ESTADO DO RIO GRANDE DO SUL TRIBUNAL DE CONTAS DO ESTADO ESCOLA SUPERIOR DE GESTÃO E CONTROLE FRANCISCO JURUENA Credenciamento MEC Portaria nº 1965/06 CURSO DE ESPECIALIZAÇÃO EM GESTÃO PÚBLICA E CONTROLE EXTERNO Auditoria em TI: Alternativas de Implementação no Processo de Auditoria do TCE-RS Frederico Henrique Goldschmidt Neto PORTO ALEGRE 2008
RESUMO A utilização de recursos de informática tem facilitado de sobremaneira o desempenho das instituições em suas áreas de atuação. Dados antes armazenados em papel e procedimentos realizados de forma manual hoje são todos feitos por computador. Como reflexo desta mudança, o controle externo, que antes era exercido através da auditoria dos dados em papel também teve que mudar. A informatização crescente reclama especial atenção das organizações, uma vez que a utilização da tecnologia da informação para manipulação e armazenamento de dados introduz novos riscos e aumenta a fragilidade de algumas atividades. Assim, torna-se essencial a atuação do controle externo em questões relacionadas à segurança da tecnologia da informação e à qualidade dos sistemas informatizados das instituições. Neste trabalho serão abordados conceitos relacionados com a área de informática e temas relevantes dentro do contexto de auditoria em tecnologia da informação, estendendo o escopo de auditoria de sistemas informatizados. Palavras-chave: Auditoria em TI; Gestão de Riscos; Metodologia de Auditoria.
ABSTRACT The use of the computer resources has facilitated the performance of the institutions in their areas of expertise. Before data stored on paper and manual procedures carried out today are all done by computer. As a reflection of this change, the external control, which was previously exercised by the audit data on paper also had to change. The growing computerization of organizations demanding special attention, since the use of information technology for handling and storage of data introduces new risks and increases the fragility of some activities. Thus, it is essential to the performance of external control on security issues in information technology and the quality of systems of institutions. This work will be addressed concepts related to the area of IT and relevant issues within the context of auditing in information technology, extending the scope of the audit systems. Keywords: IT Auditing; Risk Management; Auditing Methodology.
Índice Lista de Figuras... 9 1 INTRODUÇÃO... 10 1.1 Motivação... 10 1.2 Objetivos... 11 1.3 Organização deste documento... 11 2 TEMAS RELEVANTES RELACIONADOS À AUDITORIA EM TI... 13 2.1 Gestão de Riscos... 13 2.2 Auditoria de Compliance... 14 2.3 Business Intelligence... 16 2.4 Malha Fina Receita Federal... 17 2.5 Forense Computacional... 18 2.6 Auditoria de Softwares Aplicativos... 19 2.7 Mineração de Dados... 20 2.8 Controle Interno... 21 2.8.1 Ambiente de Controle... 22 2.8.2 Avaliação e Gerenciamento dos Riscos... 22 2.8.3 Atividade de Controle... 23 2.8.4 Informação e Comunicação... 23 2.8.5 Monitoramento... 24 2.9 Educação à Distância (EAD)... 25 3 AUDITORIA EM TI, NECESSIDADES E EXPERIÊNCIAS... 27 3.1 Reunião realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores envolvidos com o SIAPC... 27 3.2 Reunião realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM 29 3.3 Apresentação realizada em 28/08/2006 sobre Business Intelligence (BI)... 30 3.4 Reunião realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da Módulo... 31 3.5 Apresentação realizada em 02/10/2006 sobre Audit Control Language (ACL)... 31 3.6 Reunião realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de áreas com ações no PET e PROMOEX na área de auditoria em TI... 32 3.7 Proposta de aperfeiçoamento do sistema de auditorias da área municipal no âmbito do TCE-RS... 33 3.8 Auditoria em TI em outros TCs... 34 3.8.1 Experiência do Tribunal de Contas do Estado de Pernambuco... 35 3.8.2 Experiência do Tribunal de Contas da União... 39 3.8.3 Experiência do Tribunal de Contas do Estado do Paraná... 45 4 AUDITORIA EM TI PROPOSTAS DE IMPLEMENTAÇÃO NO TCE-RS... 46 5 CONCLUSÃO... 50 6 BIBLIOGRAFIA... 51
Lista de Figuras Figura 1: Auditoria de Compliance... 15 Figura 2: Business Intelligence... 17 Figura 3: Forense Computacional... 19 Figura 4: Mineração de Dados... 20 Figura 5: Educação à Distância no TCU... 26 Figura 6: Exemplo de checklist utilizado no TCE-PE... 35 Figura 7: Escopo de atuação de TI no controle externo... 38 Figura 8: Importância do gerenciamento de risco nos TCEs... 38 Figura 9: Histórico de Auditoria em TI no TCU... 39 Figura 10: Estrutura organizacional da SEFTI... 40 Figura 11: Normas e padrões utilizados pelo TCU... 41 Figura 12: Método de auditoria em TI utilizado pelo TCU... 42 Figura 13: Exemplo de matriz de planejamento... 43 Figura 14: Exemplo de matriz de procedimentos... 44 Figura 15: Exemplo de matriz de achados... 44 Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)... 45
10 1 INTRODUÇÃO 1.1 Motivação Não se deve partir do princípio de que os dados extraídos de computadores são confiáveis. Embora ofereçam vantagens para as organizações, os sistemas informatizados podem também apresentar grandes riscos. É possível que erros e fraudes não sejam detectados por causa da enorme quantidade de dados controlados pelos sistemas, da possível discrepância entre o que está armazenado e o que é efetivamente apresentado em relatórios de saída, e da mínima necessidade de intervenção humana nos processos. 1 Quase que a totalidade dos órgãos e entidades da Administração Pública faz uso maciço de sistemas informatizados para processamento e armazenamento de dados. Este fato torna imprescindível a preparação das entidades de fiscalização para enfrentar o desafio de auditar uma Administração Pública cada vez mais informatizada, visto que as equipes de auditoria terão que usar como evidência, dados provenientes de sistemas informatizados. O cenário apresentado relata com precisão o contexto das auditorias que estão sendo realizadas pelas equipes de auditores do Tribunal de Contas do Estado do Rio Grande do Sul (TCE-RS), que de certa forma carecem de conhecimento e metodologia para a realização de auditoria de sistemas informatizados, visto serem formadas por profissionais da área de economia, direito, contabilidade, administração e engenharia. Aliado a este fato, o elevado número de municípios a serem auditados, além das auditorias extraordinárias, faz com que o auditor dependa cada vez mais do uso dos sistemas informatizados e dos dados que dele extrai, exigindo um ambiente confiável e seguro tanto no TCE-RS quanto nos auditados.
11 1.2 Objetivos Esta monografia tem como objetivo contextualizar o uso de auditoria em tecnologia da informação (TI) no ambiente do TCE-RS, sugerindo alternativas para implantação deste procedimento no processo de auditoria tradicional hoje adotado. Para atingir este objetivo, serão abordados conceitos relacionados com a área de TI e temas relevantes dentro do contexto de auditoria em tecnologia da informação, estendendo o escopo de auditoria de sistemas informatizados. Resultados de entrevistas e demonstrações de fornecedores de ferramentas de suporte à auditoria de TI, bem como experiências de outros Tribunais de Contas também serão utilizados para o atingimento deste objetivo. 1.3 Organização deste documento Esta monografia está estruturada em cinco partes, conforme segue: 1 Introdução 2 Temas Relevantes Relacionados à Auditoria em TI apresenta de forma breve conceitos que servirão de base para o entendimento do que será proposto na conclusão deste trabalho. 3 Auditoria em TI, necessidades e experiências aborda entrevistas realizadas com áreas diretamente relacionadas com o processo de auditoria tradicional realizada pelo TCE-RS, bem como experiências em auditoria em TI de outros Tribunais de Contas (TCs).
12 4 Auditoria em TI Propostas de implementação no TCE-RS relaciona os conceitos abordados nos capítulos 2 e 3, trazendo como resultado sugestão de forma de implementação de auditoria em TI no processo de auditoria do TCE-RS. 5 - Conclusão encerra o trabalho com as considerações finais. 6 Bibliografia
13 2 TEMAS RELEVANTES RELACIONADOS À AUDITORIA EM TI A auditoria em ambiente de tecnologia da informação não muda a formação exigida para a profissão de auditor, apenas percebe que as informações até então disponíveis em forma de papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião. 2 Para que as informações sejam confiáveis, o auditor passa a ter que se preocupar não só com o sistema que gerou a informação, mas também com o ambiente onde este sistema está inserido. Aspectos como a segurança do ambiente físico, segurança do ambiente lógico, controle de acessos, políticas de backup, planos de contingência, gerenciamento de riscos e outros tantos também devem ser levados em conta no processo de auditoria. Para tornar claro este novo cenário que deve ser considerado em um processo de auditoria em TI, serão abordados de forma breve temas que com ele se relacionam. 2.1 Gestão de Riscos Em geral definimos segurança como um estado no qual estamos livres de perigos e incertezas. Dentro de uma organização, esta segurança costuma se aplicar a tudo aquilo que possui valor e, conseqüentemente, demanda proteção. São os chamados ativos. Como exemplo de ativos podemos ter as seguintes categorias: 1. Tangíveis: Informações impressas ou digitais, impressoras, móveis de escritório; 2. Intangíveis: Imagem de uma empresa, confiabilidade de um órgão estadual; 3. Lógicos: Dados armazenados em um servidor, sistema contábil;
14 4. Físicos: Estação de trabalho, sistema de ar-condicionado; 5. Humanos: Empregados, prestadores de serviço. 3 O objetivo da gestão de riscos é gerenciar uma série de atividades relacionadas à forma com a qual uma instituição lida com os riscos que seus ativos podem sofrer. Entre estas atividades, podemos elencar: a identificação do ativo, o risco que este ativo está sujeito, o impacto que a instituição sofrerá caso o risco ocorra, o tratamento dos riscos e a comunicação da ocorrência do risco. Importante ressaltar a existência de duas normas da Associação Brasileira de Normas Técnicas (ABNT) que demonstram a preocupação com a segurança da informação, e que são amplamente utilizadas na gestão de riscos, são elas: 1. ABNT NBR ISO/IEC 27001:2005 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um processo de certificação de um SGSI. A NBR 27001 junto com a NBR 17799 formam a base para a construção da série de normas ISO 27000. 2. ABNT NBR ISO/IEC 17799:2005 - é um código de prática de gestão de segurança da informação. Ela se aplica à segurança da informação em sentido amplo. Fornece os melhores procedimentos, diretrizes e princípios gerais de implementação, manutenção e gestão da segurança de dados em qualquer organização, produzindo e utilizando informação em qualquer formato. 2.2 Auditoria de Compliance Visa obter evidências a cerca de determinadas atividades da entidade, para verificar a obediência às regras ou regulamentos a elas aplicáveis. Estas regras ou regulamentos podem ser imposições da própria entidade ou de terceiros. Na figura 1 podemos verificar fases de um
15 processo de auditoria de compliance em TI, onde em um primeiro momento, durante a auditoria, são coletados dados através de logs do sistema, utilizando-se contas especiais para os executores da auditoria, passando-se a seguir a verificar qual a padronização será adotada para a verificação da compliance. Após a coleta dos dados e definição da padronização as evidências são coletadas nos diversos repositórios de informação, gerando relatórios de conformidade e recomendações para correção de itens não atendidos. Figura 1: Auditoria de Compliance Como exemplo de compliance podemos citar: 1. Lei Sarbanes-Oxley: é uma lei estadunidense assinada em 30 de julho de 2002 pelo senador Paul Sarbanes e pelo deputado Michael Oxley. A lei Sarbanes-Oxley, ou ainda SOX, busca garantir a criação de mecanismos de auditoria e segurança confiáveis nas empresas. Incluindo também regras para a criação de comitês e comissões encarregados de supervisionar suas atividades e operações de modo a
16 mitigar riscos aos negócios, evitar a ocorrência de fraudes ou ter meios de identificar quando elas ocorrem, garantindo a transparência na gestão das empresas. 2. ISO 9000: é uma concentração de normas que formam um modelo de gestão da qualidade para organizações que podem, se desejarem, certificar seus sistemas de gestão através de organismos de certificação. 2.3 Business Intelligence A Inteligência Empresarial, ou Business Intelligence (BI), é um termo do Gartner Group. O conceito surgiu na década de 80 e descreve as habilidades das corporações para acessar dados e explorar as informações (normalmente contidas em um banco de dados), analisando-as e desenvolvendo percepções e entendimentos a seu respeito, o que as permite incrementar e tornar a tomada de decisão mais pautada em informações. As organizações tipicamente recolhem informações com a finalidade de avaliar o ambiente empresarial, complementando estas informações com pesquisas de marketing, industriais e de mercado, além de análises competitivas. Organizações competitivas acumulam "inteligência" à medida que ganham sustentação na sua vantagem competitiva, podendo considerar tal inteligência como o aspecto central para competir em alguns mercados. Na figura 2, podemos verificar o processo de geração de informação para ser utilizada em um sistema de BI. Através da extração de dados das bases corporativas, dados são transformados e carregados em um grande banco de dados, de onde são feitas correlações que serão transformadas em relatórios de dados gerenciais, que servirão de subsídio em processos de decisão.
17 Figura 2: Business Intelligence Geralmente, os coletores de BI obtêm as primeiras fontes de informação dentro das suas empresas. Cada fonte ajuda quem tem que decidir a entender como o poderá fazer da forma mais correta possível. As segundas fontes de informações incluem as necessidades do consumidor, processo de decisão do cliente, pressões competitivas, condições industriais relevantes, aspectos econômicos e tecnológicos e tendências culturais. Cada sistema de BI determina uma meta específica, tendo por base o objetivo organizacional ou a visão da empresa, existindo em ambos objetivos, sejam eles de longo ou curto prazo. 4 2.4 Malha Fina Receita Federal A análise fiscal da declaração de ajuste anual da pessoa física, popularmente conhecida como "malha fina", é a revisão de todas as declarações, modelos completo e simplificado, de forma eletrônica, no qual são efetuadas verificações nos dados declarados pelo contribuinte, e realizados os cruzamentos destas informações com outros elementos disponíveis nos sistemas da Secretaria da Receita Federal (SRF).
18 Após a entrega das declarações, inicia-se a fase de processamento eletrônico das mesmas. Nesta fase são realizadas seqüências de verificações para identificar erros de preenchimento e inconsistência das informações apresentadas que podem caracterizar infração à legislação tributária. A incidência da declaração em parâmetros de malha, em situações específicas, interrompe o processamento até a solução dos problemas detectados, o que pode ser feito internamente pela SRF ou, nos casos em que é necessária a participação do contribuinte, mediante intimação para apresentação de informações e documentos. A não apresentação das informações e documentos solicitados, ou o não atendimento às intimações expedidas pelos Auditores-Fiscais da Receita Federal, implica na constituição do crédito tributário sobre as divergências constatadas, mediante a emissão de auto de infração. 2.5 Forense Computacional A Forense Computacional foi criada com o objetivo de suprir as necessidades das instituições legais no que se refere à manipulação das novas formas de evidências eletrônicas. Ela é a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional. 5 A não obediência de regras estabelecidas pela forense computacional pode por em risco todo o processo de auditoria em TI, pois os dados e evidências obtidos em campo podem vir a ser anulados e não considerados para subsídio aos pareceres emitidos pelo auditor. Observa-se direto relacionamento aos procedimentos hoje tão difundidos em seriados de televisão sobre forense criminal, onde a não observação dos procedimentos acarreta a liberação ou redução de pena do criminoso. Na figura 3 podemos verificar fases de um modelo de investigação computacional, no qual são empregadas técnicas de forense computacional.
19 Figura 3: Forense Computacional 2.6 Auditoria de Softwares Aplicativos Softwares aplicativos são aqueles desenvolvidos para executar automatização de processos de uma empresa, a exemplo de uma folha de pagamento ou controle de estoque. A auditoria de softwares aplicativos é feita através de controles implementados nas três áreas de operação deste software: entrada, processamento e saída. Sem um controle de aplicativo apropriado o risco de que características de segurança sejam omitidas ou contornadas, seja de forma intencional ou não, ou ainda que o processamento de dados seja feito de forma errônea ou fraudulenta é bastante grande. O contorno destes controles e a não existência de auditoria abre possibilidades para fraudes e desvios, o que muitas vezes inviabiliza uma empresa ou coloca por terra a imagem e confiabilidade de uma instituição.
20 2.7 Mineração de Dados Mineração de dados (também conhecida pelo termo inglês data mining) é o processo de explorar grandes quantidades de dados à procura de padrões consistentes, como regras de associação ou seqüências temporais, para detectar relacionamentos sistemáticos entre variáveis, detectando assim novos subconjuntos de dados. Esta tecnologia é formada por um conjunto de ferramentas que através do uso de algoritmos de aprendizagem ou baseados em redes neurais e estatística, são capazes de explorar um grande conjunto de dados, extraindo destes conhecimento na forma de hipóteses e de regras. Diariamente as empresas acumulam diversos dados nas suas bases de dados, inclusive com dados e hábitos de seus clientes. Todos estes dados podem contribuir com a empresa, sugerindo tendências e particularidades pertinentes a ela e seu meio ambiente interno e externo, visando uma rápida ação de seus gestores. Na figura 4 podemos verificar como funciona o processo de mineração de dados. Figura 4: Mineração de Dados
21 Com a geração de informações e conhecimentos úteis para as empresas, os seus negócios podem ser alavancados, tornando-se mais lucrativos. Os recursos da tecnologia da informação, mais precisamente a capacidade do hardware e software disponíveis, podem efetuar atividades em horas, o que tradicionalmente as pessoas levariam meses. Efetivamente a mineração de dados cumpre o papel de descoberta de conhecimentos. 6 2.8 Controle Interno Controle Interno é um processo, desenvolvido para garantir, com razoável certeza, que sejam atingidos os objetivos da empresa, nas seguintes categorias: Eficiência e efetividade operacional (objetivos de desempenho ou estratégia): esta categoria está relacionada com os objetivos básicos da entidade, inclusive com os objetivos e metas de desempenho e rentabilidade, bem como da segurança e qualidade dos ativos; Confiança nos registros contábeis/financeiros (objetivos de informação): todas as transações devem ser registradas, todos os registros devem refletir transações reais, consignadas pelos valores e enquadramentos corretos; Conformidade (objetivos de conformidade) com leis e normativos aplicáveis à entidade e sua área de atuação. 7 De acordo com a definição acima, o objetivo principal do controle interno é auxiliar a entidade atingir seus objetivos, sendo um elemento que compõe o processo de gestão e que deve ser responsabilidade de todos. O processo Controle Interno é constituído de cinco elementos, que estão relacionados entre si. São eles:
22 Ambiente de Controle; Avaliação e Gerenciamento dos Riscos; Atividade de Controle; Informação e Comunicação; Monitoramento. 2.8.1 Ambiente de Controle O ambiente de controle define o tom de uma organização. Ele é a base para todos os outros componentes internos de controle, proporcionando disciplina e estrutura. Fatores de controle incluem o meio ambiente, integridade, valores éticos e competência dos membros da entidade. A postura da alta administração desempenha papel determinante neste componente. Ela deve deixar claro para seus comandados quais são as políticas, procedimentos, código de ética e código de conduta a serem adotados. Estas definições podem ser feitas de maneira formal ou informal, o importante é que sejam claras aos funcionários da organização. 2.8.2 Avaliação e Gerenciamento dos Riscos O objetivo da gestão de riscos é gerenciar uma série de atividades relacionadas à forma pela qual uma instituição lida com os riscos que seus ativos podem sofrer. Entre estas atividades,
23 podemos elencar: a identificação do ativo, o risco que este ativo está sujeito, o impacto que a instituição sofrerá caso o risco ocorra, o tratamento dos riscos e a comunicação da ocorrência do risco. 2.8.3 Atividade de Controle São aquelas atividades que, quando executadas a tempo e maneira adequados, permitem a redução ou administração dos riscos. Podem ser de duas naturezas: atividades de prevenção ou de detecção. 2.8.4 Informação e Comunicação A comunicação é o fluxo de informações dentro de uma organização, entendendo que este fluxo ocorre em todas as direções, dos níveis hierárquicos superiores aos níveis hierárquicos inferiores, dos níveis inferiores aos superiores, e comunicação horizontal, entre níveis hierárquicos equivalentes. A comunicação é essencial para o bom funcionamento dos controles. Informações sobre planos, ambiente de controle, riscos, atividades de controle e desempenho devem ser transmitidas à toda entidade. Por outro lado, as informações recebidas, de maneira formal ou informal, de fontes externas ou internas, devem ser identificadas, capturadas, verificadas quanto à sua confiabilidade e relevância, processadas e comunicadas às pessoas que as necessitam, tempestivamente e de maneira adequada. O processo de comunicação pode ser formal ou informal. O processo formal acontece através dos sistemas internos de comunicação, que podem variar desde complexos sistemas
24 computacionais a simples reuniões de equipes de trabalho e são importantes para obtenção das informações necessárias ao acompanhamento dos objetivos operacionais, de informação e de conformidade. O processo informal, que ocorre em conversas e encontros com clientes, fornecedores, autoridades e empregados é importante para obtenção das informações necessárias à identificação de riscos e oportunidades. 2.8.5 Monitoramento O monitoramento é a avaliação dos controles internos ao longo do tempo. Ele é o melhor indicador para saber se os controles internos estão sendo efetivos ou não. O monitoramento é feito tanto através do acompanhamento contínuo das atividades quanto por avaliações pontuais, tais como auto-avaliação, revisões eventuais e auditoria interna. A função do monitoramento é verificar se os controles internos são adequados e efetivos. Controles adequados são aqueles em que os cinco elementos do controle (ambiente, avaliação de riscos, atividade de controle, informação e comunicação e monitoramento) estão presentes e funcionando conforme planejado. Controles são eficientes quando a alta administração tem uma razoável certeza a cerca dos seguintes itens Do grau de atingimento dos objetivos operacionais propostos; De que as informações fornecidas pelos relatórios e sistemas corporativos são confiáveis; Leis, regulamentos e normas pertinentes estão sendo cumpridos. 8
25 2.9 Educação à Distância (EAD) Educação à distância é o processo de ensino-aprendizagem, mediado por tecnologias, onde professores e alunos estão separados espacial e/ou temporalmente. É ensino/aprendizagem onde professores e alunos não estão normalmente juntos, fisicamente, mas podem estar conectados, interligados por tecnologias, principalmente as telemáticas, como a Internet. Mas também podem ser utilizados o correio, o rádio, a televisão, o vídeo, o CD-ROM, o telefone, o fax e tecnologias semelhantes. Hoje temos a educação presencial, semi-presencial (parte presencial/parte virtual ou à distância) e educação à distância (ou virtual). A presencial é a dos cursos regulares, em qualquer nível, onde professores e alunos se encontram sempre num local físico, chamado sala de aula. É o ensino convencional. A semi-presencial acontece em parte na sala de aula e outra parte à distância, através de tecnologias. A educação à distância pode ter ou não momentos presenciais, mas acontece fundamentalmente com professores e alunos separados fisicamente no espaço e ou no tempo, mas podendo estar juntos através de tecnologias de comunicação. A educação à distância pode ser feita nos mesmos níveis que o ensino regular. No ensino fundamental, médio, superior e na pós-graduação. É mais adequado para a educação de adultos, principalmente para aqueles que já têm experiência consolidada de aprendizagem individual e de pesquisa, como acontece no ensino de pós-graduação e também no de graduação. As tecnologias interativas, sobretudo, vêm evidenciando, na educação à distância, o que deveria ser o cerne de qualquer processo de educação: a interação e a interlocução entre todos os que estão envolvidos nesse processo. Na medida em que avançam as tecnologias de comunicação virtual (que conectam pessoas que estão distantes fisicamente como a Internet, telecomunicações, videoconferência, redes de alta velocidade) o conceito de presencialidade também se altera. Poderemos ter professores
26 externos compartilhando determinadas aulas, um professor de fora "entrando" com sua imagem e voz, na aula de outro professor. Haverá assim, um intercâmbio maior de saberes, possibilitando que cada professor colabore, com seus conhecimentos específicos, no processo de construção do conhecimento, muitas vezes à distância. 9 Na figura 5 podemos visualizar a interface de educação à distancia utilizada pelo Tribunal de Contas da União (TCU). Figura 5: Educação à Distância no TCU
27 3 AUDITORIA EM TI, NECESSIDADES E EXPERIÊNCIAS Tendo como objetivo fundamentar a necessidade da auditoria em TI dentro do escopo de atuação do TCE-RS, foram realizadas diversas reuniões entre os integrantes do grupo de pesquisa em auditoria de TI da Escola Superior de Gestão e Controle Francisco Juruena e servidores do TCE envolvidos no processo de auditoria tradicional, bem como fornecedores de soluções relacionadas com auditoria em TI. O resultado destas reuniões é relatado neste capítulo. A proposta de aperfeiçoamento do sistema de auditoria da área estadual, resultado de ação corretiva encaminhada para atender o considerável número de auditorias especiais e extraordinárias que estão sendo demandadas para os setores responsáveis no TCE-RS, também é mencionada neste capítulo, tendo em vista prever o uso intensivo de recursos de informática, e por conseqüência a necessidade de auditoria destes recursos. Além de definir o escopo de atuação da auditoria em TI no TCE-RS, buscou-se contato com outras instituições que atuam na área de controle externo para verificar se havia implementação deste tipo de auditoria, bem como de que forma estava estruturada. A troca de conhecimentos entre auditores destas instituições também proporcionou acesso à pesquisa realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE, na área de Governança de TI, das quais foram retirados dados relevantes para este trabalho. 3.1 Reunião realizada em 06/07/2006 entre o grupo de pesquisa em TI e servidores envolvidos com o SIAPC O Sistema Informatizado para Auditoria e Prestação de Contas (SIAPC) é um sistema que recebe informações contábeis e financeiras coletadas pelo Programa Autenticador de Dados (PAD) nos entes jurisdicionados, possibilitando análises de desempenho dos indicativos da Lei de
28 Responsabilidade Fiscal (LRF) e da Gestão Fiscal, geração de vários relatórios para auditoria externa e acompanhamento das Prestações de Contas. O SIAPC é a maior fonte de informações sobre os entes auditados. Suas informações são a principal fonte de material para o preparo das auditorias em campo. Levando este fato em consideração, o grupo de pesquisa sobre auditoria em TI reuniu-se com os integrantes da equipe responsável pelo acompanhamento e desenvolvimento de melhorias neste sistema para investigar o que seria esperado de um processo de auditoria em TI no TCE-RS. A seguir os principais elementos obtidos desta reunião: Comprovar se o arquivo TXT gerado pelas auditadas corresponde à realidade dos sistemas informatizados ou se são alterados manualmente ou via sistema; Possibilidade de confrontação de TXT recebido pelo TCE com TXT gerado na auditada quando em processo de auditoria para verificação de validade; Verificar como os sistemas informatizados das prefeituras geram os TXTs, possibilidade de fornecimento de opções via programa para ajustes no TXT gerado; Existência nos sistemas da prefeitura de plano de contas diferente do padronizado. Verificar programas de conversão de planos de contas; Confronto dos empenhos informados via TXT com empenhos existentes nos sistemas informatizados das auditadas; Verificar informações divergentes nas remessas bimestrais (verificar fevereiro da primeira remessa com fevereiro das demais remessa, por exemplo); Auxílio no desenvolvimento de ferramentas para cruzamento de informações hoje existentes no banco de dados do TCE, cruzamento este que poderia servir de subsídio para o processo de auditoria de campo;
29 Auxílio na parte técnica no processo de troca/obtenção de informações com bancos (BB e Banrisul). 3.2 Reunião realizada em 07/07/2006 entre o grupo de pesquisa em TI e servidores do SAM O Serviço de Auditoria Municipal (SAM), é responsável pela realização e emissão de relatórios de auditoria de órgãos da esfera municipal do estado do RS. Levando em consideração o volume de órgãos que este serviço audita, o grupo de pesquisa sobre auditoria em TI reuniu-se com o Supervisor da SAM e servidores do Serviço de Apoio e Suporte Operacional e Técnico (SASOT), para investigar o que seria esperado de um processo de auditoria em TI no TCE-RS. A seguir os principais elementos obtidos desta reunião: Auxílio na análise de processos licitatórios de produtos de informática (software/hardware/serviços); Análise de sistemas informatizados de prestadores de serviços e auditadas, em busca de trancas ou alternativas para burlar a auditoria do TCE; Elaboração de roteiro básico de auditoria em TI que torne possível auditor que não seja da área avaliar dados na auditoria na área de informática, solicitando a presença de auditor da área em casos de necessidade; Tomar cuidado no processo de criação de auditoria em TI para simplesmente não criar mais um item a ser auditado. A auditoria deverá estar bem focada e definida, sob pena de cair em descrédito em virtude da grande carga de tarefas do auditor de campo; Montar piloto para validação do processo de auditoria em TI a exemplo do acontecido com relação à auditoria operacional;
30 Auditoria de TI como auxílio para redução de auditoria in-loco; Verificar a legalidade do processo de auditoria em TI; Auditoria em TI dividida em camadas: o Cruzamento de informações existentes nos bancos de dados do TCE; o Roteiro básico para auditoria em TI; o Auditoria em TI por auditores da área. 3.3 Apresentação realizada em 28/08/2006 sobre Business Intelligence (BI) Em busca de ferramentas auxiliares no processo de auditoria em TI, o grupo de pesquisa em TI reuniu-se com o Sr. Carlos Busch, gerente de soluções da Processor, para avaliar a solução daquela empresa na área de BI. Um breve resumo do que foi apresentado: O Processor Business Intelligence é uma solução voltada para alavancar os investimentos já feitos pela maioria das organizações em sistemas legados, permitindo que os usuários façam uma transição efetiva de acesso tradicional para um acesso informativo aos dados corporativos. Recursos oferecidos: Apoio à tomada de decisão, obtido através do acesso preciso às informações relevantes do negócio; Consolidação da informação, de forma a torná-la acessível para os tomadores de decisão do negócio;
31 Identificação de tendências através do processo de análise e contextualização das informações, permitindo assim antecipar mudanças no mercado e até mesmo ações dos concorrentes. 3.4 Reunião realizada em 22/09/2006 entre o grupo de pesquisa em TI e representante da Módulo Aproveitando a visita do Sr. Rodrigo Agia, da empresa Módulo Security, para apresentação de palestra no Workshop de Informática, o grupo de pesquisa sobre auditoria em TI convidou-o para uma breve reunião para que compartilhasse sua experiência na área de auditoria em TI e gestão de segurança em TI. A reunião foi proveitosa, no sentido da absorção do conhecimento de que a certificação ISO 27001 poderia vir a trazer grandes avanços com relação à gestão de segurança em TI no TCE. Com relação ao processo de auditoria em TI, o que foi possível aproveitar com relação aos conhecimentos do Sr. Rodrigo, foi à possibilidade de foco específico de auditoria nesta área, tanto interna como externamente. O uso das normas ISO 27001 e ISO 17799 serviria como espinha dorsal para a implementação deste processo. 3.5 Apresentação realizada em 02/10/2006 sobre Audit Control Language (ACL) Visando avaliar ferramentas para auxílio no processo de auditoria em TI, foi convidada a empresa Tech Supply para que apresentasse a ferramenta ACL. A apresentação foi feita pelo Sr. Valdomiro Dalberto Junior. Um breve resumo do que foi apresentado:
32 Ao fornecer uma combinação única e poderosa de acesso aos dados, análise e relatórios integrados, a solução ACL lê e compara dados empresariais, quaisquer dados, bancos de dados simples ou relacionais, planilhas eletrônicas, arquivos de relatórios, em computadores ou servidores, permitindo que os dados de origem permaneçam intactos para que se mantenha a sua total qualidade e integridade. Usada como um aplicativo autônomo de computador e/ou como o cliente com o software de Edição do Servidor, a solução ACL utiliza uma única e consistente interface de cliente e fornece acesso fácil e imediato aos dados. Por exemplo, com somente alguns cliques, é possível passar da análise de dados do servidor para informações armazenadas em mainframes, para dados de sistemas contábeis ou para computadores conectados em rede. Isso assegura um desempenho otimizado e uma flexibilidade ótima no acesso de novas fontes de dados. Os comandos oferecem uma variedade completa de ferramentas de análise, desde simples classificações até testes complexos, já estando pré-programados na ferramenta. A ferramenta ACL é utilizada pelas mais conhecidas empresas de auditoria independentes em mais de 100 países. 3.6 Reunião realizada em 13/11/2006 entre o grupo de pesquisa em TI e representantes de áreas com ações no PET e PROMOEX na área de auditoria em TI. Tendo como objetivo discutir o uso de auditoria em TI no TCE-RS, reuniram-se as áreas com ações no Planejamento Estratégico do TCE-RS (PET) e no Programa de Modernização do Sistema de Controle Externo dos Estados, Distrito Federal e Municípios Brasileiros (PROMOEX) contemplando esta área. Inicialmente procurou-se identificar o conceito de auditoria em TI entre os integrantes da reunião. Uma das visões que se obteve foi o uso da auditoria em TI na área específica de
33 auditoria de sistemas informatizados, visando identificar possíveis fraudes através de erros nos sistemas ou má fé do auditado, ou ainda, na confrontação dos dados enviados para o TCE (via sistema SIAPC) com dados obtidos diretamente nos sistemas dos auditados. Outra visão surgida foi o uso da auditoria em TI com atuação específica na parte de verificação de procedimentos de segurança da informação (controles de acesso, backup, segurança da rede de computadores, etc.) que poderia reverter para o TCE no aspecto da qualidade e integridade das informações fornecidas. No transcorrer da reunião vários aspectos foram discutidos, chegando-se à conclusão que a auditoria em TI deve ser conduzida como um projeto multidisciplinar, agregando os vários setores da casa, pois a SINF detém o conhecimento das ferramentas e aspectos diretamente relacionados com a informática, mas carece do conhecimento do negócio, ou seja, como confrontar informações e obter indícios de falhas a serem apontadas. Foi sugerido como escopo inicial de implantação de uma metodologia de auditoria em TI um projeto piloto, envolvendo um órgão representativo da esfera estadual e outro da esfera municipal. Também se sugeriu a adoção de uma metodologia de avaliação de riscos, para identificar os órgãos passíveis de auditoria na área de TI. 3.7 Proposta de aperfeiçoamento do sistema de auditorias da área municipal no âmbito do TCE-RS Visando superar a capacidade de realização de auditorias in loco em todos os municípios do RS, levando em consideração as condições quantitativas do quadro de pessoal, tempo hábil para avaliação das matérias das auditorias e um nível adequado de qualidade, foi apresentada pela
34 Direção de Controle e Fiscalização (DCF) do TCE-RS, em julho de 2008, uma proposta de aperfeiçoamento do sistema de auditorias no âmbito municipal. Referida proposta faz uso de uma matriz de risco no âmbito do Serviço de Auditoria da Área Administrativa e Social (SAAS) e Serviço de Auditoria da Área de Economia, Finanças e Infra-estrutura (SAEFI), capaz de introduzir, através de critérios baseados em aspectos de materialidade, relevância e criticidade, mecanismo de mensuração do grau de risco de ocorrência de irregularidades associado a cada jurisdicionado, podendo assim, de forma criteriosa, identificar, a cada exercício, os jurisdicionados que apresentam grau de risco mais elevado e os de risco mais baixo. Também é levado em consideração que muitos dos jurisdicionados já estão submetidos, além do controle externo exercido pelo TCE, a controles efetuados pela Contadoria e Auditoria Geral do Estado, Banco Central, Comissão de Valores Mobiliários e/ou Auditorias Independentes, os quais configuram mecanismos de controle interno superiores aos existentes no âmbito municipal. Para que seja possível a implementação desta proposta, o uso de sistemas informatizados do TCE-RS, bem como dados obtidos dos sistemas informatizados dos auditados serão utilizados de forma intensiva para emissão do relatório de auditoria. 3.8 Auditoria em TI em outros TCs Através de levantamento feito via contatos com integrantes do grupo de TI do PROMOEX, solicitando informações a respeito de existência de processo de auditoria em TI, foi possível verificar que esta prática ainda não está consolidada. A exceção do TCU, TCE-PE e TCE-PR, nenhum outro TC enviou resposta, ou possui em seu site documentação ou referência à auditoria na área de TI.
35 3.8.1 Experiência do Tribunal de Contas do Estado de Pernambuco O Tribunal de Contas do Estado de Pernambuco (TCE-PE) possui área responsável pela auditoria de TI. A Gerência de Auditoria de Tecnologia da Informação (GATI), subordinada a Coordenadoria de Tecnologia da Informação (CTI). Segundo material enviado pelo TCE-PE (Anexo 1), em resposta a pesquisa realizada pelo TCU em 2007, o GATI possui quatro pessoas alocadas na área de auditoria em TI, atuando especificamente nas áreas de aquisição e contratação de bens e serviços de TI (30 auditorias como média anual), segurança, sistemas de TI e/ou auditoria de dados (duas auditorias como média anual) e acompanhamento da execução contratual de bens e serviços de informática (duas auditorias como média anual). A área de atuação mais efetiva do GATI é a de fiscalização e controle preventivo de licitações, possuindo inclusive um roteiro específico para esta área. Na parte de segurança em sistemas de informação, o TCE-PE possui checklists baseados na norma ISO/IEC 17799 (Anexo 2), conforme figura 6. Figura 6: Exemplo de checklist utilizado no TCE-PE
36 Através de contato via e-mail (Anexo 3) com o Sr. Eury Pacheco Motta Júnior, integrante do GATI, solicitou-se que fossem respondidas questões a respeito da atuação do GATI para um melhor entendimento do papel daquela gerência no processo de auditoria tradicional. Transcrevemos abaixo as perguntas e respostas: Pergunta: Para que eu possa entender melhor o funcionamento do GATI e do próprio processo de autoria, poderias me dar uma visão de como funciona a auditoria de TI dentro do plano operativo de vocês? Resposta: A partir deste ano começamos a trabalhar da seguinte forma, elaboramos um estudo para identificar as auditorias de TI de maior relevância, o trabalho foi feito junto com a CCE (Coordenadoria de Controle Externo) que é a área responsável por toda a parte de controle externo. Com base nas auditorias sugeridas pelo estudo priorizamos 3 para o ano de 2008 e outras 4 estão planejadas para 2009. O modelo que pretendemos alcançar prevê ainda que as equipes de auditoria tradicionais (auditores de contas públicas) atuem sugerindo auditorias de TI a partir das situações (sistemas e ambientes) identificadas no trabalho de campo. Estas sugestões serão priorizadas de acordo com a relevância. Pergunta: A auditoria de compliance (checklists) é feita pelo GATI ou pelos auditores de campo tradicionais (contadores, advogados)? Resposta: As auditorias de TI são feitas pelos analistas de sistemas da GATI. Dependendo do escopo da auditoria pode ser necessário montar uma equipe multidisciplinar. Por exemplo: uma auditoria de sistema de informação onde seja necessário avaliar a aderência das regras de negócio do sistema às legislações aplicáveis. Neste caso seria indispensável o conhecimento da legislação aplicável, se for muito específica e complexa seria necessária a participação de um auditor com conhecimento sobre a mesma. Pergunta: A auditoria de compliance é feita em todos os auditados ou por amostragem? Resposta: Os trabalhos de auditoria são planejados em conjunto com a área responsável pelo controle externo (CCE Coordenadoria de Controle Externo) sendo escolhidos os sistemas e
37 ambientes considerados mais relevantes (folha de pagamento do estado, bases de dados de aposentados e pensionista do estado, sistema de distribuição de medicamentos, sistema de pregão eletrônico, etc.). Nossa equipe ainda é pequena (a área possui apenas 4 pessoas), então a nossa capacidade operativa não é muito grande, e além de auditorias, fazemos acompanhamento de processos licitatórios e de contratos de TI. sistema? Pergunta: As entrevistas são feitas pessoalmente ou as informações são impostadas via Resposta: As entrevistas são sempre necessárias. Algumas vezes, quando o escopo da auditoria envolve sistemas pode ser necessário fazer testes no mesmo, remotamente ou in loco, a depender do sistema. Algumas vezes recebemos informações em formato eletrônico, normalmente bases de dados, sempre enviadas em alguma mídia (CD ou DVD) pelo jurisdicionado. Pergunta: O não cumprimento de itens do checklist gera algum tipo de falha? Resposta: As deficiências que encontramos muitas vezes estão relacionadas à não utilização de boas práticas sugeridas por padrões (referências) como COBIT, ITIL, Normas ISO, dentre outros, o que não implica em uma irregularidades do ponto de vista legal. Mas as recomendações apontadas pela equipe podem virar determinações se assim entender o pleno do TCE no julgamento. Importante mencionar alguns resultados obtidos através de pesquisa sobre Governança de TI realizada pelo Sr. Luiz Carlos de Oliveira, auditor do TCE-PE (Anexo 4), para sua dissertação de mestrado. A pesquisa de campo contou com respostas de grande parte dos TCEs do Brasil
38 Figura 7: Escopo de atuação de TI no controle externo Podemos constatar através de observação da figura 7, que a grande maioria das respostas (57.1%) aponta para um uso mínimo da estrutura de TI no controle externo, não existindo setor específico para auditoria em TI nos TCEs. Dos poucos TCEs que realizam auditoria em TI, seja sob demanda ou através de planejamento, somente 9.5% possui setor destinado para este fim específico. Figura 8: Importância do gerenciamento de risco nos TCEs Outra estatística interessante obtida na pesquisa realizada pelo Sr. Luiz Carlos de Oliveira, vide figura 8, foi que os TCEs consideram importante o uso de gerenciamento de risco como ferramenta para governança de TI (76,2%).
39 3.8.2 Experiência do Tribunal de Contas da União O Tribunal de Contas da União (TCU) é órgão de referência na área de controle externo, atuando na área de auditoria em TI desde 1994, quando realizou sua primeira auditoria especificamente nesta área. Na figura 9, retirada de apresentação (Anexo 5) feita pelo Sr. André Luiz Furtado Pacheco, auditor de TI do TCU, no Congresso Nacional de Auditoria de Sistemas e Segurança da Informação (CNASI) em 2007, podemos visualizar histórico do TCU na atuação em auditoria em TI. Figura 9: Histórico de Auditoria em TI no TCU Preocupado com a crescente utilização da Informática pela administração pública e a falta de fiscalização adequada nesta área, o TCU criou a Secretaria de Fiscalização de TI (SEFTI) em 2006, conforme podemos ver através de trecho retirado da página do TCU sobre a história da SEFTI, a criação de área especializada em auditoria de TI é de suma importância na execução do controle externo. Dada a importância estratégica da área de Tecnologia da Informação - TI, a expressiva materialidade tanto das aquisições relacionadas à tecnologia da informação quanto dos recursos geridos por meio de sistemas informatizados no Governo Federal, e
40 o uso cada vez mais crescente da tecnologia da informação para manipulação e armazenamento de dados da Administração Pública Federal, introduzindo novos riscos e aumentando a fragilidade de algumas atividades, o Tribunal de Contas da União conta com a Secretaria de Fiscalização de Tecnologia da Informação - Sefti, como unidade especializada na área. Essa secretaria especializada, criada em agosto de 2006 para fiscalizar a gestão e o uso de recursos de TI na Administração Pública Federal, conduz trabalhos específicos em Fiscalização de Tecnologia da Informação e serve de suporte às demais Secretarias do Tribunal, atuando, sempre que solicitada, em uma estrutura matricial de fiscalização. Além disso, elabora e dissemina metodologias, manuais e procedimentos para planejamento e execução de fiscalizações de tecnologia da informação, visando maior qualidade dos trabalhos de fiscalização nessa área. Sua Diretoria de Auditoria de Tecnologia da Informação tem a atribuição precípua de coordenação e realização de fiscalizações da governança de Tecnologia da Informação, nos sistemas informatizados da Administração Pública, nas iniciativas de governo eletrônico e na gestão dos recursos de tecnologia da informação, enquanto que a Diretoria de Aquisições em Tecnologia da Informação tem a missão de coordenação e realização de fiscalizações em editais de licitação, em contratos e em processos de aquisições diretas, todos afetos à tecnologia da informação. Na figura 10 podemos verificar a estrutura organizacional da SEFTI. Figura 10: Estrutura organizacional da SEFTI Outro dado relevante retirado da apresentação realizada pelo Sr. André Luiz Pacheco Furtado foram as principais normas e padrões utilizados para auditoria em TI. Conforme podemos verificar na figura 11.
41 Figura 11: Normas e padrões utilizados pelo TCU A auditoria em TI no TCU é realizada através da atuação dos auditores em três níveis: Auditores Generalistas, Auditores da TI e Especialistas em TI. As auditorias seguem a seguinte abordagem: Auditoria de sistemas: Auditoria de conformidade e/ou operacional em sistemas informatizados de uma organização; Auditoria de gestão de tecnologia da informação: Auditoria para avaliação da gestão dos recursos de TI de uma organização; Auditoria de dados: Auditoria em bases de dados com a utilização de ferramentas e técnicas de tratamento de dados; Auditoria em aquisições de TI: Auditoria em processos de aquisição e acompanhamento de contratos de TI; Auditoria em política de governo na área de TI: Auditoria em políticas ou programas de governo na área de TI, considerando sua eficácia, eficiência, economicidade e efetividade.
42 O método de auditoria de TI utilizado pelo TCU é composto por fases (levantamento, planejamento, execução, elaboração do relatório e monitoramento), utilizando-se de montagem de matrizes de planejamento, procedimentos e achados, além de técnicas de auditoria de conformidade e auditoria operacional. Este método é ilustrado na figura 12. Figura 12: Método de auditoria em TI utilizado pelo TCU A matriz de planejamento é o instrumento utilizado para se organizar as informações relevantes do planejamento de uma auditoria. Permite homogeneizar o entendimento da equipe e demais envolvidos quanto ao objetivo do trabalho, passos a serem seguidos e estratégia metodológica a ser adotada, orientando os integrantes da equipe nas fases de execução e de elaboração do relatório. O principal objetivo da matriz de planejamento é enunciar de forma clara e resumida o aspecto a ser enfocado pela auditoria, de acordo com o levantamento de auditoria previamente realizado. Passos para a elaboração da matriz de planejamento: Elaborar o objetivo da auditoria, após o diagnóstico da situação, e determinar a linha de investigação, mediante a formulação das questões de auditoria;
43 Determinar, para cada questão de auditoria, possíveis achados, ou seja, onde se deseja chegar com a investigação; Identificar as informações requeridas e onde as obter; Escolher as estratégias metodológicas para responder as questões de auditoria; Escolher os métodos de coleta e análise de dados que serão empregados; Identificar fatores que possam representar obstáculos (limitações) ao trabalho. Figura 13: Exemplo de matriz de planejamento. Através da matriz de procedimentos será detalhado passo a passo o processo de fiscalização na forma de itens a serem executados, contendo questões de auditoria, procedimentos, objeto e achado. O principal objetivo da matriz de procedimentos e enunciar de forma clara e resumida o objetivo da auditoria. Na figura 14 um exemplo de matriz de procedimentos.
44 Figura 14: Exemplo de matriz de procedimentos. A matriz de achados encaminhará o fechamento da auditoria. Através dela será evidenciada a situação encontrada, o achado, o critério, a evidência, a causa, o efeito e o encaminhamento (recomendações) com relação à auditoria efetuada. O principal objetivo da matriz de achados é evidenciar os resultados da auditoria e as recomendações para corrigir eventuais irregularidades. Figura 15: Exemplo de matriz de achados.
45 3.8.3 Experiência do Tribunal de Contas do Estado do Paraná Através de contato mantido com a Dra. Tatianna Cruz Bove, auditora, foi possível saber que existe atuação na área de auditoria em TI no TCE-PR. Apesar de acenar com a possibilidade de envio de material para este trabalho, este fato não se concretizou, mas de qualquer forma é importante o registro que o TCE-PR atua na área de auditoria em TI e pode vir a ser fonte de consulta para aumento de experiência na forma de auditar esta área. Cabe mencionar importante iniciativa daquele Tribunal de Contas no sentido de tentar tornar mais acessível as informações referentes aos resultados das auditorias através da criação de um portal de controle social, conforme pode-se verificar na figura 16. Figura 16: Portal de controle social (http://www.controlesocial.pr.gov.br/)
46 4 AUDITORIA EM TI PROPOSTAS DE IMPLEMENTAÇÃO NO TCE-RS Percebe-se, através dos relatos obtidos em reuniões realizadas com servidores do TCE diretamente relacionados com o processo de auditoria tradicional, que a necessidade de implementação de auditoria em TI no ambiente do TCE-RS é uma necessidade premente. Apesar do acesso obtido às informações enviadas pelos entes auditados através do programa SIAPC, resta desconfiança sobre como estes dados são gerados. Como o objeto final de envio são arquivos texto, estes podem sofrer algum tipo de manipulação, seja através de programas conversores de planos de contas ou outros programas de adequação, ou mesmo edição manual destes arquivos. Outra preocupação existente é a de que a auditoria em TI seja mais um entre tantos itens hoje trabalhados pelos auditores de campo. A auditoria em TI deverá servir como auxílio para redução de auditoria in-loco. Um roteiro básico para auditores que não são da área de TI deverá ser elaborado para utilização das equipes de auditoria tradicional. Através do relato de experiências de outros Tribunais de Contas é possível verificar que a auditoria em TI, devido a sua complexidade e amplo foco de abordagem exige a montagem de estrutura própria para este fim. Auditores formados na área e com cursos de especialização e atualização precisam pensar o processo de auditoria, montando matrizes que auxiliarão neste processo, a exemplo do que hoje acontece no TCU. O atendimento a este item é de suma importância para o sucesso da auditoria em TI no TCE-RS, pois não se pode esperar que os auditores das equipes de desenvolvimento e suporte à rede adicionem mais esta tarefa as que hoje já executam e consigam atender a todas as demandas de forma satisfatória. Partindo-se da premissa que os dados obtidos dos sistemas informatizados dos jurisdicionados é base fundamental para a realização do processo de auditoria, e que o ambiente informatizado existente nestes órgãos deve ser confiável e controlado, podemos vislumbrar a
47 necessidade de um controle interno atuante e com conhecimentos necessários para a garantia destes quesitos. Para que o controle interno dos auditados possa ter atuação efetiva, é necessário que conhecimentos nesta área sejam fornecidos, visando padronizar uma forma de atuação e de controle. Neste aspecto a utilização de estrutura de EAD por parte do TCE-RS para fornecer estes conhecimentos é essencial, pois a atuação de forma proativa e educativa refletirá no processo de controle externo, facilitado por um controle interno atuante. O uso de técnicas de gerenciamento de riscos, que estão diretamente relacionadas com a área de controle interno, também poderia ser matéria a ser desenvolvida através do uso de EAD contribuindo para garantir um ambiente confiável nos órgãos auditados. A partir de um controle interno atuante, com conhecimentos necessários para a execução de seu serviço, haveria um cenário propício para o uso de auditoria de compliance. A utilização das normas ABNT NBR ISSO/IEC 27001 e 17799, a exemplo dos checklists do TCE-PE, além de outros requisitos exigidos pelo TCE-RS através de legislação, serviriam para a formação de quesitos de atendimento obrigatório e passíveis de auditoria, formando a base para o checklist a ser aplicado. A coleta das informações dos quesitos a serem atendidos seria feita através de sistema informatizado, a exemplo do que hoje é feito via o sistema de Manifestação do Controle Interno (MCI), e a coleta de evidências seria feita in-loco no processo de auditoria tradicional. A emissão de documento comprovando a aderência ao compliance do TCE-RS seria uma das certificações a ser buscada pelo auditado e um primeiro nível de auditoria em TI a ser realizado pelo TCE-RS, não exigindo neste primeiro momento a atuação de auditores especialistas nesta área. A análise de contratos e processos licitatórios na área de TI seria uma outra área onde auditores de TI poderiam atuar, a exemplo do que hoje acontece no TCE-PE, que inclusive possui manual criado exclusivamente para esta finalidade e do TCU, que também atua de forma efetiva
48 neste processo através de sua Diretoria de Fiscalização de Aquisições em Tecnologia da Informação (DEFTI). Ferramentas de BI e data mining poderiam ser utilizadas para cruzamento de informações em cima dos dados fornecidos pelos auditados, seja através do SIAPC ou requisições, e acesso à base de dados de outras instituições, tais como Bancos e Junta Comercial, entre outras, para montagem das matrizes de planejamento, procedimentos e achados de auditoria, levantando indícios que seriam comprovados in-loco pelas equipes de auditoria em campo. Seria a implementação da Malha Fina do TCE-RS. A necessidade de atuação em auditorias que envolvam análise de dados ou de sistemas utilizados pelos auditados seria feita por auditores especialistas, que devido ao seu perfil técnico não fariam parte de equipes de auditoria tradicional e teriam seu trabalho requisitado quando preciso. Estes auditores além da formação técnica em TI também deveriam possuir certificações na área de auditoria e conhecimentos em forense computacional. Poderíamos resumir a auditoria em TI em fases, que poderiam ocorrer de forma concomitante com o processo de auditoria tradicional. A metodologia a ser utilizada seria a de criação de matrizes de planejamento, procedimentos e achados, utilizada pelo TCU. Estas fases seriam: 1. Planejamento da Auditoria: Seriam utilizados dados obtidos através da Malha Fina do TCE-RS, dados retirados do sistema MCI, denúncias recebidas pela ouvidoria e matriz de risco elaborada pelos setores de auditoria municipal para a montagem das matrizes de planejamento e procedimentos; 2. Execução: As evidências relativas aos dados obtidos para o processo de auditoria seriam verificadas durante o processo de auditoria in-loco, não necessariamente por auditores especialistas em TI, que seriam solicitados se necessário, e serviriam para a montagem da matriz de achados.
49 3. Relatório: Nesta fase os dados retirados da matriz de achados seriam relatados e as recomendações para sanar possíveis falhas seriam efetuadas. Além destas fases, que ocorreriam dentro do plano operativo de auditoria, ainda haveria a necessidade de atuação nas áreas de aquisições em TI, analisando e acompanhando os contratos que forem feitos nesta área e também do atendimento de auditorias específicas e pontuais que envolvam análise de dados obtidos em sistemas dos auditados.
50 5 CONCLUSÃO Neste trabalho foram abordados aspectos relevantes referentes à auditoria em TI, trazendo-se conceitos necessários ao entendimento da proposta de implementação no processo de auditoria do TCE-RS. Resultados de entrevistas realizadas com auditores do TCE-RS e com fornecedores de ferramentas passíveis de utilização em auditoria de TI foram relatadas, bem como experiências de outros Tribunais que hoje já atuam nesta área. Em capitulo específico, os conceitos abordados e os relatos de experiências e entrevistas foram transformados em sugestões de como se implementar auditoria em TI no processo de auditoria do TCE-RS. Espera-se que as informações aqui contidas auxiliem na implementação e implantação da auditoria em TI nas ações já existentes no Planejamento Estratégico do TCE-RS e no PROMOEX, servindo talvez como documento inicial para aprimoramento de uma solução institucional.
51 6 BIBLIOGRAFIA 1 BRASIL, Tribunal de Contas da União. Manual de Auditoria de Sistemas. Brasília: TCU, Secretaria de Auditoria e Inspeções, 1998. 2 IMONIANA, Joshua Onome. Auditoria de Sistemas de Informação. São Paulo: Atlas, 2005 3 RAMOS, Anderson (org.). Security Officer 1 - Guia Oficial para Formação de Gestores em Segurança da Informação. Rio Grande do Sul: Zouk, 2006 4 WIKIPÉDIA. Business Intelligence. Disponível em: < http://pt.wikipedia.org/wiki/business_intelligence >. Acesso em 6 abr. 2008 5 NOBLETT, Michael G.; POLLITT, Mark M.; PRESLEY, Lawrence A. Recovering and Examining Computer Forensic Evidence. Forense Science Communications. 2000 6 WIKIPÉDIA. Mineração de Dados. Disponível em: < http://pt.wikipedia.org/wiki/data_mining>. Acesso em 7 abr. 2008 7 PORTELA, Alexandre. Controle Interno Nas Organizações Públicas. Disponível em: <http://www.artigos.com/artigos/sociais/administracao/controle-interno-nas-organizacoespublicas-2007/artigo/>. Acesso em 16 jul. 2008 8 COSO. Guidance on Monitoring Internal Control Systems. Volume III Application Techniques. Disponível em: <http://www.coso.org/documents/volumeiii- ApplicationTechniques.pdf>. Acesso em 14 set. 2008 9 MORAN, José Manuel. O que é educação à distância. Disponível em: <http://www.eca.usp.br/prof/moran/dist.htm>. Acesso em 6 set. 2008
ANEXO 1
Tribunal de Contas da União FORMULÁRIO OBJETIVO DA PESQUISA Levantar informações para a Secretaria de Fiscalização de Tecnologia da Informação Sefti. ENTIDADE Tribunal de Contas do Estado de Pernambuco DATA 07/06/2007 RESPONSÁVEL (Favor indicar uma pessoa que possa esclarecer possíveis dúvidas sobre o assunto, indicando nome, função, telefone e correio eletrônico) Regina Claudia de Alencar Ximenes Chefe da Gerência de Auditoria de TI (81)3413-7878 regina@tce.pe.gov.br Item 1) A entidade executa fiscalizações de TI? ( x ) sim; ( ) não. Se sim, informe quantos servidores se dedicam a essa atividade e quantas fiscalizações de TI, em média, são realizadas pela entidade por ano: Quantidade de servidores alocados: 4 Média de fiscalizações de TI / ano: Áreas Média Anual Aquisição e contração de bens e serviços de TI 30 Segurança, Sistemas de TI e/ou auditoria de dados 2 Acompanhamento da execução contratual de bens e 2 serviços de TI Marque as áreas de atuação em fiscalização de TI da sua entidade: ( x ) aquisição e contratação de bens e serviços de TI; ( ) governança de TI; ( x ) segurança da informação; ( x ) análise e verificação de consistência de dados; ( ) avaliação do desempenho de sistemas de TI (eficiência, eficácia e efetividade); ( x ) outras. Citar quais: avaliação de conformidade de sistemas; acompanhamento da execução contratual de bens e serviços de TI. Favor apontar os trabalhos de fiscalização de TI mais relevantes e enviar cópias por meio eletrônico dos relatórios ou extratos dos trabalhos executados pela entidade. Até a presente data, já foram realizadas cerca de 190 fiscalizações, concernentes ao controle preventivo das licitações, envolvendo um montante da ordem de R$ 311.000.000,00 (trezentos e onze milhões de reais) com despesas referentes à aquisição de bens e serviços de TI. Também já foi realizado o acompanhamento de 6 (seis) contratos de TI, vigentes em três órgãos públicos estaduais, que totalizam uma despesa da ordem de R$ 28.000.000,00 (vinte e oito milhões reais) e foram realizadas 8 (oito) auditorias de sistemas, sendo 4 (quatro) em sistemas de Folha de Pagamento (entre eles o SAD-RH -Folha de Pagamento do Estado), 3
(três) em sistemas de compras eletrônicas (Pregão Eletrônico), dentre estes os sistemas do Banco Real e o do Banco do Brasil, utilizados pela Administração Direta e Indireta do Estado, respectivamente (http://www.redecompras.pe.gov.br/), e uma auditoria no sistema SIAGEM - Sistema Integrado de Administração de Materiais e Serviços para Estados e Municípios. A seguir destacamos os trabalhos mais recentes em cada área. Nome do trabalho Auditoria do Sistema de Pregão Eletrônico da Pref. Ipojuca Auditoria de Acompanhamento de Contratos - UPE Auditoria de Acompanhamento Contratos - ATI Auditoria de Acompanhamento Edital de licitação da Pref. Ipojuca Auditoria de Acompanhamento Edital de licitação da Secretaria de Saúde Descrição do trabalho com os resultados alcançados Auditoria de TI visando inspecionar as rotinas e os mecanismos de controle de execução inerentes ao sistema Pregão On-line (site www.pregaoonline.com.br) utilizado pela Prefeitura Municipal de Ipojuca, em decorrência de contrato firmado para este fim com a empresa Amplo Comércio e Serviços Ltda., desenvolvedora e mantenedora do referido sistema. Auditoria de acompanhamento da execução de contratos de TI. Ref.: Contrato nº. 038/2005, celebrado pelo Hospital Universitário Oswaldo Cruz HOUC. Período auditado: 06/09/2006 a 29/09/2006. Auditoria de acompanhamento da execução de contratos de TI. Ref.: Contrato nº. 006/2004, da Agência Estadual de Tecnologia da Informação ATI. Período auditado: 22/02/2007 a 19/03/2007. Análise prévia do Edital de Concorrência nº 010/2006, que tem como objeto a contratação da licença de uso, implantação, estruturação das bases de dados, capacitação, manutenção e prestação de garantia de um conjunto de sistemas aplicativos contemplando a gestão orçamentária e contábil, receitas municipais, recursos humanos, patrimônio, almoxarifado, compras e licitações, frota, saúde, educação, ouvidoria, banco de leis do município, tramitação de processos, ação social, um sistema de emissão de relatórios gerenciais para o Gabinete do Prefeito e o serviço de gerenciamento da infra-estrutura de processamento da Prefeitura Municipal de Ipojuca/PE afeita ao conjunto de sistemas acima. O prazo previsto para a contratação é de 12 meses e o valor estimado é de R$ R$ 2.334.803,50. Análise prévia do processo licitatório nº. 068.2006.IV.CC.005.SES, (Concorrência nº. 005/2006), do tipo técnica e preço, promovido pela Secretaria de Administração e Reforma do Estado para a Secretaria Estadual de Saúde,que tem como objeto a contratação de empresa especializada para o fornecimento de serviços técnicos especializados em informática e gestão. Valor estimado: R$ 9.432.000,00.
Item 2) A entidade possui unidade técnica especializada para execução de fiscalizações de TI? ( x ) sim; ( ) não. Se sim, favor informar o nome da unidade e os normativos que definem sua competência legal, encaminhando cópias desses documentos por meio eletrônico. Gerência de Auditoria de Tecnologia da Informação GATI, subordinada à Coordenadoria de Tecnologia da Informação - CTI Competências (constantes do Manual de Organização pendente de aprovação pelo Pleno) Cabe à Gerência de Auditoria de Tecnologia da Informação: I- planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar o acompanhamento técnico-financeiro da aplicação de recursos públicos na área de tecnologia da informação por parte dos órgãos jurisdicionados; II- planejar, em conjunto com a Coordenadoria de Controle Externo, coordenar e executar auditoria de ambientes e sistemas computacionais dos jurisdicionados; III- planejar, em conjunto com a Coordenadoria de Tecnologia da Informação, coordenar e executar auditoria de ambiente e sistemas computacionais internos; IV- analisar e emitir laudos técnicos nos processos de matéria de tecnologia da informação encaminhados pelos Gabinetes de Conselheiros, Órgãos Especiais ou pela Coordenadoria de Controle Externo;, V- desenvolver produtos e atividades com a finalidade de orientar os órgãos fiscalizados pelo Tribunal sobre a contratação e execução de contratos de bens e serviços de tecnologia da informação; VI- emitir parecer técnico para subsidiar o processo interno de contratação de bens e serviços de informática. Atribuições: Compete ao Gerente de Auditoria de Tecnologia da Informação: I- gerenciar as atividades e os recursos disponíveis, de forma a atender as competências da Gerência e outras compatíveis com sua área de atuação, observando o cumprimento da legislação específica; II- elaborar, com a participação dos servidores da Gerência, o Plano Operativo Anual de sua unidade organizacional, em conformidade com os Planos Estratégico e de Gestão, monitorando o cumprimento das metas estabelecidas, propondo ajustes e avaliando resultados por meio de indicadores de desempenho; III- desenvolver e executar, junto à sua equipe, projetos voltados ao aperfeiçoamento de procedimentos e rotinas de sua área de atuação; IV- assistir os processos de criação e implementação dos sistemas informatizados da Gerência; V- identificar necessidades e propor condições para um melhor desempenho e integração da equipe, com ênfase no processo de capacitação dos servidores lotados na Gerência; VI- realizar as avaliações de desempenho funcional de sua responsabilidade; VII- supervisionar a freqüência e a escala de férias dos servidores lotados na Gerência; supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidade VIII- supervisionar o controle dos materiais e bens patrimoniais sob sua responsabilidade; IX- elaborar e remeter ao Coordenador relatórios trimestrais e anual de atividades da Gerência nos prazos e modelo estabelecidos; X- observar o cumprimento dos provimentos da Corregedoria Geral e das recomendações do Controle Interno, referentes à sua unidade organizacional.
Item 3) A entidade utiliza documentos para orientar as fiscalizações de TI? ( x ) sim; ( ) não. Se sim, favor marcar os tipos utilizados, citando os documentos e enviando cópias por meio eletrônico, se possível: ( x ) Coletânea de normas ou boas práticas aplicadas a fiscalizações de TI; (COBIT, Normas ISO 17799; ISO 15408 (PA em elaboração)) ( ) Portfólio de ferramentas automatizadas de assistência a auditorias; ( x ) Procedimentos, manuais ou modelos de relatório que norteiam as fiscalizações de TI; (Roteiro para auditoria de TI; Roteiro para auditoria de contratos; PA-Segurança Física e Ambiental;PA-Segurança em sistemas;pa-backup; PA-Vírus; PA-Licitação de TI- Geral; PA- Licitação de serviços de desenvolvimento; PA-Pregão epa-contrato. ( ) Modelo de controle de qualidade dos produtos de fiscalização de TI; ( x ) Outros. Citar quais: até o momento, as auditorias de dados foram realizadas utilizando a ferramenta MS-Access Item 4) A instituição adota modelos de mapeamento e desenvolvimento de competências para profissionais que atuam em fiscalizações de TI (plano de capacitação, cursos, treinamentos, certificações e outros)? ( x ) sim; ( ) não. Se sim, favor informar quais, encaminhando cópias desses modelos por meio eletrônico. Treinograma de Azoubel. Item 5) A instituição tem interesse de atuar em futuras fiscalizações de TI em conjunto com o TCU? ( x ) sim; ( ) não. Comentários: O TCE-PE já trabalhou em conjunto com o TCU na auditoria do sistema SIPIA e tem interesse em realizar outras auditorias, no sentido de aprimorar o seu modelo de fiscalização de TI. Auditorias de TI conjuntas em objetos para os quais haja ou tenha havido o repasse de verbas federais através de convênios, por exemplo, seriam de interesse comum tanto para o TCU como para o TCE-PE. Se sim, favor apontar possíveis trabalhos conjuntos de fiscalização de TI, caso essas informações não sejam sigilosas: Tema/área (governança, segurança informação etc.) da Entidade a ser auditada Período provável Comentários sobre o trabalho
Item 6) Favor utilizar este espaço caso queira oferecer sugestões, opiniões ou outras informações que considere relevantes. Sugere-se que as respostas e os documentos recebidos pelo TCU, como resultado desta pesquisa, sejam divulgados e disponibilizados para todas as entidades colaboradoras (uma opção seria a disponibilização de todo o material, para fins de download, no próprio site do TCU). Importante, inclusive, que o próprio TCU também preencha o formulário e compartilhe suas informações e o material de que dispõe (Programas de auditoria, manuais, plano de capacitação, etc.) com os demais TCEs e TCMs. Sugere-se também a criação de uma lista de discussão ou fórum do qual poderiam participar servidores dos TCs que realizam auditorias de TI ou que tenham interesse no assunto.
ANEXO 2