| 13 de maio de 2015

postado por AACI

A expectativa para o início das Auditorias de Tecnologia da Informação

A função de Controle Interno (CI) é uma atividade em relativa iniciação pela sua própria previsão e promulgação recente nas constituições Federal[1] e Estadual[2], de forma que as auditorias de Tecnologia da Informação (TI) também encontram-se em processos de expansão e amadurecimento nesses dois níveis.

Desde janeiro de 2014, o estado do Ceará conta com uma equipe de Auditores de Controle Interno especializados em TI composta por quatro servidores da carreira e, no intuito de otimizar essa curva de amadurecimento, essa equipe foi reforçada com a nomeação de mais dois Auditores em março de 2015.

Corroborando com esse direcionamento, o Planejamento Estratégico[3] (PE) da Controladoria e Ouvidoria Geral do Ceará (CGE), para o período 2015-2022, identificou como ponto forte do órgão central de Controle Interno a existência, em seus quadros, de Auditores de Controle Interno com formação em áreas especializadas, dentre as quais se situa a TI.

O grande desafio a ser vencido, no atual momento, é justamente colocar em pleno funcionamento as auditorias de TI no âmbito do poder executivo estadual, tendo em vista a extensão e a heterogeneidade da máquina pública do Ceará e sua natural disputa por recursos.  O Plano de Auditoria Anual (PAA) 2015 da CGE[4] pode ser o início da realização da primeira auditoria em TI em âmbito estadual e a expectativa é de que esse projeto se concretize em 2015. A execução das auditorias de TI de forma periódica, conforme orienta o TCU em seus acórdãos[5], também faz parte dessa expectativa.

Em outros órgãos públicos do Estado Ceará, como o Tribunal de Contas e o Tribunal de Justiça, já se verifica o andamento de auditorias em TI que, certamente, estão trazendo benefícios para aquelas entidades e, consequentemente, para a sociedade cearense, tais como:

  1. reforçar, por meio de recomendações dos relatórios de auditoria, as solicitações de TI para implantar soluções mais robustas, como por exemplo, relativas à tolerância à falhas, segurança da informação, gerência de incidentes, acessibilidade, capacitação de recursos humanos e dentre outras necessidades que muitas vezes, por si só, não são capazes de convencer a alta gestão para autorizar os investimentos requeridos;
  2. padronizar procedimentos, catálogo de sistemas e recursos com base em guias de boas práticas internacionais como o ITIL, COBIT, além de algumas recomendações da ABNT NBR ISSO/IEC, quando for o caso;
  3. verificar o controle patrimonial por meio de inventários de hardware software, base de dados etc.;
  4. avaliar a conformidade dos sistemas de informação de acordo com as legislações vigentes, bem como medir a qualidade de software baseado em processo de desenvolvimento de sistemas;
  5. proceder as auditorias de forma especial nos processos de aquisição de bens e serviços de TI que, pela complexidade inerente, requer que seja realizada por uma equipe especializada;
  6. verificar a correta aplicação dos recursos destinados a TI e da gestão de contratos e convênios, visando garantir a efetividade dos resultados dos programas, dos projetos, dos processos e das atividades de TI que dão suporte à aplicação de políticas públicas;
  7. acompanhar as recomendações das auditorias com abordagem orientativa (via cronogramas e planos de ação informados pelos auditados) no intuito de respaldar os planejamentos de médio e longo prazo, tendo em vista a dificuldade de implantação em curto prazo para os casos mais complexos;
  8. atuar na Governança de TI por meio de documentos, tais como o Planejamento Estratégico Institucional, Planejamento Estratégico de TI, Plano Diretor de TI, Política de Gestão de TI, manuais de governança de TI, registros de acompanhamento e execução dos planejamentos, controles existentes, modelos e frameworks utilizados.

Por fim, sabe-se que a TI deixou de ser apenas uma ferramenta de suporte para transformar-se em uma ferramenta viabilizadora e catalisadora da estratégia, seja do Setor Privado ou da Administração Pública, na medida em que otimiza os seus recursos e processos. Assim, a priorização dos planejamentos realizados (PE e PAA) e a alocação das respectivas propostas orçamentárias são necessárias para a execução das auditorias de TI, com o fim de concretizar os benefícios já relacionados dentre outros decorrentes.

 

[1] Artigos 31, 70 e 74 da Constituição da República Federativa do Brasil de 1988;

[2] Artigo 67 da Constituição do Estado do Ceará de 1989 e Artigo 1° da Emenda Constitucional do Ceará de Nº75, de 20/12/2012;

[3] Página 19 do Planejamento Estratégico 2015-2022 da Controladoria e Ouvidoria Geral do Estado do Ceará

[4] Portaria CGE Nº004, de 13 de janeiro de 2015;

[5] Acórdão 1603/2008 “9.3. recomendar à (…) que realize regularmente Auditorias de TI e/ou promova ações para estimular a realização dessas Auditorias nos órgãos/entidades da Administração Pública Federal”; Acórdão 381/2011 “9.1.11. em face da Resolução CNJ 90/2009, art. 10, promova ações para que a auditoria interna apóie a avaliação da TI, observando as orientações contidas na Norma Técnica – ITGI – Cobit 4.1, ME2 – Monitorar e avaliar os controles internos, conforme tratado no achado 18 – Auditoria interna não apóia avaliação da TI – do relatório de fiscalização”.

 

Por Tiago Monteiro