CONTAS CONTROLADAS TCU adota modelo de governança de TI no ambiente interno alinhando com seu plano estratégico para realizar o controle externo das contas da União com maior eficiência COMO ÓRGÃO RESPONsável pela fiscalização dos recursos federais aplicados por pessoa física ou jurídica, pública ou privada, o Tribunal de Contas da União (TCU) utiliza-se de forma intensiva da informação e de conhecimentos para realizar o controle externo desse dinheiro. Por constituírem matéria-prima e produto principais de seu trabalho, a instituição iniciou um projeto específico para melhor gerenciar o risco da Segurança da Informação (SI) e alinhar seus ativos de TI às práticas Sede do TCU em Brasília DIVULGAÇÃO R I S K M A N A G E M E N T R E V I E W 1 9
DIVULGAÇÃO C A P A Giacobbo: Secretário da Setec: Segurança da Informação vai além das fronteiras do CPD 2 0 R I S K M A N A G E M E N T R E V I E W
internacionais. Seu objetivo é fortalecer o uso de soluções informatizadas para exercer com maior transparência o papel que a Constituição Federal lhe reservou. Essa iniciativa está em sintonia com os objetivos e diretrizes do órgão contemplados no Plano Estratégico para o período de 2006 a 2010. Dois pilares que figuram no mapa estratégico desse programa orientam a atuação da instituição: o aperfeiçoamento da gestão pública e o combate à corrupção, inibindo desvios e fraudes na aplicação dos recursos. Para tanto, são estabelecidas metas específicas cujo alcance depende do uso de tecnologia. A Corte de Contas também orienta sua atuação para melhorar os processos de trabalho, bem como para aperfeiçoamento e atualização da estrutura legal e normativa de suporte ao controle externo da gestão das verbas públicas. Estamos investindo na ampliação do uso de TI para reduzir o tempo de apreciação dos processos, aumentar a capacidade de resposta e alcançar os resultados esperados pelo TCU, afirma Mauro Giacobbo, responsável pela Secretaria de Tecnologia da Informação (Setec) do órgão. GOVERNANÇA DE TI O secretário da Setec relata que o TCU vem nos últimos anos construindo uma estratégia de Tecnologia da Informação de acordo com os objetivos de negócio do órgão. Com uso maior de TI, precisamos rever nosso modelo de governança e forma de atuação para conferir maior celeridade e eficiência aos processos, diz Giacobbo. O órgão iniciou três frentes, voltadas para a implementação de melhores práticas internacionais. A proposta inicial é traçar um diagnóstico completo de todo o ambiente de TI para adequação à norma ISO/IEC 17799 e Papel do TCU Com sede em Brasília, o TCU é a instituição nacional responsável pela fiscalização contábil, financeira orçamentária, operacional e patrimonial da União e das entidades da administração direta e indireta. Estão sujeitos à sua jurisdição, qualquer pessoa física ou jurídica, pública ou privada, que utilize, arrecade, guarde, gerencie ou administre dinheiro, bens e do governo federal. A instituição foi criada em 1890 e com a Constituição de 1988 teve suas atribuições ampliadas consideravelmente. O TCU integra o Poder Legislativo e suas competências constam dos artigos 70 a 74 da Constituição. É composto por nove ministros, nomeados pelo presidente da República. Dois terços são indicados pelo Congresso Nacional e um terço pelo presidente da República. Desses últimos, um é de livre escolha e os outros dois devem sair obrigatoriamente entre auditores do TCU e membros do Ministério Público. Apreciar as contas anuais do presidente da República Julgar as contas dos gestores e demais responsáveis por dinheiro, bens e valores públicos da administração direta e indireta, incluídas as fundações e sociedades instituídas e mantidas pelo Poder Público federal Avaliar as contas daqueles que derem causa a perda, extravio ou outra irregularidade de que resulte prejuízo ao erário público Analisar, para fins de registro, a legalidade dos atos de admissão de pessoal, a qualquer título, na administração direta e indireta, incluídas as fundações instituídas e mantidas pelo Poder Público Realizar, por iniciativa própria ou da Câmara dos Deputados, do Senado Federal, de Comissão técnica ou de inquérito, inspeções e auditorias de natureza contábil, financeira, orçamentária, operacional e patrimonial, nas unidades administrativas dos Poderes Legislativo, Executivo e Judiciário Fiscalizar as contas nacionais das empresas supranacionais de cujo capital social a União participe, de forma direta ou indireta, nos termos do tratado constitutivo Investigar denúncias apresentadas pela sociedade sobre irregularidades no uso do dinheiro público R I S K M A N A G E M E N T R E V I E W 2 1
C A P A aos modelos ITIL (Information Technology Infrastructure Library) e CobiT (Control Objectives for Information and Related Technology). O projeto de conformidade com a norma ISO, que analisa aspectos relacionados à SI, foi realizado pela Módulo com uso do software Módulo Risk Manager, ferramenta de Governança, Riscos e Compliance (GRC). O levantamento da Módulo apresentou uma fotografia da SI no TCU e propôs um conjunto de melhorias que serão implementadas neste semestre. Até o início deste ano, os assuntos de SI restringiam-se muito ao departamento de TI. Atualmente são compartilhados com outras unidades do TCU. Essa mudança de postura confere maior visibilidade e atenção aos assuntos relacionados à SI. A Secretaria-Geral da Presidência (Segepres) estruturou uma assessoria especializada para supervisionar todas as iniciativas e ações da instituição relativamente à SI e governança de TI. A SI vai muito além das fronteiras do CPD. Envolve tecnologia, pessoas e processos de trabalho. Trata-se de aspecto mais cultural que tecnológico. Os riscos estão presentes tanto nos equipamentos de TI, quanto na forma de atuação e nas atitudes das pessoas, avalia Giacobbo. O secretário acrescenta que até pouco tempo, a responsabilidade pela segurança da informação era um tanto difusa. Ele acredita que, com a centralização da supervisão, definição clara de papéis e responsabilidades, aliada à melhor articulação das iniciativas, o tema ganha relevância e organicidade em toda a instituição. Uma das primeiras providências a serem tomadas pela Segepres é o aprimoramento da política de SI para o TCU. A partir do diagnóstico apresentado pela Módulo, serão definidas iniciativas de responsabilidades para cada área: A Setec cuidará de um conjunto de ações específicas voltadas para esse fim, as quais figuram no Plano Diretor de TI. Elas contemplam diferentes tecnologias, como uso da rede, do correio eletrônico, de equipamentos, regras de acesso às informações e bases de dados, diz o secretário. MODELO INTERNACIONAL Em paralelo com a radiografia da SI, o TCU analisou a conformidade de seus processos com os requisitos da biblioteca de boas práticas ITIL. De posse das informações levantadas, o órgão pretende agora implantar as disciplinas desse 2 2 R I S K M A N A G E M E N T R E V I E W
modelo inicialmente em três processos: gestão de demandas, para priorizar ações de TI; de incidentes, com medidas para contornar falhas nas soluções de TI; e de mudanças, que controla as alterações no ambiente computacional, entre outras atividades para garantir a continuidade das operações da Corte de Contas. A gestão de demandas será o primeiro processo a ser adequado aos requerimentos do framework ITIL. Segundo Giacobbo, a implementação de todos os processos se estenderá por cerca de cinco anos. Outra frente em curso neste semestre é a avaliação das práticas de governança baseadas no modelo Cobit. Para o secretário da Setec, os três diagnósticos contribuirão para elevar o nível de maturidade da instição em relação às práticas de SI e de governança de TI. Os projetos também ampliarão a capacidade de resposta e o alinhamento das ações de TI em relação às necessidades do TCU. Com esse aprimoramento, o órgão estará melhor preparado para enfrentar os crescentes desafios inerentes à área de tecnologia da informação, como a desmaterialização dos autos processuais, a velocidade de mudanças e a dependência tecnológica, acredita Giacobbo. R I S K M A N A G E M E N T R E V I E W 2 3