Unidade especializada em auditoria de TI. caso TCU. Renato Braga, CISA Tribunal de Contas da União

Transcrição

1 Unidade especializada em auditoria de TI caso TCU Renato Braga, CISA Tribunal de Contas da União

2 2 O participante aprenderá mais sobre: As diferenças entre unidades de auditoria especializada e não especializada Os passos para estruturar uma unidade de auditoria de TI Como a auditoria de TI pode ser vista como uma auditoria integrada As diferentes abordagens de auditoria de TI Os principais resultados da nova unidade especializada do TCU

3 3 Agenda Por que o TCU criou uma unidade especializada em auditoria de TI? Abordagens de auditoria de TI Passos para a estruturação da Sefti Referencial estratégico primeira parte Evolução da estrutura organizacional Principais resultados obtidos Próximos passos

4 Tribunal de Contas da União Missão: Assegurar a efetiva e regular gestão dos recursos públicos em benefício da sociedade. 4

5 5 Atuação Onde? Onde houver recursos federais! Quem? Qualquer gestor que aplique ou arrecade recursos federais Aplicado em quê? Tudo: obras, medicamentos, pessoal,..., e Tecnologia da informação.

6 Processo decisório no TCU Unidade Técnica (Sefti) Relatório de auditoria Ministro Relator Relatório, voto e proposta de decisão ( Acórdão ) Decisão( Acórdão ) Julgamento TCU (9 ministros) 6

7 7 Como atuar em um contexto tão amplo? Reconhecendo os problemas e atuando nos agentes multiplicadores SLTI/MP: aquisições e governança de TI GSI/PR: segurança da informação SOF/MP: orçamento SEGES/MP: pessoal Enap: capacitação CGU: riscos e controle AGU: legalidade CNJ: todas as áreas, para o poder judiciário TCE, TCM: replicação para os estados e municípios Sepin/MCT, STI/MDIC: política de informática 7

8 8 Benefícios da atuação do TCU (2008) 1 real 27,8 reais Se podem obter mais informações em (relatórios de atividades)

9 9 Trabalhos pioneiros em auditoria de TI Trabalhos iniciais tiveram bons resultados ( ) Várias auditorias de TI Treinamentos Cartilha sobre boas práticas em segurança da informação (orientando os agentes públicos) Participação no Comitê de Auditoria de TIC da Organização Internacional de Entidades Fiscalizadoras Superiores (Intosai, na sua sigla em inglês) desde

10 10 Decisões do TCU sobre contratações de TI Número de deliberações no ano Ano Fonte: Pesquisa textual na base do Sistema Juris (TCU)

11 11 Criação da Sefti Em agosto de 2006 (Resolução TCU n.º 193/2006) A Secretaria de Fiscalização de Tecnologia da Informação tem por finalidade fiscalizar a gestão e o uso de recursos de tecnologia da informação pela Administração Pública Federal. 11

12 12 Organização matricial Algumas unidades do TCU atuam por órgãos, independentemente do tema auditado outras atuam por temas, independentemente do órgão auditado (unidades especializadas): Recursos Macro avaliação governamental Pessoal Obras Programas de governo Desestatização Tecnologia da Informação Assim, as especializadas têm dois focos: interno e externo

14 14 Perfil de auditores de TI (Intosai) Auditor generalista (de negócio) Auditor de TI Auditor de TI especialista Opção da Sefti Auditores de TI, por causa da dificuldade e do custo de manter auditores de TI especialistas.

15 15 Diferentes abordagens Governança de TI Segurança da informação Sistemas de informação Dados Infraestrutura de TI Contratações Auditorias operacionais ou de conformidade Programas e politicas Fonte: Manual de auditoria de TI do TCU (em revisão)

16 16 Assim, combinações das abordagens em um mesmo trabalho leva ao conceito de auditorias integradas.

18 18 Em 2007, se planejaram 5 trabalhos, mas só 4 foram executados Os requisitos legais Os gastos A governança de TI O risco (feito este ano) O benchmarking

19 19 Passo 1: Identificar os requisitos normativos aplicavéis TC / Acórdão 1.934/2007-TCU-Plenário

20 20 Qual é a importância de conformidade (compliance) para o setor público? Direito público versus Direito privado

21 Quais são e de onde vêm os requisitos legais e regulatórios aplicáveis? Regimento interno IN 04/08 21 Lei 8.666/93 Lei /05 ME 3.1 Acórdão TCU 786/03 Enunciado TST 331 Lei 123/06 MS STF Decreto 2.271/97 E muito mais, de muitos lugares

22 22 Isto torna a vida... Até que seja realizada a consolidação prevista no art. 13, da Lei Complementar nº 95/98, com redação dada pela Lei Complementar nº 107/01. Notícia veiculada no site da Câmara dos Deputados informa que se tratam de mais de 177 mil normativos (de todas as áreas) em vigor a serem consolidados.

23 23 Como identificar uma base de requisitos legais, regulatórios e contratuais a atender (Cobit 4.1, ME 3.1)? Iniciativa do TCU: base (inicial)

24 24 Passo 2: Identificar onde está o orçamento de TI TC / Acórdão 371/2008-TCU-Plenário (Relação nº 14/ Gab. do Min. Guilherme Palmeira - Plenário)

25 25 Relevância do gasto Em 2007, não era possível identificar precisamente a despesa com TI na Administração Pública nem a despesa autorizada nem a executada Estimam-se, na APF,... R$ 6 bilhões em 2006 (fonte: TC /2007-8)

26 26 Mas isto já mudou! A Lei foi alterada por causa deste trabalho e os gestores deverão prever e acompanhar a execução do seu orçamento de TI (Cobit 4.1, PO5 Gerenciar investimentos em TI). Maior independência para a TI, juntamente com maior responsabilidade!

27 Despesa (de TI) liquidada no SIAFI em 2006 Serviços de Processamentos de Dados 60,15% Equipamentos de Processamento de Dados 13,59% Despesas de Teleproc. 7% Fonte: TC / Origem da classificação: Portaria STN 448/02 Aquisicao De Softwares De Base 0,41% Manut. Cons. Equip. de Processamento de Dados 1,78% Locação de Softwares 2,39% Material de Processamento de Dados 5,83% Aquisição de Softwares de Aplicação Manutenção de 5,55% Software 3,93% 27

28 28 Passo 3: Identificar como está a governança de TI na APF TC / Acórdão 1.603/08-Plenário

29 29 Alguns dados do trabalho Ferramenta: questionário eletrônico Respostas com evidências em anexo 39 perguntas Cerca de 250 auditados Resultado: heterogeneidade. Situação preocupante: não há governança de TI, há desgovernança de TI.

30 30 Mas isto está mudando muito rápido Por causa de dois trabalhos da Sefti (esse e uma avaliação de terceirização e governança de TI), a governança de TI entrou na agenda do governo federal e a situação muda a cada dia, com diversas ações em andamento: Veremos mais adiante

31 31 Passo 4: Criar a matriz de riscos para selecionar os objetos (órgãos, programas, contratos, etc.) para auditar Não tivemos gente para fazê-lo em 2007, mas foi realizado este ano (ainda não foi julgado).

32 32 Passo 5: Informações para o referencial estratégico

33 33 Alguns dados do trabalho Objetivo: Identificar o que as outras unidades do TCU esperavam da nova unidade e como trabalham as unidades de auditoria de TI de outras organizações Técnicas: Entrevistas e questionários 46 unidades do TCU 24 organizações externas (públicas e privadas) 25 Entidades de Fiscalização Superior 13 Tribunais de Contas do Brasil

34 34 Produtos obtidos Base de dados sobre auditoria de TI Propostas de como a Sefti deveria atuar Plano de divulgação permanente da Sefti Forma como deve-se dar o desenvolvimento profissional para os auditores de TI Oportunidades de atuação em cooperação Proposta da forma de seleção dos novos auditores por concurso público

35 35 Produtos obtidos Modelos e procedimentos de auditoria de outras unidades do TCU Relação de ferramentas de apoio à auditoria de TI Relação de critérios de auditoria de TI Relação de critérios para controle de qualidade das auditorias da Sefti Proposta de conteúdo e de estrutura do sítio da Sefti na Internet

37 37 Referencial Estratégico da Sefti Negócio: Controle externo da governança de tecnologia da informação na Administração Pública Federal.

38 38 Referencial Estratégico da Sefti Missão: Assegurar que a tecnologia da informação agregue valor ao negócio da Administração Pública Federal em benefício da sociedade.

39 39 Referencial Estratégico da Sefti Visão: Ser unidade de excelência no controle e no aperfeiçoamento da governança de tecnologia da informação.

40 Macroprocesos Controle Externo de TI Nas diversas abordagens Consultoria Formal ou Informal Capacitação Definição de métodos e técnicas Gestão do conhecimento Comunicação Processos de sustentação 40

41 Macroproceso - Comunicação Acessivéis em: 41

43 Estrutura organizacional Antes (até 2008) 2 subunidades com atribuições distintas mais 1 subunidade de apoio administrativo Hoje (2009) 3 subunidades com atribuições iguais, por causa da tendência de fazermos auditoria integrada mais 1 subunidade de apoio administrativo 43

45 Exemplos de medidas pontuais 45

46 46 Sistema Infoseg Informações criminais das unidades da federação gestão da segurança, controle de acesso e consistência dos dados.

47 47 Arrecadação Contabilização da arrecadação de tributos (vários sistemas) integridade, consistência e disponibilidade de dados. Agentes da RARF Darf Avadas Darf Risco 2 CIDA, ITR Informações de recolhimento SPB Informações de recolhimento Siafi Informações de recolhimento Tabelas de Conversão Darf Recolhimento Risco 1 Ancora Irregularidades Darf SIPAG Sistemas da SRF Pagamentos Restituições Retificações Compensações (SRF) Tabelas de Classificação Risco 4 Clacon Risco 3 Fita 50 Siafi Siafi

48 48 Sistema Siape No módulo de consignações Gestão da segurança, controle de acesso e fraude.

49 Exemplos de medidas estruturantes 49

50 50 Em conformidade... Base de requerimentos legais (ME3) Deverá ser mantida pelo Ministério do Planejamento (Acórdão 2.471/2008-Plenário)

51 51 No orçamento... Segregação do orçamento de TI (PO5) Acórdão 371/2008-Plenário (Relação 14/ Gab. do Min. Guilherme Palmeira Plenário), no processo TC / Lei /2009 (LDO 2009/2010).

52 52 Em terceirização... Processo de contratação de TI para todo o governo federal, com gestão de risgos (AI5, PO9) Acórdão 786/2006-Plenário Acórdão 1.480/2007-Plenário Acórdão 1.999/2007-Plenário IN 04/2008-SLTI

53 53 Em Governança de TI... Acórdão 1.603/2008-Plenário Resolução CNJ 70/2008 (PO1) Aprovação de vários PDTI (PO1) Implantação de vários comitês de TI (PO4)

54 54 Em Governança de TI... Acórdãos 1.603/2008 e 2.471/2008, do Plenário (Normas de segurança da informação - DS5) Regras do Conselho de Defesa Nacional para Gestão de Riscos da Segurança da Informação e Comunicação e criação de Equipes de Tratamento e Respostas a Incidentes em Redes de Computadores

55 55 Em Governança de TI... Acórdão 2.471/2008-Plenário Criação de carreira específica para profissionais de TI no governo federal (PO7) Capacitação em gestão de TI (PO7) Criação de um framework de governança de TI para o setor público (ME4) em estudo

56 Como propor medidas estruturantes? Normalmente, as propomos depois de fazer uma FOC. 56

57 57 FOC Fiscalização de Orientação Centralizada Uma fiscalização ou um conjunto de fiscalizações com preparação centralizada, execução descentralizada dos trabalhos e consolidação dos resultados.

58 58 Objetivo de uma FOC Avaliar, de forma sistêmica, uma função, um programa, um projeto, uma área, um tema ou uma ação de governo para construir uma visão geral das situações verificadas. Assim, devem-se identificar as desconformidades que são relevantes para propor aperfeiçoamento da sistemática de controle, da legislação ou da forma de conduzir o programa ou ação.

60 60 Ações previstas Manter nossa situação Completar nosso referencial estratégico Maior aproximação com o Congresso Nacional Definir um processo para selecionar trabalhos de auditoria (matriz de significância)

61 61 Obrigado pela atenção! Renato Braga, CISA Tribunal de Contas da União