia. Peter e Machado (2003), numa definio um pouco semelhante de Arajo, acreditam que a auditoria operacional avalia as aes gerenciais ou parte dos procedimentos do processo operacional das entidades da administrao pblica e dos programas de governo. Acrescenta, ainda, que esse tipo de auditoria avalia a eficcia dos resultados das entidades em relao aos recursos materiais, humanos e tecnolgicos disponveis, bem como a economicidade, eficincia, efetividade e qualidade dos controles internos existentes. Fder (1988, p. 5) salienta que a auditoria operacional "preocupa-se com as operaes atuais, enfatiza o presente e as melhorias possveis". Logo, deve-se concentrar nas reas crticas, de risco relevante ou onde o controle interno est falhando. Para Barzelay (2002) a expresso auditoria de desempenho um rtulo impreciso para o conceito nela embutido. O autor argumenta que auditoria de desempenho uma denominao incorreta pois no se trata de auditoria, mas sim de um conjunto de atividades de avaliao. A auditoria uma forma de verificao, isto , envolve o confronto de critrios usualmente aceitos com procedimentos efetivados. Cunha (1998) conceitua a auditoria operacional de modo simples, afirmando que "nada mais do que um exame objetivo, sistemtico e profissional das operaes financeiras e administrativas de uma empresa ou entidade, ou parte delas, com a finalidade de verific-Ias e avali-Ias". 35 o manual de auditoria de natureza operacional (TCU, 2000) adotou a seguinte definio: "auditoria de natureza operacional consiste na avaliao sistemtica dos programas, projetos, atividades e sistemas governamentais, assim como dos rgos e entidades jurisdicionadas ao Tribunal". Este manual divide a Auditoria de Natureza Operacional em duas modalidades: a auditoria de desempenho operacional, cujo objetivo examinar a ao governamental quanto aos aspectos da economicidade, eficincia e eficcia, e a avaliao de programa, que busca examinar a efetividade dos programas e projetos governamentais. A figura a seguir mostra as dimenses da auditoria operacional explicitadas no manual do TCU. Figura 1 - Dimenses da Auditoria de Natureza Operacional Avaliao de programa efetividade Auditoria de desempenho operacional economicidade eficincia eficcia , , , , , , , , ;. , , , , , , , , , , , Impacto Objetivos Gerais Objetivos especficos Atividades Fonte: Manual de Natureza Operacional (TCU, 2000, p.13) 36 Assim, aps analisar os diversos conceitos dos autores citados, a auditoria pode ser definida como um processo de avaliao das aes dos gestores pblicos, relativas a um programa de governo ou a uma instituio para a verificao dos aspectos da economicidade, eficincia, eficcia e efetividade, visando melhoria da gesto pblica. Os conceitos de auditoria operacional apresentados anteriormente mencionam, em nveis diferentes, os chamados 4 "Es" : economicidade, efetividade, eficincia e eficcia. A Constituio Federal de 1988 (BRASIL, 2004) destaca a necessidade de avaliar a economicidade atravs do caput do seu artigo 70. J o inciso 11 do art. 74 da mesma Lei ressalta a eficcia e eficincia como parmetros da auditoria: "comprovar a legalidade e avaliar os resultados, quanto eficcia e eficincia, da gesto oramentria, financeira e patrimonial nos rgos e entidades da 37 administrao federal, bem como da aplicao de recursos pblicos por entidades de direito privado" (BRASIL, 2004). Torna-se, agora, necessrio fazer-se um breve levantamento das definies dos termos economicidade (ou economia), eficincia, eficcia e efetividade, pois ainda que de ampla aceitao e relativa unanimidade quanto aos seus significados, destes dependem a correta compreenso do conceito de auditoria operacional. Cruz (1997) fornece as seguintes definies para os "4 Es" da auditoria operacional: (a) economicidade refere-se aos prazos e condies nos quais so obtidos os recursos fsicos, humanos e financeiros, logo uma operao econmica pressupe recursos em qualidade, quantidade, menor custo e tempo hbil; (b) eficcia diz respeito ao atingimento de objetivos e metas e, aos resultados; (c) eficincia est relacionada a custo, a forma pela qual os meios so geridos. a otimizao dos recursos disponveis, atravs da utilizao de mtodos, tcnicas e normas, visando ao menor esforo e ao menor custo na execuo das tarefas; (d) efetividade refere-se preocupao da organizao com o seu relacionamento externo, sua sobrevivncia e atendimento das necessidades sociais, pressupondo ainda certo grau de eficincia e eficcia. Alguns autores no abordam a efetividade em virtude desse mtodo de avaliao se referir ao relacionamento externo da organizao, da, abordam apenas trs "Es" na auditoria operacional. o Cdigo de tica e Normas de Auditoria da INTOSAI (2005a) traz os seguintes conceitos: (a) economicidade consiste em reduzir ao mnimo o custo dos recursos utilizados para desempenhar uma atividade em um nvel de qualidade apropriado; (b) eficcia a relao entre os resultados pretendidos e os resultados alcanados; (c) eficincia a relao entre o produto - expresso em bens, servios e outros produtos - e os recursos utilizados para produzi-los. Rocha (1990) aborda os trs "Es" da auditoria operacional de modo mais detalhado: (a) economicidade pressupe a obteno e utilizao adequada dos 38 recursos humanos, materiais e financeiros, os quais devem estar disponveis nas quantidades necessrias e suficientes e no momento adequado; (b) eficincia pressupe a obteno de nveis mximos de produo com o mnimo de recursos possveis (c) eficcia pressupe que os resultados obtidos estejam dentro dos objetivos propostos para a entidade. Significa dizer que, em uma entidade pblica eficaz, os resultados produzidos pela sua atuao so aqueles para os quais ela foi criada (ou direcionada), constantes da legislao prpria e cujos produtos ou servios estejam dentro de padres de quantidade e qualidade consentneos. Cunha (1998) define os 3 "Es" de forma sucinta: (a) eficincia o mximo de rendimento sem desperdcio de gastos ou tempo; (b) eficcia consecuo das metas programadas; (c) economicidade traduz a operao ao menor custo possvel. Arajo (2001) ao resumir os conceitos dos 3 "Es" apresenta: economia: a capacidade de fazer, gastando pouco. executar uma atividade ao menor custo possvel, ou seja, gastar menos; eficincia: a capacidade de fazer as coisas direito. apresentar um desempenho satisfatrio sem desperdcios, ou seja, gastar bem; eficcia: a capacidade de fazer as coisas certas. alcanar os objetivos ou metas previstas, ou seja, gastar sabiamente. (ARAJO, 2001, p. 39). Assim, em resumo, possvel afirmar que o que se busca saber, a partir de uma auditoria operacional se a entidade ou programa auditado vem obtendo os resultados esperados, incluindo-se os impactos provocados da melhor forma e ao menor custo possvel. 3.4 COMPARAO ENTRE A AUDITORIA OPERACIONAL E A AUDITORIA TRADICIONAL 39 A auditoria, de um modo geral, quer seja operacional quer seja tradicional 4 , caracteriza-se pela realizao de verificaes sistemticas e anlises objetivas das operaes de uma entidade que resultam na elaborao de um relatrio. A maioria dos autores aponta que a diferena bsica entre a auditoria operacional e a tradicional est nos objetivos propostos e na abrangncia do trabalho. Sobre este aspecto, Nascimento (2001) comenta que os limites entre as duas auditorias so quase os mesmos: reviso, avaliao e emisso de parecer, mas h uma diferena que reside no objetivo do estudo. Segundo o autor, a auditoria tradicional busca responder se a realidade patrimonial da entidade e a realidade de suas relaes com terceiros esto compatveis com os demonstrativos contbeis, enquanto a auditoria operacional volta sua ateno para o desempenho das operaes da entidade ou rgo, examinando os mtodos, processos, fluxos, programas, projetos, atividades, aes e metas quanto economia, eficincia e eficcia. Para Rocha (1990), a auditoria operacional u uma evoluo natural da auditoria tradicional, que deixou de ser especificamente contbil para tornar-se abrangente, acrescentando verificao da legalidade e correo dos registros contbeis, a determinao da economicidade e eficcia das entidades". Barzelay (2002) faz a diferenciao entre o conceito de auditoria de desempenho e o conceito de auditoria tradicional atravs da seleo de modelos cognitivos idealizados. O significado do conceito de auditoria de desempenho caracteriza-se por uma srie de Modelos Cognitivos Idealizados inter- relacionados, que variam sob a tica de cinco diferentes dimenses referentes ao funcionamento de governo, ao tipo de funcionamento desejado, ao principal objetivo da reviso, modalidade dominante de reviso e ao papel do revisor 4 Neste trabalho ser adotada a denominao de auditoria tradicional como sinnimo das auditorias contbeis, auditorias de conformidade, auditorias financeiras, auditorias de legalidade,auditoria de regularidade na rea governamental. 40 (auditor). A mesma lgica aplica-se ao significado do conceito de auditoria tradicional. O quadro 2, a seguir, apresenta esta lgica. Quadro 1 - Comparao entre auditoria tradicional e auditoria de desempenho Imagem de Imagem de Objetivo Modalidade Papel do revisor! bom principal da Governo predominante auditor funcionamento reviso Auditoria Mquina Execuo das Accountability Auditoria Verificar as Tradicional Burocrtica transaes e de informaes; encontrar tarefas conformidade discrepncias entre os efetivamente procedimentos reguladas por observados e as sistemas normas gerais; inferir conseqncias; relatar achados Auditoria de Cadeia de Procedimentos Accountability Inspeo Avaliar os aspectos Desempenho Produo: e produo de dos programas e das
organizacionais desempenho organizaes
funcionam de envolvidas; relatar produtos forma achados impactos otimizada Fonte: Barzelay (2002, p. 4) O GAO (2005) distingue melhor os dois tipos de auditoria atravs da descrio dos objetivos de cada uma delas. Na auditoria tradicional, esses objetivos se relacionam com as exigncias estabelecidas por leis, regulamentos, clusulas ou condies de contratos ou de convnios de subvenes que podero afetar a aquisio, proteo e uso dos recursos da organizao, bem como a quantidade, qualidade, oportunidade e custo dos trabalhos que a organizao produz ou fornece. Os achados de auditoria correspondem, por sua vez, s observaes e concluses obtidas atravs da comparao de evidncia suficiente, fivel e 41 pertinente do desempenho com critrios predeterminados de auditoria (CCAF, 1995). Por outro lado, as auditorias operacionais buscam fornecer informaes para melhorar o desempenho dos programas e facilitar o processo de tomada de decises dos dirigentes responsveis pelas aes corretivas e aperfeioar a accountability perante o pblico. Seguindo essa linha de distino entre a auditoria tradicional e a auditoria operacional, Villas argumenta: Enquanto, no primeiro grupo, o objetivo principal est relacionado com a adequao das demonstraes financeiras, no segundo as demonstraes financeiras servem apenas como instrumento do seu processo, visto que seu objetivo est vinculado apreciao das operaes ou atividades de uma entidade segundo os benefcios por ela produzidos (VILLAS, 1990, p. 58). Lima (2005) sintetiza os tipos de auditoria - tradicional, de desempenho e avaliao de programa - como fiscalizaes. A distino inicialmente estaria no tipo de questo que se deseja responder. A auditoria tradicional, utilizando de procedimentos padronizados, satisfaz investigao das questes legais e regulamentares. Em auditoria operacional e em avaliao de programas, necessrio um planejamento de trabalho com formato especfico para cada situao, a fim de que possam ser respondidas as questes ligadas ao funcionamento interno dos programas e rgos (economia, eficincia e eficcia) e os impactos de suas operaes em condies sociais (efetividade). Posteriormente, Lima (2005) elencou diversas diferenas ao realizar o confronto entre a auditoria tradicional e a operacional, as quais esto organizadas no quadro 2, a seguir. 42 Quadro 2 - Diferenas entre auditoria tradicional e auditoria operacional Tradicional Operacional Agentes externos independentes Agentes externos parceiros Punio de falhas Contribuio para sanar falhas Fluxo de trabalho padronizado O fluxograma de trabalho assemelha-se a uma e hierrquico cadeia de produo, contendo insumos, produtos e efeitos Ambiente de comando e controle Ambiente poltico com prevalncia de debate democrtico Utilizaes de padres legais Utilizao de boas prticas, modelos, conhecimento e experincia, valores voltados para resultados (Resulfs Orienfed Managemenf -ROM) Obedincia a procedimentos Empreendedorismo e liderana, escolha poltica e administrativa Uso dos conceitos de direito e da Uso de informaes obtidas atravs da contabilidade pesquisa social, anlise de polticas, economia Imperatividade Convencimento Pouca participao popular Debate pblico Individualizao da Nem sempre possvel individualizar (resultado) responsabilidade Controle hierrquico e Controle democrtico e social administrativo Os responsveis so punidos A penalidade atribuda o ostracismo, a com multas e afastamento censura, danos na reputao Fonte: Elaborao prpria com base na classificao estabelecida por Lima (2005). importante destacar o papel de cada uma das auditorias em relao outra, ressaltando que a auditoria operacional no est substituindo a auditoria tradicional, mas complementando a fiscalizao que pode ser, inclusive, de um mesmo objeto. Se eventualmente ambas as auditorias escolherem objeto idntico, apresentaro concluses diferentes, porm complementares, uma vez que o foco do trabalho distinto. 43 Assim, enquanto a auditoria tradicional restringe sua abrangncia rea contbil-financeira e ao cumprimento dos aspetos legais objetivando, principalmente, verificar; a auditoria operacional atinge toda a entidade, pretendendo, tambm, avaliar. 3.5 LIMITAES DA AUDITORIA OPERACIONAL A expanso da auditoria operacional, muitas vezes, tem encontrado vrios aspectos que se constituem em dificuldades ou limitaes para sua implementao por parte das entidades de controle. Um primeiro aspecto que pode ser destacado o da ausncia de uma estrutura organizacional definida dentro da instituio, levando, assim, a pouca autonomia dos grupos de trabalho na execuo de procedimentos internos e externos. A inexistncia de institucionalizao dos trabalhos de auditoria operacional nos Tribunais de Contas Estaduais prejudica o desempenho das funes de controle. Associada a essa situao est uma infra-estrutura muitas vezes deficitria, com nmero insuficiente de servidores especializados em auditoria operacional, quantidade reduzida de equipamentos de informtica, poucos veculos disponibilizados para a realizao dos trabalhos de campo. Alm disso, o oramento para esse tipo de auditoria limitado, impossibilitando a contratao de especialistas ou consultores para auxiliar nos trabalhos. A complexidade do processo de uma auditoria operacional outro ponto importante, pois reflete as peculiaridades do objeto em anlise, o que torna a execuo desse tipo de auditoria amplamente diferente de um trabalho para outro, ou at mesmo entre perodos de tempo do mesmo trabalho. Isso porque imprescindvel que sejam respeitadas as caractersticas individuais de cada auditoria. Essa complexidade exige tempo, desde o planejamento at o trmino da execuo, assim como um maior volume de recursos humanos e financeiros. 44 Outra questo a cultura organizacional relacionada auditoria operacional, o que pode se transformar em um limitador do resultado dos trabalhos. possvel que alguns gestores no vejam nas auditorias operacionais qualquer valor a ser agregado ao seu desempenho. possvel tambm que os tcnicos se preocupem mais com os aspectos caractersticos de auditorias tradicionais, devido a uma cultura forte desse tipo de auditoria entre os profissionais dessa rea. O interesse e a receptividade do gestor so indispensveis para que os resultados da auditoria revertam-se em melhorias para o programa ou a gesto analisada. H tambm obstculos na coleta das evidncias que iro respaldar as concluses dos tcnicos, principalmente nos casos em que os critrios de comparao no esto disponveis no programa auditado, situao que exigir uma busca por critrios em outras fontes. Neste contexto, pode ser sugerida a utilizao de uma metodologia especfica ou de uma combinao de metodologias, aplicvel a cada caso, que respeite as caractersticas individuais do objeto auditado. Em cada objeto devero ser considerados, entre outros fatores, os seus objetivos, os recursos empregados na sua consecuo e os resultados alcanados, assim como as variveis ambientais que exercem influncia sobre esses resultados. Essa ausncia de uniformidade na aplicao dos procedimentos, muito comum nas auditorias operacionais mais uma dificuldade na sua disseminao e evoluo. Greiner (1996), apud Barros (2000, p.38), agrupou as limitaes em quatro classes de fatores que seriam os obstculos para a expanso e implementao da auditoria operacional. O quadro 3, a seguir, enumera essas limitaes dentro da classe em que ela se enquadra: 45 Quadro 3 - Limitaes da auditoria operacional Obstculos Obstculos Obstculos Tcnicos Obstculos institucionais pragmticos Financeiros Dispndio Desconhecimento de Falta de definio do substancial de medidas de Dificuldade no que desempenho tempo e desempenho pela desenvolvimento governamental e o que dinheiro na maioria dos gerentes de medidas de deveria se enfatizado na implementao do setor pblico desempenho mensurao desse dos sistemas de desempenho mensurao de desempenho Baixo grau de Relutncia dos imparcialidade e administradores autoconfiana do pblicos em Dificuldade de oferecer governo optando utilizar as aos usurios os dados pela no divulgao informaes de desempenho em de informaes que oriunda das tempo oportuno julgue prejudicar sua mensuraes de imagem desempenho Multiplicidade dos Receio dos gestores objetivos propostos pelo de implementar governo e a diversidade novas ferramentas de alguns servios que de avaliao devido exigem diferentes a saturao de medidas para inovaes ditas caracterizar revolucionrias adequadamente o desempenho Carncia de padres predefinidos para avaliar o desempenho governamental; Flutuaes estatsticas nas medidas de desempenho Dificuldade em correlacionar recursos investidos e resultados alcanados Ausncia de procedimentos bem definidos, no mbito governamental para gerenciar por nmeros Fonte: Elaborao prpria com base em Greiner (1996) apud Barros (2000). 46 Mesmo diante dessas limitaes, percebe-se que o interesse e a importncia da auditoria operacional, nos ltimos anos, tem crescido devido ao anseio da sociedade por um controle que ultrapasse os exames da legalidade e busque avaliar os resultados obtidos com o uso dos recursos pblicos. A evoluo da auditoria operacional no Brasil, conforme comentado anteriormente, est justamente respaldada no interesse dos rgos de controle externo, em especial, dos Tribunais de Contas, em aperfeioar suas ferramentas de trabalho com vistas a dar subsdios aos cidados para que possam acompanhar a gesto pblica. 47 4. AUDITORIA DE TI Como ressalta Nunes (2004), a implantao da administrao pblica gerencial est freqentemente associada expanso e sofisticao dos sistemas de informao. De fato, nos dias de hoje ampla a utilizao de sistemas de computao pela administrao pblica, no se imaginando um rgo que no faa uso desta poderosa ferramenta de apoio gesto. o quadro de mudana do modelo de Estado e de sua administrao impulsionaram o desenvolvimento da auditoria operacional como modalidade de controle. Com a expanso do uso da informtica pelo setor pblico advinda deste quadro, natural o crescimento de uma nova modalidade de auditoria de cunho operacional, a auditoria de informtica, ou auditoria de sistemas de informao, ou auditoria de Tecnologia da Informao, como mais conhecida. Neste captulo abordaremos os principais aspectos que envolvem a adoo da auditoria de TI pela administrao pblica, como as dificuldades para sua expanso e as diferentes reas ou enfoques associados a este tipo de auditoria. Por fim, apresentada a metodologia de auditoria de TI adotada pelo TCE-RJ nas inspees realizadas nos municpios sob sua jurisdio. 4.1 DEFINiO DE AUDITORIA DE TI A auditoria de sistemas, inicialmente, uma tpica auditoria de resultados, por fora de suas origens na auditoria contbil-financeira, necessita de forte adaptao cultural e tcnica para atuar em auditoria de processos computacionais, consoante alerta de Gil (1998). Conforme salienta Albertin (2002), a filosofia de auditoria de tecnologia de informao est calcada em confiana e em controles internos. Estes visam confirmar se os controles internos foram implementados e se existem, se so efetivos. 48 A auditoria de sistemas , na viso de Gil (1998), a rea de atuao que exerce a funo administrativa Controle Interno, que atua via sistemas de informaes computadorizados de controle interno que validam e avaliam, com independncia e duplicidade lgica: as funes administrativas planejamento, execuo e controle e seus respectivos sistemas de informaes computadorizados; o ciclo administrativo, isto , a integrao sistmica das funes administrativas: planejamento, execuo e controle (GIL, 1998, p.25) Dias (2000) define a auditoria de TI como sendo um tipo de auditoria essencialmente operacional, por meio da qual os auditores analisam os sistemas de informao, o ambiente computacional, a segurana de informaes e o controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou deficincias. 4.2 A IMPORTNCIA DA AUDITORIA DE TI Albertin (2002) afirma que o tratamento das informaes, que pode ser denominado Informtica ou Sistemas de Informaes, faz parte de toda atividade de negcio de uma empresa que oferece um produto ou servio - desde a concepo, planejamento e produo at a comercializao, distribuio e suporte. Segundo Gil (1998), entidades governamentais e privadas, independentemente de porte ou ramo de atividade, convivem e subsistem graas a doses cada vez mais elevadas de tecnologia computacional. De fato, a Tecnologia da Informao tornou-se um componente crtico do planejamento estratgico das organizaes pblicas e privadas e, diante desse quadro no qual os processos passam a ficar altamente dependentes de sistemas informatizados, a realizao de auditorias por parte dos rgos de controle 49 mostra-se essencial para garantir que a Gesto de TI esteja colaborando efetivamente para o atendimento dos objetivos da organizao e para a mitigao das fragilidades que colocam em risco os sistemas de informao. Com o crescimento da utilizao de sistemas de informao e redes de computadores, as organizaes ficam expostas a novos tipos de ameaas sua segurana. Concomitantemente, deve-se garantir que a tecnologia seja implantada de maneira correta, alinhada com os objetivos da organizao. o uso intenso de sistemas de computao pelas administraes pblicas obriga as entidades de controle a fazer uso de auditorias de TI, com o intuito de verificar aspectos relativos a confiabilidade, integridade, eficcia, eficincia, confidencialidade, disponibilidade e conformidade (com normas e legislao) das informaes mantidas nos sistemas de informao da organizao. A auditoria de tecnologia da informao j est presente no controle interno de diversas instituies pblicas, sendo mais atuantes, estruturadas e maduras nas instituies pblicas financeiras, como o Banco Central e o Banco do Brasil. Entretanto, na maioria dos rgos de execuo de programas e polticas pblicas e, at mesmo, nos rgos especializados em controle, esse tipo de auditoria apresenta-se em um nvel de maturidade iniciante, no existindo padres, metodologias ou normas gerais a serem seguidas para planejamento e execuo das aes de controle. 4.3 A AUDITORIA DE TI NO TCE-RJ o Tribunal de Contas da Unio - TCU foi pioneiro na realizao de auditoria de TI na administrao pblica. No incio da dcada de 1990 foram realizadas as primeiras auditorias de sistemas e desenvolvidos os primeiros estudos para elaborao de tcnicas e procedimentos especializados na rea. Ao longo dessa dcada, foi elaborado o Manual de Auditoria de Sistemas, em 1998, e realizadas importantes auditorias no Sistema de Seguridade Social, 50 no Sistema de Comrcio Exterior, no ambiente de informtica da Empresa Brasileira de Pesquisa Agropecuria, no Sistema de Administrao Financeira, nos Sistemas da Previdncia Social, nos planos para evitar danos devido ao Bug do Ano 2000 e nos sistemas do Patrimnio da Unio, j no ano de 2000. A crescente importncia dada rea de TI pelo TCU culminou com a criao em 2006 da Secretaria de Fiscalizao de TI - SEFTI, atravs da Resoluo 193. o Tribunal de Contas do Estado do Rio de Janeiro - TCE-RJ, por meio da Coordenadoria de Auditoria e Desenvolvimento, vem atuando junto aos rgos jurisdicionados desde 1999 na rea de auditoria de TI, conforme estabelecido no Ato Normativo nO 45 de 21/10/98, alterado pelo Ato Normativo nO 58 de 15/03/2001. Esta atividade est prevista, inclusive, no Plano Estratgico desta Corte de Contas, o que reflete o compromisso com a modernizao e atualizao de seus processos de trabalho. A Equipe de auditores de sistemas do TCE-RJ realizou preliminarmente uma srie de estudos especficos na rea de auditoria de TI que resultaram na elaborao de documentos de suporte nova atividade. Dentre estes documentos podemos destacar os elencados abaixo: Manual de Auditoria de Sistemas Procedimentos de Auditoria de Sistemas Matriz de Planejamento Check-list de Auditoria de Sistemas o Manual de Auditoria de Sistemas tem como objetivos descrever as principais tcnicas utilizadas pelo auditor e padronizar a execuo dos trabalhos, servindo de apoio, inclusive, a novos profissionais que venham a integrar a Equipe. 51 Os Procedimentos de Auditoria de Sistemas detalham os pontos de controle a serem auditados nas diversas reas que compem a atividade de informtica, devendo ser periodicamente revistos e atualizados face ao dinamismo das novas tecnologias da informao. A Matriz de Planejamento um instrumento de apoio tarefa de auditoria, possibilitando a definio do escopo e objetivos das Inspees realizadas na rea de auditoria de sistemas, na qual ficam definidas questes de auditoria que devem ser respondidas pelo auditor durante a execuo dos trabalhos e a forma como estas sero respondidas. O check-list uma ferramenta de suporte s atividades in loco, atravs da verificao objetiva de itens previamente selecionados de acordo com o foco estabelecido para a Inspeo, de forma a garantir que os principais pontos de controle sero verificados. O incio dos trabalhos ocorreu com a inspeo especial no PRODERJ, pelo fato desta Autarquia ser o principal rgo executor de atividades de informtica do Estado do Rio de Janeiro. Em seguida foram realizadas Inspees em outros rgos do Estado, como CEDAE, IPERJ, Secretaria Estadual de Fazenda e DETRAN. Na rea municipal, a equipe de auditoria de sistemas realizou uma Pesquisa do Nvel de Informatizao dos Municpios jurisdicionados, com vistas a conhecer a real situao das prefeituras quanto utilizao da informtica e detalhes de seu ambiente operacional. Esta Pesquisa subsidiou o planejamento das atividades de auditoria de sistemas, sendo, inclusive, um dos critrios de escolha dos municpios a serem visitados, aliado materialidade da arrecadao. Desde ento, j foram realizadas inspees ordinrias em diversos municpios do estado do Rio de Janeiro. Dentre as principais Questes de Auditoria verificadas pela equipe na realizao das Inspees Municipais destacamos: Diagnstico geral da situao da informtica no municpio; 52 O grau de segurana do ambiente de informtica; Confiabilidade, segurana e funcionamento de um Sistema de Informao especfico a ser selecionado; Adequao deste sistema legislao vigente. Esta forma de atuao do TCE-RJ, no verifica aspectos relacionados a resultados alcanados, mas sim ao funcionamento e operao da estrutura administrativa do rgo. A auditoria de TI, nesse caso especfico, aproxima-se das definies de auditoria operacional abordadas no captulo anterior, pois verifica questes ligadas ao funcionamento interno dos rgos, examinando os mtodos, processos, programas e aes quanto economia, eficincia e eficcia. A experincia na rea municipal vem demonstrando a existncia de muitos problemas operacionais na rea de Tecnologia da Informao das Prefeituras, sendo um dos objetivos deste trabalho identificar e analisar as principais deficincias encontradas na rea de sistemas de informao. 4.4 DIFICULDADES IMPLEMENTAO DE AUDITORIA DE TI NA ADMINISTRAO PBLICA Faz-se necessrio tambm trazer a lume o atual contexto legal e infra- legal da auditoria de TI. Por melhores que sejam as referncias e metodologias implementadas, os rgos de auditoria de TI enfrentam um problema maior do que sua prpria infra-estrutura e capacidade fiscalizatria. Uma das grandes dificuldades a sustentao, nas recomendaes das auditorias, de que essas melhores prticas devem ser seguidas, j que no existem instrues normativas ou legislao dentro da administrao pblica que obrigue a utilizao dessas prticas. O TCU como rgo pioneiro nesta modalidade de auditoria , atualmente, o que possui mais avanos na rea, por meio de diversos acrdos que fazem recomendaes baseadas nos principais normas e padres existentes no mercado, como ITIL, COBIT, MPS.BR e NBR ISO/IEC 17799:2005. 53 Dessa forma, por mais bem estruturado que seja o processo de auditoria, ela ainda fica amarrada falta de base legal ou normativa que possa dar suporte s suas recomendaes, prevalecendo, muitas vezes, apenas o bom senso de ambas as partes auditor e auditado. A mais recente iniciativa em direo normatizao de processos de TI dentro da administrao pblica pode ser visto nos Acrdos 796/2006 - Plenrio e 1480/2007 - Plenrio do TCU. O primeiro recomenda que a Secretaria de Logstica e Tecnologia da Informao (SLTI) do Ministrio do Planejamento, Oramento e Gesto elabore um modelo de licitao e contratao de servios de informtica para a administrao pblica federal. O segundo consiste na anlise da minuta de instruo normativa encaminhada pela SL TI relativa a este modelo solicitado. Em sua anlise, o TCU faz diversas ressalvas ao modelo com a finalidade de que este esteja alinhado com os valores da Governana de TI e, em suas recomendaes, sugere o uso das melhores prticas do mercado relacionadas terceirizao, como ITIL, COBIT, MPS.BR e etc. Merece destaque tambm a auditoria realizada pelo TCU no Sistema Nacional de Integrao de Informaes em Justia e Segurana Pblica - Infoseg, que resultou no Acrdo 71/2007, em que foram feitas recomendaes baseadas na NBR ISO/IEC 17799:2005 e no COBIT 4.0. Outra importante iniciativa o Projeto de Lei PLS-76/2000 que est no Congresso Nacional e que dispe sobre crimes cometidos na rea de informtica, tipifica condutas que envolvam o uso de redes de computadores e Internet, ou praticados contra sistemas informatizados. O Projeto j foi aprovado na Cmara dos Deputados e na Comisso de Educao do Senado. Atualmente, encontra-se na Comisso de Constituio e Justia. Tal lacuna legislativa tambm motivao para esse trabalho, pois quanto mais se trabalhar nessa rea e mostrar suas fragilidades, maiores sero os estmulos para que se legisle e regule a rea de Tecnologia da Informao dentro da administrao pblica. O TCE-RJ tem procurado embasar suas decises relativas a auditorias de segurana de informaes na norma NBR ISO/IEC 17799, da Associao 54 Brasileira de Normas Tcnicas - ABNT, a qual trata de tcnicas de segurana em Tecnologia da Informao, e funciona como um cdigo de prtica para a gesto da segurana da informao. Essa norma foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados, pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica. A norma brasileira baseada na ISOIIEC 17799, norma elaborada pelo ISO (International Organization for Standardization) e pelo IEC (International Eletrotechnical Comission), sendo amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, rgos de governo, empresas pblicas e privadas nacionais e internacionais atentas ao tema Segurana da Informao. Os objetivos definidos nessa norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao, desde polticas de segurana da informao, controle de acesso, a gesto de ativos, de incidentes de segurana, de continuidade de negcios, entre outros. 4.5 REAS DE ATUAO Devido complexidade da estrutura de um ambiente informatizado, o trabalho de auditoria de TI dividido em diversos campos, diferenciados pelo enfoque e abrangncia do trabalho a ser realizado. O TCE-RJ vem adotando a diviso mostrada na Figura 3 nos trabalhos de auditoria de TI realizados nas administraes municipais, em funo do tamanho e complexidade do seu parque computacional, em geral composto por microcomputadores ligados em rede e por sistemas aplicativos com informaes armazenadas em banco de dados. 55 Figura 2 - reas de atuao da TI Fonte: Elaborao prpria. Organizao: Engloba aspectos como polticas, padres e procedimentos da organizao, responsabilidades organizacionais, gerncia e planejamento de capacidade. Constitui rea de alta relevncia para a Auditoria de Sistemas pois, neste campo esto as definies de padres e regras a serem seguidas no setor de Tecnologia da Informao, bem como procedimentos que garantam o efetivo cumprimento destas. Ambiente de Informtica: Abrange as reas de segurana fsica e lgica, planejamento de contingncias e operao do Centro de Processamento de Dados (CPD). Banco de Dados: Abrange a verificao da integridade, consistncia e disponibilidade dos dados, bem como do acesso aos mesmos. 56 Redes de Comunicao de Dados: Envolve a tecnologia, gerncia e segurana das informaes transmitidas atravs das redes de computadores da organizao. Tais controles de auditoria so altamente importantes pois envolvem as principais ferramentas de acesso a dados, contidas na maioria dos sistemas operacionais de rede. As polticas de acesso Rede devem estar bem formuladas e seu gerenciamento bem executado de forma a garantir que os dados disponveis neste poderoso instrumento de compartilhamento estejam seguros. Desenvolvimento de sistemas: Abrange as metodologias de desenvolvimento de sistemas, projeto, estudo de viabilidade, design, implementao, operao e manuteno de sistemas de informtica. Estes itens so aplicveis em caso de haver no rgo a atividade de desenvolvimento ou manuteno de um sistema de informao, haver a prestao deste tipo de servio a um rgo jurisdicionado, ou at atividades de consultoria em algum sistema importante para a administrao pblica. A observncia destas normas visa a garantir a qualidade dos sistemas desenvolvidos e adequao dos mesmos sua finalidade. Microcomputadores: O trabalho do auditor de sistemas em microinformtica deve avaliar a atuao do Departamento de Informtica para identificar aes implementadas, como inventrio de micros, sua localizao fsica e seus softwares, mecanismos para prevenir e detectar o uso ou instalao de programas no licenciados (software pirata), procedimentos para documentao e backup de programas, arquivos de dados e aplicativos, e tratamento dado ao ambiente de microinformtica no Plano de Contingncia. 57 Aplicativos: o trabalho de auditoria de um sistema de informao especfico. Deve- se levar em conta o aspecto tcnico (funcionamento) e o legal, relativos rea auditada. Este tipo de auditoria crtico por verificar a legalidade de um sistema, isto , se o seu produto final est de acordo com as leis em vigor e se est acarretando ou no desvio de recursos pblicos. Esta rea de extrema importncia para o setor pblico, pois estando os controles dos recursos informatizados, estes sistemas devem conter instrumentos que garantam a confiabilidade, segurana e disponibilidade dos dados provenientes destes. Licitaes e Contratos: Contratos e Editais de Licitao relativos aquisio de produtos e servios de Informtica normalmente contm clusulas tcnicas especficas, cuja avaliao requer conhecimentos especializados em Informtica, devendo ento sofrer anlise tcnica por um auditor de sistemas, sem prejuzo da anlise legal cabvel. A anlise tcnica por parte do auditor de sistemas tem por objetivo evitar que um processo seja aprovado com imperfeies na descrio tcnica do objeto que poderiam, inclusive, comprometer a anlise legal, levando a um embasamento incorreto na legislao vigente. o questionamento quanto legalidade, nestes casos, passa, necessariamente, por uma correta identificao do objeto e conhecimento das modalidades de contratao existentes no mercado. Alm disso, importante a verificao minuciosa das clusulas tcnicas que assegurem a completa execuo dos servios propostos e/ou aquisio de produtos. Apresentamos no Quadro 4, uma srie de caractersticas a serem examinadas nos trabalhos de exame tcnico dos contratos e editais: 58 Quadro 4 - Aspectos tcnicos verificados nos editais e contratos Natureza dos Hardware Software Servios contratos Compatibilidade Cesso do Anlise da configurao dos software com o cdigo fonte dos tcnica sistema operacional programas Parecer do TCE sobre a Atualizao de Entrega de Compras ou exclusividade do fornecedor novas verses documentao locao quando cabvel quando cabvel tcnica Parecer do TCE Compatibilidade do sobre a Definio de Hardware com o sistema exclusividade de operacional fornecedor quando servios cabvel Clusulas de condies de atendimento: - tcnico residente Prazo de - horrio comercial atendimentos s - horas extras chamadas - fins de semanas I feriados Manuteno Prazo mximo para Implementaes de solucionar os problemas novas verses Prazo de atendimento s Documentao de chamadas alteraes ou correes Equipamento de backup, Ambiente de backup, quando quando cabvel cabvel Fonte: Elaborao prpria. o auditor de sistemas deve realizar a sua anlise tendo em mente que um sistema de informao um produto de software sujeito a uma constante manuteno ocasionada por fatores externos como, por exemplo, mudanas provocadas por motivos legais, mudana dos equipamentos utilizados etc. Ainda para o caso citado acima, a clusula de propriedade dos dados deve mostrar de forma clara e precisa que os dados pertencem ao contratante. Devem estar presentes no contrato clusulas que garantam ao contratante proteo de informaes confidenciais. 59 4.6 ETAPAS DA AUDITORIA DE TI NO TCE-RJ A Auditoria de TI por ser uma modalidade de auditoria operacional deve ser desenvolvida em quatro estgios: planejamento, execuo, relatrio e acompanhamento. Esta diviso est de acordo com as prticas adotadas pelas principais EFS. A figura a seguir mostra as fases de uma auditoria operacional. Figura 3 - Fases de uma auditoria operacional Fonte: Elaborao prpria PLANEJAMENTO Segundo Arajo (2001), o planejamento de auditoria a fase em que o auditor obtm uma viso geral do trabalho a ser realizado, ou seja, definem-se as finalidades da ao a ser realizada e identificam-se as questes que devero ser respondidas. Esta fase deve considerar os fatores mais relevantes na execuo dos trabalhos, especialmente os seguintes: O conhecimento detalhado dos processos operacionais utilizados pela entidade; O conhecimento detalhado do sistema de controles internos da entidade e seu grau de confiabilidade; 60 Os riscos de auditoria e a identificao das reas importantes da entidade, quer pelo volume de transaes, quer pela complexidade de suas operaes; A natureza, oportunidade e extenso dos procedimentos de auditoria a serem aplicados; As questes relacionadas com a economia de recursos, aumento da eficincia etc; O cumprimento das metas e objetivos traados pela administrao para a atividade a ser auditada; A existncia de indicadores de desempenho estabelecidos pela administrao ou de outros dados que possam servir s exigncias da auditoria; O uso dos trabalhos de outros auditores e de especialistas; A natureza, contedo e oportunidade dos relatrios a serem entregues entidade; A necessidade de atender aos prazos estabelecidos por entidades fiscalizadoras e para a entidade prestar informaes aos demais usurios externos, como, por exemplo, os agentes financiadores de programas governamentais (ARAJO, 2001). o manual de auditoria operacional (TCU,2000) prescreve que as auditorias de desempenho devem ser precedidas de um levantamento de auditoria em seu objeto (programa, projeto, atividade, sistema, rgo ou entidade). A anlise preliminar do objeto da auditoria visa compreender como esse objeto est estruturado, permitindo que a equipe identifique questes que meream ser examinadas mais detalhadamente. A equipe deve buscar, acerca do objeto, informaes como: Os objetivos (gerais ou parciais, dependendo da extenso do trabalho) As aes desenvolvidas, as metas fixadas, os clientes atendidos, os procedimentos e recursos empregados, os bens e servios ofertados e os benefcios proporcionados; As linhas de subordinao e de assessoramento previstas e sua relao com as atividades desenvolvidas; 61 As partes interessadas (reais ou em potencial) e as caractersticas do ambiente externo (dinmico ou esttico; previsvel ou imprevisvel); As restries enfrentadas (imposies legais e limitaes impostas pela concorrncia, pela tecnologia, pela escassez de recursos ou pela necessidade de cooperar com outras entidades) (TCU,2000). Ainda segundo o manual de auditoria operacional (TCU, 2000), essas informaes podem advir de diversas fontes, dentre as quais: Legislao pertinente; Pronunciamentos feitos e decises tomadas pelas autoridades competentes; Misso declarada, planos estratgicos e relatrios de gesto; Organogramas, diretrizes internas e manuais operacionais; Sistemas de informaes gerenciais; Entrevistas com os gestores especialistas; Relatrios de auditoria do TCU, relatrios de auditoria interna e de avaliao de desempenho institucional (TCU,2000). Com base nas informaes coletadas sobre o rgo so definidos problemas de auditoria, que expressam de forma clara e objetiva o escopo do trabalho de auditoria. Os problemas de auditoria so desmembrados em diversas questes de auditoria, que devero ser respondidas na fase de execuo do trabalho in loco. A matriz de planejamento o documento que detalha a forma como as diversas questes de auditoria podem ser respondidas. A equipe de inspeo de TI do TCE-RJ utiliza-se da matriz de planejamento nessa fase da auditoria, em sintonia com o previsto no manual de auditoria operacional (TCU,2000). O objetivo da matriz de planejamento auxiliar na elaborao conceitual do trabalho e na orientao da equipe na fase de execuo. uma ferramenta de auditoria que torna o planejamento mais 62 sistemtico e dirigido, facilitando a comunicao de decises sobre metodologia entre a equipe e os superiores hierrquicos e auxiliando na conduo dos trabalhos de campo. Os seguintes elementos compem a matriz de planejamento de auditoria: questes de auditoria; informaes requeridas; fontes de informao; estratgias metodolgicas; mtodos de coletas de dados; mtodos de anlise de dados; limitaes; o que a anlise vai permitir. Ao formular as questes de auditoria a equipe est estabelecendo com clareza o foco de sua investigao e os limites e dimenses que devero ser observados durante a execuo dos trabalhos. O ANEXO D apresenta um exemplo de matriz de planejamento utilizada nas inspees operacionais de TI realizadas pelo TCE-RJ nos municpios. Faz-se necessrio salientar que a matriz de planejamento um instrumento flexvel e o seu contedo atualizado ou modificado pela equipe, de acordo com o rgo auditado ou com a evoluo do trabalho de auditoria. EXECUO A execuo a fase do trabalho realizado no rgo auditado. Arajo (2001) define a execuo como sendo a fase de aplicao dos procedimentos de auditoria, objetivando a obteno de provas ou evidncias que devero constar no relatrio de auditoria. nessa fase que o auditor realiza fundamentalmente seus exames. 63 Segundo o autor os procedimentos de auditoria so o conjunto de tcnicas ou mtodos que permitem ao auditor obter elementos probatrios de forma suficiente e adequada para fundamentar seus comentrios, quando da elaborao de seu relatrio. Os principais procedimentos de auditoria so: exame de registros, exame documental, conferncia de clculos, entrevistas, inspeo fsica, circularizao, observao e correlao. A equipe de inspeo em TI utiliza-se de diversos checklists durante a execuo dos trabalhos de auditoria in loco. Os checklists de auditoria consistem em listas de elementos, pontos de controle, que vem a ser necessariamente verificados, de modo a assegurar a conformidade do ambiente analisado com normas, padres tcnicos e boas prticas adotadas pelo mercado. RELATRIO Segundo Arajo (2001), o relatrio de auditoria a fase final do processo de auditoria e consiste numa narrao ou descrio ordenada e minuciosa dos fatos que foram constatados, com base em evidncia concreta, durante os exames de auditoria operacional. Representa a fase mais significativa do trabalho e se constitui no seu produto final. O Tribunal de Contas da Unio, atravs da Portaria nO 63/96, assim define o relatrio de auditoria: Documento contendo as comprovaes, concluses e, eventualmente, recomendaes que a instituio de fiscalizao ou o auditor consideram til levar ao conhecimento da entidade fiscalizada ou de qualquer outra autoridade competente. O relatrio de auditoria operacional em TI apresenta o resultado do trabalho de auditoria, tendo como objetivo responder s questes de auditoria formuladas na fase de planejamento e apontar os pontos positivos ou negativos encontrados na fase de trabalho in loco no rgo auditado. Esses pontos so denominados constataes, observaes ou achados de auditoria. 64 Por se tratar de trabalho de natureza eminentemente operacional, o relatrio de auditoria em TI resulta em proposio de uma srie de recomendaes ao rgo auditado, que objetivam garantir segurana ao ambiente informatizado e assegurar o correto processamento das informaes pelos sistemas informatizados. Como j assinalado neste trabalho, no existem instrues normativas ou legislao na administrao pblica que dem suporte s recomendaes realizadas e obrigue o seu cumprimento pelo jurisdicionado. As recomendaes so baseadas em manuais de boas prticas na rea de informtica editados por organismos nacionais e internacionais, prevalecendo, muitas vezes, apenas um acordo entre ambas as partes, TCE-RJ e jurisdicionado, para que as recomendaes sejam adotadas. ACOMPANHAMENTO Aps a entrega do relatrio de auditoria e da cincia de seu contedo pelo rgo jurisdicionado, faz-se necessrio realizar um acompanhamento para verificar a efetiva adoo das recomendaes e determinaes realizadas. Via de regra, o rgo jurisdicionado envia ofcio resposta para o TCE-RJ com o intuito de comprovar a adoo das medidas propostas ro relatrio de auditoria. Como a inspeo tem carter operacional, extremamente difcil a comprovao das medidas adotadas somente por meio do exame dos documentos e declaraes enviadas pelo jurisdicionado. Nesse contexto, de grande importncia a realizao de inspees posteriores para verificar a efetiva adoo pelo jurisdicionado das medidas recomendadas. As inspees devem ter escopo limitado verificao das aes implementadas e devem ter tambm carter educacional, de forma a corrigir as possveis falhas e desvios que possam continuar a existir. Como atualmente existe apenas uma nica equipe de auditores de TI no TCE-RJ, foram realizadas poucas inspees de retorno para a verificao da adoo das medidas recomendadas. 65 4.7 METODOLOGIA DE AUDITORIA DE TI ADOTADA PELO TCE-RJ A forma de atuao do TCE-RJ nas inspees de auditoria de TI, aproxima-se da definio de auditoria integrada adotada pela Fundao Canadense de Auditoria Integrada - CCAF, em que o objetivo avaliar se os recursos pblicos tm sido utilizados obedecendo aos critrios de otimizao de recursos. A auditoria integrada abrange o exame dos controles, processos e sistemas usados na gerncia dos recursos financeiros, humanos, materiais e de informaes das organizaes. A auditoria integrada no se limita ao exame do passado. Ela se utiliza das anlises dos controles existentes, dos sistemas de informao e dos relatrios prticos para recomendar melhorias no planejamento que resultem em uma melhor economia, eficincia e eficcia (CCAF, 1995). Uma metodologia completa de auditoria de TI d parmetros para a realizao da Auditoria em todas as suas fases e funciona como um facilitador para o desenvolvimento de prticas e procedimentos a serem aplicados durante a execuo do processo. Para que se tenha como resultado essa metodologia, deve-se conciliar as prticas e normas de TI conhecidas no mercado, a legislao brasileira e as normas de auditoria. A partir da, deve-se compilar e adaptar todas essas variveis necessidade da administrao pblica e seus princpios, de forma a gerar uma metodologia simples e aplicvel na prtica. As prticas do mercado e as normas tcnicas so descritas no prximo captulo. A legislao brasileira refere-se tanto s normas relacionadas ao Sistema de Controle Interno e Externo brasileiro, constando do ANEXO A - LEGISLAO DE CONTROLE. As normas pertinentes ao uso da informao e da tecnologia constam do ANEXO B - LEGISLAO APLICVEL TI. Os principais princpios da administrao pblica devem nortear qualquer trabalho relacionado rea pblica e consistem em legalidade, moralidade, 66 impessoalidade, publicidade, eficincia, supremacia do interesse pblico, indisponibilidade, continuidade dos servios pblicos e autotutela. 67 5. GOVERNANA DE TECNOLOGIA DA INFORMAO Este captulo descreve, inicialmente, os conceitos de governana de TI e a importncia de sua adoo para orientar o uso da tecnologia da informao como ferramenta de suporte aos negcios de uma organizao. A seguir, so abordados os modelos e metodologias mais importantes que orientam a adoo da governana de TI. Por fim, so descritos mais detalhadamente o modelo Cobit e as normas tcnicas relativas rea de segurana da informao, pelo fato de servirem de suporte s auditorias de TI realizadas pelo TCE-RJ no mbito das administraes municipais. Com o avano tecnolgico e a importncia que a tecnologia tem hoje dentro das organizaes, o planejamento e a implantao de uma arquitetura de informaes se tornaram tarefas complexas. Por arquitetura de informaes, entende-se, segundo Rodriguez (2002), um conjunto de informaes, modelos de dados e toda infra-estrutura tecnolgica necessria para suportar os fluxos de informaes gerados a partir dos processos decisrios de uma organizao. A integrao entre a tecnologia e o negcio a chave para o sucesso organizacional. A figura 4 apresenta um esquema dessa integrao. Figura 4 - Integrao de Negcios Arquitetura de Informaes Gesto D c::::::J c::::::J D Tecnologia da Informao Processo Decisrio Fluxo de Informaes Modelo de Dados Sistemas de Informao Infra-estrutura de Hardware/Software Fonte: RODRIGUEZ, M.V.R. Gesto Empresarial: organizaes que aprendem. Rio de Janeiro: Qualitymark, 2002. 68 Segundo o IT Govemance Institute (2006), a sobrevivncia e o sucesso de uma organizao diante desse novo mercado globalizado, onde os tempos e as distncias foram suprimidos, esto no efetivo gerenciamento das informaes e de suas relativas tecnologias. As organizaes precisam gerenciar sua arquitetura de informaes como um todo, desde a infraestrutura at as informaes, passando pelos sistemas e processos geradores dessas informaes. Para muitas empresas, essas informaes e tecnologias que as suportam so seus principais ativos. Por isso, o gerenciamento da informao e suas tecnologias precisam garantir, entre outras coisas, a distribuio, a segurana e integridade das informaes. Nesse contexto em que a tecnologia da informao assume um papel estratgico dentro das organizaes, surgem os modelos de governana em TI com o objetivo de auxiliar estas organizaes a gerir suas reas de tecnologia, 69 fornecendo ferramentas e mtricas que garantam o alinhamento entre os processos de TI e os objetivos estratgicos da organizao. o conceito de governana em TI derivado do conceito de governana corporativa. O IT Govemance Institute (2006) afirma que a governana de TI integra a Governana da Empresa e consiste em mecanismos de liderana, estrutura organizacional e processos que garantem que a TI da organizao mantenha e alcance as estratgias e objetivos da organizao. GREMBERGER et. ai (2004) definem Governana de TI como a capacidade organizacional exercida pela Diretoria, Gerncia Executiva e Gerncia de TI para controlar a formulao e implementao da estratgia de TI e neste caminho assegurar a fuso do negcio e TI. "Governana de TI o modelo como as decises so tomadas e responsabilidades direcionadas para encorajar um comportamento desejvel no uso de TI" (WEILL, ROSS, 2004). O trabalho de levantamento da governana de TI na administrao federal realizado pelo TCU afirma que o objetivo da governana de TI assegurar que as aes de TI estejam alinhadas com o negcio da organizao, agregando-lhe valor. O desempenho da rea de TI deve ser medido, os recursos propriamente alocados e os riscos inerentes mitigados. Assim, possvel gerenciar e controlar as iniciativas de TI nas organizaes para garantir o retorno de investimentos e a adoo de melhorias nos processos organizacionais (TCU, 2007). Embora as definies apresentadas sejam diferentes em alguns aspectos, elas tm como foco principal o mesmo assunto: a ligao entre negcio e TI. 5.1 DIFERENA ENTRE GOVERNANA DE TI E GERENCIAMENTO DE TI Uma importante e comum preocupao da governana de TI a ligao entre a TI e os objetivos atuais e futuros da organizao. Esta preocupao nos remete a refletir sobre as diferenas entre governana de TI e gerenciamento de 70 TI, que nem sempre so claras (Gremberger et aI. 2004). Esta distino pode ser melhor visualizada na Figura 5. Gerenciamento de TI tem como foco o fornecimento efetivo de servios e produtos de TI internos, assim como o gerenciamento das operaes de TI no presente. A governana de TI por sua vez mais abrangente e concentra-se no desempenho e transformao de TI, para atender demandas atuais e futuras do negcio da corporao (foco interno) e negcio do cliente (foco externo). "Isto no diminui a importncia e complexidade do gerenciamento de TI, ... , mas enquanto o gerenciamento de TI e fornecimento de servios de TI e produtos podem ser realizados por um fornecedor externo, a governana de TI especfica da organizao, e direo e controle sobre TI no podem ser delegados para o mercado" (PETERSON (2003) apud GREMBERGER et. ai (2004. Figura 5 - Governana de TI e Gerenciamento de TI Externa Interna Orientao Negcio Governana ", de TI , , , , , , \ \ Gerenciamento " Presente \ de TI '. \ \ I Futura Orientao no Tempo Fonte: Gremberger et. aI., 2004. 71 "Governana determina quem tomas as decises. Gerenciamento o processo de fazer e implementar as decises" (WEILL, ROSS, 2004). 5.2 DOMNIOS DA GOVERNANA DE TI A governana de TI est relacionada a dois focos: o valor dos servios de TI para o negcio e mitigao dos riscos de TI. O primeiro item suportado pelo alinhamento estratgico entre TI e o negcio. O segundo suportado pela forma como as responsabilidades na empresa so divididas. Ambos os focos precisam ser suportados por recursos e medidas adequados para que os resultados desejados sejam alcanados. Para suportar os focos acima a governana de TI lida com cinco domnios, todos alinhados com as diretrizes dos stakeholders, dos quais dois so resultados, Valor de TI e Gerenciamento de Risco, e trs so direcionadores, Alinhamento Estratgico, Gerenciamento de Recursos e Medio de Performance (IT Govemance Institute, 2006). A Figura 6 abaixo mostra graficamente a relao entre os domnios da governana de TI. 72 Figura 6 - reas de Domnio da Governana de TI Valor de TI -.. Alinhamento Direcionamento Estratgico de TI Stakeholders Medio de Performance ~ Fonte: IT Governance Institute, 2006. Gerenciamento de Recursos 1 Gerenciamento de Risco Apresenta-se a seguir um resumo sobre o objetivo de cada um dos domnios, conforme o "Board Briefing on IT Govemance" (IT GOVERNANCE INSTITUTE, 2006): Alinhamento Estratgico: tem como objetivo manter o alinhamento entre as solues de TI e o negcio da empresa. Valor de TI: tem como objetivo otimizar os custos dos investimentos de TI e o retorno dos mesmos. Gerenciamento de Risco: tem como objetivo assegurar a proteo dos ativos de TI, recuperao de informaes em caso de desastres e manter a continuidade da operao dos servios de TI. Gerenciamento de Recursos: tem como objetivo otimizar o conhecimento e infraestrutura de TI. Medio de Performance: tem como objetivo acompanhar a entrega dos projetos de TI e monitorar os servios de TI. 73 5.3 MODELOS PARA SUPORTE A GOVERNANA TI o IT Govemance Institute (2006) define a Governana de TI como uma estrutura de relacionamentos e processos, para dirigir e controlar a organizao no sentido de atender os objetivos dessa organizao, adicionando valor, ao mesmo tempo em que equilibra os riscos em relao ao retorno da TI e seus processos. Os diversos conceitos de governana apresentados tm influenciado as organizaes, e a partir da muitos modelos e metodologias foram criados e disseminados e j so utilizados pelas empresas. Alguns dos modelos mais conhecidos so: Cobit - Control Objectives for Information and related T echnology, ITIL - IT Infrastructure Library; 8S7799 - Information Security Standard; CMM I CMMI - Capability Maturity Model/ Capability Maturity Model Integration. Cada um desses modelos tem focos distintos. - Cobit (Control Objectives for Information and related Technology): Guia para a gesto de TI recomendado pelo Informations Systems Audit and Control Foundation (ISACF) que fornece informaes detalhadas para gerenciar processos baseados nos objetivos de negcios. - ITIL (IT Infrastructure Library) : Elaborado pelo governo britnico para fornecer as diretrizes para implementao de uma infra-estrutura otimizada de TI. um conjunto de melhores prticas para gerir o planejamento, gerenciamento de 74 incidentes e problemas, mudanas, configuraes, operaes, capacidade, disponibilidade e custos dos servios de TI. - CMM/CMMI (Capabilify Mafurify Model / Capabilify Mafurify Modef) : uma certificao concedida pelo Software Engeneering Insfifufe (SEI), da Universidade de Carnegie Mellon (USA), que mede o grau de maturidade no processo de desenvolvimento de software. - BS7799 (Informafion Securify Sfandard): Norma internacional, editada pelo Governo Britnico, para segurana em TI. Abrange os aspectos de segurana fsica do ambiente, passando por pessoas e detalhando cuidados essenciais das questes relacionadas rede de comunicao, aplicativos e acesso remoto. Neste trabalho apresentada a norma NBR ISO/lEC 17799, norma voltada gesto da segurana da informao, e que se originou da norma BS7799. Apesar de cada modelo ter um foco diferente, eles no so mutuamente excludentes (MINGAY e BITTINGER, 2002), podem ser combinados para prover um melhor gerenciamento da tecnologia, garantindo no s o suporte tecnolgico necessrio, para que a organizao atinja seus objetivos estratgicos com qualidade e preo competitivo, mas tambm a satisfao dos seus clientes. De acordo com Barton (2003) os modelos de administrao de TI se completam, uma vez que cada um deles tem um enfoque especfico e atende a alguns dos aspectos da administrao de TI. A melhor opo pode ser a combinao de mais de um modelo, conforme demonstra a figura a seguir. 75 Figura 7 - Integrao dos Modelos de Governana de TI OBJETIVOS DO NEGCIO GOVERNANA DE TI Processos Cobit Operao ITIL Inovao CMMI Segurana BS 7799 Fonte: Adaptado de CID, Miranda; PIMENTEL, Luis F. Fundamentos de Governana de TI. In. SEMINRIO SUCESU, 2005. Rio de Janeiro O uso de modelos de gesto de TI vem crescendo medida que a competitividade do mercado fora as empresas a se preocuparem cada vez mais com a qualidade dos servios prestados e com os custos de suas operaes, pois esses modelos permitem um melhor gerenciamento do nvel de servio por meio da padronizao. No caso das empresas pblicas brasileiras, em funo da complexidade administrativa e das restries oramentrias, adotar um modelo de governana em TI e implant-lo de forma integral pode ser um projeto difcil e muito longo. A soluo para essas empresas pode estar na implantao de parte do modelo ou da combinao deles, ou seja, adequar o modelo escolhido para a realidade de cada uma das empresas; colocando em prtica as recomendaes consideradas mais relevantes para a organizao. 76 Apresentaremos a seguir algumas das prticas e normas conhecidas e bem aceitas no mercado, que objetivam garantir a utilizao adequada de TI pelas organizaes e servem como guia para as auditorias de TI realizadas pelo TCE-RJ. 5.3.1 COBIT o COBIT - Control Objectives for Information and Related Technology (Diretrizes de Controle para Informao e Tecnologia Relacionada) - foi desenvolvido pelo ISACF - The Information Systems Audit and Control Foundation, tendo como base a metodologia COSO. Posteriormente, o COBIT passou a ser mantido pelo ITGI - IT Governance Institute. Atualmente, o COBIT encontra-se na verso 4.1. Trata-se de uma estrutura conhecida mundialmente que busca garantir que a Tecnologia de Informao esteja alinhada aos objetivos corporativos, que os seus recursos sejam usados com responsabilidade e os seus riscos gerenciados apropriadamente. As atualizaes no COBIT 4.1 incluem medida de desempenho aperfeioada, melhores objetivos de controle e melhor alinhamento dos negcios e das metas de TI. A verso 4.1 baseada nas prticas e padres reconhecidos internacionalmente, como PMBOK:2000, ITIL:1999-2004, CMM:1993, CMMI:2000, ISO/lEC 17799:2005, entre outros, como pode ser observado na Figura 8. 77 Figura 8 - Melhores prticas e padres abrangidos pelo COBIT 4.1 Fonte: COBIT 4.1 A estrutura do COBIT busca atender s necessidades de controle relacionadas Governana de TI e tem como caractersticas: Foco nos requisitos de negcio; Orientao para uma abordagem de processo; Base em controle; e Direcionamento para anlise de medies e indicadores de desempenho. 5.3.1.1 FOCO NOS REQUISITOS DE NEGCIO De acordo com o COBIT, a fim de se obter a informao necessria ao atendimento dos objetivos da organizao, necessrio que os recursos de TI sejam gerenciados e controlados, utilizando-se de um conjunto estruturado de processos para garantir a entrega dos servios de TI requeridos. Os recursos de TI so: Aplicaes: so os sistemas automatizados e procedimentos manuais que processam a informao. 78 Informao: o dado em todas as suas formas, como entrada, processado ou como sada de um sistema informatizado, em qualquer forma utilizada pelo negcio. Infra-estrutura: a tecnologia e facilidades (isto , hardware, sistemas operacionais, sistemas de gerenciamento de banco de dados, rede, multimdia, e ambiente) que possibilita o processamento de aplicaes. Pessoas: o pessoal necessrio para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informao e servios. Eles devem ser internos, terceirizados e/ou contratados como necessrio. Esses quatro recursos, juntamente com os processos, formam a arquitetura de TI representada na Figura 9. Assim, os processos de TI usam infra- estrutura e pessoal para serem realizados e executam aplicaes com a finalidade de entregar informao na forma necessria para atingir os objetivos de negcio. Figura 9 - Arquitetura de TI entregam Informao I Processos de executam Aplicaes I TI usam Infra-estrutura e Pessoas Fonte: COBIT 4.1 79 Os processos do COBIT so constitudos por alguns princpios (Qualidade, Confiana e Segurana) que representam os requisitos do negcio para a informao. Eles so chamados de critrios de informao: Efetividade: Trata-se da capacidade da informao ser relevante e pertinente ao processo do negcio, bem como ser entregue de um modo oportuno, correto, consistente e til. Eficincia: Diz respeito proviso da informao atravs do uso timo (mais produtivo e econmico dos recursos) Confidencialidade: Diz respeito proteo da informao sigilosa contra a divulgao no autorizada. Integridade: Relaciona-se exatido e completeza da informao bem como sua validade de acordo com os valores e expectativas do negcio. Disponibilidade: Relaciona-se disponibilizao da informao quando requerida pelo processo de negcio. Tambm diz respeito salvaguarda dos recursos necessrios e potencialidades associadas. Conformidade: Trata-se do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negcio est sujeito, isto , critrios de negcio impostos externamente bem como polticas internas. Confiabilidade: Relaciona-se proviso de informao apropriada para a gerncia operar a entidade e exercer suas responsabilidades fiducirias e de governana. O grau de importncia de cada um desses critrios uma funo do negcio e do ambiente em que a organizao opera. Numa avaliao de riscos, esses critrios atribuem pesos diferentes aos processos do COBIT, em funo da importncia no alcance dos respectivos Objetivos de Controle. 80 5.3.1.2 ORIENTAO PARA PROCESSOS Os componentes do COBIT so utilizados para fazer com que a TI seja orientada aos objetivos do negcio e cumpra seu papel na instituio. Para tanto, as boas prticas do COBIT so organizadas em processos, cada qual visando um Objetivo de Controle. O COBIT identifica um conjunto de 210 Objetivos de Controles, organizados em 34 Processos que so agrupados em 4 Domnios, aplicveis aos sistemas e Tecnologia da Informao. Um objetivo de controle definido como uma declarao de um propsito ou resultado desejado a ser alcanado, por meio da implementao de controles em determinada atividade de TI. Esses objetivos de controle, se atingidos por meio da implementao eficaz dos respectivos controles, garantem o alinhamento da TI aos objetivos do negcio e que eventos indesejveis sejam prevenidos, apagados ou corrigidos. A responsabilidade pelo sucesso dos sistemas de controles , portanto, da alta direo, a qual deve torn-los efetivos. Na Figura 10, podem ser identificados os domnios do COBIT (Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte, e Monitoramento), que integram um ciclo de vida no sistema de gesto de TI. Figura 10 - Framework do COBIT l\lomtora.lo Enh ega e S,upmie Fonte: COBIT 4.1 Planejamento e Organizao Aquisio e ImplcllH.:nta"o 81 Os 34 processos que fazem parte destes domnios so identificados no ANEXO C: TABELA COBIT. Esta tabela tambm possui um mapeamento relativo aos critrios de informao e recursos de TI envolvidos nos processos. Cada processo possui um mapa demonstrando os critrios da informao e recursos de TI envolvidos, o domnio a que pertence, a rea de Governana de TI focada, os principais objetivos e a mtrica usada para medio. A Figura a seguir mostra a forma de navegao no mapa de cada processo. 82 Figura 11 - Forma de Navegao nos processos do COBIT Fonte: COBIT 4.1 5.3.1.3 BASE EM CONTROLE Para cada processo so definidos objetivos de controle que definem um resultado esperado ou um propsito a ser atingido pela implementao de procedimentos de controle em uma atividade de TI especfica. Os objetivos de controle do COBIT representam os requisitos mnimos necessrios para que se possam controlar os processos de TI de forma eficaz. Assim, colhem-se informaes de controle da operao de cada processo de TI para compar-Ias aos objetivos de controle. Caso haja necessidade, so tomadas medidas preventivas ou corretivas. 83 5.3.1.4 DIRECIONAMENTO PARA MEDiES E INDICADORES A anlise de medies e o uso de indicadores de desempenho so necessrios para que a organizao conhea sua situao atual, compare com padres de mercado ou com organizaes similares, identifique as melhorias necessrias e monitore tais melhorias. Esse processo de autoconhecimento e melhoria da organizao pode ser subsidiado pela anlise de maturidade dos processos e pela avaliao de indicadores. o Modelo de Maturidade de Governana utilizado para o controle dos processos de TI e fornece um mtodo eficiente para classificar o estgio da organizao de TI em relao indstria, aos padres internacionais e ao objetivo de maturidade da organizao. A governana de TI e seus processos podem ser classificados de acordo com os nveis apresentados na Figura a seguir. Figura 12 - Modelo de Maturidade do COBIT Inexistente Inicial Legenda Situao atual Padro Internacional ... Melhor prtica da Indstria * Estratgia da Empresa Fonte: COBIT Repetitivo Definido Gerenciado Otimizado Nveis de Maturidade o -o gerenciamento de processos no aplicado 1 - Processo sob demanda, no organizado 2 - Os processos seguem um padro regular 3 - Os processos so documentados e comunicados 4 - Os processos so monitorados e medidos 5 - As melhores prticas so seguidas e automatizadas A maturidade deve ser avaliada em cada um dos processos. O nvel timo correspondente determinado individualmente, de acordo com a natureza da instituio, ameaas e oportunidades viabilizadas por TI. O COBIT fornece 84 orientaes especficas para cada processo do que deve ser trabalhado para atingir determinado nvel de maturidade. o COBIT tambm oferece mtricas para a medio dos objetivos. Existem dois tipos de mtricas: Medidas de sadas: Indicam se os objetivos foram alcanados, podendo ser usadas somente aps o acontecimento do fato; Indicadores de desempenho: Indicam a probabilidade de se alcanar os objetivos por medies realizadas antes da gerao de sadas. Esses dois tipos de mtricas podem ser usadas para analisar objetivos de negcio, de TI, de processo e de atividade, medindo suas sadas e desempenhos. o COBIT uma excelente ferramenta para aperfeioar processos e adequar as funes de TI s normas da rea de informtica. A equipe de auditores de TI do TCE-RJ tem procurado selecionar aqueles controles que se aplicam na realidade do ambiente computacional encontrado nas administraes municipais, como forma de auxiliar os trabalhos de auditoria e servir como parmetro para avaliar o nvel de maturidade dos servios prestados na rea. 5.3.2 SEGURANA DA INFORMAO As principais normas internacionais relacionadas segurana da informao so a ISO/IEC 27001 :2005 e a ISO/IEC 17799:2005. Estas normas originaram-se da norma BS 7799 (British Standard) editada pelo Governo Britnico. Em 1995, foi publicada a primeira verso da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informao - Cdigo de prtica para gesto da segurana da informao). Em 1998, foi publicada a primeira verso da BS 7799- 2 (BS 7799-2:1998 - Sistema de gesto da Segurana da Informao - Especificaes e guia para uso). A partir da, estas normas passaram por 85 processos de reviso, tendo se tornado respectivamente nas normas ISO/IEC 17799 e ISO/IEC 27001, e evoluram at a verso atual. Em setembro de 2005, foi publicada, no Brasil, a segunda verso da norma NBR ISO/IEC 17799 (Tecnologia da Informao - Cdigo de prtica para gesto da segurana da informao), traduo literal da norma ISO. Em Outubro de 2005, foi publicada a norma 150 27001 (ISO/IEC 27001 :2005 - Tecnologia da Informao - Tcnicas de segurana - Sistema de gesto da Segurana da Informao - Requisitos). Neste ano, a ISO (Intemational Organization for Standardization) e o IEC (Intemational Eletrotechnical Comission) lanaram a srie 27000, em que, alm da ISO/IEC 27001, contempla a ISO/IEC 27002 (em substituio ISO 17799) e a ISO/IEC 27004 (que focar a melhoria contnua do sistema de gesto da segurana da informao). Neste trabalho, faremos um pequeno resumo da NBR ISO/IEC 17799:2005, pois as recomendaes relativas segurana da informao constantes dos relatrios de auditoria de TI do TCE-RJ so baseadas fundamentalmente nesta norma. 5.3.2.1 NBR ISO/IEC 17799:2005 A NBR ISOIIEC 17799 estabelece diretrizes e princpios gerais para iniciar, manter e melhorar a gesto da segurana da informao em uma organizao. O objetivo da norma no detalhar procedimentos de configurao, mas identificar os pontos de partida para a constituio de uma gesto de segurana da informao eficaz por meio de recomendaes que se traduzem sob a forma de controles. Assim, serve como um guia prtico para desenvolver os procedimentos de segurana da informao e prticas eficientes de gesto de segurana para a organizao. 86 A norma dividida em 11 sees de controles de segurana da informao, que juntas totalizam 39 categorias principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos. Cada seo contm um nmero de categorias principais de segurana da informao. Cada categoria, por sua vez, contm um objetivo de controle que define o que deve ser alcanado e um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle. As descries dos controles esto estruturadas da seguinte forma: Controle: define qual o controle especfico para atender ao objetivo do controle. Diretrizes para a implementao: contm informaes mais detalhadas para apoiar a implementao do controle e atender ao objetivo de controle. Algumas destas diretrizes podem no ser adequadas em todos os casos e assim outras formas de implementao do controle podem ser mais apropriadas. Informaes adicionais: contm informaes que podem ser consideradas como, por exemplo, consideraes legais e referncias a outras normas. o Quadro mostrado a seguir apresenta as 11 sees de controles de segurana da informao e seus respectivos assuntos. 87 Quadro 5 - Controle de Segurana da Informao Poltica de Segurana Segurana Organizacional Classificao e Controle de Ativos de Informao Segurana de Pessoas Segurana Fsica e Ambiental Gerenciamento das Operaes Controle de Acesso Desenvolvimento e Manuteno de Sistemas Gesto de Incidentes de Segurana Gesto de Continuidade do Negcio Conformidade Descreve a estrutura do documento de Poltica de Segurana, anlise crtica e avaliao. Aborda a infra-estrutura de segurana, o controle de acesso dos prestadores de servio e o estabelecimento de responsabilidades e caso de terceirizao. Detalha a contabilizao e o registro de ativos e a classificao da informao. Foca o risco decorrente de atos intencionais ou acidente realizado por pessoas. Alm disso, aborda a incluso de responsabilidades relativas segurana da informao na descrio dos cargos, a forma de contratao e o treinamento em segurana. Define reas de segurana, segurana dos equipamentos e controles gerais. Aborda procedimentos e responsabilidades operacionais, planejamento e aceitao dos sistemas, proteo contra softwares maliciosos, salvamento e recuperao dos dados, gerenciamento de rede, segurana e tratamento de mdias, troca de informaes e software. Aborda requisitos do negcio para controle de acesso, gerenciamento de acesso de usurios, responsabilidade do usurio, controle de acesso rede, controle de acesso ao sistema operacional, controle de acesso s aplicaes, monitorao de uso e acesso aos sistemas, computao mvel e acesso remoto. Aborda requisitos de segurana de sistemas, segurana de sistemas de aplicao, controles de criptografia, segurana de arquivos do sistema. Aborda a notificao de fragilidades e eventos de segurana da informao e a gesto de incidentes de segurana da informao e melhorias. Aborda processo de gesto, continuidade do negcio e anlise de impacto, documentao e implementao do plano de continuidade dos negcios, testes, manuteno, e reavaliao dos planos de continuidade. Aborda a necessidade de conformidade com requisitos legais, anlise crtica da poltica de segurana e da conformidade tcnica, consideraes quanto auditoria de sistemas. Fonte: NBR ISO/IEC 17799:2005 88 6. METODOLOGIA Este captulo apresenta algumas consideraes metodolgicas sobre o projeto de pesquisa, destacando-se os tipos de pesquisa que foram utilizados. So apresentados tambm o universo e a amostra com que se pretende trabalhar, os instrumentos de coleta de dados e seu tratamento, bem como se antecipam algumas das limitaes do mtodo proposto. 6.1 TIPO DE PESQUISA Segundo a taxonomia apresentada por Vergara (2006), os tipos de pesquisa dividem-se em dois critrios bsicos: quanto aos fins e quanto aos meios. A pesquisa proposta pode ser classificada quanto aos fins em: Pesquisa descritiva - medida que visa descrever as caractersticas da auditoria operacional e, em particular, da auditoria em TI que serviro de base pesquisa explicativa. Pesquisa explicativa - porque pretende estabelecer relaes entre a adoo da auditoria de Tecnologia da Informao pelo TCE-RJ e seus efeitos na melhoria do papel do Tribunal de Contas, tornando-o mais amplo e em sintonia com as aspiraes da sociedade. Quanto aos meios, a pesquisa : Bibliogrfica - o tema foi pesquisado em livros, revistas, jornais, redes eletrnicas e em manuais tcnicos especficos sobre auditoria operacional em TI. Documental - a investigao se valeu tambm de documentos internos ao TCE-RJ, que possuam correlao com o objeto do estudo. 89 Estudo de Caso - a pesquisa est restrita forma de atuao do TCE-RJ na realizao de auditorias de TI. 6.2 UNIVERSO E AMOSTRA o universo desta pesquisa constitudo pelos municpios do estado do Rio de Janeiro, entes federativos jurisdicionados do Tribunal de Contas do Estado do Rio de Janeiro, onde crescente o uso da informtica como instrumento de apoio gesto administrativa. Foi realizado um estudo preliminar para selecionar os mUnlClplOS que fariam parte da pesquisa, com o objetivo de selecionar vinte amostras que representem as sete grandes regies geogrficas em que o TCE-RJ divide o estado do Rio de Janeiro. O Tribunal possui em sua administrao uma Inspetoria Regional de Controle Externo (IRE) para cada uma das sete regies, responsvel por um controle mais prximo e especializado de municpios que apresentam caractersticas econmicas e sociais similares. A seleo destes municpios visou, portanto, obter uma amostra significativa, no sentido de representar os diferentes tipos de administrao municipal em suas diversas dimenses, como tamanho e estruturao do corpo administrativo e, principalmente, quanto a aspectos de abrangncia e intensidade do uso de recursos de informtica como apoio gesto administrativa. A avaliao da gesto municipal foi realizada por meio de auditoria de Tecnologia da Informao, tendo por finalidade analisar a utilizao da informtica pelo municpio, o grau de segurana do ambiente de informtica, confiabilidade, segurana e funcionamento de um sistema de informao especfico e a conformidade deste sistema legislao da rea. 90 6.3 COLETA DE DADOS A coleta de dados comeou com a pesquisa bibliogrfica em documentos de domnio pblico emitidos pelo Tribunal de Contas da Unio (TCU), entidade pblica brasileira precursora na realizao de auditorias com enfoque operacional em TI, como tambm em documentos e papis de trabalho do Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ). Em seguida foram analisados documentos das entidades fiscalizadoras superiores de diversos pases, como Estados Unidos, Inglaterra, Nova Zelndia e Austrlia, pioneiros na realizao de auditorias operacionais, como tambm normas e padres de auditoria de TI nacionais e internacionais, adotados por entidades de fiscalizao pblicas e privadas. A segunda fase consistiu na anlise dos relatrios de inspees em Auditoria de Sistemas realizados pelo TCE-RJ, buscando comprovar na prtica a relevncia desse instrumento de auditoria na avaliao da gesto municipal, especificamente em relao ao uso da tecnologia da informao. 6.4 TRATAMENTO DOS DADOS Os dados colhidos no trabalho de campo, oriundos de relatrios de inspees em Auditoria de Sistemas realizadas pelo TCE-RJ, foram submetidos anlise de contedo, numa abordagem qualitativa. 8ardin (1977) define a anlise de contedo como: Um conjunto de tcnicas de anlise das comunicaes visando obter, por procedimentos, sistemticos e objetivos de descrio do contedo das mensagens, indicadores (quantitativos ou no) que permitam a inferncia de conhecimentos relativos s condies de produo/recepo (variveis inferidas) destas mensagens. Foram criadas categorias com base em frases e pargrafos como unidades de anlise, tendo sido selecionadas as mais freqentemente citadas, incluindo-se ainda aquelas consideradas relevantes para o tema da pesquisa. 91 Tais categorias representam achados de auditoria encontrados nas inspees de Auditoria de Sistemas realizadas pelo TCE-RJ no perodo de 2003 a 2007, em mbito municipal. Procedeu-se ento classificao das categorias obtidas e da freqncia relativa a cada uma delas dentro dos possveis critrios de classificao identificados na literatura relativa rea de auditoria de TI. 6.5 LIMITAES DO MTODO Como toda pesquisa, o estudo em questo apresenta diversas limitaes. A principal delas est certamente relacionada abrangncia dos municpios sob anlise, visto que o estudo se limita verificao de relatrios de vinte municpios. Esta limitao foi contornada por uma escolha dos municpios mais representativos de sete grandes regies geogrficas em que o TCE-RJ divide o estado. Desta forma, buscou-se retratar as diferentes realidades socioeconmicas e suas influncias na utilizao de tecnologia da informao pelos municpios. Outra grande dificuldade consiste na dificuldade de obteno de material tcnico internacional, liberados somente com autorizao dos organismos responsveis. 92 7. PESQUISA A pesquisa teve como objetivo principal responder o problema formulado inicialmente, que consistiu em identificar as principais impropriedades no uso da Tecnologia da Informao verificadas pelo TCE-RJ nas administraes municipais sob sua jurisdio. Com este intuito, foi realizado, primeiramente, um trabalho de anlise de contedo de carter qualitativo sobre os relatrios de inspees operacionais em TI efetuados pelo TCE-RJ nos municpios jurisdicionados. Buscou-se identificar nos relatrios as principais deficincias relativas utilizao da informtica pelas administraes municipais. Foram selecionadas onze categorias, levando-se em considerao aquelas que influenciam mais negativamente na correta execuo da poltica de informtica pelo municpio. o quadro a seguir mostra as categorias identificadas. 2 3 4 5 6 7 8 9 10 11 Quadro 6 - Categorias de anlise identificadas Implementao de polticas de segurana inexistentes Procedimentos de falhos Procedimentos de cadastramento de usuanos na rede de computadores e nos sistemas de informao realizados sem formalidade Ausncia de poltica de senha forte na rede de computadores e nos sistemas de info r ...... .",....,,,, Ausncia de campo especfico nos sistemas de informao para istro de nmero do administrativo em crticas Arquivos de log ausentes ou com registro falho nos sistemas de Divergncia entre os valores registrados no sistema de controle da e no sistema de contabilidade ferem a legislao Fonte: Elaborao prpria, a partir da anlise dos principais achados nos relatrios de auditoria de TI. 93 Em seguida, procedeu-se contagem da presena de cada uma das categorias identificadas em relatrios de inspeo de vinte municpios, escolhidos com o objetivo de contemplar as sete principais regies geogrficas do estado do Rio de Janeiro. A escolha dos municpios foi orientada de forma a representar as diferentes realidades sociais, polticas e econmicas do estado, que resultam em administraes com tamanho e caractersticas distintas, e em que o uso da informtica tem maior ou menor grau de importncia. Cada regio corresponde tambm a uma rea de fiscalizao de uma Inspetoria Regional de Controle Externo (IRE) do TCE-RJ. A tabela a seguir evidencia se para cada um dos vinte municpios selecionados h ou no a presena da respectiva categoria. A identificao dos municpios foi omitida propositalmente, pois o que se busca com o presente trabalho a anlise das principais impropriedades de informtica e sua distribuio, e no analisar as deficincias de um municpio especfico. Tabela 1 : Freqncias das categorias de anlise B D H K P S 1 1 1 1 1 1 1 2 1 - 1 1 1 1 1 - 1 3 1 - 1 1 1 - 1 1 1 - 1 4 1 1 1 1 1 - 1 - 1 1 1 - 1 1 1 5 - 1 - 1 - 1 1 1 1 1 1 1 1 - 1 1 - 1 1 6 - 1 - 1 - - 1 1 - 1 - 1 1 - - - - 1 7 - 1 - 1 - 1 1 1 - 1 - 1 1 - 1 - - 1 - 1 8 - 1 - 1 - 1 - - - - - - - - - 9 - 1 - 1 - 1 1 1 - 1 - 1 1 1 1 - - 1 1 1 10 1 - 1 1 1 - 1 - - - - - - 1 1 - 1 - 1 11 - - - - - - - 1 - - - - - - - 1 Fonte: Elaborao prpria. O prximo passo da pesquisa consistiu em analisar cada uma das categorias em funo de suas respectivas freqncias, evidenciando as conseqncias para o municpio em caso de ocorrncia da impropriedade relativa ao uso de Tecnologia da Informao e as medidas que devem ser adotadas pela administrao para sanar os problemas de gesto na rea de sistemas de informao. 18 17 16 16 15 8 11 3 13 9 2 94 1) Planejamento estratgico na rea de informtica falho ou inexistente A grande maioria dos municpios estudados apresenta a irregularidade em questo, 90 %, conforme grfico a seguir, o que demonstra a pouca importncia dispensada para o planejamento na rea de informtica. Grfico 1 - Planejamento estratgico na rea de informtica falho ou inexistente
00%+------ 00% +------- 40%+------ 20%+------ 0%+----- APRESENTA Fonte: Elaborao Prpria N.o APRESENTA o Planejamento a primeira funo administrativa e base para as demais. Sem o planejamento da rea de Informtica no possvel administr-Ia, sendo entendido que administrar neste contexto executar as outras funes administrativas. Ein-Dor e Segev (1978) argumentam que o objetivo principal de um processo formal de planejamento estratgico de sistemas de informao a produo de sistemas de informao gerenciais consistentes com a poltica geral da organizao. 95 Cash, McFarlan e McKenney (1992) defendem um foco contingencial no planejamento de TI e definem presses que so exercidas e que exigem a necessidade deste planejamento: presses externas ( organizao): mudanas rpidas de tecnologia; falta de pessoal; - falta de outros recursos corporativos; tendncia a projeto de banco de dados e sistemas integrados; validao do plano corporativo pela TI; presses internas (ao processo de TI): fase 1: identificao e investimento em tecnologia; fase 2: aprendizagem e adaptao tecnolgica; fase 3: racionalizao e controle gerencial; - fase 4: maturidade e ampla transferncia tecnolgica. Pyburn (1983) aponta que h consenso quanto considerao de que o planejamento estratgico de sistemas de informao tem-se tornado crtico para o sucesso do esforo geral na rea. Em sua viso, as causas da resistncia dos prprios executivos da rea em relao ao esforo de planejamento so: o planejamento caro, consome tempo e requer a ateno e o compromisso das pessoas que so essenciais para a soluo dos problemas atuais; e o planejamento arriscado e um processo que lida com compromissos pblicos e, muitas vezes, escritos. 96 King (1978) definiu que o processo de planejamento estratgico de Sistemas de Informaes Gerenciais (SIG) envolve a identificao e o estabelecimento de um conjunto de estratgias organizacionais, ou seja, um conjunto de informaes que delineia a misso, os objetivos, as estratgias e outros atributos estratgicos da organizao. Este conjunto pode ser transformado em outro conjunto de informaes, um conjunto de estratgias de SIG, que delineia os objetivos, as restries e as estratgias de projeto de sistemas. Earl (1987) argumenta que as metodologias de formulao de estratgias de TI funcionam melhor em empresas com estratgias de negcio disponveis ou onde a anlise estratgica j tenha sido feita. Embora os conceitos apresentados tenham origem na rea de empresas privadas, imediata a transposio para a rea pblica onde fundamental a necessidade de planejamento para a consecuo de seus objetivos finalsticos. Muitos gerentes no assumem suas responsabilidades no planejamento da rea de informtica, delegando-as a suas equipes tcnicas. Esta situao leva a planej-Ia de forma no aderente aos objetivos e estratgias organizacionais. Uma abordagem semelhante defende a necessidade de apoio da alta hierarquia rea de informtica, inclusive em seu planejamento, pelo alto investimento que ela representa, sua necessidade de viso de negcio, seu uso estratgico potencial e as mudanas organizacionais que representa, sob pena de fracassar em seus objetivos. 2) Implementao de polticas de segurana da informao falhas ou inexistentes A maioria dos municpios estudados no detm mecanismos de segurana da informao implementados de forma apropriada, com uma taxa de 85%, consoante apontado no grfico. Este fato preocupante em vista das inmeras ameaas digitais existentes atualmente. Grfico 2 - Polticas de segurana da informao falhas ou inexistentes
00>/0 +-------- 70%+----- 00%+------ 50%+----- 40% +------- 30%+------ 2QD/o +-------- 10%+----- 0>10 +------ APRESENTA Fonte: Elaborao Prpria l\L.o APRESENTA 97 A segurana da informao to importante que a literatura especializada a considera como uma rea especfica da Tecnologia da Informao, havendo inmeras normas e instrues que orientam a sua aplicao. Como j apresentado neste trabalho, o TCE-RJ utiliza-se principalmente da norma NBR ISSO/IEC 17799:2005 em auditorias de TI para verificar aspectos de segurana da informao. Esta norma ressalta que com o incrvel aumento da interconectividade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades. As organizaes, seus sistemas de informao e redes de computadores so expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, incndio e inundao. Danos causados por cdigo malicioso, hackers e ataques de negao de servio (denial of service) esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os negcios como, por exemplo, o governo eletrnico (e-gov) ou o comrcio eletrnico (e- commerce), e evitar ou reduzir os riscos relevantes. A interconexo de redes 98 pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz a eficcia da implementao de um controle de acesso centralizado. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Uma das fragilidades mais relevantes relativas segurana da informao verificadas nas inspees municipais a ausncia de um firewall, dispositivo da rede de computadores que tem por objetivo aplicar uma poltica de segurana a um determinado ponto de controle da rede. Sua funo consiste em regular o trfego de dados entre redes distintas e impedir a transmisso e/ou recepo de acessos nocivos ou no autorizados de uma rede para outra. No caso das administraes municipais verificou-se que sua rede interna est sujeita a ataques oriundos da rede mundial de computadores Internet. 3) Procedimentos de contingncia falhos Procedimentos de contingncia so as medidas operacionais estabelecidas e documentadas para serem seguidas em caso de ocorrncia de algum desastre significativo que torne os recursos de informtica indisponveis. Tambm neste quesito a maioria dos municpios analisados apresenta elevado ndice de impropriedades, com 80 % de procedimentos falhos, conforme ressaltado no grfico. 99 Grfico 3 - Procedimentos de contingncia falhos 100'10 00>10 00>10 W/o 40% 2QO/o 0>10 APRESENTA N..O APRESENTA Fonte: Elaborao Prpria Os procedimentos de contingncia mais falhos referem-se a backups realizados de forma incompleta ou sem a devida regularidade. Os backups so as atividades de salvaguarda dos dados armazenados nos computadores em fitas magnticas ou discos ticos como CO ou OVO, para posterior recuperao em caso de falha dos equipamentos ou sinistros. A realizao de backups incompletos ou no regulares faz com que seja alta a probabilidade de perda de informaes crticas em caso de ocorrncia de algum sinistro, como um incndio. Em geral, no h qualquer procedimento automatizado para a gerao de backups, o que asseguraria a regularidade da execuo das cpias. Os procedimentos de backup existentes tambm no so documentados e no h testes regulares de restaurao das cpias armazenadas. Outro problema encontrado com certa freqncia refere-se ao no armazenamento das cpias de backup em instalaes remotas, distantes da sede da administrao municipal. A norma NBR ISO/IEC 17799:2005 trata de aspectos relativos a cpias de segurana das informaes em seu item 10.5.1. 100 4) Procedimentos de cadastramento de usurios na rede de computadores e nos sistemas de informao realizados sem formalidade o cadastramento de usurios tanto na rede de computadores como nos sistemas de informao deve ser realizado atravs de um formulrio padro, que contenha a assinatura do usurio tomando cincia de que lhe foi atribuda uma chave de acesso, bem como as responsabilidades advindas de seu mau uso e as possveis sanes cabveis neste caso. As solicitaes de criao de novos usurios tambm devem ser formalizadas, por meio de um formulrio padro de solicitao, contendo o motivo da criao da conta, o perfil de acesso do novo usurio e a assinatura do superior responsvel pela solicitao. O perfil de acesso consiste na descrio dos direitos de acesso do usurio aos diretrios do computador servidor, no caso da rede de computadores, ou a descrio dos direitos de acesso s funes do sistema aplicativo especfico. O formulrio de solicitao deve conter inclusive as alteraes que porventura venham a ser efetuadas no perfil do usurio, de forma a refletir com fidedignidade os direitos de acesso do usurio e permitir verificar se os direitos concedidos correspondem s suas atribuies administrativas. Os formulrios de solicitao de cadastramento e de cadastramento podem ser os mesmos, sendo pacfico o entendimento de que deve haver um procedimento formal de cadastro com as caractersticas citadas. elevado o ndice de municpios em que o cadastramento de usurios realizado sem qualquer formalizao, cerca de 80%, consoante apontado no grfico. Geralmente o cadastramento realizado por meio de solicitaes verbais ou pelo envio de e-mail do superior para o tcnico de informtica responsvel pela administrao dos sistemas. 101 Grfico 4 - Procedimentos de cadastramento de usurios na rede de computadores e nos sistemas de informao realizados sem formalidade 100010 00% 80% aJO/o 40% 20% 0% _APRESENTA _ N.o APRESENTA Fonte: Elaborao Prpria A norma NBR ISO/IEC 17799:2005 aborda no tpico 11.2 aspectos relacionados a controle de direitos de acesso a sistemas de informao e servios, afirmando que convm que exista um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos. Uma conseqncia direta da impropriedade verificada a dificuldade ou at mesmo a impossibilidade de responsabilizao de um usurio em caso de fraudes ou erros, intencionais ou no, ocorridos no uso dos ambientes de informao. A ausncia de um procedimento formal de registro faz com que funcionrios com funes semelhantes recebam direitos de acesso diferentes, ou que funcionrios recebam privilgios de acesso superiores funo desempenhada. 102 5) Ausncia de poltica de senha forte na rede de computadores e nos sistemas de informao Uma poltica de senha deve ser composta dos seguintes itens, com o objetivo de assegurar um nvel de segurana de acesso satisfatrio: Senhas de, no mnimo, 06 caracteres; No reutilizao das ltimas 05 senhas; A obrigatoriedade da combinao de caracteres alfabticos, numricos e caracteres especiais na composio da senha; Usurios que no utilizem o sistema por um perodo pr- determinado de dias, devem ter suas senhas automaticamente desativadas para evitar possvel mau uso; travamento da conta de usurio aps trs tentativas de logon sem sucesso. A poltica visa assegurar que a senha escolhida seja de difcil deteco por outros usurios ou por tentativas de invaso via ataque por dicionrio ou fora bruta. A Norma NBR ISO/IEC 17799:2005 aborda em seu item 11.3.1 as boas prticas segurana da informao na seleo e uso de senhas, notadamente na alnea d: d) selecionar senhas de qualidade com um tamanho mnimo que sejam: 1) fceis de lembrar; 2) no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio; 3) no vulnerveis a ataque de dicionrio (por exemplo, no consistir em palavras inclusas no dicionrio); 4) isentas de caracteres idnticos consecutivos, todos numricos ou todos alfabticos sucessivos; 103 A impropriedade em tela de alta incidncia, ocorrendo em 75% dos municpios analisados, sendo mais comum em aplicaes desenvolvidas para automatizar uma atividade especfica da administrao municipal como, por exemplo, um Sistema de Contabilidade ou Sistema de Controle da Arrecadao. O grfico a seguir destaca o elevado ndice de municpios com esta deficincia. Grfico 5 - Ausncia de poltica de senha forte na rede de computadores e nos sistemas de informao 1aY/o,----------------------------------------------. a Y / o + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ~ 00>/0 +-------- 40%+------ 20%+----- 0%+----- APRESENTA Fonte: Elaborao Prpria N.o APRESENTA Sistemas operacionais de computadores servidores de uma rede como, por exemplo, Windows 2000 e Netware 4.12, so desenvolvidos por grandes empresas do ramo de informtica e j possuem mecanismos de autenticao seguros implementados. Foi constatado, entretanto, que geralmente o profissional de informtica da Prefeitura no realiza a ativao de tais funcionalidades. Outras deficincias comuns verificadas na pesquisa foi a no ativao ou a ausncia de mecanismos que obriguem o usurio a realizar a modificao da senha no primeiro acesso a uma aplicao, fazendo com que ele fique com uma senha padro, de conhecimento do operador do sistema. 104 6) Ausncia de campo especfico nos sistemas de informao para registro de nmero do processo administrativo em operaes crticas o presente estudo procurou verificar a incidncia desta impropriedade nos sistemas aplicativos utilizados pelas administraes municipais, tendo verificado que menos da metade dos municpios apresentam esta deficincia, 40% do total, conforme mostra o grfico a seguir. Grfico 6 - Ausncia de campo especfico nos sistemas de informao para registro de nmero do processo administrativo em operaes crticas 100010 00>/0 aJO/o aJO/o 40% 20% (]l/o 11 APRESENTA 11 N.o APRESENTA Fonte: Elaborao Prpria Operaes crticas so muito comuns em sistemas de informao. Um sistema de Folha de Pagamento, por exemplo, deve exercer estrito controle sobre operaes de alterao ou concesso de rubricas de pagamento, que resultam em aumento do salrio do empregado. Sistemas de Controle da Arrecadao devem controlar operaes que alterem o valor de um imposto cobrado do contribuinte, como alteraes nas caractersticas de um imvel que resultem em diminuio do valor cobrado de Imposto Predial e Territorial Urbano (IPTU). Nestes casos a operao deve ter suporte de um processo administrativo, em que o pedido analisado e ganha pareceres do controle interno, procuradoria e do setor competente, para s ento ser aprovado. necessrio, portanto, que o 105 sistema possua um campo especfico para registrar o processo administrativo que d suporte operao. A grande maioria dos municpios estudados utiliza-se de sistemas de informao desenvolvidos por empresas contratadas, sendo raros os municpios com uma estrutura de desenvolvimento de sistemas prpria. Com isso, atividades essenciais em uma administrao municipal como Contabilidade, Controle da Arrecadao e Folha de Pagamento so informatizadas por programas de empresas com experincia no mercado e que j possuem em seus aplicativos a funcionalidade de exigir o nmero de processo administrativo em operaes crticas. O crescimento das empresas de desenvolvimento de software faz com que aumente seus conhecimentos do negcio e, conseqentemente, haja melhoria dos produtos desenvolvidos. Existe uma tendncia, portanto, de diminuio da incidncia da impropriedade em tela, j que os sistemas de informao incorporam funcionalidades exigidas pelo contratante, a administrao municipal. 7) Arquivos de log ausentes ou com registro falho nos sistemas de informao O arquivo de log em sistemas de informao consiste em um arquivo no qual so registradas todas as alteraes realizadas no sistema, de forma a permitir a identificao dos campos alterados, o autor da alterao e quando ela foi realizada. Um bom arquivo de log de um sistema de informao deve possuir todos os campos necessrios a uma qualificao detalhada de uma alterao, incluindo a tabela alterada, identificao do campo alterado, nome do usurio que realizou a alterao, data e hora em que ela foi efetuada, o contedo anterior de cada campo alterado e o novo contedo. O arquivo de log possibilita ao usurio gestor do aplicativo realizar um rastreamento das alteraes realizadas, com o intuito da apurar responsabilidades em caso de fraudes ou erros ocorridos na utilizao do 106 sistema. A prpria existncia de log em um sistema aplicativo um fator altamente inibidor de tentativas de aes fraudulentas. Um pouco mais da metade dos municpios estudados apresentavam a irregularidade, 55% do total, como mostra o grfico a seguir. Grfico 7 - Arquivos de log ausentes ou com registro falho nos sistemas de informao
+-------- 20% +-------- 0% -1--------- APRESENTA Fonte: Elaborao Prpria N.o APRESENTA Embora exista uma tendncia de aumento de sistemas aplicativos com registro de operaes em arquivos de log, o estudo observou que em muitos casos o registro era incompleto, faltando informaes importantes como o valor anterior do campo alterado e identificao do usurio autor da alterao, o que impossibilitava a sua utilizao. Em outros casos, o sistema aplicativo no possua um mdulo de consulta ao arquivo de log, impossibilitando o usurio gestor da administrao municipal realizar estudos para identificar tentativas de fraude no sistema. Este fato faz com que o arquivo de log no seja utilizado na prtica e, portanto, foi considerado uma impropriedade. 107 8) Sistema de informao em desacordo com legislao especfica vigente As inspees operacionais em TI realizadas pelo TCE-RJ procuram verificar tambm aspectos de aderncia do sistema aplicativo legislao especfica da rea, como leis, decretos e portarias emanadas pelas trs esferas do poder, municipal, estadual e federal, e que influenciam diretamente na forma de execuo e nos relatrios emitidos pelos sistemas. Sistemas de controle da arrecadao, por exemplo, devem realizar o clculo dos impostos e taxas segundo alquotas, definidas por Lei Municipal ou decretos executivos sancionados pelo poder legislativo. o estudo verificou que baixa a incidncia de sistemas aplicativos em desacordo com a legislao, apenas 15 %, conforme grfico a seguir, o que demonstra a preocupao da administrao municipal com aspectos legais e formais de funcionamento dos sistemas. Este fato deve-se provavelmente forma de atuao do Tribunal de Contas, que realiza tradicionalmente um controle de natureza formal de verificao da regularidade da execuo dos gastos pblicos, da legalidade dos atos administrativos e da fidedignidade dos demonstrativos financeiros. Grfico 8 - Sistema de informao em desacordo com legislao especfica vigente 100>/0 85% aJO/o 000/0 4(Jl/O 20% 0% APRESENTA N.O APRESENTA Fonte: Elaborao Prpria 108 A impropriedade em tela constitui uma grave deficincia do sistema aplicativo, sujeitando a administrao municipal a aes indenizatrias por parte dos contribuintes em caso de flagrante desobedincia norma legal, o que resultaria em graves prejuzos ao errio municipal. 9) Divergncia entre os valores registrados no sistema de controle da arrecadao e no sistema de contabilidade A impropriedade consiste na ausncia de registro no sistema de contabilidade de valores efetivamente arrecadados pelo sistema de controle da arrecadao, oriundos da cobrana de tributos de responsabilidade da prpria administrao municipal. o sistema de contabilidade o principal instrumento de controle da administrao municipal, por meio dele que so extrados os principais relatrios exigidos pela Lei Federal nO 4.320/64, que rege as normas gerais de direito financeiro para elaborao e controle dos oramentos e balanos da administrao pblica. A Constituio Federal de 1988 e emendas constitucionais posteriores estabelecem percentuais mnimos de vinculao de receitas municipais com gastos em sade e educao. Com isso, uma divergncia de registro de valores de arrecadao entre os sistemas de controle da arrecadao e contabilidade pode resultar em aplicao de recursos abaixo do mnimo legal em duas reas fundamentais de assistncia bsica ao cidado. Os dados do estudo revelam que 65% dos municpios apresentam a irregularidade em tela, consoante grfico abaixo, ndice considerado alto devido aos riscos para a administrao municipal. 109 Grfico 9 - Divergncia entre os valores registrados no sistema de controle da arrecadao e no sistema de contabilidade
65% aJO/o ..f-------- 40% T-------- 20% ..f-------- 0% ..f-------- APRESENTA Fonte: Elaborao Prpria N.o APRESENTA A divergncia entre os dois sistemas pode representar tambm uma grave ilegalidade sujeita s sanes da Lei, tendo em vista que o no registro de receitas do sistema de controle da arrecadao no sistema de contabilidade pode ser uma tentativa de mascarar o desvio da arrecadao prpria dos cofres municipais. Este tipo de conduta sujeita o administrador pblico a sanes penais, visto que pode ser caracterizada como ato de improbidade previsto na Lei nO 8.429, de 2 de junho de 1992 - Lei de Improbidade Administrativa. Esse diploma regulamentou o art. 37, 4, da Constituio da Repblica, disciplinando quais os atos que seriam classificados como mprobos, quais as sanes aplicveis e qual o procedimento para aplic-Ias. A conduta em questo pode ser caracterizada como sendo um dos trs tipos de condutas que podem configurar ato de improbidade administrativa: atos que importam enriquecimento ilcito (art. 9), atos que causam leso ao errio (art. 10) e atos que atentam contra os princpios da administrao pblica (art. 11). 110 10) Impropriedades no instrumento contratual que ferem a legislao vigente, notadamente a Lei Federal nO 8.666/93 o TCE-RJ vem realizando tambm anlise dos contratos firmados pela administrao municipal na rea de informtica em suas auditorias operacionais em TI. Este tipo de atuao aproxima o Tribunal do modelo canadense de auditoria, conhecido como auditoria integrada ou de amplo escopo, em que so realizadas verificaes tanto de aspectos operacionais quanto legais (CCAF, 1995). o presente estudo constatou que quase a metade dos municpios, 45%, apresenta problemas relativos contratao, mesmo sendo este um dos aspectos verificados pelo TCE-RJ com mais regularidade em suas inspees e sujeito inclusive a anlise prvia. O grfico a seguir ressalta a distribuio desta irregularidade pelos municpios. Grfico 10 -Impropriedades no instrumento contratual que ferem a legislao vigente, notadamente a Lei Federal nO 8.666/93 100% 00% 00'/0 55% 40>/0 20% 0% APRESENTA N.o APRESENTA Fonte: Elaborao Prpria Os municpios so obrigados, por fora de deliberaes expedidas pelo Tribunal, a enviar previamente para anlise diversos tipos de atos jurdicos de licitaes e contratos. Apesar desta obrigatoriedade, persiste a ocorrncia de 111 irregularidades no objeto contratual, podendo ser considerado elevado o ndice de 45%. As anlises de contratos realizadas pelas auditorias de TI limitam-se a verificar aspectos da legislao que se aplicam especificamente contratao de bens e servios de informtica. Dentre as irregularidades mais comuns destacam- se o descumprimento ao prazo mximo de 48 meses de vigncia contratual no aluguel de equipamentos e utilizao de programas de informtica, no haver designao de funcionrio da administrao municipal para o acompanhamento da execuo do contrato, subcontratao de empresas para prestao do objeto sem previso no instrumento contratual e contratao por dispensa ou inexigibilidade de objetos no singulares, ou seja, que podem ser fornecidos por diversas empresas do mercado e, portanto, h obrigao de se realizar concorrncia. As irregularidades verificadas sujeitam o administrador pblico a sanes impostas pelo TCE-RJ, como o pagamento de multas, e pelo Ministrio Pblico, que podem resultar em crime de responsabilidade por descumprimento da Lei. 11) No execuo ou execuo parcial do objeto contratado A auditoria operacional em TI realizada pelo TCE-RJ nos municpios busca verificar tambm aspectos tcnicos relativos contratao de bens e servios de informtica, notadamente a adequao dos servios prestados ao objeto definido no contrato. Este tipo de anlise somente pode ser realizado por meio de inspees in loco, possibilitando ao auditor comparar a situao encontrada na realidade com aquela definida no texto contratual. Como mostra o grfico a seguir baixa a incidncia desta impropriedade nos municpios, com um ndice de apenas 10%. 112 Grfico 11 - No execuo ou execuo parcial do objeto contratado
00% +----------------------
20% +-------------------'lI9*,---------- 0% +-------- APRESENTA Fonte: Elaborao Prpria N.o APRESENTA A baixa ocorrncia de problemas relativos execuo contratual deve-se provavelmente s cobranas realizadas pelos prprios tcnicos municipais s empresas prestadoras dos servios, tendo em vista a importncia dos sistemas de informao contratados para a consecuo das atividades bsicas da administrao. Enquadram-se neste caso os sistemas de folha de pagamento, contabilidade e controle da arrecadao, fundamentais para a gesto da mquina pblica. Quanto ao fornecimento de bens de informtica mais fcil a comparao do objeto definido no contrato com os produtos efetivamente fornecidos, tendo sido encontradas diferenas de especificao tcnica entre o material entregue e aquele especificado. Como exemplo, pode-se citar computadores entregues com menos memria, com processadores de menor capacidade de processamento, ou sem placas de vdeo dedicadas, entre outros problemas. 113 8. CONCLUSO o crescimento da influncia do paradigma gerencial na administrao pblica contempornea vem exigindo mecanismos de aferio dos investimentos pblicos capazes de traduzir, com maior clareza e objetividade, a retrica poltica dos gestores pblicos. Assim, ferramentas como a auditoria operacional, que busca precipuamente avaliar o nvel de excelncia das organizaes pblicas a partir de aspectos como eficcia, eficincia, economicidade e efetividade, surgem para auxiliar os rgos de controle governamental, em especial os Tribunais de Contas, no atendimento das novas demandas sociais. o estudo realizado proporcionou uma contribuio positiva para o processo de aprendizagem quanto auditoria de sistemas, uma vez que ao traar um perfil das principais deficincias associadas utilizao de informtica pelas administraes municipais, possibilitou mostrar a efetividade desta modalidade de auditoria na deteco de falhas e na prescrio de melhorias. A dinmica dos trabalhos de auditoria na rea de sistemas de informao no permitia, at hoje, uma avaliao mais detalhada dos resultados alcanados por este tipo de auditoria, de forma a contribuir para a melhoria da gesto pblica. A sntese dos principais resultados obtidos no estudo aponta para elevada incidncia de certas impropriedades, indicando que a administrao pblica municipal ainda no alcanou o nvel de maturidade que possa qualific-Ia como gerencial. Existem deficincias em sua forma de administrao que dificultam sobremaneira a adoo de prticas gerenciais, com destaque para o nvel incipiente de planejamento estratgico na rea de informtica pelos municpios. A falta de planejamento na rea pode ocasionar srios problemas para a gesto pblica em mdio prazo, com a diminuio de sua capacidade de implementar polticas pblicas que sejam econmicas e eficazes. A informao , hoje em dia, um dos bens mais preciosos de uma organizao e requer mecanismos de planejamento e controle cada vez mais 114 sofisticados. O processo de planejamento estratgico de sistemas de informaes envolve a identificao e o estabelecimento de um conjunto de estratgias organizacionais, como misso e objetivos, sendo fundamental a adoo da governana na rea de TI. A administrao pblica gerencial caracteriza-se por ser orientada para o cidado e para a obteno de resultados. Nesse sentido, a governana de TI fundamental para garantir que a informtica suporte e maximize os objetivos e estratgias de negcio da administrao municipal, contribuindo para a melhoria da qualidade dos servios entregues ao cidado. O crescimento de uma sociedade que passa a organizar seus processos de trabalho e relacionamentos com base em estruturas e sistemas informatizados faz com que as organizaes que exercem o controle administrativo, como o Tribunal de Contas, tenham de repensar sua forma de atuao. Associada a essa necessidade, temos a prpria evoluo das condies tecnolgicas que do novas possibilidades para exercer atividades relativas ao controle administrativo que, em ltima anlise, possibilitam um aprofundamento dos estudos possveis de serem efetuados e abrem dimenses mais interessantes de serem abordadas como a eficincia, eficcia e efetividade das aes administrativas. O TCE-RJ ao realizar auditorias de tecnologia da informao est ampliando sua forma de atuao, indo ao encontro das idias e conceitos difundidos pela Administrao Pblica Gerencial e adequando-se s exigncias da chamada era da informao. As inspees de TI ao verificar aspectos relativos confiabilidade, disponibilidade, confidencialidade e integridade das informaes armazenadas nos sistemas informatizados e que trafegam na rede de computadores, est nada mais do que ampliando as dimenses de anlise efetuadas pelo Tribunal de Contas, caracterizando-se como uma nova forma de auditoria, conhecida como auditoria operacional ou de desempenho. 115 o estudo logrou xito ao revelar achados de auditoria resultantes dessa nova forma de anlise, como problemas comuns de ordem prtica relativos rea de segurana da informao, que demonstram a pouca importncia dispensada pela gerncia de setores chaves da administrao municipal em relao a riscos de fraude, sabotagem, roubo e sinistros a que os sistemas de informao e redes de computadores esto expostos. Os problemas de ordem operacional evidenciam tambm deficincias relativas qualificao profissional dos funcionrios de nvel intermedirio, responsveis pela implementao dos controles lgicos e fsicos, como polticas de segurana da informao, procedimentos de contingncia, cadastramento de usurios e configurao das polticas de senha na rede de computadores e nos sistemas de informao. Os resultados do presente trabalho mostram, portanto, a necessidade de treinamento dos profissionais de nvel intermedirio e de sensibilizao da gerncia de reas estratgicas para a importncia da questo da segurana das informaes. Uma possvel contribuio do TCE-RJ seria a elaborao e implementao de um curso de boas prticas no uso e manuteno de ambientes informatizados direcionado no s aos profissionais de nvel intermedirio, como tambm aos responsveis de nvel de gesto administrativa. O TCE-RJ, com a experincia adquirida ao longo dos ltimos oito anos em inspees de carter operacional no ambiente de informtica das administraes municipais e pelo constante aprimoramento e atualizao de seu corpo tcnico, possui a capacidade e o dever de transmitir os ensinamentos necessrios a seus jurisdicionados, em especial os municpios, pois estes possuem menos recursos e uma estrutura mais precria do ponto de vista material e de tcnicos especializados. Como rgo de controle externo, o TCE-RJ vem ampliando sua forma de atuao atravs da implantao de uma Escola de Contas e Gesto. Essa Escola tem como misso promover o ensino e a pesquisa na rea de gesto pblica, voltados para o desenvolvimento e a difuso de conhecimento, modelos e 116 metodologias comprometidas com a inovao, a transparncia, a responsabilidade e a melhoria do desempenho e controle governamental. A anlise crtica presente no presente estudo aponta para a necessidade de criao pela Escola de Contas e Gesto do TCE-RJ de um curso nos moldes expostos, a ser ministrado pelos tcnicos responsveis pelas auditorias de TI nos municpios, permitindo tambm o intercmbio de experincias e o aprimoramento da prpria atividade de auditoria. A pesquisa revelou tambm a ocorrncia de falhas operacionais como a ausncia de procedimento formal de cadastramento de usurios tanto na rede de computadores como nos sistemas de informao, assim como a ausncia de arquivos de log ou com registro falho nos sistemas aplicativos, que possibilitam, em ltima instncia, a preservao de mecanismos de impunibilidade. Um dos fatores que contribuem para este tipo de problemas de rotinas e procedimentos a falta de continuidade da administrao, sujeita a mudanas em seus quadros resultantes da alternncia normal de poder. Os critrios utilizados em auditoria com foco em tecnologia da informao possibilitam tambm a verificao da conformidade do sistema auditado com as regras do negcio, estabelecidas em leis, decretos e portarias. Apesar do estudo revelar uma baixa incidncia deste tipo de impropriedade nos municpios analisados, inegvel a importncia deste tipo de anlise para o aprimoramento do controle exercido pelo Tribunal de Contas. Nessa categoria esto, por exemplo, os critrios para clculo dos salrios dos servidores no sistema de recursos humanos, a forma de clculo dos impostos e taxas no sistema de controle da arrecadao, assim por diante. Os tipos de deficincias encontradas pelas auditorias de TI, notadamente a no conformidade do sistema auditado com as regras do negcio, evidenciam a fragilidade da rea de controle interno da administrao pblica municipal. Como o controle interno visa, principalmente, evitar a prtica de fraudes, erros, desperdcios e abusos, natural que ele seja exercido em carter prvio, antes de concludo o ato administrativo. 117 Os relatrios de auditoria em TI tm sempre procurado invocar a responsabilidade do controle interno, fazendo constar em suas recomendaes a efetiva participao deste importante setor administrativo na resoluo das impropriedades e irregularidades encontradas. Por outro lado, a prpria atividade do TCE-RJ serve de amparo para o controle interno, apoiando suas aes na defesa do patrimnio pblico. A quantidade e diversidade de impropriedades na rea de informtica sugerem a necessidade do TCE-RJ em aumentar a fiscalizao no setor, necessidade que esbarra no limitado quadro de tcnicos especializados em auditoria de TI, atualmente composto por apenas trs analistas. Observa-se tambm a necessidade de se realizar inspees de retorno a muitos municpios auditados, com o intuito de verificar se as recomendaes efetuadas foram de fato implementadas, j que muitas so de carter operacional e exigem a observao in loco para verificar seu cumprimento. A auditoria de TI necessita tambm de maior integrao com outras reas de fiscalizao do Tribunal em que a presena de sistemas informatizados cada vez maior, com destaque paras as reas de pessoal, educao e sade. Essas so reas em que a informatizao vem produzindo novos modelos de estruturas e novos processos de organizao, todos com o objetivo de simplificar e agilizar os fluxos de informao. Os resultados da pesquisa revelam tambm a necessidade de legislao especfica na rea de informtica, como instrues normativas, de forma a dar suporte s recomendaes resultantes dos trabalhos de auditoria realizados. Hoje, as auditorias de TI baseiam-se fortemente em normas tcnicas e boas prticas da rea de informtica, prevalecendo, em muitos casos, a conscientizao do auditado para a necessidade de cumprimento das recomendaes para o aumento da segurana e melhoria de funcionamento do ambiente de informtica. A presente pesquisa evidencia, por fim, a importncia da auditoria operacional de Tecnologia da Informao como forma de ampliao e 118 fortalecimento da atividade de controle externo exercida pelo Tribunal de Contas do Estado do Rio de Janeiro. 119 9. REFERNCIAS BIBLIOGRFICAS ABNT. NBR ISO/IEC 17799:2005: Tecnologia da Informao - Tcnicas de segurana - Cdigo de Prtica para a gesto da segurana da informao. Rio de Janeiro, Associao Brasileira de Normas Tcnicas, 2005. ABNT. NBR ISO/IEC 27001 :2005: Tecnologia da Informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao - Requisitos. Associao Brasileira de Normas Tcnicas. ALBERTIN, Alberto Luiz. Administrao de Informtica: funes e fatores crticos de sucesso; colaborao de Rosa Maria de Moura. 4 ed. So Paulo: Atlas, 2002. ALBUQUERQUE, Frederico de Freitas Tenrio. A auditoria operacional e seus desafios: um estudo a partir da experincia do Tribunal de Contas da Unio. 2006,152f. Dissertao (Mestrado Profissional em Administrao) - Escola de Administrao, Universidade Federal da Bahia, Salvador, 2006. ARAJO, Inaldo da Paixo Santos. Introduo auditoria operacional. Rio de Janeiro: Editora FGV, 2001. BARDIN, Laurence. Anlise de Contedo. Lisboa: Edies 70, 1977. BARROS, Elizabeth Ferraz. Auditoria de desempenho nos tribunais de contas estaduais brasileiros: uma pesquisa exploratria. Dissertao (Mestrado). Faculdade de Economia, Administrao e Contabilidade da USP. So Lus, 2000. BARTON, R. GloballT management. Chichester: John Wiley & Sons, 2003. BARZELA Y, Michael. Instituies centrais de auditoria e auditoria de desempenho: uma anlise comparativa das estratgias organizacionais na OCDE. Revista do Servio Pblico, Braslia, ano 53, n. 2, p. 5-35, abr.ljun. 2002. BASTOS, Glria Maria Merola da Costa. A experincia do Tribunal de Contas da Unio em auditoria operacional e avaliao de programas governamentais. In: TCU - Tribunal de Contas da Unio. O controle externo e a nova administrao pblica: uma viso comparativa. Braslia: 2002. BRASIL. Constituio (1988). Constituio da Repblica Federativa do Brasil. 10 ed. So Paulo: Rideel, 2004. BRESSER PEREIRA, Luiz Carlos. A reforma do Estado dos anos 90: lgica e mecanismos de controle. Lua Nova. So Paulo, n.o 45, p. 49-95,1998. 120 ___ o A reforma gerencial do Estado de 1995. Revista de Administrao, Rio de Janeiro: FGV, 34 (4), p.7-26, jul.lago.2000. CAMPOS, Anna Maria, Accountability. quando poderemos traduzi-Ia para o portugus? Revista de Administrao Pblica. Rio de Janeiro. Vol. 24. N 2, fev/abr, 1990, pp. 30-50. CARNEIRO, Roberto Antnio Fortuna. Avaliao: elemento vital e constituinte do planejamento e da gesto de resultados. Revista Bahia anlise e dados. Salvador,v.12,n.2, p.91-100, setembro 2002. CARVALHO FILHO, Jos dos Santos. Manual de Direito Administrativo. 14 a ed. Rio de janeiro, 2005 CASH JR., J. 1.; McFARLAN, F. W.; McKENNEY, J. L. Corporate information systems management: the issues facing senior executives. Homewood: Richard D.lrwin, 1992. CCAF - Canadian Comprehensive Auditing Foundation. Auditoria integrada: conceitos, componentes e caractersticas. Trad. Inaldo da Paixo Santos Arajo. 1 a ed. Salvador: Tribunal de Contas do Estado da Bahia, 1995. CRUZ, Flvio da. Auditoria governamental. So Paulo: Atlas, 1997. CUNHA, Cyrino. Auditoria governamental e a auditoria operacional: uma introduo com algumas consideraes. Revista do Tribunal de Contas, Porto Alegre, n 9, v. 6, dez.1998 DA SILVA, Roberto Carvalho. Auditoria Operacional como instrumento de gerncia no Setor Pblico. Dissertao de Mestrado, So Paulo: FEAlUSP, 1993. DERLlEN, H-U . Uma comparacin internacional em la evaluacion de ls polticas pblicas, Revista do Servio Pblico, 52 (1); 105-123,2001. DI PIETRO, Maria Silvia Zanella. Direito administrativo. 13 ed. So Paulo:Atlas, 2001. EARL, M. J. Information systems strategy formulation. In: BOLAND JR., R. J.; HIRSCHHEIM, R. A. (Org.). Criticai issues in information systems research. New York: John Wiley, 1987. EIN-DOR, P.; SEGEV, E. Strategic planning for management information systems. ManegementScience, v. 24, nO 15, p.1631-1641, Nov. 1978. FARIA, C. A. .A poltica da avaliao de polticas pblicas, Revista Brasileira de Cincias Sociais, 20 (59): 97-109. 2005. FDER, Joo. Auditoria Operacional. Revista do Tribunal de Contas do Estado de Santa Catarina, Santa Catarina, n.4, p. 5-7, nov/dez.1988. 121 ___ , Joo. Auditoria Operacional. Revista do Tribunal de Contas de Minas Gerais, Belo Horizonte, v.21 ,n.4, p. 13-53, outldez.1996. FERLlE, E. et al.The new public management in action.Oxford, Oxford University Press, 1996. FERRAZ, J. A. R. et ai. Etapas dos trabalhos. In: ENCONTRO DE AUDITORIA DE NATUREZA OPERACIONAL, 2., 2005, Recife:TCE/PE, 2005.1 CD-ROM. FREITAS, Carlos Alberto Sampaio. Aprendizagem, isomorfismo e institucionalizao: o caso da atividade de auditoria operacional no Tribunal de Contas da Unio. 2005. Dissertao (Mestrado em Administrao). Universidade de Braslia - UNB, Faculdade de Economia, Administrao, Contabilidade e Cincia da Informao e Documentao - FACE. Braslia. ___ o Melhoria de Desempenho. In: OFICINA DE AUDITORIA DE NATUREZA OPERACIONAL, 1.,2004, Recife:TCE/PE, 2004.1 CD-ROM. FIGUEIREDO, Carlos Mauricio et ai. Comentrios Lei de Responsabilidade Fiscal. 2 a ed. So Paulo: Editora Revista dos Tribunais. 2001, p.261-272. FRANA, Junia Lessa; VASCONCELOS, Ana Cristina de .Manual para normalizao de publicaes tcnico-cientficas. 7ed. Belo Horizonte: Ed. UFMG, 2004. 242p. GASPARINI, Digenes. Direito Administrativo. So Paulo, Saraiva, 1989 GENERAL ACCOUNTING OFFICE. Normas de auditoria governamental do escritrio da controladoria geral dos Estados Unidos. Trad. Inaldo da Paixo Santos Arajo. Reviso 2003: Tribunal de Contas do Estado da Bahia, 2005 (Srie Tradues - N. 12). GIL, Antonio Loureiro. Auditoria de Computadores. 3 ed. So Paulo: Atlas, 1998. GREINER, John M. In: BOUCKAERT, Geet na HALACHMI, Arie. Organizational performance and measurement in the public sector.London: quorum Books, 1996. GREMBERGER, W.v, HAES, S., GULDENTOPS, E., Structures, processes and relational mechanisms for Informations Technology Governance: Theories and practices, 2004. GUIMARES, Tomas de Aquino. A nova administrao pblica e a abordagem da competncia. Revista de Administrao Pblica (RAP), Rio de Janeiro, FGV, 34(3), p.125-40, Mai./Jun. 2000. 122 HALLER, E.J.; BROWN R E.; CLEMENTS, RL. Avaliao de desempenho operacional : estabelecimento de uma auditoria operacional. EUA: Price Waterhouse, 1985.150p. INTOSAI. Cdigo de tica e normas de auditoria. Salvador: Tribunal de Contas do Estado da Bahia, 2005a (Srie Tradues nO 10). ____ .Diretrizes para aplicao de normas de auditoria operacional da INTOSAI. Salvador: Tribunal de Contas do Estado da Bahia, 2005b. IT GOVERNANCE INSTITUTE. Board Briefing on IT Governance, 2 Edio, 2006. Disponvel em www.itgi.org. Acesso em: 15 set. 2008. IT GOVERNANCE INSTITUTE, COBIT 3rd Edition Audit Guidelines, 2000. ____ , COBIT Control Practices: Guidance to Achieve Control Objectives for SuccessfullT Governance, 2nd Edition, 2007. ____ , IT Governance Implementation Guide: Using COBIT and Vai IT, 2nd Edition, 2007. ____ , IT Assurance Guide using COBIT, Roiiing Meadows, 2007. ____ , COBIT Security Baseline, 2nd Edition, 2007. ___ , COBIT Quickstart, 2nd Edition, 2007. JOBIM.Nelson. O controle exercido pelo Tribunal de contas na viso judicial. In: CONGRESSO DOS TRIBUNAIS DE CONTAS DO BRASIL.23,2005, Gramado. KETTL, Donald F. A revoluo global: reforma da administrao do setor pblico. in. Reforma do Estado e administrao pblica gerencial, Orgs. Bresser Pereira, Luiz Carlos & Spink, Peter., 4. ed. Rio de Janeiro: Fundao Getlio Vargas, 2001. KING, W. R Strategic planning for management information systems. MIS Quartely, v. 2, nO 1, p.27-37, Mar. 1978. LIMA, Dagomar Henriques. Avaliao de programas e responsabilizao dos agentes pblicos pelo resultado da ao governamental: o papel do Tribunal de Contas da Unio. In: TCU - Tribunal de Contas da Unio. Prmio Serzedello Corra: monografias vencedoras: 2005. p. 45-73. MARINI, Caio. Gesto pblica: o debate contemporneo. Fundao Luz Eduardo Magalhes. Salvador: FLEM: 2003. 104 p. MATOS, Juliana M. O. Auditoria operacional no Tribunal de Contas do Estado de Pernambuco: caminhos para sua institucionalizao 2006. 158f. 123 Dissertao (Mestrado Profissional em Gesto Pblica) - Coordenao de Cincias Sociais, Universidade Federal de Pernambuco, Recife, 2006. MEIRELLES, Hely Lopes. Direito administrativo brasileiro. 28 ed. So Paulo: Malheiros, 2003. MEYER,John W., ROWAN, Brian.lnstitucionalized Organizations: Formal Structure as Myth and Ceremony, in Powell, Walter W., Di Maggio, Paul (eds.), The New Institucionalism in Organizational Analysis.Chicago: University of Chicago Press. MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT Governance, in Research Note, TG-16-1849, Gartner, 2002. Disponvel em http://www3.gartnet.com. Acesso em: mai. 2008 MNACO, Gabriel Santana. Agncias executivas e contratos de gesto. A possibilidade de ampliao da autonomia gerencial, oramentria e financeira deve ficar restrita apenas s autarquias e fundaes? Jus Navigandi, Teresina, ano 11, n. 1539, 18 set. Disponvel em: <http://jus2.uol.com.br/doutrinaltexto.asp?id=10423>. Acesso em: 08 set. 2008. NASCIMENTO, Roberto Srgio do. Auditoria operacional versus auditoria operacional:uma ampliao do escopo da auditoria tradicional. Revista do Tribunal de Contas, Braslia, v.32, n.88, abr/jun. 2001 _____ . Roberto Srgio do. Auditoria como instrumento de Controle e de avaliao das organizaes:estudo de Caso envolvendo o fundo de recuperao do estado do esprito santo (FUNRES) com base na auditoria operacional. Revista do Tribunal de Contas, Braslia, v.33, n.92, abr/jun. 2002 NORONHA, Maridel Piloto de. A experincia do Tribunal de Contas da Unio do Brasil na avaliao de programas de governo. In: Congreso Internacional dei CLAD sobre la Reforma dei Estado y de la Administracin pblica.8. Panam, 28-31 out. 2003. NUNES, Wanda Cludia Galluzzi. Auditorias de desempenho. Revista do Tribunal de Contas do Municpio do Rio de Janeiro, Rio de Janeiro, n. 26, p. 64- 74, abr.l2004. O'DONNELL, Guillermo. Democracia delegativa? Novos Estudos, S. Paulo: Cebrap, n. 31, p. 25-40, out. 1991. OAG - Office of the Auditor General of Canada. Auditoria de eficincia - guia de auditoria - parte 1. 1993. Trad. Curso de Francs L Lyce. 1 a ed. Salvador: Tribunal de Contas do Estado da Bahia, 1995, 28 p. OLIVEIRA, Luiz Carlos Silva. Auditoria operacional sob a tica da eficcia - A relevncia da sua utilizao pelo sistema de controle interno federal. Trabalho apresentado no XVI congresso brasileiro de contabilidade, Goinia, 15 a 20 de outubro de 2000 124 PETER, Maria da Glria; MACHADO,M.VV. Manual de auditoria governamental. So Paulo: Atlas,2003. PETERSON R R, Information Strategies and Tactics for Information Technology Governance, in Strategies for Information Technology Gove,rnance, book edited by Van Grembergen W., Idea Group Publishing, 2003. POLLlTT, Christopher et aI. Performance or Compliance? Performance Audit and Public management in Five Countries. Oxford: Oxford University Press: Addison-Wesley. 1999. POWER, M. The Audit Society: Rituais of Verification. Oxford: Oxford University Press.1997 PYBURN, P. J. Linking the MIS plan with corporate strategy: an exploratory study. MIS Quartely, v.7, nO 2, p. 1-15, June 1983. REIDER, Harry R The complete guide to operational auditing. New York, John Wiley, 1993. ROCHA, Arlindo Carvalho. A funo de Auditoria Operacional na avaliao de controle de Entidades Governamentais. Revista do Tribunal de Contas da Unio. v. 44, abr.ljun. 1990. RODRIGUEZ, M. V. R Gesto Empresarial: organizaes que aprendem. Rio de Janeiro. Qualitymark, 2002. SILVADe Plcido.Vocabulrio Jurdico. Rio de Janeiro: Companhia Editora Forense, 2001. SILVA, Francisco Carlos da Cruz. Controle Social: reformando a administrao para a sociedade. Braslia/DF, Prmio Serzedello Corra - Monografias Vencedoras -, 2001. SILVA, Jos Afonso da. Curso de Direito Constitucional Positivo. So Paulo, Editora Revista dos Tribunais Ltd a , 5 a ed. revista e ampliada de acordo com a nova Constituio, 1989, p.108. SILVA OLIVEIRA, Luiz Carlos. Auditoria operacional sob a tica da eficcia - A relevncia da sua utilizao pelo sistema de controle interno federal. In: CONGRESSO BRASILEIRO DE CONTABILlDADE,16.,2002, Goinia.2002, p. 14 SOUZA, Jorge. Controle interno municipal: uma abordagem prtica. Porto Alegre: Evangraf, 2006. TCU - Tribunal de Contas da Unio. Levantamento da governana de TI na administrao federal. Braslia: TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2007. 125 ___ o Manual de auditoria de natureza operacional. Braslia: TCU, Coordenadoria de Fiscalizao e Controle, 2000 . --- . Manual de auditoria de desempenho. Braslia: TCU, Secretaria de Auditoria e Inspees, 1998. VERGARA, Sylvia Constant. Projetos e relatrios de pesquisa em administrao. 7. ed. So Paulo: Atlas, 2006 __ o Mtodos de pesquisa em administrao. So Paulo: Atlas, 2005. VILLAS, Mareio Martins. Auditoria Operacional em Entidades Governamentais. Braslia, Revista do Tribunal de Contas da Unio, Braslia, 21 (44), abr/jun. 1990. WEILL, P., ROSS, J. W. IT Governance: How Top Performers Manage IT Oecision Rights for Superior Results. Harward Business School Press, 2004. 126 ANEXO A: LEGISLAO DE CONTROLE Legislao Descrio Constituio Federal de 1988 A seo IX que trata da Fiscalizao Contbil, Financeira e Oramentria. Lei Complementar nO 63, de 1 de Dispe sobre a Lei Orgnica do agosto de 1990 Tribunal de Contas do Estado do Rio de Janeiro e d outras providncias. Deliberao nO 167, de 10 de dezembro Aprova o Regimento Interno do de 1992. Tribunal de Contas do Estado do Rio de Janeiro. Deliberao nO 247, de 13 de maro de Dispe sobre o encaminhamento de 2008 dados relativos rea da receita dos municpios do Estado do Rio de Janeiro e d outras providncias. Deliberao nO 245, de 18 de dezembro Estabelece normas a serem de 2007 observadas pelos rgos e entidades municipais da Administrao Pblica Direta e Indireta de qualquer dos Poderes, sob a jurisdio do Tribunal de Contas, visando o controle e fiscalizao dos atos administrativos que especifica. 127 ANEXO B: lEGISLAO APLICVEL TI legislao Descrio lei nO 7.232, de 29 de outubro Dispe sobre a Poltica Nacional de Informtica e de 1984 d outras providncias. lei nO 8.159, de 8 de janeiro de Dispe sobre a poltica nacional de arquivos 1991 pblicos e privados. lei nO 8.248, de 23 de outubro Dispe sobre a capacitao e competitividade do de 1991 setor de informtica e automao, e d outras providncias. lei nO 8.666, de 21 de junho de Institui normas para licitaes e contratos da 1993 Administrao Pblica. lei nO 9.609, de 19 de fevereiro Dispe sobre a proteo da propriedade de 1998 intelectual de programa de computador, sua comercializao no Pas, e d outras providncias. lei nO 9.610, de 19 de fevereiro Altera, atualiza e consolida a legislao sobre de 1998 direitos autorais e d outras providncias. lei nO 9.983, de 14 de julho de Altera o Decreto-Lei nO 2.848, de 7 de dezembro 2000 de 1940 - Cdigo Penal. Prev penas especficas para crimes de insero, alterao, excluso e divulgao indevidas de dados nos sistemas informatizados ou banco de dados da Administrao Pblica. Medida Provisria nO 2.200-2, Institui a Infra-Estrutura de Chaves Pblicas de 24 de agosto de 2001 Brasileira - ICP-Brasil e transforma o Instituto Nacional de Tecnologia da Informao em autarquia. Decreto nO 3.555, de 8 de Aprova o regulamento para a modalidade de agosto de 2000 licitao denominada prego, para aquisio de bens e servios comuns. Decreto nO 3.697, de 21 de Regulamenta o pargrafo nico do art. 2 da dezembro de 2000 Medida Provisria nO 2.026-7, de 23 de novembro de 2000, que trata do prego por meio da utilizao de recursos de tecnologia da
Decreto nO 3.872, de 18 de Dispe sobre o Comit Gestor da Infra-Estrutura julho de 2001 de Chaves Pblicas Brasileira - CG IGP-Brasil, sua Secretaria Executiva, sua Comisso Tcnica Executiva. Decreto nO 3.931, de 19 de Regulamenta o Sistema de Registro de Preos setembro de 2001 previsto no art. 15 da Lei nO 8.666, de 21 de junho de 1993, e d outras providncias. lei nO 10.520, de 17 de julho de Institui no mbito da Unio, Estados, Distrito 2002 Federal e Municpios, nos termos do art. 37, inciso XXI, da Constituio Federal, modalidade de licitao denominada prego, para aquisio de bens e servios comuns, e d outras providncias. 128 ANEXO C: TABELA COBIT A tabela abaixo possui todos os 34 Processos do COBIT divididos em seus 4 Domnios com o mapeamentos dos Critrios da Informao e Recursos de TI relevantes em cada processo. Traduo livre. Legenda; Critrio da Informao Em branco" Sem impacto P '" Impacto primrio S '" Impacto Secundrio Recursos de TI Em branco" No usado x = Usado 129 ANEXO D: MATRIZ DE PLANEJAMENTO PROJETO DE AUDITORIA: Auditoria na rea de Informtica, objetivando descrever a situao geral da informatizao e analisar um Sistema de Informao de forma mais acurada. PROBLEMA DE AUDITORIA: O Sistema em anlise realiza as principais funes para as quais foi projetado, oferecendo segurana aos dados da Prefeitura? PRINCIPAIS INFORMAOES ESTRATGIAS METODOS DE METODOS DE CONCLUSOES QUESTOES NECESSRIAS METODOLGICAS COLETA DE ANLISE DE LIMITAO POSSVEIS DADOS DADOS 1) o Sistema emite os Principais relatrios Consulta aos relatrios. Solicitao. Anlise dos relatrios Pouca Se o Sistema cumpre o principais relatrios que emitidos pelo Sistema. Entrevista. Uso direto do Sistema. quanto forma e disponibilidade do objetivo de disponibilizar permitem acompanhar o Identificao do contedo. Gestor do Sistema. informaes aos usurios. processo informatizado? Gestor. Quadro tcnico insuficiente. 2) Os dados armazenados Projeto Lgico do Consulta aos dados Solicitao. Testes de tipos de Pacote de Software Se o Sistema confivel so consistentes? Sistema (DFD, existentes. Navegao Uso direto do Sistema. dados. fechado, adquirido (Dados consistentes). Dicionrio de Dados, no Sistema Valores mximos, no mercado. Modelo ER). mlnimos, repetidos. Projeto Fsico (Layout Teste de domlnio. das Tabelas) Cruzamentos de dados. 3) Os dados armazenados Registros mais atuais Consulta aos dados Solicitao. Teste de valores Manuteno do Se a informao fornecida so atuais, ou seja, o do Banco de Dados. existentes. Uso direto do Sistema. armazenados no Sistema confivel Sistema alimentado Navegao no Sistema. Banco de Dados. Terceirizada. regularmente? 4) O Sistema seguro, ou Descrio do Log do Consulta aos dados Solicitao. Testes utilizando Pacote de Software Se o Sistema oferece seja, possui proteo Sistema. existentes. Uso direto do Sistema. tcnicas de acesso fechado, adquirido segurana contra acessos indevidos? Descrio da tabela Navegao no Sistema. privilegiado. no mercado. razovel. de senhas. Regras de Anlise das validao de senha. informaes obtidas. 5) O Sistema registra Arquivo de Log do Anlise do arquivo de Solicitao. Anlise do arquivo Pacote de Software Se o Sistema registra adequadamente as Sistema (registro da Log. atravs de instrues fechado, adquirido devidamente as operaes operaes efetuadas aes dos usurios). SQL. no mercado. ocorridas. pelos usurios? 6) So realizados backups Planilha de Backup Consulta de dados Solicitao. Restaurao e testes Servios de Se h garantia da regulares dos dados? existentes Observao direta. para verificar gerenciamento de disponibilidade das confiabilidade dos CPD terceirizados. informaes backups. 7) O Sistema est em Legislao atinente ao Consulta da legislao. Solicitao. Anlise da legislao. Falta de informao Se o Sistema est em conformidade com a Sistema. Observao do cdigo Anlise do cdigo do Gestor quanto conformidade com a legislao vigente? fonte do Sistema. fonte do Sistema. legislao vigente. Legislao vigente. 130 PRINCIPAIS INFORMAES ESTRATGIAS METODOS DE METODOS DE CONCLUSES COLETA DE ANLISE DE LIMITAO QUESTES NECESSRIAS METODOLGICAS DADOS DADOS POSSVEIS 8) H polticas de Documentos com Consulta Observao direta. Comparao. Ausncia de Se o Sistema e seu contingncia descrio dos documentao. Entrevista. Estudo de Caso. documentao. ambiente esto preparados implementadas? procedimentos de Entrevista com os para a ocorrncia de contingncia adotados. profissionais de eventuais sinistros. informtica. 9) Existem procedimentos Manual do usurio. Consulta Observao direta. Triangulao. Ausncia de Se h padronizao e de operao do Sistema documentao. Entrevista. Observao direta. documentao. documentao dos bem definidos e procedimentos operacionais implementados? 10) A Performance do Documentao do Navegao no Sistema. Solicitao. Testes de Limitaes no Se a performance do Banco de Dados e do Banco de Dados. Testes de acesso. Uso direto do Banco Performance. acesso e utilizao Sistema adequada. Sistema satisfatria? de Dados. do Sistema. 11) O Banco de Dados Documentao do Testes de acesso ao Solicitao. Uso direto Testes de Segurana. Limitaes no Se o Banco de Dados utilizado seguro? Banco de Dados. Banco de Dados. do Banco de Dados. Verificao dos acesso ao Banco de seguro. Consulta principais controles Dados documentao lgicos. 12) O ambiente de Projeto Fsico Observao direta. Solicitao. Estudo de caso Ausncia de Se o ambiente do Sistema produo e (Descrio do Consulta Observao direta. Documentao. seguro. desenvolvimento do AmbienteI Hardware, documentao. Entrevista. Pouca Sistema seguro? Softwares, controles Entrevista com os disponibilidade dos de acesso) analistas responsveis. tcnicos. 13) H registros de Arquivo extrado da Solicitao dos arquivos. Solicitao ou extrao Formao de uma Sistemas e servios Se houve utilizao irregular utilizao indevida do Base de Dados. direta dos dados. Base de Dados. Terceirizados. do Sistema. Sistema? Arquivo de Log do Consultas Base Sistema (registro dos utilizando instrues acessos). Sal. 131 PROBLEMA DE AUDITORIA: O grau de Informatizao e de segurana do ambiente atende s necessidades do jurisdicionado? PRINCIPAIS INFORMAOES ESTRATEGIAS METODOS DE METODOS DE LlMITAAO CONCLUSOES QUESTES REQUERIDAS METODOLGICAS OBTENO DE ANLISE DE POSSVEIS DADOS DADOS 1. Existem Polticas de PDI (Plano Diretor de Consulta de Solicitao Anlise do contedo Documentao Se h Polticas de Informtica definids e Informtica) ou documentao existente. de Documentos. dos documentos. Insuficiente. Informtica adequadas. adequadas? documentao similar. 2.Como a estrutura Organograma Consulta aos dados. Observao Direta. Anlise de contedo. Corpo Tcnico Se a estrutura organizacional organizacional? da Informtica. Questionrio. insuficiente ou relativa Informtica Entrevista. incapacitado. adequada. 3. O Parque de Informtica Descrio do Parque de Visitas aos ambientes de Entrevistas com Anlise qualitativa e Prazo de Se o grau de Informtica e da Rede Informtica. usurios. quantitativa. realizao satisfao do suficiente e adequado de computadores. Questionrio. da Inspeo. usurio alto. s necessidades do Observao direta. 'urisdicionado? 4. O nmero de Relao do pessoal Pesquisa. Entrevistas. Anlise de contedo. Prazo de Se o quantitativo e o perfil profissionais adequado tcnico. Observao direta. realizao dos profissionais s Atribuies dos cargos. da Inspeo. adequado. necessidades? 5. A Rede de Diagrama Consulta a dados. Questionrio. Anlise de contedo. Perfil de acesso Se a Rede de computadores Computadores est da Rede. Utilizao da Rede. Anlise qualitativa das inadequado. segura. configurada de forma Perfis de acesso Observao Direta. configuraes. segura? Rede. 6. Quais so as garantias Contratos de Consulta a dados. Solicitao. Anlise de contedo Ausncia de Se os contratos nos contratos acerca de Informtica. contratos garantem a hardware/software formalizados. continuidade adquiridos de terceiros? dos servios essenciais. 7. Existe uma Documento Pesquisa. Entrevista. Anlise de contedo. Falta de informao Se h uma Politica de Poltica de Segurana descrevendo a Solicitao. dos usurios da Segurana vigente. Corporativa? Poltica de Segurana. Rede. 8. Existe um Plano de Documento Pesquisa. Entrevista. Anlise de contedo Falta de Se h um plano de Contingncia Corporativo? descrevendo o Solicitao. documentao dos Contingncia para Plano de Contingncia. procedimentos salvaguardar todo o adotados. ambiente informatizado. 9. Os links da Rede com a Diagrama da Rede. Consulta a Dados. Entrevista. Anlise de contedo. Perfil de acesso Se o acesso Internet Internet so seguros? Configurao das Utilizao da Rede. Anlise das inadequado. efetuado de forma segura. estaes. configuraes. 10. Os softwares utilizados Licenas de uso dos Consulta a Dados. Solicitao. Anlise de contedo. Falta de informao Se h o devido licenciamento so devidamente softwares. dos profissionais de dos softwares utilizados. licenciados? informtica. 1 3 ~ PROBLEMA DE AUDITORIA: H irregularidades nas contrataes e execuo contratual dos Sistemas de Informao da Prefeitura? PRINCIPAIS INFORMAOES ESTRATEGIAS METODOS DE METODOS DE LlMITAAO CONCLUSOES QUESTES REQUERIDAS METODOLGICAS OBTENO DE ANLISE DE POSSVEIS DADOS DADOS 1. Houve danos Contrato e seus Termos Consulta de Solicitao Anlise do contedo Documentao Se h dano administrao administrao municipal na Aditivos. documentao existente. de Documentos. dos documentos. Insuficiente. No municipal. contratao da empresa Entrevista. entrega de CCA? documentos solicitados. 2. Houve contratao em Demais Contratos e Consulta de Solicitao Anlise do contedo Documentao Se houve contratao em duplicidade, com mais de respectivos Termos documentao existente. de Documentos. dos documentos e Insuficiente. No duplicidade para o mesmo um Sistema contratado Aditivos. Observao Direta. anlise do discurso. entrega de objeto. para a mesma finalidade ? Entrevista. documentos solicitados. 3. A execuo contratual Contrato e seus Termos Consulta de Solicitao Anlise do contedo Documentao Se h correspondncia entre est de acordo com o Aditivos. documentao existente. de Documentos. dos documentos e Insuficiente. No o previsto no contrato e o previsto no instrumento Observao Direta. anlise do discurso. entrega de efetivam,ente executado. contratual? Entrevista. documentos solicitados. 4. H irregularidades na Processos de Consulta de Solicitao Anlise do contedo Documentao Se h irregularidades na atestao dos pagamento relativos s documentao existente. de Documentos. dos documentos. Insuficiente. No atestao dos pagamentos pagamentos? contrataes. entrega de efetuados s empresas documentos contratadas. solicitados. 5. Os processos Iicitat6rios Processos licitat6rios Consulta de Solicitao Anlise do contedo Documentao Se os processos Iicitat6rios relativos a TI seguem o das contrataes das documentao existente. de Documentos. dos documentos. Insuficiente. No seguiram os preceitos legais. ordenamento jurdico em empresas envolvidas. entrega de vigor? documentos solicitados. 6. Houve atuao do Processos licitat6rios Consulta de Solicitao Anlise do contedo Documentao Se houve atuao do controle interno no que se das contrataes das documentao existente. de Documentos. dos documentos e Insuficiente. No controle interno no sentido refere a eventuais empresas envolvidas, Entrevista. anlise do discurso. entrega de de sanar possveis irregularidades? respectivos pagamentos documentos irregularidades. e sindicncias. solicitados. - - -_. -- _. --- -- j