FUNDAO GETULIO VARGAS

ESCOLA BRASILEIRA DE ADMINISTRAO PBLICA E DE EMPRESAS

CENTRO DE FORMAO ACADMICA E PESQUISA
CURSO DE MESTRADO EM ADMINISTRAO PBLICA
AUDITORIA DE TECNOLOGIA DA
INFORMAO NA ADMINISTRAO PBLICA
NO MBITO DOS MUNICPIOS DO ESTADO DO
RIO DE JANEIRO.
DISSERTAO APRESENTADA ESCOLA BRASILEIRA DE ADMINISTRAO PBLICA E
DE EMPRESAS PARA OBTENO DO GRAU DE MESTRE
GUSTAVO BASTOS MONTEIRO
Rio de Janeiro-2008
FUNDAO GETULIO VARGAS
ESCOLA BRASILEIRA DE ADMINISTRAO PBLICA E DE EMPRESAS
CENTRO DE FORMAO ACADMICA E PESQUISA
CURSO DE MESTRADO EM ADMINISTRAO PBLICA
TTULO
AUDITORIA DE TECNOLOGIA DA INFORMAO NA ADMINISTRAO PBLICA: O
CASO DOS MUNICPIOS DO ESTADO DO RIO DE JANEIRO
DISSERTAO DE MESTRADO APRESENTADA POR:
GUSTAVO BASTOS MONTEIRO
E
APROVADO EM I I
PELA COMISSO EXAMINADORA
ALKETAPECI
......... PRODUO
EL VIA MIRIAM CAVALCANTI FADUL
PH.D EM URBANISME
RESUMO
A difuso das doutrinas de gerenciamento orientadas para resultados no Brasil
tem levado as organizaes pblicas a realizarem investimentos relevantes em
tecnologia da informao como um componente de transparncia para as aes
governamentais e como suporte para a tomada de decises pelos gestores
pblicos. O uso intensivo da informtica em um mundo cada vez mais
interconectado expe a administrao pblica a novos tipos de ameaas e
vulnerabilidades. Nesse contexto, as entidades de fiscalizao devem ampliar sua
forma de atuao, realizando controles mais rigorosos por meio de tcnicas
prprias de auditorias de tecnologia da informao, que visam assegurar a
integridade e segurana dos dados que trafegam pelas redes e sistemas de
informao. O objetivo da presente pesquisa consistiu em identificar as principais
impropriedades associadas ao uso da informtica nas administraes municipais
sob a jurisdio do TCE-RJ, por meio do estudo de caso de sua experincia na
realizao de auditorias operacionais em tecnologia da informao. A pesquisa foi
realizada com base na literatura e na anlise dos achados das auditorias de
sistemas, mostrando que este tipo de auditoria tem contribudo para tornar a
gesto pblica municipal mais eficiente, eficaz e transparente.
Palavras-chave: auditoria de tecnologia da informao; auditoria de sistemas;
auditoria operacional; tribunal de contas; nova administrao pblica.
ABSTRACT
The diffusion of results-oriented management doctrines has been leading the
public organizations to make important investments in information technology as a
component of transparency for government actions and support for decision-
making by public administrators. The intensive use of information technology in an
increasingly interconnected world exposes the government to new forms of threats
and vulnerabilities. In this context, the Courts of Accounts must expand the scope
of their acting, performing more stringent controls through specific technics in
information technology (IT) audit to ensure the integrity and security of data that
travei across networks and information systems. The purpose of this research
consisted to identify main improprieties associated with the use of computers in
the local public administrations under the jurisdiction of TCE-RJ, by means of the
case study of its experience in the accomplishment of performance audit in
information technology. The research is based on the literature and analysis of
findings from systems audits, showing that this kind of audit has contributed to
making local public administration more efficient, effective and transparent.
Key-words: information technology audit, systems audit, performance
audit, court of accounts, new public management.
Dedico este trabalho
A minha esposa Rosimere, doce companheira e
amiga de todas as horas, que suportou minhas
ausncias ao longo desta jornada, no deixando
jamais de me apoiar.
A minhas amveis filhas Julia, Leticia e Luiza
pela fora de suas presenas em minha vida,
dando sentido e motivao.
A minhas avs Julieta (in memorian) e Guiomar
pelo exemplo de vida que nortearam meu
caminho.
A meus pais Enir e Maria de Lourdes pelo amor
e orientao dedicados em minha formao,
fundamentais ainda hoje.
A meus irmos Maria Fernanda e Marcelo pela
amizade de todas as horas.
AGRADECIMENTOS
Primeiramente agradeo a Deus por tudo, pela fora e inspirao para
superao de mais este desafio.
Aos Conselheiros Jos Maurcio de Lima Nolasco e Jos Gomes
Graciosa, que na condio de Presidentes do Tribunal de Contas do Estado do
Rio de Janeiro, autorizaram e deram suporte para que a Instituio investisse na
minha capacitao atravs do Mestrado.
Agradeo de modo especial aos amigos e colegas de trabalho Carlos
Eduardo H. F. de Lemos e Sergio Lino da Silva Carvalho, que me apoiaram nesta
longa jornada, dando sugestes e, principalmente, me incentivando a nunca
desistir.
Aos colegas do Tribunal de Contas do Estado do Rio de Janeiro,
especialmente Ora. Paula Alexandra Nazareth e Celso Henrique de Oliveira,
pelo apoio de todas as horas e pela extrema compreenso.
Prof. a Alketa Peci pela orientao e valiosas sugestes para a melhoria
deste trabalho.
Aos colegas da turma de mestrado, pelos momentos de estudo e
dedicao compartilhados e pelas novas amizades conquistadas.
Aos professores do mestrado em administrao pblica da Fundao
Getlio Vargas pelos preciosos ensinamentos.
LISTA DE QUADROS
Pg.
Quadro 1 - Comparao entre auditoria tradicional e auditoria de desempenho. 40
Quadro 2 - Diferenas entre auditoria tradicional e auditoria operacional ........... 42
Quadro 3 - Limitaes da auditoria operacional .................................................. 45
Quadro 4 - Aspectos tcnicos verificados nos editais e contratos ....................... 58
Quadro 5 - Controle de Segurana da Informao .............................................. 87
Quadro 6 - Categorias de anlise identificadas ................................................... 92
LISTA DE FIGURAS
Pg.
Figura 1 - Dimenses da Auditoria de Natureza OperacionaL ............................. 36
Figura 2 - reas de atuao da TI ........................................................................ 55
Figura 3 - Fases de uma auditoria operacional ................................................... 59
Figura 4 - Integrao de Negcios Arquitetura de Informaes ....................... 68
Figura 5 - Governana de TI e Gerenciamento de TI .......................................... 70
Figura 6 - reas de Domnio da Governana de TI ............................................. 72
Figura 7 - Integrao dos Modelos de Governana de TI.. .................................. 75
Figura 8 - Melhores prticas e padres abrangidos pelo COBIT 4.1 ................... 77
Figura 9 - Arquitetura de TI. ................................................................................. 78
Figura 10 - Framework do COBIT ....................................................................... 81
Figura 11 - Forma de Navegao nos processos do COBIT ............................... 82
Figura 12 - Modelo de Maturidade do COBIT. ...................................................... 83
LISTA DE TABELAS
Pg.
Tabela 1 : Freqncias das categorias de anlise ............................................... 93
LISTA DE GRFICOS
Pg.
Grfico 1 - Planejamento estratgico na rea de informtica falho ou
inexistente ........................................................................................ 94
Grfico 2 - Polticas de segurana da informao falhas ou inexistentes ........... 97
Grfico 3 - Procedimentos de contingncia falhos ............................................. 99
Grfico 4 - Procedimentos de cadastramentos de usurios na rede de
computadores e nos sistemas de informao realizados sem
formalidade ..................................................................................... 101
Grfico 5 - Ausncia de poltica de senha forte na rede de computadores e
nos sistemas de informao ........................................................... 103
Grfico 6 - Ausncia de campo especfico nos sistemas de informao para
registro de nmero do processo administrativo em operaes
crticas ............................................................................................ 1 04
Grfico 7 - Arquivos de log ausentes ou com registro falho nos sistemas de
informao ...................................................................................... 106
Grfico 8 - Sistema de informao em desacordo com legislao especfica
vigente ............................................................................................ 107
Grfico 9 - Divergncia entre os valores registrados no sistema de controle
da arrecadao e no sistema de contabilidade .............................. 109
Grfico 10 - Impropriedades no instrumento contratual que ferem a legislao
vigente, notadamente a Lei Federal nO 8.666/93 ........................... 110
Grfico 11 - No execuo ou execuo parcial do objeto contratado .............. 112
ABNT
CEDAE
ANOP
CERDS
CRFB
CPD
CPRH
DASP
DETRAN
EFS
GAO
ILACIF
INCOSAI
INTOSAI
IPERJ
IRE
LRF
MARE
NAO
OCDE
OLACEFS
PrND
PRODERJ
SGSI
TCE-RJ
TCU
TI
LISTA DE SIGLAS
................ , Associao Brasileira de Normas Tcnicas
................ , Companhia Estadual de guas e Esgoto
................ , Auditorias de Natureza Operacional
................ ' Projeto de Aperfeioamento do Controle Externo com
Foco na Reduo da Desigualdade Social
................ , Constituio da Repblica Federativa do Brasil
................ , Centro de Processamento de Dados
................ ' Agncia Estadual de Meio Ambiente e Recursos Hdricos
................ , Departamento Administrativo do Servio Pblico
................ ' Departamento de Trnsito
................ , Entidades de Fiscalizao Superiores
................ , United States Government Accountability Office
................ , Instituto Latino-Americano e do Caribe de Cincias
Fiscalizadoras
................ , Congresso Internacional de Entidades Fiscalizadoras
Superiores
................ , Organizao Internacional de Entidades Fiscalizadoras
Superiores
................ , Fundo nico de Previdncia Social do Estado do Rio de
Janeiro
................ , Inspetoria Regional de Controle Externo
................ ' Lei de Responsabilidade Fiscal
................ , Ministrio da Administrao Federal e Reforma do Estado
................ , National Audit Office
................ , Organizao para a Cooperao e o Desenvolvimento
Econmico
................ , Organizao Latino-Americana e do Caribe de Entidades
Fiscalizadoras Superiores
................ ' Programa Nacional de Desburocratizao
................ ' Centro de Tecnologia da Informao e Comunicao do
Estado do Rio de Janeiro
................ , Sistema de Gesto da Segurana da Informao
................ ' Tribunal de Contas do Estado do Rio de Janeiro
................ , Tribunal de Contas da Unio
................ , Tecnologia da Informao
SUMRIO
1. INTRODUO ...................................................................................................................................... 12
1.1 OBJETIVOS ................................................................................................................................... 14
1.2 DELIMITAO DO ESTUDO .................................................................................................... 15
1.3 RELEVNCIA DO ESTUDO ....................................................................................................... 16
2. CONTROLE DA ADMINISTRAO PBLICA ............................................................................. 18
2.1 CONTROLE INTERNO ................................................................................................................ 20
2.2 CONTROLE EXTERNO ............................................................................................................... 21
2.3 CONTROLES QUANTO AO MOMENTO ................................................................................. 22
3. AUDITORIA OPERACIONAL ........................................................................................................... 24
3.1 NOVA GESTO PBLICA E A AUDITORIA OPERACIONAL ............................................ 24
3.2 AUDITORIA OPERACIONAL: EVOLUO HISTRICA ................................................... 29
3.3 ASPECTOS GERAIS DA AUDITORIA OPERACIONAL. ....................................................... 32
3.4 COMPARAO ENTRE A AUDITORIA OPERACIONAL E A AUDITORIA
TRADICIONAL ......................................................................................................................................... 39
3.5 LIMITAES DA AUDITORIA OPERACIONAL .................................................................. .43
4. AUDITORIA DE TI ............................................................................................................................... 47
4.1 DEFINIO DE AUDITORIA DE TI ........................................................................................ .47
4.2 A IMPORTNCIA DA AUDITORIA DE TI .............................................................................. .48
4.3 A AUDITORIA DE TI NO TCE-RJ .............................................................................................. 49
4.4 DIFICULDADES IMPLEMENTAO DE AUDITORIA DE TI NA ADMINISTRAO
PBLICA .................................................................................................................................................... 52
4.5 REAS DE ATUAO ................................................................................................................. 54
4.6 ETAPAS DA AUDITORIA DE TI NO TCE-RJ .......................................................................... 59
4.7 METODOLOGIA DE AUDITORIA DE TI ADOTADA PELO TCE-RJ ................................. 65
5. GOVERNANA DE TECNOLOGIA DA INFORMAO .............................................................. 67
5.1 DIFERENA ENTRE GOVERNANA DE TI E GERENCIAMENTO DE TI.. ..................... 69
5.2 DOMNIOS DA GOVERNANA DE TI ..................................................................................... 71
5.3 MODELOS PARA SUPORTE A GOVERNANA TI.. .............................................................. 73
6. METODOLOGIA .................................................................................................................................. 88
6.1 TIPO DE PESQUISA ..................................................................................................................... 88
6.2 UNIVERSO E AMOSTRA ............................................................................................................ 89
6.3 COLETA DE DADOS .................................................................................................................... 90
6.4 TRA T AMENTO DOS DADOS ..................................................................................................... 90
6.5 LIMITAES DO MTODO ...................................................................................................... 91
7. PESQUISA .............................................................................................................................................. 92
8. CONCLUSO ...................................................................................................................................... 113
9. REFERNCIAS BIBLIOGRFICAS ............................................................................................... 119
ANEXO A: LEGISLAO DE CONTROLE .......................................................................................... 126
ANEXO B: LEGISLAO APLICVEL TI ....................................................................................... 127
ANEXO C: TABELA COBIT ..................................................................................................................... 128
ANEXO D: MATRIZ DE PLANEJAMENTO .......................................................................................... 129
12
1. INTRODUO
o fenmeno do desenvolvimento da auditoria operacional como
modalidade de controle nas ltimas dcadas est relacionado a um conjunto de
mudanas advindas da crise global do capitalismo ocorrida no final do sculo XX
que afetaram um grande nmero de pases desenvolvidos e a maioria dos pases
perifricos. No Brasil, a crise do Estado, como conhecido o fenmeno,
caracterizou-se como uma crise do Estado desenvolvimentista, em que o Estado
foi sempre o indutor do desenvolvimento, por meio de uma enorme interveno
direta na economia.
No decorrer dos anos 90, com a crescente democratizao do pas,
desenvolveram-se as medidas para reduzir o intervencionismo estatal, por
intermdio de reformas como a privatizao, a liberalizao comercial e a
abertura da economia.
o fenmeno da mudana de paradigma no controle da atividade estatal
teve propores mundiais, como natural na era da globalizao. As Entidades
Fiscalizadoras perceberam a necessidade de extrapolar a atividade de verificao
da legalidade e regularidade das contas pblicas por informaes e anlises
independentes acerca dos programas e projetos governamentais.
o Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ), rgo de
controle externo ligado ao Poder legislativo, vem tradicionalmente exercendo um
controle de natureza formal, que consiste na verificao da regularidade da
execuo dos gastos pblicos, da legalidade dos atos administrativos e da
fidedignidade dos demonstrativos financeiros. Essa forma de atuao
corresponde ao modelo tradicional adotado no mundo capitalista e reflete a
presena dominante da organizao burocrtica na administrao pblica.
Contudo, as transformaes que vem sofrendo a sociedade moderna,
principalmente com o fenmeno da globalizao, que enfraqueceu a posio dos
governos no controle dos fluxos financeiros e comerciais, impem modificaes
13
na forma de agir do Estado em relao s polticas pblicas implementadas. O
Estado deve agir como mediador entre o mercado e a sociedade, devendo
garantir a implantao de polticas pblicas que visem a minimizar as diferenas
econmicas gritantes entre uma minoria abastada e uma maioria sem acesso
educao e sem condies de se inserir no mercado de trabalho.
Nesse contexto, a atuao do TCE-RJ fundamental, pois como rgo
fiscalizador do governo do estado e dos municpios, vem ampliando sua atuao,
de forma a avaliar a qualidade dos servios prestados pela administrao pblica,
buscando orientar e redirecionar sua atuao.
Atualmente, as organizaes pblicas tm feito um uso cada vez mais
intenso de Tecnologia da Informao (TI) como ferramenta de suporte s suas
atividades. O tratamento das informaes, conhecido como Tecnologia da
Informao, Informtica ou Sistemas de Informao, faz parte de toda cadeia de
processos da organizao, tendo se tornado componente crtico do planejamento,
controle e execuo das polticas pblicas.
Surge da a necessidade de se realizar procedimentos de auditoria em
ambientes de TI para avaliar a eficcia dos controles aplicados sobre sistemas de
informaes em processamento eletrnico de dados.
O TCE-RJ realiza desde 1999 inspees operacionais em Tecnologia da
Informao (TI), com o objetivo de verificar o ambiente operacional dos sistemas
de informao, sob a tica da contingncia e segurana da informao, e auditar
um sistema aplicativo especfico, buscando a preveno e deteco de fraudes
informatizadas, bem como o aperfeioamento dos controles lgicos existentes.
O propsito desta pesquisa consistiu em investigar a contribuio do
TCE-RJ, por meio da auditoria da Tecnologia da Informao (TI), para o
aperfeioamento da gesto pblica.
Em nvel prtico, buscou-se verificar os achados de auditoria mais
comuns, resultantes das inspees de carter operacional em Tecnologia da
Informao realizadas pelo TCE-RJ, no mbito das administraes municipais do
estado do Rio de Janeiro.
14
Os dados analisados, aqui denominados impropriedades e deficincias,
consistem nos principais achados de auditoria obtidos nas inspees operacionais
em TI nos municpios e referem-se a aspectos negativos da administrao na
rea de informtica, como prticas antieconmicas, ineficcia, ineficincia,
desperdcios, uso indevido de recursos, gastos inadequados e descumprimento
de leis e outras normas.
Sendo assim, o presente estudo visa responder seguinte questo:
Quais as principais impropriedades no uso da Tecnologia da
Informao verificadas pelo TCE-RJ nas administraes municipais
sob sua jurisdio?
1.1 OBJETIVOS
Objetivo Final
Evidenciar as principais impropriedades constatadas nas auditorias
de natureza operacional em TI realizadas pelo TCE-RJ nas
administraes municipais sob sua jurisdio.
Objetivos Intermedirios
A. Definir o que auditoria operacional;
B. Identificar na literatura disponvel as normas, padres e legislao
aplicveis auditoria de natureza operacional em TI;
C. Descrever a metodologia de auditoria de TI utilizada nas inspees
realizadas pelo TCE-RJ em mbito municipal;
D. Identificar e analisar os principais achados de auditoria das
inspees realizadas pelo TCE-RJ na rea de TI luz das
principais normas adotadas pelas Entidades de Fiscalizao
Superiores (EFS).
15
1.2 DELIMITAO DO ESTUDO
Diante da ampla rea de atuao do TCE-RJ, que engloba a estrutura do
governo do Estado do Rio de Janeiro, com suas diversas secretarias e rgos da
administrao indireta e empresas de economia mista, assim como os diversos
municpios do Estado do Rio, com exceo da capital, faz-se necessria uma
delimitao do escopo de atuao do estudo.
Com a importncia dada pela Constituio de 1988 aos municpios,
elevados a entes da federao, bem como por serem estes as instituies
pblicas mais prximas do cidado, conhecendo como ningum a realidade
circundante, o estudo pretende restringir-se na avaliao, por parte do TCE-RJ,
da utilizao da Tecnologia da Informao como ferramenta estratgica de apoio
s administraes municipais para a consecuo de suas atividades.
Os municpios partilham parcelas de impostos federais e estaduais,
existindo vrias polticas sociais, particularmente nas reas de sade e educao
fundamental, que contam com diretrizes e recursos federais, mas so
implementadas principalmente pelos municpios. Estes entes federados
dependem cada vez mais do uso intensivo de TI para realizar o controle tanto do
planejamento quanto da execuo de tais polticas.
O estudo pretende evidenciar as principais deficincias relacionadas
utilizao de TI pelos municpios do estado do Rio de Janeiro nos aspectos
ligados gesto, execuo, segurana da informao e gerenciamento de
contratos relativos a bens e servios de informtica.
Os municpios foram selecionados para a pesquisa de forma a abranger
as principais regies do estado do Rio de Janeiro, com base na diviso utilizada
pelo TCE-RJ para o exerccio do controle externo em mbito municipal. Para tal
fim, o TCE-RJ divide o estado em sete grandes regies, agrupando municpios de
uma mesma rea geogrfica sob a jurisdio de uma Inspetoria Regional de
Controle Externo (IRE).
16
Pretende-se, com esse estudo, expor a importncia das auditorias de TI
para a melhoria na qualidade da gesto do ambiente de informtica das
administraes municipais.
1.3 RELEVNCIA DO ESTUDO
o quadro de extrema desigualdade social que caracteriza a sociedade
brasileira atual aliado incapacidade do Estado em reverter essa situao impe
s entidades fiscalizadoras um papel cada vez mais importante no apoio s
administraes pblicas, no que tange ao aperfeioamento da gesto e,
notadamente, neste trabalho, na gesto de polticas de TI.
A sociedade brasileira cobra mais resultados dos organismos
governamentais, que dependem cada vez mais da Tecnologia da Informao para
o suporte s atividades da mquina administrativa. A gesto de TI passa a ser
fundamental para que os gestores pblicos possam realizar o planejamento,
controle e a efetiva execuo das polticas pblicas de que a sociedade brasileira
tanto necessita, porque traz mais flexibilidade e transparncia aos processos.
Faz-se necessrio, portanto, avaliar a forma como as administraes
pblicas municipais vm utilizando a Tecnologia da Informao como instrumento
de apoio a suas atividades, buscando verificar a qualidade dos servios prestados
e identificar deficincias que obstaculizam sua operao de forma eficiente, eficaz
e efetiva.
Nesse contexto, a atuao dos diversos Tribunais de Contas
fundamental, pois so eles os rgos encarregados de realizar o Controle Externo
da gesto dos recursos pblicos.
A auditoria operacional ganha tambm grande destaque, visto que um de
seus objetivos o aprimoramento da qualidade do servio pblico. Ao detectar
deficincias nessa rea e alertar sobre a necessidade de san-Ias, o auditor
estar alcanando estes objetivos.
17
A relevncia deste trabalho reside no fato de mostrar que a adoo
definitiva da auditoria de Tecnologia da Informao pelo Tribunal de Contas do
Estado do Rio de Janeiro (TCE-RJ) ir contribuir para uma melhoria da gesto
pblica municipal, ao evidenciar deficincias relativas ao uso da informtica e
orientar sua atuao em direo s prticas adotadas pelo mercado.
o TCE-RJ, ao realizar auditorias de cunho operacional em TI, est, em
ltima instncia, realizando uma aproximao maior com a sociedade,
respondendo prontamente aos anseios desta por melhor qualidade dos servios
pblicos.
18
2. CONTROLE DA ADMINISTRAO PBLICA
Controle a funo administrativa que tem por finalidade observar se os
fatos se passaram de acordo com o que a administrao determinou. (SOUZA,
2006). No setor pblico, o controle tem como principal funo, entre outras, a
busca de melhores resultados pelas administraes pblicas.
O controle administrativo, segundo Carvalho Filho (2005), representa o
conjunto de mecanismos administrativos e jurdicos por meio dos quais se exerce
o poder de fiscalizao e de reviso da atividade administrativa em qualquer das
esferas de Poder. Dessa forma, o controle da administrao est fulcrado nas
normas elaboradas pelos representantes do povo, estabelecendo tipos e modos
de controle de toda atuao administrativa, para a defesa da prpria
administrao e dos direitos inerentes a todos os administrados.
Segundo discorre Silva (2001), o controle do Estado, em termos
genricos, ocorre por meio da separao e independncia dos poderes, conforme
previsto no artigo 2. da Constituio da Repblica Federativa do Brasil, e que
foram concebidos originariamente por Montesquieu, por meio de um sistema de
freios e contrapesos. Afora este artigo, existem outros, na CRFB de 1988, que
tratam do controle das aes do Estado e dos seus gestores (de recursos
pblicos), quando imbudos de suas atribuies. Salienta-se que este controle
compreende no somente atos do poder Executivo, bem como dos demais
poderes, como gestores de atividades administrativas.
Para Di Pietro (2001), o controle na administrao pblica definido como
o poder de fiscalizao e correo que sobre ela exercem os rgos dos poderes
Judicirio, Legislativo e Executivo, com o objetivo de garantir a conformidade de
sua atuao com os princpios que lhes so impostos pelo ordenamento jurdico.
Este conceito formal est balizado pelos princpios constitucionais previstos no
artigo 37 da CRFB, a saber: legalidade, impessoalidade, moralidade, publicidade
e eficincia. Este ltimo foi adicionado pela Emenda Constitucional n.O 19, de 04
de junho de 1998.
19
Na viso de Meirelles (2003, p. 636), controle em tema de administrao
pblica tem a seguinte abordagem:
o controle administrativo pode ser exercido pelos prprios rgos
internos da Administrao (controle hierrquico propriamente dito)
como por rgos externos incumbidos do julgamento dos recursos
(tribunais administrativos) ou das apuraes de irregularidades
funcionais (rgos correcionais). Todos eles, entretanto, so
meios de controle administrativo. (MEIRELLES, 2003, p. 637).
A Constituio Federal adotou dois sistemas de controle para a
administrao pblica, quais sejam: o Controle Interno, realizado pelos prprios
rgos estatais, ou seja, exercido pelo rgo controlador dentro da estrutura
burocrtica que pratica os atos sujeitos ao seu controle; e Controle Externo,
quando o rgo controlador situa-se externamente ao rgo controlado, mais
precisamente realizado pelo Poder Legislativo com o auxlio do Tribunal de
Contas.
Observemos o que a Constituio Federal brasileira dispe sobre o
assunto:
Art. 70: A fiscalizao contbil, financeira, oramentria,
operacional e patrimonial da Unio e das entidades da
administrao direta, indireta, quanto legalidade, legitimidade,
economicidade, aplicao de subvenes e renncia de receitas,
ser exercida pelo Congresso Nacional, mediante controle
externo, e pelo sistema de controle interno de cada poder.
Art. 71: O controle externo, a cargo do Congresso Nacional, ser
exercido com o auxlio do Tribunal de Contas da Unio. (BRASIL,
1988)
A Lei Complementar nO 101/2000, conhecida como Lei de
Responsabilidade Fiscal (LRF), veio coroar, por meio de normas, toda a ao da
administrao pblica, exigindo-lhe metas, prioridades e eficincia, fazendo com
que o gestor direcione seus projetos e atividades s necessidades da
comunidade. Por meio do Relatrio Resumido de Execuo Oramentria e
Financeira e Relatrio de Gesto Fiscal, os controles interno e externo verificaro
periodicamente a observncia dos limites e condies da LRF. Os referidos
demonstrativos ensejam o controle simultneo da execuo oramentria.
FUNDAO GETULIO VARGAS
Biblioteca Mrio Henrique Simonsen
20
Os Tipos de Controle variam segundo o Poder, rgo ou autoridade que o
exercita e o momento de sua efetivao:
- Interno: realizado pela entidade ou rgo responsvel pela atividade
controlada (mbito interno).
- Externo: realizado por rgo estranho Administrao.
- Prvio ou preventivo: antecede a concluso ou operatividade do ato,
requisito de sua eficcia. Ex: a liquidao da despesa, para oportuno pagamento.
- Concomitante ou sucessivo: acompanha a realizao do ato para
verificar a regularidade de sua formao. Ex: realizao de auditoria durante a
execuo do oramento.
- Subseqente ou corretivo: efetivado aps a concluso do ato controlado,
visando s devidas correes. Ex: a homologao do julgamento de uma
concorrncia.
2.1 CONTROLE INTERNO
Gasparini (1989) se refere ao controle interno como autocontrole, que
exercido pelos rgos dos trs Poderes sobre suas prprias atividades, visando
ratific-Ias ou desfaz-Ias, conforme sejam ou no legais, oportunas,
convenientes e eficientes. E afirma que interno porque tanto o rgo controlador
como o controlado integram a mesma organizao.
Controle interno, segundo Meirelles (2003, p. 638),
todo aquele realizado pela entidade ou rgos responsveis
pela atividade controlada, no mbito da prpria Administrao.
Assim, qualquer controle efetivado pelo Executivo sobre seus
servios ou agentes considerado interno, como interno ser
tambm o controle do Legislativo ou do Judicirio, por seus
rgos de administrao, sobre seu pessoal e os atos
administrativos que pratique.
21
o Controle Interno desenvolve-se de forma ininterrupta, principalmente na
esfera do Poder Executivo, onde se situa parcela considervel das atividades
administrativas bsicas, e envolve a atividade-meio (organizao e expedientes
administrativos) e a atividade-fim (servios pblicos, poder de polcia, fomento).
Rene, tambm, as atividades administrativas que servem de suporte aos
Poderes Legislativo e Judicirio, bem como as atividades de outras instituies
dotadas de autonomia, como o Tribunal de Contas e o Ministrio Pblico.
Abrange, ainda, o exerccio das atividades delegadas pelo poder pblico aos
particulares, como no caso das concesses e permisses de servios pblicos.
2.2 CONTROLE EXTERNO
Para melhor entendimento do conceito de controle externo, MEIRELLES
(2003, p. 632), define-o como a "faculdade de vigilncia, orientao e correo
que um poder ou rgo ou autoridade exerce sobre a conduta funcional de outro,
com objetivo de garantir a conformidade de sua atuao com os princpios que lhe
so impostos pelo ordenamento jurdico"
Silva (1989) afirma que o exerccio do controle externo, consubstanciado
na fiscalizao contbil, financeira, oramentria, patrimonial e operacional
coerente com o Estado Democrtico de Direito:
( ... ) somente quando vigem os princpios democrticos em todas
as suas conseqncias - e entre elas das mais importantes a
consagrao da diviso de poderes - e o oramento votado pelo
povo atravs de seus legtimos representantes, que as finanas,
de formal, se tornam substancialmente pblicas, e a sua
fiscalizao passa a constituir uma irrecusvel prerrogativa da
soberania. (SILVA, 1989, p. 627).
As entidades governamentais de direito pblico interno ou de direito
privado, portanto, esto obrigadas a se organizar a fim de atender s suas
finalidades precpuas e s determinaes legais e constitucionais.
o Tribunal de Contas, ainda que integre o Poder Legislativo, conforme
determinao expressa no artigo 71 da Constituio Federal, exerce o papel de
22
fiscalizao como controle externo, cuja funo precpua verificar se a
administrao pblica ou seus representantes esto obedecendo aos princpios
de legalidade, impessoalidade, moralidade, publicidade e eficincia, consoante
estabelece a Constituio Federal.
o sistema de tribunais de contas brasileiros formado pelo Tribunal de
Contas da Unio (TCU), Tribunal de Contas do Distrito Federal (TCDF), 26
tribunais de contas estaduais (TCE) e seis tribunais de contas com jurisdio
municipal (TCM), totalizando 34 rgos.
Os Tribunais de Contas do Estado tm jurisdio na administrao
pblica do respectivo estado e da totalidade dos seus municpios, excetuados os
seguintes casos:
Bahia, Cear, Par e Gois, que possuem um tribunal de contas
com jurisdio apenas sobre a administrao estadual (TCE) e um tribunal com
jurisdio em todos os seus municpios (TCM);
So Paulo e Rio de Janeiro, cujas capitais possuem tribunais de
contas especficos (TCM), enquanto os TCE tm jurisdio na administrao
pblica estadual e dos demais municpios do Estado.
Em seu art. 31, 4, a Constituio Federal de 1988 vedou a criao de
novos tribunais, conselhos ou rgos de contas municipais.
2.3 CONTROLES QUANTO AO MOMENTO
Segundo Silva (2001), quanto forma do controle no momento do seu
exerccio, a fiscalizao dos atos praticados pelo administrador pode ser a priori,
concomitante ou a posteriori.
No controle a priori, as aes de controle e avaliao acontecem antes da
ocorrncia do evento ou fato que se pretende controlar, com o intuito de prevenir
ou impedir o sucesso de atos indesejveis como erros, desperdcios ou
23
irregularidades. Neste tipo de controle, o ato tem sua eficcia suspensa at ser
submetido anlise e aprovao formal do rgo de controle.
No controle concomitante, a verificao do ato conjunto ao do
administrador. Tem a finalidade de detectar erros, desperdcios ou
irregularidades, no momento em que eles ocorrem, permitindo a adoo de
medidas tempestivas de correo. Dessa forma, ajusta-se o desempenho ainda
em andamento, a fim de se conseguir o objetivo. Uma das vantagens na sua
utilizao o ato tido como irregular poder ser abortado durante a sua
consecuo, impedindo maiores prejuzos ao errio.
o controle a posteriori aprecia o ato aps a sua consumao, no permite
qualquer ao corretiva relativamente ao desempenho completado, embora
funcione como um mecanismo motivador, uma vez que uma variao
desfavorvel, informada por meio de relatrios gerenciais, leva o gestor a
implementar aes para corrigir o desempenho de sua rea ou da organizao,
no futuro. A reparao do dano e a restaurao do status quo ante torna-se difcil.
No Brasil, a nfase no modelo gerencial ou ps-burocrtico para a
administrao pblica se deu com a elaborao do Plano Diretor da Reforma do
Aparelho do Estado em 1995, o qual incorporou as bases da administrao
pblica gerencial - ou Nova Administrao Pblica (New Public Management) ,
valendo-se das experincias de outros pases, com o objetivo de tornar a
administrao pblica mais eficiente. Esta reforma administrava tambm alterou a
forma de controle dos recursos pblicos , deslocando o seu enfoque dos meios
(processos) para os fins (resultados), visando o aumento da satisfao dos
usurios e dos nveis de eficincia, com base nas experincias anglo-americana
do managerialism, consumerism e public service orientation (MNACO, 2007).
24
3. AUDITORIA OPERACIONAL
Este captulo examina, de incio, os desafios para o novo gerencialismo
pblico e a importncia da auditoria operacional nesse contexto. Em seguida,
aborda as principais questes relacionadas adoo da auditoria operacional
pela administrao pblica. Primeiramente, traa-se um panorama histrico de
sua adoo pelas EFS no mundo e no Brasil. Em seguida, so mostradas as
diversas definies de auditoria operacional adotadas pelas EFS e autores do
assunto. apresentada uma comparao entre a auditoria dita tradicional, como
conhecido o tipo de auditoria comumente adotado pelas EFS, e a auditoria
operacional. Por fim, o captulo termina com uma anlise dos entraves que
dificultam a adoo da auditoria operacional pelas EFS, abordando
especificamente as particularidades dos tribunais de contas brasileiros.
3.1 NOVA GESTO PBLICA E A AUDITORIA OPERACIONAL
A segunda metade do sculo XX foi um perodo de significativas
transformaes tecnolgicas, sociais e econmicas e que se destaca pelo
predomnio do conhecimento e da informao. A partir dessas transformaes,
foram impostos novos padres de gesto s organizaes pblicas e privadas,
devido ao incio de um processo de reestruturao produtiva apoiado no
desenvolvimento cientfico e tecnolgico e na globalizao dos mercados. Nesse
cenrio, a capacidade de implementar formas flexveis de gesto que possam
fazer face s mudanas do mundo contemporneo se torna um consenso entre
estudiosos da teoria organizacional como a melhor forma de uma instituio obter
o sucesso (GUIMARES, 2000).
Bresser Pereira (1998) destaca como desafio para a nova administrao
pblica a transformao de estruturas burocrticas, hierarquizadas, com
tendncias ao insulamento, em organizaes flexveis e empreendedoras. Essa
transformao implicaria a racionalizao das organizaes pblicas atravs da
adoo de padres de gesto desenvolvidos para o ambiente das empresas
privadas devidamente adaptados natureza e necessidades do setor pblico.
25
A dcada de 1980 foi marcada por um grande crescimento do interesse
em modificar o setor pblico, decorrente do processo de reforma do Estado pelo
qual o Brasil atravessava. Faria (2005) destaca como propsitos no desenho da
reforma do Estado a adoo de uma perspectiva de conteno dos gastos
pblicos, da busca de melhoria da eficincia e da produtividade, do aumento da
flexibilidade gerencial e da capacidade de resposta dos governos, buscando obter
o mximo de transparncia na gesto pblica e de responsabilizao dos
gestores priorizando o cidado, visto como "consumidor" de bens e servios do
governo.
De acordo com Faria (2005), o controle governamental, durante o perodo
burocrtico, no se mostrou capaz de atender aos anseios da sociedade
organizada quanto s prestaes de contas dos recursos pblicos aplicados pelos
gestores. Os trabalhos se restringiam s anlises do aspecto contbil, com
observncia rigorosa do cumprimento da legalidade e normatividade,
demonstrando uma viso limitada por apresentar um carter formal e punitivo.
Outro aspecto que predominava na administrao pblica burocrtica era
o enfoque em processos, no se preocupando com a anlise do desempenho das
organizaes e o atingimento das metas e dos resultados dos programas.
Em palestra proferida no Congresso dos Tribunais de Contas do Brasil o
ento ministro Nelson Jobim afirma que:
O dficit pblico forou a adoo de um novo modelo de
controle pelo Poder Pblico apontando para uma perspectiva
de se verificar a eficincia no servio pblico. evidente a
necessidade de se examinar o grau de alcance das metas
dos programas (juzo de resultados) pois j no mais
satisfaz apenas o acompanhamento dos processos.(JOBIM,
2005)
Com o desenvolvimento dessa nova filosofia de administrao pblica por
meio do modelo gerencial, ou ps-burocrtico, a funo do controle
governamental passa a ser discutida como instrumento de grande relevncia para
que o Estado possa efetivamente garantir que os conceitos de eficincia e
eficcia, propostos pelo paradigma gerencial, possam ser seguidos.
26
o paradigma gerencial estabelece para o controle governamental um
novo escopo na anlise dos gastos pblicos, cuja nfase passa a ser nos
resultados alcanados, passando a inserir a perspectiva da transparncia das
aes governamentais, atravs da disponibilizao de mecanismos que
possibilitem a fiscalizao dos atos dos gestores pblicos.
A administrao gerencial requer, por parte dos rgos e entidades da
administrao pblica, uma viso e misso estratgica bem definidas, os objetivos
de longo prazo em funo das metas, estabelecimento de metas de longo prazo,
assim como de metas anuais de desempenho, as quais sero mensuradas
atravs de indicadores desenvolvidos para esse propsito e tambm para
contribuir para a melhoria da efetividade dos programas (NUNES, 2004).
Carneiro (2002) comenta acerca de outra modificao introduzida na
administrao pblica que foi a mudana de papel dos chamados administradores
pblicos para gerentes ou gestores pblicos a fim de satisfazer s exigncias de
um novo perfil gerencial de articulador e empreendedor, diferentemente do papel
de supervisor ou administrador. So estabelecidos novos valores gerenciais: a
primazia do cliente; a diversidade e flexibilidade; as habilidades
multidimensionais; a delegao em lugar do controle e o gerente como um
orientador focado em resultados.
As mudanas de paradigmas do modelo de Estado e de sua
administrao ocasionadas pelas transformaes da ps-modernidade
impulsionaram o desenvolvimento da auditoria operacional como modalidade de
controle. A implantao da administrao gerencial no setor pblico tida como o
fator responsvel pelo surgimento das auditorias voltadas para resultados.
Associada a esse fator passa a existir uma demanda crescente da sociedade pela
responsabilizao dos agentes polticos, isto , por maiores nveis de
accountability1 .
importante tambm destacar que a implantao progressiva da
administrao gerencial est freqentemente associada expanso e sofisticao
1 Accountability segundo Campos (1990) no possui traduo literal na lngua portuguesa mas
pode-se afirmar que representa o compromisso tico e legal de se responder por uma
responsabilidade delegada.
27
dos sistemas de informao, nfase no planejamento e implantao de
critrios de desempenho para os rgos e entes pblicos, o que colaborou para o
desenvolvimento das auditorias voltadas para resultados (NUNES, 2004).
Organizaes internacionais, a exemplo da Organizao Internacional de
Entidades de Fiscalizao Superiores - INTOSAI, vm buscando padronizar
estruturas e processos de controle interno, baseados na eficincia e na
efetividade, objetivando garantir a transparncia no controle dos resultados dos
dispndios pblicos.
No contexto da reforma do Estado, vrios so os debates acerca da forma
como o controle externo pode contribuir para o aumento da responsabilizao dos
agentes pblicos, para o aperfeioamento das aes do governo e para o
fornecimento de informaes confiveis sociedade. Como resposta, desenvolve-
se no mbito das Entidades de Fiscalizao Superiores (EFS
2
) um tipo de
fiscalizao - a auditoria operacional - que focaliza o mrito da ao pblica ao
invs de priorizar a conformidade dos procedimentos de gesto.
Barzelay (2002) coloca que a auditoria operacional reconhecida por
pesquisadores e pelas EFS de alguns pases como o instrumento adequado para
se formar juzo acerca do mrito da ao pblica. Desse modo, se uma EFS
possui competncia para examinar a eficincia, a efetividade, a legitimidade da
ao pblica, a ferramenta utilizada para exercer esse poder-dever a auditoria
de desempenho, mesmo em pases onde a burocracia ctica quanto a doutrinas
administrativas orientadas para desempenho, como Frana e Alemanha.
Segundo Pollit (1999), aps o estudo que realizou em EFS de cinco
pases (Inglaterra, Sucia, Dinamarca, Finlndia e Frana), inegvel a
existncia de uma interface
3
entre auditoria de desempenho e reformas
administrativas, pois, a maior parte das iniciativas de reforma administrativa dos
pases que pesquisou mudou a nfase no controle de insumos e processos para
novas formas de controle baseadas na medida dos resultados e impactos. Pollit
(1999) ainda cita Power (1997) para evidenciar que o desenvolvimento da gesto
2 EFS o nome pelo qual so conhecidas no mundo as organizaes de controle externo
3 Interface- meio que promove a comunicao ou interao entre dois ou mais grupos
(FERREI RA, 1999: 1124)
I
28
do setor pblico e o desenvolvimento da auditoria de desempenho originam-se do
mesmo conjunto de valores e esto entrelaados no mbito da mesma reforma
tica.
Segundo a Controladoria Geral dos Estados Unidos da Amrica (United
States Govemment Accountability Office - GAO), os legisladores, os dirigentes do
governo e o pblico em geral buscam no apenas informaes sobre os servios
pblicos e a observncia quanto eficincia, efetividade, economia e
conformidade com as leis e regulamentos oficiais, mas tambm querem saber se
os programas de governo esto alcanando seus objetivos e resultados propostos
e a que custo (GAO, 2005).
As auditorias operacionais proporcionam avaliao independentemente
do desempenho e da gesto dos programas de governo confrontados com
critrios objetivos ou avaliaes das melhores prticas e outras informaes,
sugerindo recomendaes para a melhoria dos programas com a introduo de
aes corretivas, auxiliando o processo de deciso, melhorando o monitoramento
da gesto, enfim contribuindo para a accountability pblica (GAO, 2005).
Derlien (2001) observou que dentro do contexto de avaliao das polticas
pblicas, em conjunto com o movimento do New Public Management, os atores
principais no so mais os administradores dos programas de governo, mas os
escritrios de auditoria, os Ministrios da Fazenda e as unidades centrais. Com
isso, os avaliadores passam a ser os auditores cujos trabalhos buscam enfocar a
medio dos resultados.
Assim, valores como eficincia, eficcia, efetividade e economicidade
passaram a ter papis relevantes, tornando-se parmetros norteadores no
processo de redefinio da estrutura do Estado.
Para enfrentar um dos muitos desafios do controle externo, a auditoria
operacional se faz presente como instrumento capaz de subsidi-lo no
acompanhamento das inovaes propostas para a reforma do Estado e,
conseqentemente da administrao pblica, no sentido de elevar os nveis de
transparncia, tornando o Estado mais permevel participao e ao controle dos
cidados e mais eficaz no atendimento das demandas da sociedade.
29
3.2 AUDITORIA OPERACIONAL: EVOLUO HISTRICA
No mbito da administrao pblica, a expresso auditoria operacional foi
utilizada inicialmente em 1971, durante o VII Congresso Internacional de
Entidades Fiscalizadoras Superiores - INTOSAI, que fora apontado como um dos
marcos histricos desse tipo de auditoria (ARAUJO, 2001).
Grande parte dos progressos da auditoria operacional so creditados ao
GAO, sendo esse rgo considerado como o maior responsvel pelos avanos
dessa rea. A normatizao desse tipo de auditoria se deu a partir da publicao
pelo GAO da primeira verso das normas de auditoria governamental, em 1972,
denominada Normas para Auditoria de Organizaes, Programas, Atividades e
Funes Governamentais (Standards for Audit Of Govemmental Organizations,
Programs, Activities and Functions) , que ficaram conhecidos como "Livro
Amarelo" pela cor da sua capa (ARAUJO, 2001). Embora voltada, em geral, para
todas as formas de auditoria, essa publicao mais conhecida pela contribuio
dada auditoria operacional, constituindo-se, assim, em um documento
significativo uma vez que definiu o conceito e o campo de atuao e editou as
primeiras normas para a realizao desse tipo de auditoria.
Em um estudo emprico e comparativo de anlise organizacional realizado
nos rgos centrais de auditoria da OCDE, sobre os trabalhos de auditoria
operacional, Barzelay (2002) verificou que, alm do GAO, foram criadas vrias
organizaes que desenvolveram e disseminaram esses trabalhos. Segundo o
autor, pode-se citar, nos Estados Unidos da Amrica (EUA), os Escritrios dos
Inspetores Gerais (Office of Inspectors G e n e r a ~ , no Reino Unido, a Comisso de
Auditoria para a Inglaterra e Pas de Gales (Audit Comission for England and
Wales) , cuja jurisdio inclui o governo municipal, o Servio Nacional de Sade e
a Polcia; o National Audit Office (NAO), cuja jurisdio compreende o restante do
governo central e uma gama de inspetorias de setores ou rgos especficos em
rpida expanso, como o Escritrio de Normas de Educao (Office of Standards
in Education). Para o autor, as organizaes governamentais fundamentais na
30
rea de auditoria operacional so aquelas responsveis pela elaborao
oramentria, auditoria, avaliao e reforma administrativa (Barzelay, 2002).
Na Amrica Latina, por sua vez, o termo foi inserido pelo Instituto Latino-
Americano e do Caribe de Cincias Fiscalizadoras - ILACIF, que passou a ser
denominado em 1990 de Organizao Latino-Americana e do Caribe de
Entidades Fiscalizadoras Superiores - OLACEFS (NASCIMENTO, 2002).
O IX Congresso Mundial de Tribunais de Contas, realizado em 1977, em
Lima (Peru), recomendou que os organismos de controle deveriam ampliar seus
trabalhos de auditoria financeira, buscando examinar aspectos de eficincia,
economia e efetividade contemplados pela auditoria operacional. Em 1998, no
Congresso Internacional de Entidades Fiscalizadoras Superiores - INCOSAI,
realizado em Montevidu, ficou definida a elaborao das Diretrizes para a
aplicao da Auditoria Operacional pelo Comit de Normas de Auditoria da
INTOSAI, em conjunto com as EFS. O projeto final contendo essas diretrizes foi
aprovado em 2003 ( INTOSAI, 2005b).
Alm dos Estados Unidos, pases como Inglaterra e Canad muito tm
contribudo com a expanso e desenvolvimento e a aplicao de mtodos da
auditoria operacional. Na Inglaterra, a auditoria operacional conhecida como
auditoria de valor por dinheiro, value for money, no s porque tem por objetivo a
verificao da irregularidade das contas, do ponto de vista contbil legal, mas
tambm porque visa avaliar a possibilidade e prejuzo devido perda de eficincia
e no observncia de requisitos de economicidade.
Cabe tambm destacar as observaes de Barzelay (2002) acerca da
institucionalizao da auditoria operacional no mundo:
A forma pela qual os rgos de auditoria lidam com a
institucionalizao da auditoria de desempenho muito
provavelmente ter efeito significativo sobre a escala e a
distribuio das atividades de reviso na esfera governamental.
Tais reaes tendero a delinear o modo de operao e o impacto
dos sistemas governamentais de responsabilizao e prestao
de contas [accountability] (BARZELA Y, 2002, p. 28).
31
Oliveira (2000) afirma que a auditoria operacional teve a primeira
perspectiva de aplicao no Brasil, a partir de 1986, na administrao pblica
federal, atravs da edio do Decreto 93.874, cujo artigo 10, pargrafo segundo,
estabelecia que alm de examinar os atos da gesto, a fim de certificar a exatido
e a regularidade das contas, a auditoria deveria verificar a eficincia e a eficcia
na aplicao dos recursos.
Com a promulgao da Constituio Federal de 1988, institucionalizou-se
o controle operacional na legislao brasileira, quando foram incorporados, por
fora do "caput" do artigo 70, poderes ao Controle Externo exercido pelo Poder
Legislativo com o auxlio do Tribunal de Contas da Unio, para exercer a
"fiscalizao contbil, financeira, oramentria, operacional e patrimonial da Unio
e das entidades da administrao direta e indireta" (BRASIL,2004, p.40).
Sobre a institucionalizao da auditoria operacional no texto
constitucional, Da Silva assevera:
Em que pese o atraso na percepo da necessidade da realizao
de auditoria operacional no setor pblico no Brasil, a incorporao
de sua concepo explicitamente no texto constitucional,
representa uma tomada de conscincia dos polticos e
administradores pblicos.[ ... ] Este tipo de auditoria desempenha
importante papel como instrumento gerencial na avaliao do grau
de eficincia, economia, e eficcia com que so realizadas as
operaes e atividades governamentais.(DA SILVA, 1993, p. 5),
O Tribunal de Contas da Unio, por sua vez, passou a contar com a
competncia constitucional de realizar " ... inspees e auditorias de natureza
contbil, financeira, oramentria, operacional e patrimonial, nas unidades
administrativas dos Poderes Legislativo, Executivo e Judicirio, ... " conforme
determina o art. 71, inciso IV, incluindo a as fundaes e as sociedades
institudas e mantidas pelo Poder Pblico Federal, nos termos do inciso 11 do
citado artigo (BRASIL, 2004).
Embora a instituio da auditoria operacional tenha se dado desde 1988,
pode-se afirmar que sua efetiva implementao ainda est se processando, pelo
fato de ter uma natureza diferenciada, cuja complexidade exige uma metodologia
32
especfica para assegurar a qualidade dos trabalhos, tendo como impulso
definitivo a publicao da Lei de Responsabilidade Fiscal (LRF). A edio dessa
Lei, ao atribuir aos Tribunais de Contas o dever de alertar as entidades pblicas
sobre os fatos que comprometem custos e os resultados dos programas
governamentais, tornou o exame da eficincia e eficcia desses programas um
procedimento obrigatrio no mbito do controle externo.
Dessa forma, os Tribunais de Contas, tiveram suas atribuies ampliadas
a partir da insero da auditoria operacional, renovando as concepes de
controle consubstanciadas no controle operacional e no conceito de
economicidade.
3.3 ASPECTOS GERAIS DA AUDITORIA OPERACIONAL
As auditorias de cunho operacional possuem nomenclaturas as mais
variadas, dependendo da organizao ou pas que a adote. Segundo Freitas,
dentre os variados rtulos disponveis, pode-se enumerar: auditoria operacional,
auditoria de desempenho (performance audit) , auditoria de valor pelo dinheiro
(value-for-money audit), auditoria administrativa, auditoria de gesto, auditoria de
rendimento e auditoria de resultados (FREITAS, 2005).
o TCU, rgo pblico pioneiro na realizao deste tipo de auditoria no
Brasil, adotou inicialmente o termo auditoria de desempenho, ao editar seu
primeiro manual sobre o assunto (TCU, 1998). O atual Manual de Auditoria de
Natureza Operacional, editado em 2000 (TCU, 2000), incorporou a denominao
presente no artigo 70 da Constituio Federal.
A Organizao Internacional de Entidades Fiscalizadoras Superiores
(INTOSAI, 2005b) utiliza o termo performance audit, traduzido para o portugus
como auditoria de desempenho. Esta Organizao considera tambm o termo
avaliao de programa como uma das numerosas ferramentas da auditoria
operacional.
33
o Escritrio do Auditor Geral do Canad (OAG, 1995), rgo do governo
canadense, adota o conceito de auditoria integrada (comprehensive audifing) ,
com significado mais abrangente, que engloba tanto aspectos de auditoria de
regularidade como de desempenho.
Arajo (2001) definiu auditoria operacional ou de otimizao de recursos
como sendo aquela que objetiva avaliar o desempenho e a eficcia das
operaes, os sistemas de informao e de organizao, e os mtodos de
administrao; a propriedade e o cumprimento das polticas administrativas; e a
adequao e a oportunidade das decises estratgicas.
Assim como as diversas designaes, vrios so tambm os conceitos de
auditoria operacional. Esse tipo de auditoria pode ser estudada em dois setores
distintos: pblico e privado. Entretanto, o foco desse trabalho est voltado para a
auditoria operacional no setor governamental. Assim, os conceitos aqui expostos
referem-se ao entendimento dos autores quanto auditoria operacional nessa
rea.
As normas de auditoria governamental do GAO resumem a auditoria
operacional como resultados de avaliaes sobre uma evidncia da seguinte'
forma:
As auditorias operacionais implicam exame objetivo e sistemtico
da evidncia para apresentar uma avaliao independente do
desempenho e da gesto de um programa com base em critrios
objetivos, assim como avaliaes que proporcionem um enfoque
prospectivo ou que sintetizem informaes sobre as melhores
prticas ou anlises de temas transversais. (GAO, 2005, p. 45)
Haller et ai (1995) apresentam a auditoria operacional com sendo um
processo de revises metdicas de programas, organizaes, atividades ou
segmentos, confrontando o desempenho real com o esperado, tendo como
finalidade avaliar e comunicar se os recursos da organizao esto sendo usados
eficientemente.
A INTOSAI, atravs das suas Diretrizes para a Aplicao de Normas de
Auditoria Operacional (2005b), enfoca a eficincia e eficcia, sem desprezar a
34
observncia da economicidade, conceituando assim: "a auditoria operacional
um exame independente da eficincia e da eficcia das atividades, dos
programas e dos organismos da Administrao Pblica, prestando a devida
ateno economia, com o objetivo de realizar melhorias".
Arajo (2001) entende que a auditoria operacional pode ser realizada no
todo ou em partes de uma organizao com o objetivo de propor recomendaes
e comentrios que contribuiro para melhorar os aspectos da economia, eficincia
e eficcia.
Peter e Machado (2003), numa definio um pouco semelhante de
Arajo, acreditam que a auditoria operacional avalia as aes gerenciais ou parte
dos procedimentos do processo operacional das entidades da administrao
pblica e dos programas de governo. Acrescenta, ainda, que esse tipo de
auditoria avalia a eficcia dos resultados das entidades em relao aos recursos
materiais, humanos e tecnolgicos disponveis, bem como a economicidade,
eficincia, efetividade e qualidade dos controles internos existentes.
Fder (1988, p. 5) salienta que a auditoria operacional "preocupa-se com
as operaes atuais, enfatiza o presente e as melhorias possveis". Logo, deve-se
concentrar nas reas crticas, de risco relevante ou onde o controle interno est
falhando.
Para Barzelay (2002) a expresso auditoria de desempenho um rtulo
impreciso para o conceito nela embutido. O autor argumenta que auditoria de
desempenho uma denominao incorreta pois no se trata de auditoria, mas
sim de um conjunto de atividades de avaliao. A auditoria uma forma de
verificao, isto , envolve o confronto de critrios usualmente aceitos com
procedimentos efetivados.
Cunha (1998) conceitua a auditoria operacional de modo simples,
afirmando que "nada mais do que um exame objetivo, sistemtico e profissional
das operaes financeiras e administrativas de uma empresa ou entidade, ou
parte delas, com a finalidade de verific-Ias e avali-Ias".
35
o manual de auditoria de natureza operacional (TCU, 2000) adotou a
seguinte definio: "auditoria de natureza operacional consiste na avaliao
sistemtica dos programas, projetos, atividades e sistemas governamentais,
assim como dos rgos e entidades jurisdicionadas ao Tribunal".
Este manual divide a Auditoria de Natureza Operacional em duas
modalidades: a auditoria de desempenho operacional, cujo objetivo examinar a
ao governamental quanto aos aspectos da economicidade, eficincia e eficcia,
e a avaliao de programa, que busca examinar a efetividade dos programas e
projetos governamentais. A figura a seguir mostra as dimenses da auditoria
operacional explicitadas no manual do TCU.
Figura 1 - Dimenses da Auditoria de Natureza Operacional
Avaliao de programa
efetividade
Auditoria de
desempenho
operacional
economicidade
eficincia
eficcia
,
,
,
,
,
,
,
,
;.
,
,
,
,
,
,
,
,
,
,
,
Impacto
Objetivos Gerais
Objetivos especficos
Atividades
Fonte: Manual de Natureza Operacional (TCU, 2000, p.13)
36
Assim, aps analisar os diversos conceitos dos autores citados, a
auditoria pode ser definida como um processo de avaliao das aes dos
gestores pblicos, relativas a um programa de governo ou a uma instituio para
a verificao dos aspectos da economicidade, eficincia, eficcia e efetividade,
visando melhoria da gesto pblica.
Os conceitos de auditoria operacional apresentados anteriormente
mencionam, em nveis diferentes, os chamados 4 "Es" : economicidade,
efetividade, eficincia e eficcia.
A Constituio Federal de 1988 (BRASIL, 2004) destaca a necessidade
de avaliar a economicidade atravs do caput do seu artigo 70. J o inciso 11 do art.
74 da mesma Lei ressalta a eficcia e eficincia como parmetros da auditoria:
"comprovar a legalidade e avaliar os resultados, quanto eficcia e eficincia, da
gesto oramentria, financeira e patrimonial nos rgos e entidades da
37
administrao federal, bem como da aplicao de recursos pblicos por entidades
de direito privado" (BRASIL, 2004).
Torna-se, agora, necessrio fazer-se um breve levantamento das
definies dos termos economicidade (ou economia), eficincia, eficcia e
efetividade, pois ainda que de ampla aceitao e relativa unanimidade quanto aos
seus significados, destes dependem a correta compreenso do conceito de
auditoria operacional.
Cruz (1997) fornece as seguintes definies para os "4 Es" da auditoria
operacional: (a) economicidade refere-se aos prazos e condies nos quais so
obtidos os recursos fsicos, humanos e financeiros, logo uma operao
econmica pressupe recursos em qualidade, quantidade, menor custo e tempo
hbil; (b) eficcia diz respeito ao atingimento de objetivos e metas e, aos
resultados; (c) eficincia est relacionada a custo, a forma pela qual os meios so
geridos. a otimizao dos recursos disponveis, atravs da utilizao de
mtodos, tcnicas e normas, visando ao menor esforo e ao menor custo na
execuo das tarefas; (d) efetividade refere-se preocupao da organizao
com o seu relacionamento externo, sua sobrevivncia e atendimento das
necessidades sociais, pressupondo ainda certo grau de eficincia e eficcia.
Alguns autores no abordam a efetividade em virtude desse mtodo de
avaliao se referir ao relacionamento externo da organizao, da, abordam
apenas trs "Es" na auditoria operacional.
o Cdigo de tica e Normas de Auditoria da INTOSAI (2005a) traz os
seguintes conceitos:
(a) economicidade consiste em reduzir ao mnimo o custo dos
recursos utilizados para desempenhar uma atividade em um nvel
de qualidade apropriado; (b) eficcia a relao entre os
resultados pretendidos e os resultados alcanados; (c) eficincia
a relao entre o produto - expresso em bens, servios e outros
produtos - e os recursos utilizados para produzi-los.
Rocha (1990) aborda os trs "Es" da auditoria operacional de modo mais
detalhado: (a) economicidade pressupe a obteno e utilizao adequada dos
38
recursos humanos, materiais e financeiros, os quais devem estar disponveis nas
quantidades necessrias e suficientes e no momento adequado; (b) eficincia
pressupe a obteno de nveis mximos de produo com o mnimo de recursos
possveis (c) eficcia pressupe que os resultados obtidos estejam dentro dos
objetivos propostos para a entidade. Significa dizer que, em uma entidade pblica
eficaz, os resultados produzidos pela sua atuao so aqueles para os quais ela
foi criada (ou direcionada), constantes da legislao prpria e cujos produtos ou
servios estejam dentro de padres de quantidade e qualidade consentneos.
Cunha (1998) define os 3 "Es" de forma sucinta: (a) eficincia o mximo
de rendimento sem desperdcio de gastos ou tempo; (b) eficcia consecuo das
metas programadas; (c) economicidade traduz a operao ao menor custo
possvel.
Arajo (2001) ao resumir os conceitos dos 3 "Es" apresenta:
economia: a capacidade de fazer, gastando pouco. executar
uma atividade ao menor custo possvel, ou seja, gastar menos;
eficincia: a capacidade de fazer as coisas direito. apresentar
um desempenho satisfatrio sem desperdcios, ou seja, gastar
bem;
eficcia: a capacidade de fazer as coisas certas. alcanar os
objetivos ou metas previstas, ou seja, gastar sabiamente.
(ARAJO, 2001, p. 39).
Assim, em resumo, possvel afirmar que o que se busca saber, a partir
de uma auditoria operacional se a entidade ou programa auditado vem obtendo
os resultados esperados, incluindo-se os impactos provocados da melhor forma e
ao menor custo possvel.
3.4 COMPARAO ENTRE A AUDITORIA OPERACIONAL E A AUDITORIA
TRADICIONAL
39
A auditoria, de um modo geral, quer seja operacional quer seja
tradicional
4
, caracteriza-se pela realizao de verificaes sistemticas e anlises
objetivas das operaes de uma entidade que resultam na elaborao de um
relatrio.
A maioria dos autores aponta que a diferena bsica entre a auditoria
operacional e a tradicional est nos objetivos propostos e na abrangncia do
trabalho.
Sobre este aspecto, Nascimento (2001) comenta que os limites entre as
duas auditorias so quase os mesmos: reviso, avaliao e emisso de parecer,
mas h uma diferena que reside no objetivo do estudo. Segundo o autor, a
auditoria tradicional busca responder se a realidade patrimonial da entidade e a
realidade de suas relaes com terceiros esto compatveis com os
demonstrativos contbeis, enquanto a auditoria operacional volta sua ateno
para o desempenho das operaes da entidade ou rgo, examinando os
mtodos, processos, fluxos, programas, projetos, atividades, aes e metas
quanto economia, eficincia e eficcia.
Para Rocha (1990), a auditoria operacional u uma evoluo natural da
auditoria tradicional, que deixou de ser especificamente contbil para tornar-se
abrangente, acrescentando verificao da legalidade e correo dos registros
contbeis, a determinao da economicidade e eficcia das entidades".
Barzelay (2002) faz a diferenciao entre o conceito de auditoria de
desempenho e o conceito de auditoria tradicional atravs da seleo de modelos
cognitivos idealizados. O significado do conceito de auditoria de desempenho
caracteriza-se por uma srie de Modelos Cognitivos Idealizados inter-
relacionados, que variam sob a tica de cinco diferentes dimenses referentes ao
funcionamento de governo, ao tipo de funcionamento desejado, ao principal
objetivo da reviso, modalidade dominante de reviso e ao papel do revisor
4 Neste trabalho ser adotada a denominao de auditoria tradicional como sinnimo das
auditorias contbeis, auditorias de conformidade, auditorias financeiras, auditorias de
legalidade,auditoria de regularidade na rea governamental.
40
(auditor). A mesma lgica aplica-se ao significado do conceito de auditoria
tradicional. O quadro 2, a seguir, apresenta esta lgica.
Quadro 1 - Comparao entre auditoria tradicional e auditoria de
desempenho
Imagem de
Imagem de Objetivo
Modalidade Papel do revisor!
bom principal da
Governo predominante auditor
funcionamento reviso
Auditoria Mquina Execuo das Accountability Auditoria Verificar as
Tradicional Burocrtica transaes e de informaes; encontrar
tarefas conformidade discrepncias entre os
efetivamente procedimentos
reguladas por observados e as
sistemas normas gerais; inferir
conseqncias; relatar
achados
Auditoria de Cadeia de Procedimentos Accountability Inspeo Avaliar os aspectos
Desempenho Produo: e produo de dos programas e das

organizacionais desempenho organizaes

funcionam de envolvidas; relatar
produtos
forma achados
impactos
otimizada
Fonte: Barzelay (2002, p. 4)
O GAO (2005) distingue melhor os dois tipos de auditoria atravs da
descrio dos objetivos de cada uma delas. Na auditoria tradicional, esses
objetivos se relacionam com as exigncias estabelecidas por leis, regulamentos,
clusulas ou condies de contratos ou de convnios de subvenes que podero
afetar a aquisio, proteo e uso dos recursos da organizao, bem como a
quantidade, qualidade, oportunidade e custo dos trabalhos que a organizao
produz ou fornece.
Os achados de auditoria correspondem, por sua vez, s observaes e
concluses obtidas atravs da comparao de evidncia suficiente, fivel e
41
pertinente do desempenho com critrios predeterminados de auditoria (CCAF,
1995).
Por outro lado, as auditorias operacionais buscam fornecer informaes
para melhorar o desempenho dos programas e facilitar o processo de tomada de
decises dos dirigentes responsveis pelas aes corretivas e aperfeioar a
accountability perante o pblico.
Seguindo essa linha de distino entre a auditoria tradicional e a auditoria
operacional, Villas argumenta:
Enquanto, no primeiro grupo, o objetivo principal est relacionado
com a adequao das demonstraes financeiras, no segundo as
demonstraes financeiras servem apenas como instrumento do
seu processo, visto que seu objetivo est vinculado apreciao
das operaes ou atividades de uma entidade segundo os
benefcios por ela produzidos (VILLAS, 1990, p. 58).
Lima (2005) sintetiza os tipos de auditoria - tradicional, de desempenho e
avaliao de programa - como fiscalizaes. A distino inicialmente estaria no
tipo de questo que se deseja responder. A auditoria tradicional, utilizando de
procedimentos padronizados, satisfaz investigao das questes legais e
regulamentares. Em auditoria operacional e em avaliao de programas,
necessrio um planejamento de trabalho com formato especfico para cada
situao, a fim de que possam ser respondidas as questes ligadas ao
funcionamento interno dos programas e rgos (economia, eficincia e eficcia) e
os impactos de suas operaes em condies sociais (efetividade).
Posteriormente, Lima (2005) elencou diversas diferenas ao realizar o confronto
entre a auditoria tradicional e a operacional, as quais esto organizadas no
quadro 2, a seguir.
42
Quadro 2 - Diferenas entre auditoria tradicional e auditoria
operacional
Tradicional Operacional
Agentes externos independentes Agentes externos parceiros
Punio de falhas Contribuio para sanar falhas
Fluxo de trabalho padronizado O fluxograma de trabalho assemelha-se a uma
e hierrquico cadeia de produo, contendo insumos,
produtos e efeitos
Ambiente de comando e controle Ambiente poltico com prevalncia de debate
democrtico
Utilizaes de padres legais Utilizao de boas prticas, modelos,
conhecimento e experincia, valores voltados
para resultados (Resulfs Orienfed Managemenf
-ROM)
Obedincia a procedimentos Empreendedorismo e liderana, escolha poltica
e administrativa
Uso dos conceitos de direito e da Uso de informaes obtidas atravs da
contabilidade pesquisa social, anlise de polticas, economia
Imperatividade Convencimento
Pouca participao popular Debate pblico
Individualizao da Nem sempre possvel individualizar (resultado)
responsabilidade
Controle hierrquico e Controle democrtico e social
administrativo
Os responsveis so punidos A penalidade atribuda o ostracismo, a
com multas e afastamento censura, danos na reputao
Fonte: Elaborao prpria com base na classificao estabelecida por Lima
(2005).
importante destacar o papel de cada uma das auditorias em relao
outra, ressaltando que a auditoria operacional no est substituindo a auditoria
tradicional, mas complementando a fiscalizao que pode ser, inclusive, de um
mesmo objeto. Se eventualmente ambas as auditorias escolherem objeto idntico,
apresentaro concluses diferentes, porm complementares, uma vez que o foco
do trabalho distinto.
43
Assim, enquanto a auditoria tradicional restringe sua abrangncia rea
contbil-financeira e ao cumprimento dos aspetos legais objetivando,
principalmente, verificar; a auditoria operacional atinge toda a entidade,
pretendendo, tambm, avaliar.
3.5 LIMITAES DA AUDITORIA OPERACIONAL
A expanso da auditoria operacional, muitas vezes, tem encontrado
vrios aspectos que se constituem em dificuldades ou limitaes para sua
implementao por parte das entidades de controle.
Um primeiro aspecto que pode ser destacado o da ausncia de uma
estrutura organizacional definida dentro da instituio, levando, assim, a pouca
autonomia dos grupos de trabalho na execuo de procedimentos internos e
externos. A inexistncia de institucionalizao dos trabalhos de auditoria
operacional nos Tribunais de Contas Estaduais prejudica o desempenho das
funes de controle.
Associada a essa situao est uma infra-estrutura muitas vezes
deficitria, com nmero insuficiente de servidores especializados em auditoria
operacional, quantidade reduzida de equipamentos de informtica, poucos
veculos disponibilizados para a realizao dos trabalhos de campo. Alm disso, o
oramento para esse tipo de auditoria limitado, impossibilitando a contratao
de especialistas ou consultores para auxiliar nos trabalhos.
A complexidade do processo de uma auditoria operacional outro ponto
importante, pois reflete as peculiaridades do objeto em anlise, o que torna a
execuo desse tipo de auditoria amplamente diferente de um trabalho para
outro, ou at mesmo entre perodos de tempo do mesmo trabalho. Isso porque
imprescindvel que sejam respeitadas as caractersticas individuais de cada
auditoria. Essa complexidade exige tempo, desde o planejamento at o trmino
da execuo, assim como um maior volume de recursos humanos e financeiros.
44
Outra questo a cultura organizacional relacionada auditoria
operacional, o que pode se transformar em um limitador do resultado dos
trabalhos. possvel que alguns gestores no vejam nas auditorias operacionais
qualquer valor a ser agregado ao seu desempenho. possvel tambm que os
tcnicos se preocupem mais com os aspectos caractersticos de auditorias
tradicionais, devido a uma cultura forte desse tipo de auditoria entre os
profissionais dessa rea. O interesse e a receptividade do gestor so
indispensveis para que os resultados da auditoria revertam-se em melhorias
para o programa ou a gesto analisada.
H tambm obstculos na coleta das evidncias que iro respaldar as
concluses dos tcnicos, principalmente nos casos em que os critrios de
comparao no esto disponveis no programa auditado, situao que exigir
uma busca por critrios em outras fontes.
Neste contexto, pode ser sugerida a utilizao de uma metodologia
especfica ou de uma combinao de metodologias, aplicvel a cada caso, que
respeite as caractersticas individuais do objeto auditado. Em cada objeto devero
ser considerados, entre outros fatores, os seus objetivos, os recursos
empregados na sua consecuo e os resultados alcanados, assim como as
variveis ambientais que exercem influncia sobre esses resultados. Essa
ausncia de uniformidade na aplicao dos procedimentos, muito comum nas
auditorias operacionais mais uma dificuldade na sua disseminao e evoluo.
Greiner (1996), apud Barros (2000, p.38), agrupou as limitaes em
quatro classes de fatores que seriam os obstculos para a expanso e
implementao da auditoria operacional. O quadro 3, a seguir, enumera essas
limitaes dentro da classe em que ela se enquadra:
45
Quadro 3 - Limitaes da auditoria operacional
Obstculos Obstculos
Obstculos Tcnicos
Obstculos
institucionais pragmticos Financeiros
Dispndio
Desconhecimento de
Falta de definio do substancial de
medidas de
Dificuldade no que desempenho tempo e
desempenho pela
desenvolvimento governamental e o que dinheiro na
maioria dos gerentes
de medidas de deveria se enfatizado na implementao
do setor pblico
desempenho mensurao desse dos sistemas de
desempenho mensurao de
desempenho
Baixo grau de Relutncia dos
imparcialidade e administradores
autoconfiana do pblicos em Dificuldade de oferecer
governo optando utilizar as aos usurios os dados
pela no divulgao informaes de desempenho em
de informaes que oriunda das tempo oportuno
julgue prejudicar sua mensuraes de
imagem desempenho
Multiplicidade dos
Receio dos gestores objetivos propostos pelo
de implementar governo e a diversidade
novas ferramentas de alguns servios que
de avaliao devido exigem diferentes
a saturao de medidas para
inovaes ditas caracterizar
revolucionrias adequadamente o
desempenho
Carncia de padres
predefinidos para avaliar
o desempenho
governamental;
Flutuaes estatsticas
nas medidas de
desempenho
Dificuldade em
correlacionar recursos
investidos e resultados
alcanados
Ausncia de
procedimentos bem
definidos, no mbito
governamental para
gerenciar por nmeros
Fonte: Elaborao prpria com base em Greiner (1996) apud Barros (2000).
46
Mesmo diante dessas limitaes, percebe-se que o interesse e a
importncia da auditoria operacional, nos ltimos anos, tem crescido devido ao
anseio da sociedade por um controle que ultrapasse os exames da legalidade e
busque avaliar os resultados obtidos com o uso dos recursos pblicos.
A evoluo da auditoria operacional no Brasil, conforme comentado
anteriormente, est justamente respaldada no interesse dos rgos de controle
externo, em especial, dos Tribunais de Contas, em aperfeioar suas ferramentas
de trabalho com vistas a dar subsdios aos cidados para que possam
acompanhar a gesto pblica.
47
4. AUDITORIA DE TI
Como ressalta Nunes (2004), a implantao da administrao pblica
gerencial est freqentemente associada expanso e sofisticao dos sistemas
de informao. De fato, nos dias de hoje ampla a utilizao de sistemas de
computao pela administrao pblica, no se imaginando um rgo que no
faa uso desta poderosa ferramenta de apoio gesto.
o quadro de mudana do modelo de Estado e de sua administrao
impulsionaram o desenvolvimento da auditoria operacional como modalidade de
controle. Com a expanso do uso da informtica pelo setor pblico advinda deste
quadro, natural o crescimento de uma nova modalidade de auditoria de cunho
operacional, a auditoria de informtica, ou auditoria de sistemas de informao,
ou auditoria de Tecnologia da Informao, como mais conhecida.
Neste captulo abordaremos os principais aspectos que envolvem a
adoo da auditoria de TI pela administrao pblica, como as dificuldades para
sua expanso e as diferentes reas ou enfoques associados a este tipo de
auditoria. Por fim, apresentada a metodologia de auditoria de TI adotada pelo
TCE-RJ nas inspees realizadas nos municpios sob sua jurisdio.
4.1 DEFINiO DE AUDITORIA DE TI
A auditoria de sistemas, inicialmente, uma tpica auditoria de resultados,
por fora de suas origens na auditoria contbil-financeira, necessita de forte
adaptao cultural e tcnica para atuar em auditoria de processos
computacionais, consoante alerta de Gil (1998).
Conforme salienta Albertin (2002), a filosofia de auditoria de tecnologia de
informao est calcada em confiana e em controles internos. Estes visam
confirmar se os controles internos foram implementados e se existem, se so
efetivos.
48
A auditoria de sistemas , na viso de Gil (1998), a rea de atuao que
exerce a funo administrativa Controle Interno, que atua via sistemas de
informaes computadorizados de controle interno que validam e avaliam, com
independncia e duplicidade lgica:
as funes administrativas planejamento, execuo e controle e
seus respectivos sistemas de informaes computadorizados;
o ciclo administrativo, isto , a integrao sistmica das funes
administrativas: planejamento, execuo e controle (GIL, 1998,
p.25)
Dias (2000) define a auditoria de TI como sendo um tipo de auditoria
essencialmente operacional, por meio da qual os auditores analisam os sistemas
de informao, o ambiente computacional, a segurana de informaes e o
controle interno da entidade fiscalizada, identificando seus pontos fortes e/ou
deficincias.
4.2 A IMPORTNCIA DA AUDITORIA DE TI
Albertin (2002) afirma que o tratamento das informaes, que pode ser
denominado Informtica ou Sistemas de Informaes, faz parte de toda atividade
de negcio de uma empresa que oferece um produto ou servio - desde a
concepo, planejamento e produo at a comercializao, distribuio e
suporte.
Segundo Gil (1998), entidades governamentais e privadas,
independentemente de porte ou ramo de atividade, convivem e subsistem graas
a doses cada vez mais elevadas de tecnologia computacional.
De fato, a Tecnologia da Informao tornou-se um componente crtico do
planejamento estratgico das organizaes pblicas e privadas e, diante desse
quadro no qual os processos passam a ficar altamente dependentes de sistemas
informatizados, a realizao de auditorias por parte dos rgos de controle
49
mostra-se essencial para garantir que a Gesto de TI esteja colaborando
efetivamente para o atendimento dos objetivos da organizao e para a mitigao
das fragilidades que colocam em risco os sistemas de informao.
Com o crescimento da utilizao de sistemas de informao e redes de
computadores, as organizaes ficam expostas a novos tipos de ameaas sua
segurana. Concomitantemente, deve-se garantir que a tecnologia seja
implantada de maneira correta, alinhada com os objetivos da organizao.
o uso intenso de sistemas de computao pelas administraes pblicas
obriga as entidades de controle a fazer uso de auditorias de TI, com o intuito de
verificar aspectos relativos a confiabilidade, integridade, eficcia, eficincia,
confidencialidade, disponibilidade e conformidade (com normas e legislao) das
informaes mantidas nos sistemas de informao da organizao.
A auditoria de tecnologia da informao j est presente no controle
interno de diversas instituies pblicas, sendo mais atuantes, estruturadas e
maduras nas instituies pblicas financeiras, como o Banco Central e o Banco
do Brasil.
Entretanto, na maioria dos rgos de execuo de programas e polticas
pblicas e, at mesmo, nos rgos especializados em controle, esse tipo de
auditoria apresenta-se em um nvel de maturidade iniciante, no existindo
padres, metodologias ou normas gerais a serem seguidas para planejamento e
execuo das aes de controle.
4.3 A AUDITORIA DE TI NO TCE-RJ
o Tribunal de Contas da Unio - TCU foi pioneiro na realizao de
auditoria de TI na administrao pblica. No incio da dcada de 1990 foram
realizadas as primeiras auditorias de sistemas e desenvolvidos os primeiros
estudos para elaborao de tcnicas e procedimentos especializados na rea.
Ao longo dessa dcada, foi elaborado o Manual de Auditoria de Sistemas,
em 1998, e realizadas importantes auditorias no Sistema de Seguridade Social,
50
no Sistema de Comrcio Exterior, no ambiente de informtica da Empresa
Brasileira de Pesquisa Agropecuria, no Sistema de Administrao Financeira,
nos Sistemas da Previdncia Social, nos planos para evitar danos devido ao Bug
do Ano 2000 e nos sistemas do Patrimnio da Unio, j no ano de 2000.
A crescente importncia dada rea de TI pelo TCU culminou com a
criao em 2006 da Secretaria de Fiscalizao de TI - SEFTI, atravs da
Resoluo 193.
o Tribunal de Contas do Estado do Rio de Janeiro - TCE-RJ, por meio da
Coordenadoria de Auditoria e Desenvolvimento, vem atuando junto aos rgos
jurisdicionados desde 1999 na rea de auditoria de TI, conforme estabelecido no
Ato Normativo nO 45 de 21/10/98, alterado pelo Ato Normativo nO 58 de
15/03/2001. Esta atividade est prevista, inclusive, no Plano Estratgico desta
Corte de Contas, o que reflete o compromisso com a modernizao e atualizao
de seus processos de trabalho.
A Equipe de auditores de sistemas do TCE-RJ realizou preliminarmente
uma srie de estudos especficos na rea de auditoria de TI que resultaram na
elaborao de documentos de suporte nova atividade. Dentre estes documentos
podemos destacar os elencados abaixo:
Manual de Auditoria de Sistemas
Procedimentos de Auditoria de Sistemas
Matriz de Planejamento
Check-list de Auditoria de Sistemas
o Manual de Auditoria de Sistemas tem como objetivos descrever as
principais tcnicas utilizadas pelo auditor e padronizar a execuo dos trabalhos,
servindo de apoio, inclusive, a novos profissionais que venham a integrar a
Equipe.
51
Os Procedimentos de Auditoria de Sistemas detalham os pontos de
controle a serem auditados nas diversas reas que compem a atividade de
informtica, devendo ser periodicamente revistos e atualizados face ao
dinamismo das novas tecnologias da informao.
A Matriz de Planejamento um instrumento de apoio tarefa de auditoria,
possibilitando a definio do escopo e objetivos das Inspees realizadas na rea
de auditoria de sistemas, na qual ficam definidas questes de auditoria que
devem ser respondidas pelo auditor durante a execuo dos trabalhos e a forma
como estas sero respondidas.
O check-list uma ferramenta de suporte s atividades in loco, atravs da
verificao objetiva de itens previamente selecionados de acordo com o foco
estabelecido para a Inspeo, de forma a garantir que os principais pontos de
controle sero verificados.
O incio dos trabalhos ocorreu com a inspeo especial no PRODERJ,
pelo fato desta Autarquia ser o principal rgo executor de atividades de
informtica do Estado do Rio de Janeiro. Em seguida foram realizadas Inspees
em outros rgos do Estado, como CEDAE, IPERJ, Secretaria Estadual de
Fazenda e DETRAN.
Na rea municipal, a equipe de auditoria de sistemas realizou uma
Pesquisa do Nvel de Informatizao dos Municpios jurisdicionados, com vistas a
conhecer a real situao das prefeituras quanto utilizao da informtica e
detalhes de seu ambiente operacional.
Esta Pesquisa subsidiou o planejamento das atividades de auditoria de
sistemas, sendo, inclusive, um dos critrios de escolha dos municpios a serem
visitados, aliado materialidade da arrecadao.
Desde ento, j foram realizadas inspees ordinrias em diversos
municpios do estado do Rio de Janeiro. Dentre as principais Questes de
Auditoria verificadas pela equipe na realizao das Inspees Municipais
destacamos:
Diagnstico geral da situao da informtica no municpio;
52
O grau de segurana do ambiente de informtica;
Confiabilidade, segurana e funcionamento de um Sistema de
Informao especfico a ser selecionado;
Adequao deste sistema legislao vigente.
Esta forma de atuao do TCE-RJ, no verifica aspectos relacionados a
resultados alcanados, mas sim ao funcionamento e operao da estrutura
administrativa do rgo. A auditoria de TI, nesse caso especfico, aproxima-se
das definies de auditoria operacional abordadas no captulo anterior, pois
verifica questes ligadas ao funcionamento interno dos rgos, examinando os
mtodos, processos, programas e aes quanto economia, eficincia e eficcia.
A experincia na rea municipal vem demonstrando a existncia de
muitos problemas operacionais na rea de Tecnologia da Informao das
Prefeituras, sendo um dos objetivos deste trabalho identificar e analisar as
principais deficincias encontradas na rea de sistemas de informao.
4.4 DIFICULDADES IMPLEMENTAO DE AUDITORIA DE TI NA
ADMINISTRAO PBLICA
Faz-se necessrio tambm trazer a lume o atual contexto legal e infra-
legal da auditoria de TI. Por melhores que sejam as referncias e metodologias
implementadas, os rgos de auditoria de TI enfrentam um problema maior do
que sua prpria infra-estrutura e capacidade fiscalizatria. Uma das grandes
dificuldades a sustentao, nas recomendaes das auditorias, de que essas
melhores prticas devem ser seguidas, j que no existem instrues normativas
ou legislao dentro da administrao pblica que obrigue a utilizao dessas
prticas. O TCU como rgo pioneiro nesta modalidade de auditoria ,
atualmente, o que possui mais avanos na rea, por meio de diversos acrdos
que fazem recomendaes baseadas nos principais normas e padres existentes
no mercado, como ITIL, COBIT, MPS.BR e NBR ISO/IEC 17799:2005.
53
Dessa forma, por mais bem estruturado que seja o processo de auditoria,
ela ainda fica amarrada falta de base legal ou normativa que possa dar suporte
s suas recomendaes, prevalecendo, muitas vezes, apenas o bom senso de
ambas as partes auditor e auditado.
A mais recente iniciativa em direo normatizao de processos de TI
dentro da administrao pblica pode ser visto nos Acrdos 796/2006 -
Plenrio e 1480/2007 - Plenrio do TCU. O primeiro recomenda que a Secretaria
de Logstica e Tecnologia da Informao (SLTI) do Ministrio do Planejamento,
Oramento e Gesto elabore um modelo de licitao e contratao de servios de
informtica para a administrao pblica federal. O segundo consiste na anlise
da minuta de instruo normativa encaminhada pela SL TI relativa a este modelo
solicitado. Em sua anlise, o TCU faz diversas ressalvas ao modelo com a
finalidade de que este esteja alinhado com os valores da Governana de TI e, em
suas recomendaes, sugere o uso das melhores prticas do mercado
relacionadas terceirizao, como ITIL, COBIT, MPS.BR e etc. Merece destaque
tambm a auditoria realizada pelo TCU no Sistema Nacional de Integrao de
Informaes em Justia e Segurana Pblica - Infoseg, que resultou no Acrdo
71/2007, em que foram feitas recomendaes baseadas na NBR ISO/IEC
17799:2005 e no COBIT 4.0.
Outra importante iniciativa o Projeto de Lei PLS-76/2000 que est no
Congresso Nacional e que dispe sobre crimes cometidos na rea de informtica,
tipifica condutas que envolvam o uso de redes de computadores e Internet, ou
praticados contra sistemas informatizados. O Projeto j foi aprovado na Cmara
dos Deputados e na Comisso de Educao do Senado. Atualmente, encontra-se
na Comisso de Constituio e Justia.
Tal lacuna legislativa tambm motivao para esse trabalho, pois
quanto mais se trabalhar nessa rea e mostrar suas fragilidades, maiores sero
os estmulos para que se legisle e regule a rea de Tecnologia da Informao
dentro da administrao pblica.
O TCE-RJ tem procurado embasar suas decises relativas a auditorias de
segurana de informaes na norma NBR ISO/IEC 17799, da Associao
54
Brasileira de Normas Tcnicas - ABNT, a qual trata de tcnicas de segurana em
Tecnologia da Informao, e funciona como um cdigo de prtica para a gesto
da segurana da informao. Essa norma foi elaborada no Comit Brasileiro de
Computadores e Processamento de Dados, pela Comisso de Estudo de
Segurana Fsica em Instalaes de Informtica.
A norma brasileira baseada na ISOIIEC 17799, norma elaborada pelo
ISO (International Organization for Standardization) e pelo IEC (International
Eletrotechnical Comission), sendo amplamente reconhecida e utilizada por
Entidades Fiscalizadoras Superiores, rgos de governo, empresas pblicas e
privadas nacionais e internacionais atentas ao tema Segurana da Informao.
Os objetivos definidos nessa norma provem diretrizes gerais sobre as metas
geralmente aceitas para a gesto da segurana da informao, desde polticas de
segurana da informao, controle de acesso, a gesto de ativos, de incidentes
de segurana, de continuidade de negcios, entre outros.
4.5 REAS DE ATUAO
Devido complexidade da estrutura de um ambiente informatizado, o
trabalho de auditoria de TI dividido em diversos campos, diferenciados pelo
enfoque e abrangncia do trabalho a ser realizado. O TCE-RJ vem adotando a
diviso mostrada na Figura 3 nos trabalhos de auditoria de TI realizados nas
administraes municipais, em funo do tamanho e complexidade do seu parque
computacional, em geral composto por microcomputadores ligados em rede e por
sistemas aplicativos com informaes armazenadas em banco de dados.
55
Figura 2 - reas de atuao da TI
Fonte: Elaborao prpria.
Organizao:
Engloba aspectos como polticas, padres e procedimentos da
organizao, responsabilidades organizacionais, gerncia e planejamento de
capacidade. Constitui rea de alta relevncia para a Auditoria de Sistemas pois,
neste campo esto as definies de padres e regras a serem seguidas no setor
de Tecnologia da Informao, bem como procedimentos que garantam o efetivo
cumprimento destas.
Ambiente de Informtica:
Abrange as reas de segurana fsica e lgica, planejamento de
contingncias e operao do Centro de Processamento de Dados (CPD).
Banco de Dados:
Abrange a verificao da integridade, consistncia e disponibilidade dos
dados, bem como do acesso aos mesmos.
56
Redes de Comunicao de Dados:
Envolve a tecnologia, gerncia e segurana das informaes transmitidas
atravs das redes de computadores da organizao. Tais controles de auditoria
so altamente importantes pois envolvem as principais ferramentas de acesso a
dados, contidas na maioria dos sistemas operacionais de rede. As polticas de
acesso Rede devem estar bem formuladas e seu gerenciamento bem
executado de forma a garantir que os dados disponveis neste poderoso
instrumento de compartilhamento estejam seguros.
Desenvolvimento de sistemas:
Abrange as metodologias de desenvolvimento de sistemas, projeto,
estudo de viabilidade, design, implementao, operao e manuteno de
sistemas de informtica. Estes itens so aplicveis em caso de haver no rgo a
atividade de desenvolvimento ou manuteno de um sistema de informao,
haver a prestao deste tipo de servio a um rgo jurisdicionado, ou at
atividades de consultoria em algum sistema importante para a administrao
pblica.
A observncia destas normas visa a garantir a qualidade dos sistemas
desenvolvidos e adequao dos mesmos sua finalidade.
Microcomputadores:
O trabalho do auditor de sistemas em microinformtica deve avaliar a
atuao do Departamento de Informtica para identificar aes implementadas,
como inventrio de micros, sua localizao fsica e seus softwares, mecanismos
para prevenir e detectar o uso ou instalao de programas no licenciados
(software pirata), procedimentos para documentao e backup de programas,
arquivos de dados e aplicativos, e tratamento dado ao ambiente de
microinformtica no Plano de Contingncia.
57
Aplicativos:
o trabalho de auditoria de um sistema de informao especfico. Deve-
se levar em conta o aspecto tcnico (funcionamento) e o legal, relativos rea
auditada. Este tipo de auditoria crtico por verificar a legalidade de um sistema,
isto , se o seu produto final est de acordo com as leis em vigor e se est
acarretando ou no desvio de recursos pblicos.
Esta rea de extrema importncia para o setor pblico, pois estando os
controles dos recursos informatizados, estes sistemas devem conter instrumentos
que garantam a confiabilidade, segurana e disponibilidade dos dados
provenientes destes.
Licitaes e Contratos:
Contratos e Editais de Licitao relativos aquisio de produtos e
servios de Informtica normalmente contm clusulas tcnicas especficas, cuja
avaliao requer conhecimentos especializados em Informtica, devendo ento
sofrer anlise tcnica por um auditor de sistemas, sem prejuzo da anlise legal
cabvel.
A anlise tcnica por parte do auditor de sistemas tem por objetivo evitar
que um processo seja aprovado com imperfeies na descrio tcnica do objeto
que poderiam, inclusive, comprometer a anlise legal, levando a um
embasamento incorreto na legislao vigente.
o questionamento quanto legalidade, nestes casos, passa,
necessariamente, por uma correta identificao do objeto e conhecimento das
modalidades de contratao existentes no mercado.
Alm disso, importante a verificao minuciosa das clusulas tcnicas
que assegurem a completa execuo dos servios propostos e/ou aquisio de
produtos.
Apresentamos no Quadro 4, uma srie de caractersticas a serem
examinadas nos trabalhos de exame tcnico dos contratos e editais:
58
Quadro 4 - Aspectos tcnicos verificados nos editais e contratos
Natureza dos
Hardware Software Servios
contratos
Compatibilidade
Cesso do
Anlise da configurao dos software com o
cdigo fonte dos
tcnica sistema
operacional
programas
Parecer do TCE sobre a Atualizao de Entrega de
Compras ou exclusividade do fornecedor novas verses documentao
locao quando cabvel quando cabvel tcnica
Parecer do TCE
Compatibilidade do sobre a
Definio de
Hardware com o sistema exclusividade de
operacional fornecedor quando
servios
cabvel
Clusulas de condies de
atendimento:
- tcnico residente Prazo de
- horrio comercial atendimentos s
- horas extras chamadas
- fins de semanas I
feriados
Manuteno Prazo mximo para Implementaes de
solucionar os problemas novas verses
Prazo de atendimento s
Documentao de
chamadas
alteraes ou
correes
Equipamento de backup,
Ambiente de
backup, quando
quando cabvel
cabvel
Fonte: Elaborao prpria.
o auditor de sistemas deve realizar a sua anlise tendo em mente que um
sistema de informao um produto de software sujeito a uma constante
manuteno ocasionada por fatores externos como, por exemplo, mudanas
provocadas por motivos legais, mudana dos equipamentos utilizados etc.
Ainda para o caso citado acima, a clusula de propriedade dos dados
deve mostrar de forma clara e precisa que os dados pertencem ao contratante.
Devem estar presentes no contrato clusulas que garantam ao contratante
proteo de informaes confidenciais.
59
4.6 ETAPAS DA AUDITORIA DE TI NO TCE-RJ
A Auditoria de TI por ser uma modalidade de auditoria operacional deve
ser desenvolvida em quatro estgios: planejamento, execuo, relatrio e
acompanhamento. Esta diviso est de acordo com as prticas adotadas pelas
principais EFS.
A figura a seguir mostra as fases de uma auditoria operacional.
Figura 3 - Fases de uma auditoria operacional
Fonte: Elaborao prpria
PLANEJAMENTO
Segundo Arajo (2001), o planejamento de auditoria a fase em que o
auditor obtm uma viso geral do trabalho a ser realizado, ou seja, definem-se as
finalidades da ao a ser realizada e identificam-se as questes que devero ser
respondidas.
Esta fase deve considerar os fatores mais relevantes na execuo dos
trabalhos, especialmente os seguintes:
O conhecimento detalhado dos processos operacionais utilizados
pela entidade;
O conhecimento detalhado do sistema de controles internos da
entidade e seu grau de confiabilidade;
60
Os riscos de auditoria e a identificao das reas importantes da
entidade, quer pelo volume de transaes, quer pela complexidade
de suas operaes;
A natureza, oportunidade e extenso dos procedimentos de auditoria
a serem aplicados;
As questes relacionadas com a economia de recursos, aumento da
eficincia etc;
O cumprimento das metas e objetivos traados pela administrao
para a atividade a ser auditada;
A existncia de indicadores de desempenho estabelecidos pela
administrao ou de outros dados que possam servir s exigncias
da auditoria;
O uso dos trabalhos de outros auditores e de especialistas;
A natureza, contedo e oportunidade dos relatrios a serem
entregues entidade;
A necessidade de atender aos prazos estabelecidos por entidades
fiscalizadoras e para a entidade prestar informaes aos demais
usurios externos, como, por exemplo, os agentes financiadores de
programas governamentais (ARAJO, 2001).
o manual de auditoria operacional (TCU,2000) prescreve que as
auditorias de desempenho devem ser precedidas de um levantamento de
auditoria em seu objeto (programa, projeto, atividade, sistema, rgo ou
entidade). A anlise preliminar do objeto da auditoria visa compreender como
esse objeto est estruturado, permitindo que a equipe identifique questes que
meream ser examinadas mais detalhadamente.
A equipe deve buscar, acerca do objeto, informaes como:
Os objetivos (gerais ou parciais, dependendo da extenso
do trabalho)
As aes desenvolvidas, as metas fixadas, os clientes
atendidos, os procedimentos e recursos empregados, os
bens e servios ofertados e os benefcios proporcionados;
As linhas de subordinao e de assessoramento previstas
e sua relao com as atividades desenvolvidas;
61
As partes interessadas (reais ou em potencial) e as
caractersticas do ambiente externo (dinmico ou esttico;
previsvel ou imprevisvel);
As restries enfrentadas (imposies legais e limitaes
impostas pela concorrncia, pela tecnologia, pela escassez
de recursos ou pela necessidade de cooperar com outras
entidades) (TCU,2000).
Ainda segundo o manual de auditoria operacional (TCU, 2000), essas
informaes podem advir de diversas fontes, dentre as quais:
Legislao pertinente;
Pronunciamentos feitos e decises tomadas pelas
autoridades competentes;
Misso declarada, planos estratgicos e relatrios de
gesto;
Organogramas, diretrizes internas e manuais operacionais;
Sistemas de informaes gerenciais;
Entrevistas com os gestores especialistas;
Relatrios de auditoria do TCU, relatrios de auditoria
interna e de avaliao de desempenho institucional
(TCU,2000).
Com base nas informaes coletadas sobre o rgo so definidos
problemas de auditoria, que expressam de forma clara e objetiva o escopo do
trabalho de auditoria. Os problemas de auditoria so desmembrados em diversas
questes de auditoria, que devero ser respondidas na fase de execuo do
trabalho in loco. A matriz de planejamento o documento que detalha a forma
como as diversas questes de auditoria podem ser respondidas.
A equipe de inspeo de TI do TCE-RJ utiliza-se da matriz de
planejamento nessa fase da auditoria, em sintonia com o previsto no manual de
auditoria operacional (TCU,2000). O objetivo da matriz de planejamento auxiliar
na elaborao conceitual do trabalho e na orientao da equipe na fase de
execuo. uma ferramenta de auditoria que torna o planejamento mais
62
sistemtico e dirigido, facilitando a comunicao de decises sobre metodologia
entre a equipe e os superiores hierrquicos e auxiliando na conduo dos
trabalhos de campo.
Os seguintes elementos compem a matriz de planejamento de auditoria:
questes de auditoria;
informaes requeridas;
fontes de informao;
estratgias metodolgicas;
mtodos de coletas de dados;
mtodos de anlise de dados;
limitaes;
o que a anlise vai permitir.
Ao formular as questes de auditoria a equipe est estabelecendo com
clareza o foco de sua investigao e os limites e dimenses que devero ser
observados durante a execuo dos trabalhos.
O ANEXO D apresenta um exemplo de matriz de planejamento utilizada
nas inspees operacionais de TI realizadas pelo TCE-RJ nos municpios. Faz-se
necessrio salientar que a matriz de planejamento um instrumento flexvel e o
seu contedo atualizado ou modificado pela equipe, de acordo com o rgo
auditado ou com a evoluo do trabalho de auditoria.
EXECUO
A execuo a fase do trabalho realizado no rgo auditado. Arajo
(2001) define a execuo como sendo a fase de aplicao dos procedimentos de
auditoria, objetivando a obteno de provas ou evidncias que devero constar no
relatrio de auditoria. nessa fase que o auditor realiza fundamentalmente seus
exames.
63
Segundo o autor os procedimentos de auditoria so o conjunto de
tcnicas ou mtodos que permitem ao auditor obter elementos probatrios de
forma suficiente e adequada para fundamentar seus comentrios, quando da
elaborao de seu relatrio. Os principais procedimentos de auditoria so: exame
de registros, exame documental, conferncia de clculos, entrevistas, inspeo
fsica, circularizao, observao e correlao.
A equipe de inspeo em TI utiliza-se de diversos checklists durante a
execuo dos trabalhos de auditoria in loco. Os checklists de auditoria consistem
em listas de elementos, pontos de controle, que vem a ser necessariamente
verificados, de modo a assegurar a conformidade do ambiente analisado com
normas, padres tcnicos e boas prticas adotadas pelo mercado.
RELATRIO
Segundo Arajo (2001), o relatrio de auditoria a fase final do processo
de auditoria e consiste numa narrao ou descrio ordenada e minuciosa dos
fatos que foram constatados, com base em evidncia concreta, durante os
exames de auditoria operacional. Representa a fase mais significativa do trabalho
e se constitui no seu produto final.
O Tribunal de Contas da Unio, atravs da Portaria nO 63/96, assim define
o relatrio de auditoria:
Documento contendo as comprovaes, concluses e,
eventualmente, recomendaes que a instituio de fiscalizao
ou o auditor consideram til levar ao conhecimento da entidade
fiscalizada ou de qualquer outra autoridade competente.
O relatrio de auditoria operacional em TI apresenta o resultado do
trabalho de auditoria, tendo como objetivo responder s questes de auditoria
formuladas na fase de planejamento e apontar os pontos positivos ou negativos
encontrados na fase de trabalho in loco no rgo auditado. Esses pontos so
denominados constataes, observaes ou achados de auditoria.
64
Por se tratar de trabalho de natureza eminentemente operacional, o
relatrio de auditoria em TI resulta em proposio de uma srie de
recomendaes ao rgo auditado, que objetivam garantir segurana ao
ambiente informatizado e assegurar o correto processamento das informaes
pelos sistemas informatizados.
Como j assinalado neste trabalho, no existem instrues normativas ou
legislao na administrao pblica que dem suporte s recomendaes
realizadas e obrigue o seu cumprimento pelo jurisdicionado. As recomendaes
so baseadas em manuais de boas prticas na rea de informtica editados por
organismos nacionais e internacionais, prevalecendo, muitas vezes, apenas um
acordo entre ambas as partes, TCE-RJ e jurisdicionado, para que as
recomendaes sejam adotadas.
ACOMPANHAMENTO
Aps a entrega do relatrio de auditoria e da cincia de seu contedo pelo
rgo jurisdicionado, faz-se necessrio realizar um acompanhamento para
verificar a efetiva adoo das recomendaes e determinaes realizadas.
Via de regra, o rgo jurisdicionado envia ofcio resposta para o TCE-RJ
com o intuito de comprovar a adoo das medidas propostas ro relatrio de
auditoria. Como a inspeo tem carter operacional, extremamente difcil a
comprovao das medidas adotadas somente por meio do exame dos
documentos e declaraes enviadas pelo jurisdicionado.
Nesse contexto, de grande importncia a realizao de inspees
posteriores para verificar a efetiva adoo pelo jurisdicionado das medidas
recomendadas. As inspees devem ter escopo limitado verificao das aes
implementadas e devem ter tambm carter educacional, de forma a corrigir as
possveis falhas e desvios que possam continuar a existir.
Como atualmente existe apenas uma nica equipe de auditores de TI no
TCE-RJ, foram realizadas poucas inspees de retorno para a verificao da
adoo das medidas recomendadas.
65
4.7 METODOLOGIA DE AUDITORIA DE TI ADOTADA PELO TCE-RJ
A forma de atuao do TCE-RJ nas inspees de auditoria de TI,
aproxima-se da definio de auditoria integrada adotada pela Fundao
Canadense de Auditoria Integrada - CCAF, em que o objetivo avaliar se os
recursos pblicos tm sido utilizados obedecendo aos critrios de otimizao de
recursos.
A auditoria integrada abrange o exame dos controles, processos e
sistemas usados na gerncia dos recursos financeiros, humanos, materiais e de
informaes das organizaes. A auditoria integrada no se limita ao exame do
passado. Ela se utiliza das anlises dos controles existentes, dos sistemas de
informao e dos relatrios prticos para recomendar melhorias no planejamento
que resultem em uma melhor economia, eficincia e eficcia (CCAF, 1995).
Uma metodologia completa de auditoria de TI d parmetros para a
realizao da Auditoria em todas as suas fases e funciona como um facilitador
para o desenvolvimento de prticas e procedimentos a serem aplicados durante a
execuo do processo.
Para que se tenha como resultado essa metodologia, deve-se conciliar as
prticas e normas de TI conhecidas no mercado, a legislao brasileira e as
normas de auditoria. A partir da, deve-se compilar e adaptar todas essas
variveis necessidade da administrao pblica e seus princpios, de forma a
gerar uma metodologia simples e aplicvel na prtica.
As prticas do mercado e as normas tcnicas so descritas no prximo
captulo. A legislao brasileira refere-se tanto s normas relacionadas ao
Sistema de Controle Interno e Externo brasileiro, constando do ANEXO A -
LEGISLAO DE CONTROLE. As normas pertinentes ao uso da informao e da
tecnologia constam do ANEXO B - LEGISLAO APLICVEL TI.
Os principais princpios da administrao pblica devem nortear qualquer
trabalho relacionado rea pblica e consistem em legalidade, moralidade,
66
impessoalidade, publicidade, eficincia, supremacia do interesse pblico,
indisponibilidade, continuidade dos servios pblicos e autotutela.
67
5. GOVERNANA DE TECNOLOGIA DA INFORMAO
Este captulo descreve, inicialmente, os conceitos de governana de TI e
a importncia de sua adoo para orientar o uso da tecnologia da informao
como ferramenta de suporte aos negcios de uma organizao. A seguir, so
abordados os modelos e metodologias mais importantes que orientam a adoo
da governana de TI. Por fim, so descritos mais detalhadamente o modelo Cobit
e as normas tcnicas relativas rea de segurana da informao, pelo fato de
servirem de suporte s auditorias de TI realizadas pelo TCE-RJ no mbito das
administraes municipais.
Com o avano tecnolgico e a importncia que a tecnologia tem hoje
dentro das organizaes, o planejamento e a implantao de uma arquitetura de
informaes se tornaram tarefas complexas.
Por arquitetura de informaes, entende-se, segundo Rodriguez (2002),
um conjunto de informaes, modelos de dados e toda infra-estrutura tecnolgica
necessria para suportar os fluxos de informaes gerados a partir dos processos
decisrios de uma organizao.
A integrao entre a tecnologia e o negcio a chave para o sucesso
organizacional. A figura 4 apresenta um esquema dessa integrao.
Figura 4 - Integrao de Negcios Arquitetura de Informaes
Gesto
D
c::::::J
c::::::J
D
Tecnologia da
Informao
Processo Decisrio
Fluxo de Informaes
Modelo de Dados
Sistemas de Informao
Infra-estrutura de
Hardware/Software
Fonte: RODRIGUEZ, M.V.R. Gesto Empresarial: organizaes que
aprendem. Rio de Janeiro: Qualitymark, 2002.
68
Segundo o IT Govemance Institute (2006), a sobrevivncia e o sucesso
de uma organizao diante desse novo mercado globalizado, onde os tempos e
as distncias foram suprimidos, esto no efetivo gerenciamento das informaes
e de suas relativas tecnologias. As organizaes precisam gerenciar sua
arquitetura de informaes como um todo, desde a infraestrutura at as
informaes, passando pelos sistemas e processos geradores dessas
informaes.
Para muitas empresas, essas informaes e tecnologias que as suportam
so seus principais ativos. Por isso, o gerenciamento da informao e suas
tecnologias precisam garantir, entre outras coisas, a distribuio, a segurana e
integridade das informaes.
Nesse contexto em que a tecnologia da informao assume um papel
estratgico dentro das organizaes, surgem os modelos de governana em TI
com o objetivo de auxiliar estas organizaes a gerir suas reas de tecnologia,
69
fornecendo ferramentas e mtricas que garantam o alinhamento entre os
processos de TI e os objetivos estratgicos da organizao.
o conceito de governana em TI derivado do conceito de governana
corporativa. O IT Govemance Institute (2006) afirma que a governana de TI
integra a Governana da Empresa e consiste em mecanismos de liderana,
estrutura organizacional e processos que garantem que a TI da organizao
mantenha e alcance as estratgias e objetivos da organizao.
GREMBERGER et. ai (2004) definem Governana de TI como a
capacidade organizacional exercida pela Diretoria, Gerncia Executiva e Gerncia
de TI para controlar a formulao e implementao da estratgia de TI e neste
caminho assegurar a fuso do negcio e TI.
"Governana de TI o modelo como as decises so tomadas e
responsabilidades direcionadas para encorajar um comportamento desejvel no
uso de TI" (WEILL, ROSS, 2004).
O trabalho de levantamento da governana de TI na administrao federal
realizado pelo TCU afirma que o objetivo da governana de TI assegurar que as
aes de TI estejam alinhadas com o negcio da organizao, agregando-lhe
valor. O desempenho da rea de TI deve ser medido, os recursos propriamente
alocados e os riscos inerentes mitigados. Assim, possvel gerenciar e controlar
as iniciativas de TI nas organizaes para garantir o retorno de investimentos e a
adoo de melhorias nos processos organizacionais (TCU, 2007).
Embora as definies apresentadas sejam diferentes em alguns aspectos,
elas tm como foco principal o mesmo assunto: a ligao entre negcio e TI.
5.1 DIFERENA ENTRE GOVERNANA DE TI E GERENCIAMENTO DE TI
Uma importante e comum preocupao da governana de TI a ligao
entre a TI e os objetivos atuais e futuros da organizao. Esta preocupao nos
remete a refletir sobre as diferenas entre governana de TI e gerenciamento de
70
TI, que nem sempre so claras (Gremberger et aI. 2004). Esta distino pode ser
melhor visualizada na Figura 5.
Gerenciamento de TI tem como foco o fornecimento efetivo de servios e
produtos de TI internos, assim como o gerenciamento das operaes de TI no
presente. A governana de TI por sua vez mais abrangente e concentra-se no
desempenho e transformao de TI, para atender demandas atuais e futuras do
negcio da corporao (foco interno) e negcio do cliente (foco externo). "Isto no
diminui a importncia e complexidade do gerenciamento de TI, ... , mas enquanto
o gerenciamento de TI e fornecimento de servios de TI e produtos podem ser
realizados por um fornecedor externo, a governana de TI especfica da
organizao, e direo e controle sobre TI no podem ser delegados para o
mercado" (PETERSON (2003) apud GREMBERGER et. ai (2004.
Figura 5 - Governana de TI e Gerenciamento de TI
Externa
Interna
Orientao
Negcio
Governana
", de TI
,
,
,
,
,
,
\
\
Gerenciamento "
Presente
\
de TI '.
\
\
I
Futura
Orientao
no Tempo
Fonte: Gremberger et. aI., 2004.
71
"Governana determina quem tomas as decises. Gerenciamento o
processo de fazer e implementar as decises" (WEILL, ROSS, 2004).
5.2 DOMNIOS DA GOVERNANA DE TI
A governana de TI est relacionada a dois focos: o valor dos servios de
TI para o negcio e mitigao dos riscos de TI. O primeiro item suportado pelo
alinhamento estratgico entre TI e o negcio. O segundo suportado pela forma
como as responsabilidades na empresa so divididas. Ambos os focos precisam
ser suportados por recursos e medidas adequados para que os resultados
desejados sejam alcanados.
Para suportar os focos acima a governana de TI lida com cinco
domnios, todos alinhados com as diretrizes dos stakeholders, dos quais dois so
resultados, Valor de TI e Gerenciamento de Risco, e trs so direcionadores,
Alinhamento Estratgico, Gerenciamento de Recursos e Medio de Performance
(IT Govemance Institute, 2006).
A Figura 6 abaixo mostra graficamente a relao entre os domnios da
governana de TI.
72
Figura 6 - reas de Domnio da Governana de TI
Valor de TI
-..
Alinhamento Direcionamento
Estratgico de TI Stakeholders
Medio de
Performance
~
Fonte: IT Governance Institute, 2006.
Gerenciamento
de Recursos
1
Gerenciamento
de Risco
Apresenta-se a seguir um resumo sobre o objetivo de cada um dos
domnios, conforme o "Board Briefing on IT Govemance" (IT GOVERNANCE
INSTITUTE, 2006):
Alinhamento Estratgico: tem como objetivo manter o alinhamento
entre as solues de TI e o negcio da empresa.
Valor de TI: tem como objetivo otimizar os custos dos
investimentos de TI e o retorno dos mesmos.
Gerenciamento de Risco: tem como objetivo assegurar a proteo
dos ativos de TI, recuperao de informaes em caso de
desastres e manter a continuidade da operao dos servios de TI.
Gerenciamento de Recursos: tem como objetivo otimizar o
conhecimento e infraestrutura de TI.
Medio de Performance: tem como objetivo acompanhar a
entrega dos projetos de TI e monitorar os servios de TI.
73
5.3 MODELOS PARA SUPORTE A GOVERNANA TI
o IT Govemance Institute (2006) define a Governana de TI como uma
estrutura de relacionamentos e processos, para dirigir e controlar a organizao
no sentido de atender os objetivos dessa organizao, adicionando valor, ao
mesmo tempo em que equilibra os riscos em relao ao retorno da TI e seus
processos.
Os diversos conceitos de governana apresentados tm influenciado as
organizaes, e a partir da muitos modelos e metodologias foram criados e
disseminados e j so utilizados pelas empresas.
Alguns dos modelos mais conhecidos so:
Cobit - Control Objectives for Information and related T echnology,
ITIL - IT Infrastructure Library;
8S7799 - Information Security Standard;
CMM I CMMI - Capability Maturity Model/ Capability Maturity Model
Integration.
Cada um desses modelos tem focos distintos.
- Cobit (Control Objectives for Information and related Technology): Guia
para a gesto de TI recomendado pelo Informations Systems Audit and Control
Foundation (ISACF) que fornece informaes detalhadas para gerenciar
processos baseados nos objetivos de negcios.
- ITIL (IT Infrastructure Library) : Elaborado pelo governo britnico para
fornecer as diretrizes para implementao de uma infra-estrutura otimizada de TI.
um conjunto de melhores prticas para gerir o planejamento, gerenciamento de
74
incidentes e problemas, mudanas, configuraes, operaes, capacidade,
disponibilidade e custos dos servios de TI.
- CMM/CMMI (Capabilify Mafurify Model / Capabilify Mafurify Modef) :
uma certificao concedida pelo Software Engeneering Insfifufe (SEI), da
Universidade de Carnegie Mellon (USA), que mede o grau de maturidade no
processo de desenvolvimento de software.
- BS7799 (Informafion Securify Sfandard): Norma internacional, editada
pelo Governo Britnico, para segurana em TI. Abrange os aspectos de
segurana fsica do ambiente, passando por pessoas e detalhando cuidados
essenciais das questes relacionadas rede de comunicao, aplicativos e
acesso remoto.
Neste trabalho apresentada a norma NBR ISO/lEC 17799, norma
voltada gesto da segurana da informao, e que se originou da norma
BS7799.
Apesar de cada modelo ter um foco diferente, eles no so mutuamente
excludentes (MINGAY e BITTINGER, 2002), podem ser combinados para prover
um melhor gerenciamento da tecnologia, garantindo no s o suporte tecnolgico
necessrio, para que a organizao atinja seus objetivos estratgicos com
qualidade e preo competitivo, mas tambm a satisfao dos seus clientes.
De acordo com Barton (2003) os modelos de administrao de TI se
completam, uma vez que cada um deles tem um enfoque especfico e atende a
alguns dos aspectos da administrao de TI.
A melhor opo pode ser a combinao de mais de um modelo, conforme
demonstra a figura a seguir.
75
Figura 7 - Integrao dos Modelos de Governana de TI
OBJETIVOS DO NEGCIO
GOVERNANA DE TI
Processos Cobit
Operao ITIL
Inovao CMMI
Segurana BS 7799
Fonte: Adaptado de CID, Miranda; PIMENTEL, Luis F. Fundamentos de
Governana de TI. In. SEMINRIO SUCESU, 2005. Rio de Janeiro
O uso de modelos de gesto de TI vem crescendo medida que a
competitividade do mercado fora as empresas a se preocuparem cada vez mais
com a qualidade dos servios prestados e com os custos de suas operaes, pois
esses modelos permitem um melhor gerenciamento do nvel de servio por meio
da padronizao.
No caso das empresas pblicas brasileiras, em funo da complexidade
administrativa e das restries oramentrias, adotar um modelo de governana
em TI e implant-lo de forma integral pode ser um projeto difcil e muito longo.
A soluo para essas empresas pode estar na implantao de parte do
modelo ou da combinao deles, ou seja, adequar o modelo escolhido para a
realidade de cada uma das empresas; colocando em prtica as recomendaes
consideradas mais relevantes para a organizao.
76
Apresentaremos a seguir algumas das prticas e normas conhecidas e
bem aceitas no mercado, que objetivam garantir a utilizao adequada de TI
pelas organizaes e servem como guia para as auditorias de TI realizadas pelo
TCE-RJ.
5.3.1 COBIT
o COBIT - Control Objectives for Information and Related Technology
(Diretrizes de Controle para Informao e Tecnologia Relacionada) - foi
desenvolvido pelo ISACF - The Information Systems Audit and Control
Foundation, tendo como base a metodologia COSO. Posteriormente, o COBIT
passou a ser mantido pelo ITGI - IT Governance Institute.
Atualmente, o COBIT encontra-se na verso 4.1. Trata-se de uma
estrutura conhecida mundialmente que busca garantir que a Tecnologia de
Informao esteja alinhada aos objetivos corporativos, que os seus recursos
sejam usados com responsabilidade e os seus riscos gerenciados
apropriadamente.
As atualizaes no COBIT 4.1 incluem medida de desempenho
aperfeioada, melhores objetivos de controle e melhor alinhamento dos negcios
e das metas de TI.
A verso 4.1 baseada nas prticas e padres reconhecidos
internacionalmente, como PMBOK:2000, ITIL:1999-2004, CMM:1993,
CMMI:2000, ISO/lEC 17799:2005, entre outros, como pode ser observado na
Figura 8.
77
Figura 8 - Melhores prticas e padres abrangidos pelo COBIT 4.1
Fonte: COBIT 4.1
A estrutura do COBIT busca atender s necessidades de controle
relacionadas Governana de TI e tem como caractersticas:
Foco nos requisitos de negcio;
Orientao para uma abordagem de processo;
Base em controle; e
Direcionamento para anlise de medies e indicadores de
desempenho.
5.3.1.1 FOCO NOS REQUISITOS DE NEGCIO
De acordo com o COBIT, a fim de se obter a informao necessria ao
atendimento dos objetivos da organizao, necessrio que os recursos de TI
sejam gerenciados e controlados, utilizando-se de um conjunto estruturado de
processos para garantir a entrega dos servios de TI requeridos. Os recursos de
TI so:
Aplicaes: so os sistemas automatizados e procedimentos
manuais que processam a informao.
78
Informao: o dado em todas as suas formas, como entrada,
processado ou como sada de um sistema informatizado, em
qualquer forma utilizada pelo negcio.
Infra-estrutura: a tecnologia e facilidades (isto , hardware,
sistemas operacionais, sistemas de gerenciamento de banco de
dados, rede, multimdia, e ambiente) que possibilita o
processamento de aplicaes.
Pessoas: o pessoal necessrio para planejar, organizar, adquirir,
implementar, entregar, dar suporte, monitorar e avaliar os sistemas
de informao e servios. Eles devem ser internos, terceirizados
e/ou contratados como necessrio.
Esses quatro recursos, juntamente com os processos, formam a
arquitetura de TI representada na Figura 9. Assim, os processos de TI usam infra-
estrutura e pessoal para serem realizados e executam aplicaes com a
finalidade de entregar informao na forma necessria para atingir os objetivos de
negcio.
Figura 9 - Arquitetura de TI
entregam
Informao
I
Processos de
executam
Aplicaes
I
TI
usam
Infra-estrutura
e Pessoas
Fonte: COBIT 4.1
79
Os processos do COBIT so constitudos por alguns princpios
(Qualidade, Confiana e Segurana) que representam os requisitos do negcio
para a informao. Eles so chamados de critrios de informao:
Efetividade: Trata-se da capacidade da informao ser relevante e pertinente
ao processo do negcio, bem como ser entregue de um modo oportuno,
correto, consistente e til.
Eficincia: Diz respeito proviso da informao atravs do uso timo (mais
produtivo e econmico dos recursos)
Confidencialidade: Diz respeito proteo da informao sigilosa contra a
divulgao no autorizada.
Integridade: Relaciona-se exatido e completeza da informao bem
como sua validade de acordo com os valores e expectativas do negcio.
Disponibilidade: Relaciona-se disponibilizao da informao quando
requerida pelo processo de negcio. Tambm diz respeito salvaguarda dos
recursos necessrios e potencialidades associadas.
Conformidade: Trata-se do cumprimento das leis, dos regulamentos e
arranjos contratuais aos quais o processo de negcio est sujeito, isto ,
critrios de negcio impostos externamente bem como polticas internas.
Confiabilidade: Relaciona-se proviso de informao apropriada para a
gerncia operar a entidade e exercer suas responsabilidades fiducirias e de
governana.
O grau de importncia de cada um desses critrios uma funo do
negcio e do ambiente em que a organizao opera. Numa avaliao de riscos,
esses critrios atribuem pesos diferentes aos processos do COBIT, em funo da
importncia no alcance dos respectivos Objetivos de Controle.
80
5.3.1.2 ORIENTAO PARA PROCESSOS
Os componentes do COBIT so utilizados para fazer com que a TI seja
orientada aos objetivos do negcio e cumpra seu papel na instituio. Para tanto,
as boas prticas do COBIT so organizadas em processos, cada qual visando um
Objetivo de Controle.
O COBIT identifica um conjunto de 210 Objetivos de Controles,
organizados em 34 Processos que so agrupados em 4 Domnios, aplicveis aos
sistemas e Tecnologia da Informao.
Um objetivo de controle definido como uma declarao de um propsito
ou resultado desejado a ser alcanado, por meio da implementao de controles
em determinada atividade de TI. Esses objetivos de controle, se atingidos por
meio da implementao eficaz dos respectivos controles, garantem o alinhamento
da TI aos objetivos do negcio e que eventos indesejveis sejam prevenidos,
apagados ou corrigidos. A responsabilidade pelo sucesso dos sistemas de
controles , portanto, da alta direo, a qual deve torn-los efetivos.
Na Figura 10, podem ser identificados os domnios do COBIT
(Planejamento e Organizao, Aquisio e Implementao, Entrega e Suporte, e
Monitoramento), que integram um ciclo de vida no sistema de gesto de TI.
Figura 10 - Framework do COBIT
l\lomtora.lo
Enh ega e
S,upmie
Fonte: COBIT 4.1
Planejamento e
Organizao
Aquisio e
ImplcllH.:nta"o
81
Os 34 processos que fazem parte destes domnios so identificados no
ANEXO C: TABELA COBIT. Esta tabela tambm possui um mapeamento relativo
aos critrios de informao e recursos de TI envolvidos nos processos.
Cada processo possui um mapa demonstrando os critrios da informao
e recursos de TI envolvidos, o domnio a que pertence, a rea de Governana de
TI focada, os principais objetivos e a mtrica usada para medio. A Figura a
seguir mostra a forma de navegao no mapa de cada processo.
82
Figura 11 - Forma de Navegao nos processos do COBIT
Fonte: COBIT 4.1
5.3.1.3 BASE EM CONTROLE
Para cada processo so definidos objetivos de controle que definem um
resultado esperado ou um propsito a ser atingido pela implementao de
procedimentos de controle em uma atividade de TI especfica. Os objetivos de
controle do COBIT representam os requisitos mnimos necessrios para que se
possam controlar os processos de TI de forma eficaz.
Assim, colhem-se informaes de controle da operao de cada processo
de TI para compar-Ias aos objetivos de controle. Caso haja necessidade, so
tomadas medidas preventivas ou corretivas.
83
5.3.1.4 DIRECIONAMENTO PARA MEDiES E INDICADORES
A anlise de medies e o uso de indicadores de desempenho so
necessrios para que a organizao conhea sua situao atual, compare com
padres de mercado ou com organizaes similares, identifique as melhorias
necessrias e monitore tais melhorias.
Esse processo de autoconhecimento e melhoria da organizao pode ser
subsidiado pela anlise de maturidade dos processos e pela avaliao de
indicadores.
o Modelo de Maturidade de Governana utilizado para o controle dos
processos de TI e fornece um mtodo eficiente para classificar o estgio da
organizao de TI em relao indstria, aos padres internacionais e ao objetivo
de maturidade da organizao. A governana de TI e seus processos podem ser
classificados de acordo com os nveis apresentados na Figura a seguir.
Figura 12 - Modelo de Maturidade do COBIT
Inexistente Inicial
Legenda
Situao atual
Padro Internacional
... Melhor prtica da Indstria
* Estratgia da Empresa
Fonte: COBIT
Repetitivo Definido Gerenciado Otimizado
Nveis de Maturidade
o -o gerenciamento de processos no aplicado
1 - Processo sob demanda, no organizado
2 - Os processos seguem um padro regular
3 - Os processos so documentados e comunicados
4 - Os processos so monitorados e medidos
5 - As melhores prticas so seguidas e automatizadas
A maturidade deve ser avaliada em cada um dos processos. O nvel timo
correspondente determinado individualmente, de acordo com a natureza da
instituio, ameaas e oportunidades viabilizadas por TI. O COBIT fornece
84
orientaes especficas para cada processo do que deve ser trabalhado para
atingir determinado nvel de maturidade.
o COBIT tambm oferece mtricas para a medio dos objetivos. Existem
dois tipos de mtricas:
Medidas de sadas: Indicam se os objetivos foram alcanados,
podendo ser usadas somente aps o acontecimento do fato;
Indicadores de desempenho: Indicam a probabilidade de se
alcanar os objetivos por medies realizadas antes da gerao de
sadas.
Esses dois tipos de mtricas podem ser usadas para analisar objetivos de
negcio, de TI, de processo e de atividade, medindo suas sadas e desempenhos.
o COBIT uma excelente ferramenta para aperfeioar processos e
adequar as funes de TI s normas da rea de informtica. A equipe de
auditores de TI do TCE-RJ tem procurado selecionar aqueles controles que se
aplicam na realidade do ambiente computacional encontrado nas administraes
municipais, como forma de auxiliar os trabalhos de auditoria e servir como
parmetro para avaliar o nvel de maturidade dos servios prestados na rea.
5.3.2 SEGURANA DA INFORMAO
As principais normas internacionais relacionadas segurana da
informao so a ISO/IEC 27001 :2005 e a ISO/IEC 17799:2005.
Estas normas originaram-se da norma BS 7799 (British Standard) editada
pelo Governo Britnico. Em 1995, foi publicada a primeira verso da BS 7799-1
(BS 7799-1:1995 - Tecnologia da Informao - Cdigo de prtica para gesto da
segurana da informao). Em 1998, foi publicada a primeira verso da BS 7799-
2 (BS 7799-2:1998 - Sistema de gesto da Segurana da Informao -
Especificaes e guia para uso). A partir da, estas normas passaram por
85
processos de reviso, tendo se tornado respectivamente nas normas ISO/IEC
17799 e ISO/IEC 27001, e evoluram at a verso atual.
Em setembro de 2005, foi publicada, no Brasil, a segunda verso da
norma NBR ISO/IEC 17799 (Tecnologia da Informao - Cdigo de prtica para
gesto da segurana da informao), traduo literal da norma ISO.
Em Outubro de 2005, foi publicada a norma 150 27001 (ISO/IEC
27001 :2005 - Tecnologia da Informao - Tcnicas de segurana - Sistema de
gesto da Segurana da Informao - Requisitos).
Neste ano, a ISO (Intemational Organization for Standardization) e o IEC
(Intemational Eletrotechnical Comission) lanaram a srie 27000, em que, alm
da ISO/IEC 27001, contempla a ISO/IEC 27002 (em substituio ISO 17799) e a
ISO/IEC 27004 (que focar a melhoria contnua do sistema de gesto da
segurana da informao).
Neste trabalho, faremos um pequeno resumo da NBR ISO/IEC
17799:2005, pois as recomendaes relativas segurana da informao
constantes dos relatrios de auditoria de TI do TCE-RJ so baseadas
fundamentalmente nesta norma.
5.3.2.1 NBR ISO/IEC 17799:2005
A NBR ISOIIEC 17799 estabelece diretrizes e princpios gerais para
iniciar, manter e melhorar a gesto da segurana da informao em uma
organizao.
O objetivo da norma no detalhar procedimentos de configurao, mas
identificar os pontos de partida para a constituio de uma gesto de segurana
da informao eficaz por meio de recomendaes que se traduzem sob a forma
de controles. Assim, serve como um guia prtico para desenvolver os
procedimentos de segurana da informao e prticas eficientes de gesto de
segurana para a organizao.
86
A norma dividida em 11 sees de controles de segurana da
informao, que juntas totalizam 39 categorias principais de segurana e uma
seo introdutria que aborda a anlise/avaliao e o tratamento de riscos.
Cada seo contm um nmero de categorias principais de segurana da
informao. Cada categoria, por sua vez, contm um objetivo de controle que
define o que deve ser alcanado e um ou mais controles que podem ser aplicados
para se alcanar o objetivo do controle.
As descries dos controles esto estruturadas da seguinte forma:
Controle: define qual o controle especfico para atender ao
objetivo do controle.
Diretrizes para a implementao: contm informaes mais
detalhadas para apoiar a implementao do controle e atender
ao objetivo de controle. Algumas destas diretrizes podem no
ser adequadas em todos os casos e assim outras formas de
implementao do controle podem ser mais apropriadas.
Informaes adicionais: contm informaes que podem ser
consideradas como, por exemplo, consideraes legais e
referncias a outras normas.
o Quadro mostrado a seguir apresenta as 11 sees de controles de
segurana da informao e seus respectivos assuntos.
87
Quadro 5 - Controle de Segurana da Informao
Poltica de Segurana
Segurana Organizacional
Classificao e Controle
de Ativos de Informao
Segurana de Pessoas
Segurana Fsica e
Ambiental
Gerenciamento das
Operaes
Controle de Acesso
Desenvolvimento e
Manuteno de Sistemas
Gesto de Incidentes de
Segurana
Gesto de Continuidade
do Negcio
Conformidade
Descreve a estrutura do documento de Poltica de
Segurana, anlise crtica e avaliao.
Aborda a infra-estrutura de segurana, o controle de acesso
dos prestadores de servio e o estabelecimento de
responsabilidades e caso de terceirizao.
Detalha a contabilizao e o registro de ativos e a
classificao da informao.
Foca o risco decorrente de atos intencionais ou acidente
realizado por pessoas. Alm disso, aborda a incluso de
responsabilidades relativas segurana da informao na
descrio dos cargos, a forma de contratao e o
treinamento em segurana.
Define reas de segurana, segurana dos equipamentos e
controles gerais.
Aborda procedimentos e responsabilidades operacionais,
planejamento e aceitao dos sistemas, proteo contra
softwares maliciosos, salvamento e recuperao dos dados,
gerenciamento de rede, segurana e tratamento de mdias,
troca de informaes e software.
Aborda requisitos do negcio para controle de acesso,
gerenciamento de acesso de usurios, responsabilidade do
usurio, controle de acesso rede, controle de acesso ao
sistema operacional, controle de acesso s aplicaes,
monitorao de uso e acesso aos sistemas, computao
mvel e acesso remoto.
Aborda requisitos de segurana de sistemas, segurana de
sistemas de aplicao, controles de criptografia, segurana
de arquivos do sistema.
Aborda a notificao de fragilidades e eventos de
segurana da informao e a gesto de incidentes de
segurana da informao e melhorias.
Aborda processo de gesto, continuidade do negcio e
anlise de impacto, documentao e implementao do
plano de continuidade dos negcios, testes, manuteno, e
reavaliao dos planos de continuidade.
Aborda a necessidade de conformidade com requisitos
legais, anlise crtica da poltica de segurana e da
conformidade tcnica, consideraes quanto auditoria de
sistemas.
Fonte: NBR ISO/IEC 17799:2005
88
6. METODOLOGIA
Este captulo apresenta algumas consideraes metodolgicas sobre o
projeto de pesquisa, destacando-se os tipos de pesquisa que foram utilizados.
So apresentados tambm o universo e a amostra com que se pretende
trabalhar, os instrumentos de coleta de dados e seu tratamento, bem como se
antecipam algumas das limitaes do mtodo proposto.
6.1 TIPO DE PESQUISA
Segundo a taxonomia apresentada por Vergara (2006), os tipos de
pesquisa dividem-se em dois critrios bsicos: quanto aos fins e quanto aos
meios.
A pesquisa proposta pode ser classificada quanto aos fins em:
Pesquisa descritiva - medida que visa descrever as caractersticas da
auditoria operacional e, em particular, da auditoria em TI que serviro de base
pesquisa explicativa.
Pesquisa explicativa - porque pretende estabelecer relaes entre a
adoo da auditoria de Tecnologia da Informao pelo TCE-RJ e seus efeitos na
melhoria do papel do Tribunal de Contas, tornando-o mais amplo e em sintonia
com as aspiraes da sociedade.
Quanto aos meios, a pesquisa :
Bibliogrfica - o tema foi pesquisado em livros, revistas, jornais, redes
eletrnicas e em manuais tcnicos especficos sobre auditoria operacional em TI.
Documental - a investigao se valeu tambm de documentos internos
ao TCE-RJ, que possuam correlao com o objeto do estudo.
89
Estudo de Caso - a pesquisa est restrita forma de atuao do TCE-RJ
na realizao de auditorias de TI.
6.2 UNIVERSO E AMOSTRA
o universo desta pesquisa constitudo pelos municpios do estado do
Rio de Janeiro, entes federativos jurisdicionados do Tribunal de Contas do Estado
do Rio de Janeiro, onde crescente o uso da informtica como instrumento de
apoio gesto administrativa.
Foi realizado um estudo preliminar para selecionar os mUnlClplOS que
fariam parte da pesquisa, com o objetivo de selecionar vinte amostras que
representem as sete grandes regies geogrficas em que o TCE-RJ divide o
estado do Rio de Janeiro. O Tribunal possui em sua administrao uma Inspetoria
Regional de Controle Externo (IRE) para cada uma das sete regies, responsvel
por um controle mais prximo e especializado de municpios que apresentam
caractersticas econmicas e sociais similares.
A seleo destes municpios visou, portanto, obter uma amostra
significativa, no sentido de representar os diferentes tipos de administrao
municipal em suas diversas dimenses, como tamanho e estruturao do corpo
administrativo e, principalmente, quanto a aspectos de abrangncia e intensidade
do uso de recursos de informtica como apoio gesto administrativa.
A avaliao da gesto municipal foi realizada por meio de auditoria de
Tecnologia da Informao, tendo por finalidade analisar a utilizao da informtica
pelo municpio, o grau de segurana do ambiente de informtica, confiabilidade,
segurana e funcionamento de um sistema de informao especfico e a
conformidade deste sistema legislao da rea.
90
6.3 COLETA DE DADOS
A coleta de dados comeou com a pesquisa bibliogrfica em documentos
de domnio pblico emitidos pelo Tribunal de Contas da Unio (TCU), entidade
pblica brasileira precursora na realizao de auditorias com enfoque operacional
em TI, como tambm em documentos e papis de trabalho do Tribunal de Contas
do Estado do Rio de Janeiro (TCE-RJ).
Em seguida foram analisados documentos das entidades fiscalizadoras
superiores de diversos pases, como Estados Unidos, Inglaterra, Nova Zelndia e
Austrlia, pioneiros na realizao de auditorias operacionais, como tambm
normas e padres de auditoria de TI nacionais e internacionais, adotados por
entidades de fiscalizao pblicas e privadas.
A segunda fase consistiu na anlise dos relatrios de inspees em
Auditoria de Sistemas realizados pelo TCE-RJ, buscando comprovar na prtica a
relevncia desse instrumento de auditoria na avaliao da gesto municipal,
especificamente em relao ao uso da tecnologia da informao.
6.4 TRATAMENTO DOS DADOS
Os dados colhidos no trabalho de campo, oriundos de relatrios de
inspees em Auditoria de Sistemas realizadas pelo TCE-RJ, foram submetidos
anlise de contedo, numa abordagem qualitativa. 8ardin (1977) define a anlise
de contedo como:
Um conjunto de tcnicas de anlise das comunicaes visando
obter, por procedimentos, sistemticos e objetivos de descrio do
contedo das mensagens, indicadores (quantitativos ou no) que
permitam a inferncia de conhecimentos relativos s condies de
produo/recepo (variveis inferidas) destas mensagens.
Foram criadas categorias com base em frases e pargrafos como
unidades de anlise, tendo sido selecionadas as mais freqentemente citadas,
incluindo-se ainda aquelas consideradas relevantes para o tema da pesquisa.
91
Tais categorias representam achados de auditoria encontrados nas
inspees de Auditoria de Sistemas realizadas pelo TCE-RJ no perodo de 2003 a
2007, em mbito municipal.
Procedeu-se ento classificao das categorias obtidas e da freqncia
relativa a cada uma delas dentro dos possveis critrios de classificao
identificados na literatura relativa rea de auditoria de TI.
6.5 LIMITAES DO MTODO
Como toda pesquisa, o estudo em questo apresenta diversas limitaes.
A principal delas est certamente relacionada abrangncia dos municpios sob
anlise, visto que o estudo se limita verificao de relatrios de vinte municpios.
Esta limitao foi contornada por uma escolha dos municpios mais
representativos de sete grandes regies geogrficas em que o TCE-RJ divide o
estado. Desta forma, buscou-se retratar as diferentes realidades socioeconmicas
e suas influncias na utilizao de tecnologia da informao pelos municpios.
Outra grande dificuldade consiste na dificuldade de obteno de material
tcnico internacional, liberados somente com autorizao dos organismos
responsveis.
92
7. PESQUISA
A pesquisa teve como objetivo principal responder o problema formulado
inicialmente, que consistiu em identificar as principais impropriedades no uso da
Tecnologia da Informao verificadas pelo TCE-RJ nas administraes municipais
sob sua jurisdio.
Com este intuito, foi realizado, primeiramente, um trabalho de anlise de
contedo de carter qualitativo sobre os relatrios de inspees operacionais em
TI efetuados pelo TCE-RJ nos municpios jurisdicionados.
Buscou-se identificar nos relatrios as principais deficincias relativas
utilizao da informtica pelas administraes municipais. Foram selecionadas
onze categorias, levando-se em considerao aquelas que influenciam mais
negativamente na correta execuo da poltica de informtica pelo municpio.
o quadro a seguir mostra as categorias identificadas.
2
3
4
5
6
7
8
9
10
11
Quadro 6 - Categorias de anlise identificadas
Implementao de polticas de segurana
inexistentes
Procedimentos de falhos
Procedimentos de cadastramento de usuanos na rede de
computadores e nos sistemas de informao realizados sem
formalidade
Ausncia de poltica de senha forte na rede de computadores e nos
sistemas de info
r
...... .",....,,,,
Ausncia de campo especfico nos sistemas de informao para
istro de nmero do administrativo em crticas
Arquivos de log ausentes ou com registro falho nos sistemas de
Divergncia entre os valores registrados no sistema de controle da
e no sistema de contabilidade
ferem a legislao
Fonte: Elaborao prpria, a partir da anlise dos principais achados nos relatrios de auditoria de TI.
93
Em seguida, procedeu-se contagem da presena de cada uma das
categorias identificadas em relatrios de inspeo de vinte municpios, escolhidos
com o objetivo de contemplar as sete principais regies geogrficas do estado do
Rio de Janeiro. A escolha dos municpios foi orientada de forma a representar as
diferentes realidades sociais, polticas e econmicas do estado, que resultam em
administraes com tamanho e caractersticas distintas, e em que o uso da
informtica tem maior ou menor grau de importncia. Cada regio corresponde
tambm a uma rea de fiscalizao de uma Inspetoria Regional de Controle
Externo (IRE) do TCE-RJ.
A tabela a seguir evidencia se para cada um dos vinte municpios
selecionados h ou no a presena da respectiva categoria. A identificao dos
municpios foi omitida propositalmente, pois o que se busca com o presente
trabalho a anlise das principais impropriedades de informtica e sua
distribuio, e no analisar as deficincias de um municpio especfico.
Tabela 1 : Freqncias das categorias de anlise
B D H K P S
1 1 1 1 1 1 1
2 1 - 1 1 1 1 1 - 1
3 1 - 1 1 1 - 1 1 1 - 1
4 1 1 1 1 1 - 1 - 1 1 1 - 1 1 1
5 - 1 - 1 - 1 1 1 1 1 1 1 1 - 1 1 - 1 1
6 - 1 - 1 - - 1 1 - 1 - 1 1 - -
- - 1
7 - 1 - 1 - 1 1 1 - 1 - 1 1 - 1 - - 1 - 1
8 - 1 - 1 - 1 - - - - - - - - -
9 - 1 - 1 - 1 1 1 - 1 - 1 1 1 1 - - 1 1 1
10 1 - 1 1 1 - 1 - - - - - - 1 1 - 1 - 1
11 - - - - - -
- 1 - - - - - - - 1
Fonte: Elaborao prpria.
O prximo passo da pesquisa consistiu em analisar cada uma das
categorias em funo de suas respectivas freqncias, evidenciando as
conseqncias para o municpio em caso de ocorrncia da impropriedade relativa
ao uso de Tecnologia da Informao e as medidas que devem ser adotadas pela
administrao para sanar os problemas de gesto na rea de sistemas de
informao.
18
17
16
16
15
8
11
3
13
9
2
94
1) Planejamento estratgico na rea de informtica falho ou inexistente
A grande maioria dos municpios estudados apresenta a irregularidade
em questo, 90 %, conforme grfico a seguir, o que demonstra a pouca
importncia dispensada para o planejamento na rea de informtica.
Grfico 1 - Planejamento estratgico na rea de informtica falho ou
inexistente

00%+------
00% +-------
40%+------
20%+------
0%+-----
APRESENTA
Fonte: Elaborao Prpria
N.o APRESENTA
o Planejamento a primeira funo administrativa e base para as
demais. Sem o planejamento da rea de Informtica no possvel administr-Ia,
sendo entendido que administrar neste contexto executar as outras funes
administrativas.
Ein-Dor e Segev (1978) argumentam que o objetivo principal de um
processo formal de planejamento estratgico de sistemas de informao a
produo de sistemas de informao gerenciais consistentes com a poltica geral
da organizao.
95
Cash, McFarlan e McKenney (1992) defendem um foco contingencial no
planejamento de TI e definem presses que so exercidas e que exigem a
necessidade deste planejamento:
presses externas ( organizao):
mudanas rpidas de tecnologia;
falta de pessoal;
- falta de outros recursos corporativos;
tendncia a projeto de banco de dados e sistemas
integrados;
validao do plano corporativo pela TI;
presses internas (ao processo de TI):
fase 1: identificao e investimento em tecnologia;
fase 2: aprendizagem e adaptao tecnolgica;
fase 3: racionalizao e controle gerencial;
- fase 4: maturidade e ampla transferncia tecnolgica.
Pyburn (1983) aponta que h consenso quanto considerao de que o
planejamento estratgico de sistemas de informao tem-se tornado crtico para o
sucesso do esforo geral na rea. Em sua viso, as causas da resistncia dos
prprios executivos da rea em relao ao esforo de planejamento so:
o planejamento caro, consome tempo e requer a ateno
e o compromisso das pessoas que so essenciais para a
soluo dos problemas atuais; e
o planejamento arriscado e um processo que lida com
compromissos pblicos e, muitas vezes, escritos.
96
King (1978) definiu que o processo de planejamento estratgico de
Sistemas de Informaes Gerenciais (SIG) envolve a identificao e o
estabelecimento de um conjunto de estratgias organizacionais, ou seja, um
conjunto de informaes que delineia a misso, os objetivos, as estratgias e
outros atributos estratgicos da organizao. Este conjunto pode ser
transformado em outro conjunto de informaes, um conjunto de estratgias de
SIG, que delineia os objetivos, as restries e as estratgias de projeto de
sistemas.
Earl (1987) argumenta que as metodologias de formulao de estratgias
de TI funcionam melhor em empresas com estratgias de negcio disponveis ou
onde a anlise estratgica j tenha sido feita.
Embora os conceitos apresentados tenham origem na rea de empresas
privadas, imediata a transposio para a rea pblica onde fundamental a
necessidade de planejamento para a consecuo de seus objetivos finalsticos.
Muitos gerentes no assumem suas responsabilidades no planejamento
da rea de informtica, delegando-as a suas equipes tcnicas. Esta situao leva
a planej-Ia de forma no aderente aos objetivos e estratgias organizacionais.
Uma abordagem semelhante defende a necessidade de apoio da alta hierarquia
rea de informtica, inclusive em seu planejamento, pelo alto investimento que ela
representa, sua necessidade de viso de negcio, seu uso estratgico potencial e
as mudanas organizacionais que representa, sob pena de fracassar em seus
objetivos.
2) Implementao de polticas de segurana da informao falhas ou
inexistentes
A maioria dos municpios estudados no detm mecanismos de
segurana da informao implementados de forma apropriada, com uma taxa de
85%, consoante apontado no grfico. Este fato preocupante em vista das
inmeras ameaas digitais existentes atualmente.
Grfico 2 - Polticas de segurana da informao falhas ou inexistentes


00>/0 +--------
70%+-----
00%+------
50%+-----
40% +-------
30%+------
2QD/o +--------
10%+-----
0>10 +------
APRESENTA
Fonte: Elaborao Prpria
l\L.o APRESENTA
97
A segurana da informao to importante que a literatura especializada
a considera como uma rea especfica da Tecnologia da Informao, havendo
inmeras normas e instrues que orientam a sua aplicao.
Como j apresentado neste trabalho, o TCE-RJ utiliza-se principalmente
da norma NBR ISSO/IEC 17799:2005 em auditorias de TI para verificar aspectos
de segurana da informao. Esta norma ressalta que com o incrvel aumento da
interconectividade, a informao est agora exposta a um crescente nmero e a
uma grande variedade de ameaas e vulnerabilidades. As organizaes, seus
sistemas de informao e redes de computadores so expostos a diversos tipos
de ameaas segurana da informao, incluindo fraudes eletrnicas,
espionagem, sabotagem, vandalismo, incndio e inundao. Danos causados por
cdigo malicioso, hackers e ataques de negao de servio (denial of service)
esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais
sofisticados.
A segurana da informao importante para os negcios, tanto do setor
pblico como do setor privado, e para proteger as infra-estruturas crticas. Em
ambos os setores, a funo da segurana da informao viabilizar os negcios
como, por exemplo, o governo eletrnico (e-gov) ou o comrcio eletrnico (e-
commerce), e evitar ou reduzir os riscos relevantes. A interconexo de redes
98
pblicas e privadas e o compartilhamento de recursos de informao aumentam a
dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz
a eficcia da implementao de um controle de acesso centralizado.
A segurana da informao obtida a partir da implementao de um
conjunto de controles adequados, incluindo polticas, processos, procedimentos,
estruturas organizacionais e funes de software e hardware. Estes controles
precisam ser estabelecidos, implementados, monitorados, analisados criticamente
e melhorados onde necessrio, para garantir que os objetivos do negcio e de
segurana da organizao sejam atendidos.
Uma das fragilidades mais relevantes relativas segurana da
informao verificadas nas inspees municipais a ausncia de um firewall,
dispositivo da rede de computadores que tem por objetivo aplicar uma poltica de
segurana a um determinado ponto de controle da rede. Sua funo consiste em
regular o trfego de dados entre redes distintas e impedir a transmisso e/ou
recepo de acessos nocivos ou no autorizados de uma rede para outra. No
caso das administraes municipais verificou-se que sua rede interna est sujeita
a ataques oriundos da rede mundial de computadores Internet.
3) Procedimentos de contingncia falhos
Procedimentos de contingncia so as medidas operacionais
estabelecidas e documentadas para serem seguidas em caso de ocorrncia de
algum desastre significativo que torne os recursos de informtica indisponveis.
Tambm neste quesito a maioria dos municpios analisados apresenta elevado
ndice de impropriedades, com 80 % de procedimentos falhos, conforme
ressaltado no grfico.
99
Grfico 3 - Procedimentos de contingncia falhos
100'10
00>10
00>10
W/o
40%
2QO/o
0>10
APRESENTA N..O APRESENTA
Fonte: Elaborao Prpria
Os procedimentos de contingncia mais falhos referem-se a backups
realizados de forma incompleta ou sem a devida regularidade. Os backups so as
atividades de salvaguarda dos dados armazenados nos computadores em fitas
magnticas ou discos ticos como CO ou OVO, para posterior recuperao em
caso de falha dos equipamentos ou sinistros. A realizao de backups
incompletos ou no regulares faz com que seja alta a probabilidade de perda de
informaes crticas em caso de ocorrncia de algum sinistro, como um incndio.
Em geral, no h qualquer procedimento automatizado para a gerao de
backups, o que asseguraria a regularidade da execuo das cpias. Os
procedimentos de backup existentes tambm no so documentados e no h
testes regulares de restaurao das cpias armazenadas.
Outro problema encontrado com certa freqncia refere-se ao no
armazenamento das cpias de backup em instalaes remotas, distantes da sede
da administrao municipal.
A norma NBR ISO/IEC 17799:2005 trata de aspectos relativos a cpias de
segurana das informaes em seu item 10.5.1.
100
4) Procedimentos de cadastramento de usurios na rede de computadores e
nos sistemas de informao realizados sem formalidade
o cadastramento de usurios tanto na rede de computadores como nos
sistemas de informao deve ser realizado atravs de um formulrio padro, que
contenha a assinatura do usurio tomando cincia de que lhe foi atribuda uma
chave de acesso, bem como as responsabilidades advindas de seu mau uso e as
possveis sanes cabveis neste caso.
As solicitaes de criao de novos usurios tambm devem ser
formalizadas, por meio de um formulrio padro de solicitao, contendo o motivo
da criao da conta, o perfil de acesso do novo usurio e a assinatura do superior
responsvel pela solicitao. O perfil de acesso consiste na descrio dos direitos
de acesso do usurio aos diretrios do computador servidor, no caso da rede de
computadores, ou a descrio dos direitos de acesso s funes do sistema
aplicativo especfico.
O formulrio de solicitao deve conter inclusive as alteraes que
porventura venham a ser efetuadas no perfil do usurio, de forma a refletir com
fidedignidade os direitos de acesso do usurio e permitir verificar se os direitos
concedidos correspondem s suas atribuies administrativas. Os formulrios de
solicitao de cadastramento e de cadastramento podem ser os mesmos, sendo
pacfico o entendimento de que deve haver um procedimento formal de cadastro
com as caractersticas citadas.
elevado o ndice de municpios em que o cadastramento de usurios
realizado sem qualquer formalizao, cerca de 80%, consoante apontado no
grfico. Geralmente o cadastramento realizado por meio de solicitaes verbais
ou pelo envio de e-mail do superior para o tcnico de informtica responsvel pela
administrao dos sistemas.
101
Grfico 4 - Procedimentos de cadastramento de usurios na rede de
computadores e nos sistemas de informao realizados sem formalidade
100010
00%
80%
aJO/o
40%
20%
0%
_APRESENTA
_ N.o APRESENTA
Fonte: Elaborao Prpria
A norma NBR ISO/IEC 17799:2005 aborda no tpico 11.2 aspectos
relacionados a controle de direitos de acesso a sistemas de informao e
servios, afirmando que convm que exista um procedimento formal de registro e
cancelamento de usurio para garantir e revogar acessos.
Uma conseqncia direta da impropriedade verificada a dificuldade ou
at mesmo a impossibilidade de responsabilizao de um usurio em caso de
fraudes ou erros, intencionais ou no, ocorridos no uso dos ambientes de
informao.
A ausncia de um procedimento formal de registro faz com que
funcionrios com funes semelhantes recebam direitos de acesso diferentes, ou
que funcionrios recebam privilgios de acesso superiores funo
desempenhada.
102
5) Ausncia de poltica de senha forte na rede de computadores e nos
sistemas de informao
Uma poltica de senha deve ser composta dos seguintes itens, com o
objetivo de assegurar um nvel de segurana de acesso satisfatrio:
Senhas de, no mnimo, 06 caracteres;
No reutilizao das ltimas 05 senhas;
A obrigatoriedade da combinao de caracteres alfabticos,
numricos e caracteres especiais na composio da senha;
Usurios que no utilizem o sistema por um perodo pr-
determinado de dias, devem ter suas senhas automaticamente
desativadas para evitar possvel mau uso;
travamento da conta de usurio aps trs tentativas de logon sem
sucesso.
A poltica visa assegurar que a senha escolhida seja de difcil deteco
por outros usurios ou por tentativas de invaso via ataque por dicionrio ou fora
bruta. A Norma NBR ISO/IEC 17799:2005 aborda em seu item 11.3.1 as boas
prticas segurana da informao na seleo e uso de senhas, notadamente na
alnea d:
d) selecionar senhas de qualidade com um tamanho mnimo
que sejam:
1) fceis de lembrar;
2) no baseadas em nada que algum facilmente
possa adivinhar ou obter usando informaes relativas
pessoa, por exemplo, nomes, nmeros de telefone e
datas de aniversrio;
3) no vulnerveis a ataque de dicionrio (por
exemplo, no consistir em palavras inclusas no
dicionrio);
4) isentas de caracteres idnticos consecutivos, todos
numricos ou todos alfabticos sucessivos;
103
A impropriedade em tela de alta incidncia, ocorrendo em 75% dos
municpios analisados, sendo mais comum em aplicaes desenvolvidas para
automatizar uma atividade especfica da administrao municipal como, por
exemplo, um Sistema de Contabilidade ou Sistema de Controle da Arrecadao.
O grfico a seguir destaca o elevado ndice de municpios com esta deficincia.
Grfico 5 - Ausncia de poltica de senha forte na rede de
computadores e nos sistemas de informao
1aY/o,----------------------------------------------.
a Y / o + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ~
00>/0 +--------
40%+------
20%+-----
0%+-----
APRESENTA
Fonte: Elaborao Prpria
N.o APRESENTA
Sistemas operacionais de computadores servidores de uma rede como,
por exemplo, Windows 2000 e Netware 4.12, so desenvolvidos por grandes
empresas do ramo de informtica e j possuem mecanismos de autenticao
seguros implementados. Foi constatado, entretanto, que geralmente o profissional
de informtica da Prefeitura no realiza a ativao de tais funcionalidades.
Outras deficincias comuns verificadas na pesquisa foi a no ativao ou
a ausncia de mecanismos que obriguem o usurio a realizar a modificao da
senha no primeiro acesso a uma aplicao, fazendo com que ele fique com uma
senha padro, de conhecimento do operador do sistema.
104
6) Ausncia de campo especfico nos sistemas de informao para registro
de nmero do processo administrativo em operaes crticas
o presente estudo procurou verificar a incidncia desta impropriedade
nos sistemas aplicativos utilizados pelas administraes municipais, tendo
verificado que menos da metade dos municpios apresentam esta deficincia,
40% do total, conforme mostra o grfico a seguir.
Grfico 6 - Ausncia de campo especfico nos sistemas de informao para
registro de nmero do processo administrativo em operaes crticas
100010
00>/0
aJO/o
aJO/o
40%
20%
(]l/o
11 APRESENTA 11 N.o APRESENTA
Fonte: Elaborao Prpria
Operaes crticas so muito comuns em sistemas de informao. Um
sistema de Folha de Pagamento, por exemplo, deve exercer estrito controle sobre
operaes de alterao ou concesso de rubricas de pagamento, que resultam
em aumento do salrio do empregado. Sistemas de Controle da Arrecadao
devem controlar operaes que alterem o valor de um imposto cobrado do
contribuinte, como alteraes nas caractersticas de um imvel que resultem em
diminuio do valor cobrado de Imposto Predial e Territorial Urbano (IPTU).
Nestes casos a operao deve ter suporte de um processo administrativo, em que
o pedido analisado e ganha pareceres do controle interno, procuradoria e do
setor competente, para s ento ser aprovado. necessrio, portanto, que o
105
sistema possua um campo especfico para registrar o processo administrativo que
d suporte operao.
A grande maioria dos municpios estudados utiliza-se de sistemas de
informao desenvolvidos por empresas contratadas, sendo raros os municpios
com uma estrutura de desenvolvimento de sistemas prpria. Com isso, atividades
essenciais em uma administrao municipal como Contabilidade, Controle da
Arrecadao e Folha de Pagamento so informatizadas por programas de
empresas com experincia no mercado e que j possuem em seus aplicativos a
funcionalidade de exigir o nmero de processo administrativo em operaes
crticas. O crescimento das empresas de desenvolvimento de software faz com
que aumente seus conhecimentos do negcio e, conseqentemente, haja
melhoria dos produtos desenvolvidos. Existe uma tendncia, portanto, de
diminuio da incidncia da impropriedade em tela, j que os sistemas de
informao incorporam funcionalidades exigidas pelo contratante, a administrao
municipal.
7) Arquivos de log ausentes ou com registro falho nos sistemas de
informao
O arquivo de log em sistemas de informao consiste em um arquivo no
qual so registradas todas as alteraes realizadas no sistema, de forma a
permitir a identificao dos campos alterados, o autor da alterao e quando ela
foi realizada.
Um bom arquivo de log de um sistema de informao deve possuir todos
os campos necessrios a uma qualificao detalhada de uma alterao, incluindo
a tabela alterada, identificao do campo alterado, nome do usurio que realizou
a alterao, data e hora em que ela foi efetuada, o contedo anterior de cada
campo alterado e o novo contedo.
O arquivo de log possibilita ao usurio gestor do aplicativo realizar um
rastreamento das alteraes realizadas, com o intuito da apurar
responsabilidades em caso de fraudes ou erros ocorridos na utilizao do
106
sistema. A prpria existncia de log em um sistema aplicativo um fator
altamente inibidor de tentativas de aes fraudulentas.
Um pouco mais da metade dos municpios estudados apresentavam a
irregularidade, 55% do total, como mostra o grfico a seguir.
Grfico 7 - Arquivos de log ausentes ou com registro falho nos
sistemas de informao



+--------
20% +--------
0% -1---------
APRESENTA
Fonte: Elaborao Prpria
N.o APRESENTA
Embora exista uma tendncia de aumento de sistemas aplicativos com
registro de operaes em arquivos de log, o estudo observou que em muitos
casos o registro era incompleto, faltando informaes importantes como o valor
anterior do campo alterado e identificao do usurio autor da alterao, o que
impossibilitava a sua utilizao.
Em outros casos, o sistema aplicativo no possua um mdulo de
consulta ao arquivo de log, impossibilitando o usurio gestor da administrao
municipal realizar estudos para identificar tentativas de fraude no sistema. Este
fato faz com que o arquivo de log no seja utilizado na prtica e, portanto, foi
considerado uma impropriedade.
107
8) Sistema de informao em desacordo com legislao especfica vigente
As inspees operacionais em TI realizadas pelo TCE-RJ procuram
verificar tambm aspectos de aderncia do sistema aplicativo legislao
especfica da rea, como leis, decretos e portarias emanadas pelas trs esferas
do poder, municipal, estadual e federal, e que influenciam diretamente na forma
de execuo e nos relatrios emitidos pelos sistemas.
Sistemas de controle da arrecadao, por exemplo, devem realizar o
clculo dos impostos e taxas segundo alquotas, definidas por Lei Municipal ou
decretos executivos sancionados pelo poder legislativo.
o estudo verificou que baixa a incidncia de sistemas aplicativos em
desacordo com a legislao, apenas 15 %, conforme grfico a seguir, o que
demonstra a preocupao da administrao municipal com aspectos legais e
formais de funcionamento dos sistemas. Este fato deve-se provavelmente forma
de atuao do Tribunal de Contas, que realiza tradicionalmente um controle de
natureza formal de verificao da regularidade da execuo dos gastos pblicos,
da legalidade dos atos administrativos e da fidedignidade dos demonstrativos
financeiros.
Grfico 8 - Sistema de informao em desacordo com legislao
especfica vigente
100>/0
85%
aJO/o
000/0
4(Jl/O
20%
0%
APRESENTA N.O APRESENTA
Fonte: Elaborao Prpria
108
A impropriedade em tela constitui uma grave deficincia do sistema
aplicativo, sujeitando a administrao municipal a aes indenizatrias por parte
dos contribuintes em caso de flagrante desobedincia norma legal, o que
resultaria em graves prejuzos ao errio municipal.
9) Divergncia entre os valores registrados no sistema de controle da
arrecadao e no sistema de contabilidade
A impropriedade consiste na ausncia de registro no sistema de
contabilidade de valores efetivamente arrecadados pelo sistema de controle da
arrecadao, oriundos da cobrana de tributos de responsabilidade da prpria
administrao municipal.
o sistema de contabilidade o principal instrumento de controle da
administrao municipal, por meio dele que so extrados os principais
relatrios exigidos pela Lei Federal nO 4.320/64, que rege as normas gerais de
direito financeiro para elaborao e controle dos oramentos e balanos da
administrao pblica. A Constituio Federal de 1988 e emendas constitucionais
posteriores estabelecem percentuais mnimos de vinculao de receitas
municipais com gastos em sade e educao. Com isso, uma divergncia de
registro de valores de arrecadao entre os sistemas de controle da arrecadao
e contabilidade pode resultar em aplicao de recursos abaixo do mnimo legal
em duas reas fundamentais de assistncia bsica ao cidado.
Os dados do estudo revelam que 65% dos municpios apresentam a
irregularidade em tela, consoante grfico abaixo, ndice considerado alto devido
aos riscos para a administrao municipal.
109
Grfico 9 - Divergncia entre os valores registrados no sistema de
controle da arrecadao e no sistema de contabilidade


65%
aJO/o ..f--------
40% T--------
20% ..f--------
0% ..f--------
APRESENTA
Fonte: Elaborao Prpria
N.o APRESENTA
A divergncia entre os dois sistemas pode representar tambm uma
grave ilegalidade sujeita s sanes da Lei, tendo em vista que o no registro de
receitas do sistema de controle da arrecadao no sistema de contabilidade pode
ser uma tentativa de mascarar o desvio da arrecadao prpria dos cofres
municipais. Este tipo de conduta sujeita o administrador pblico a sanes penais,
visto que pode ser caracterizada como ato de improbidade previsto na Lei
nO 8.429, de 2 de junho de 1992 - Lei de Improbidade Administrativa. Esse
diploma regulamentou o art. 37, 4, da Constituio da Repblica, disciplinando
quais os atos que seriam classificados como mprobos, quais as sanes
aplicveis e qual o procedimento para aplic-Ias.
A conduta em questo pode ser caracterizada como sendo um dos trs
tipos de condutas que podem configurar ato de improbidade administrativa: atos
que importam enriquecimento ilcito (art. 9), atos que causam leso ao errio (art.
10) e atos que atentam contra os princpios da administrao pblica (art. 11).
110
10) Impropriedades no instrumento contratual que ferem a legislao
vigente, notadamente a Lei Federal nO 8.666/93
o TCE-RJ vem realizando tambm anlise dos contratos firmados pela
administrao municipal na rea de informtica em suas auditorias operacionais
em TI. Este tipo de atuao aproxima o Tribunal do modelo canadense de
auditoria, conhecido como auditoria integrada ou de amplo escopo, em que so
realizadas verificaes tanto de aspectos operacionais quanto legais (CCAF,
1995).
o presente estudo constatou que quase a metade dos municpios, 45%,
apresenta problemas relativos contratao, mesmo sendo este um dos aspectos
verificados pelo TCE-RJ com mais regularidade em suas inspees e sujeito
inclusive a anlise prvia. O grfico a seguir ressalta a distribuio desta
irregularidade pelos municpios.
Grfico 10 -Impropriedades no instrumento contratual que ferem a
legislao vigente, notadamente a Lei Federal nO 8.666/93
100%
00%
00'/0
55%
40>/0
20%
0%
APRESENTA N.o APRESENTA
Fonte: Elaborao Prpria
Os municpios so obrigados, por fora de deliberaes expedidas pelo
Tribunal, a enviar previamente para anlise diversos tipos de atos jurdicos de
licitaes e contratos. Apesar desta obrigatoriedade, persiste a ocorrncia de
111
irregularidades no objeto contratual, podendo ser considerado elevado o ndice de
45%.
As anlises de contratos realizadas pelas auditorias de TI limitam-se a
verificar aspectos da legislao que se aplicam especificamente contratao de
bens e servios de informtica. Dentre as irregularidades mais comuns destacam-
se o descumprimento ao prazo mximo de 48 meses de vigncia contratual no
aluguel de equipamentos e utilizao de programas de informtica, no haver
designao de funcionrio da administrao municipal para o acompanhamento
da execuo do contrato, subcontratao de empresas para prestao do objeto
sem previso no instrumento contratual e contratao por dispensa ou
inexigibilidade de objetos no singulares, ou seja, que podem ser fornecidos por
diversas empresas do mercado e, portanto, h obrigao de se realizar
concorrncia.
As irregularidades verificadas sujeitam o administrador pblico a sanes
impostas pelo TCE-RJ, como o pagamento de multas, e pelo Ministrio Pblico,
que podem resultar em crime de responsabilidade por descumprimento da Lei.
11) No execuo ou execuo parcial do objeto contratado
A auditoria operacional em TI realizada pelo TCE-RJ nos municpios
busca verificar tambm aspectos tcnicos relativos contratao de bens e
servios de informtica, notadamente a adequao dos servios prestados ao
objeto definido no contrato.
Este tipo de anlise somente pode ser realizado por meio de inspees in
loco, possibilitando ao auditor comparar a situao encontrada na realidade com
aquela definida no texto contratual.
Como mostra o grfico a seguir baixa a incidncia desta impropriedade
nos municpios, com um ndice de apenas 10%.
112
Grfico 11 - No execuo ou execuo parcial do objeto contratado


00% +----------------------

20% +-------------------'lI9*,----------
0% +--------
APRESENTA
Fonte: Elaborao Prpria
N.o APRESENTA
A baixa ocorrncia de problemas relativos execuo contratual deve-se
provavelmente s cobranas realizadas pelos prprios tcnicos municipais s
empresas prestadoras dos servios, tendo em vista a importncia dos sistemas
de informao contratados para a consecuo das atividades bsicas da
administrao. Enquadram-se neste caso os sistemas de folha de pagamento,
contabilidade e controle da arrecadao, fundamentais para a gesto da mquina
pblica.
Quanto ao fornecimento de bens de informtica mais fcil a comparao
do objeto definido no contrato com os produtos efetivamente fornecidos, tendo
sido encontradas diferenas de especificao tcnica entre o material entregue e
aquele especificado. Como exemplo, pode-se citar computadores entregues com
menos memria, com processadores de menor capacidade de processamento, ou
sem placas de vdeo dedicadas, entre outros problemas.
113
8. CONCLUSO
o crescimento da influncia do paradigma gerencial na administrao
pblica contempornea vem exigindo mecanismos de aferio dos investimentos
pblicos capazes de traduzir, com maior clareza e objetividade, a retrica poltica
dos gestores pblicos. Assim, ferramentas como a auditoria operacional, que
busca precipuamente avaliar o nvel de excelncia das organizaes pblicas a
partir de aspectos como eficcia, eficincia, economicidade e efetividade, surgem
para auxiliar os rgos de controle governamental, em especial os Tribunais de
Contas, no atendimento das novas demandas sociais.
o estudo realizado proporcionou uma contribuio positiva para o
processo de aprendizagem quanto auditoria de sistemas, uma vez que ao traar
um perfil das principais deficincias associadas utilizao de informtica pelas
administraes municipais, possibilitou mostrar a efetividade desta modalidade de
auditoria na deteco de falhas e na prescrio de melhorias.
A dinmica dos trabalhos de auditoria na rea de sistemas de informao
no permitia, at hoje, uma avaliao mais detalhada dos resultados alcanados
por este tipo de auditoria, de forma a contribuir para a melhoria da gesto pblica.
A sntese dos principais resultados obtidos no estudo aponta para elevada
incidncia de certas impropriedades, indicando que a administrao pblica
municipal ainda no alcanou o nvel de maturidade que possa qualific-Ia como
gerencial.
Existem deficincias em sua forma de administrao que dificultam
sobremaneira a adoo de prticas gerenciais, com destaque para o nvel
incipiente de planejamento estratgico na rea de informtica pelos municpios. A
falta de planejamento na rea pode ocasionar srios problemas para a gesto
pblica em mdio prazo, com a diminuio de sua capacidade de implementar
polticas pblicas que sejam econmicas e eficazes.
A informao , hoje em dia, um dos bens mais preciosos de uma
organizao e requer mecanismos de planejamento e controle cada vez mais
114
sofisticados. O processo de planejamento estratgico de sistemas de informaes
envolve a identificao e o estabelecimento de um conjunto de estratgias
organizacionais, como misso e objetivos, sendo fundamental a adoo da
governana na rea de TI.
A administrao pblica gerencial caracteriza-se por ser orientada para o
cidado e para a obteno de resultados. Nesse sentido, a governana de TI
fundamental para garantir que a informtica suporte e maximize os objetivos e
estratgias de negcio da administrao municipal, contribuindo para a melhoria
da qualidade dos servios entregues ao cidado.
O crescimento de uma sociedade que passa a organizar seus processos
de trabalho e relacionamentos com base em estruturas e sistemas informatizados
faz com que as organizaes que exercem o controle administrativo, como o
Tribunal de Contas, tenham de repensar sua forma de atuao.
Associada a essa necessidade, temos a prpria evoluo das condies
tecnolgicas que do novas possibilidades para exercer atividades relativas ao
controle administrativo que, em ltima anlise, possibilitam um aprofundamento
dos estudos possveis de serem efetuados e abrem dimenses mais
interessantes de serem abordadas como a eficincia, eficcia e efetividade das
aes administrativas.
O TCE-RJ ao realizar auditorias de tecnologia da informao est
ampliando sua forma de atuao, indo ao encontro das idias e conceitos
difundidos pela Administrao Pblica Gerencial e adequando-se s exigncias
da chamada era da informao.
As inspees de TI ao verificar aspectos relativos confiabilidade,
disponibilidade, confidencialidade e integridade das informaes armazenadas
nos sistemas informatizados e que trafegam na rede de computadores, est nada
mais do que ampliando as dimenses de anlise efetuadas pelo Tribunal de
Contas, caracterizando-se como uma nova forma de auditoria, conhecida como
auditoria operacional ou de desempenho.
115
o estudo logrou xito ao revelar achados de auditoria resultantes dessa
nova forma de anlise, como problemas comuns de ordem prtica relativos rea
de segurana da informao, que demonstram a pouca importncia dispensada
pela gerncia de setores chaves da administrao municipal em relao a riscos
de fraude, sabotagem, roubo e sinistros a que os sistemas de informao e redes
de computadores esto expostos.
Os problemas de ordem operacional evidenciam tambm deficincias
relativas qualificao profissional dos funcionrios de nvel intermedirio,
responsveis pela implementao dos controles lgicos e fsicos, como polticas
de segurana da informao, procedimentos de contingncia, cadastramento de
usurios e configurao das polticas de senha na rede de computadores e nos
sistemas de informao.
Os resultados do presente trabalho mostram, portanto, a necessidade de
treinamento dos profissionais de nvel intermedirio e de sensibilizao da
gerncia de reas estratgicas para a importncia da questo da segurana das
informaes. Uma possvel contribuio do TCE-RJ seria a elaborao e
implementao de um curso de boas prticas no uso e manuteno de ambientes
informatizados direcionado no s aos profissionais de nvel intermedirio, como
tambm aos responsveis de nvel de gesto administrativa.
O TCE-RJ, com a experincia adquirida ao longo dos ltimos oito anos
em inspees de carter operacional no ambiente de informtica das
administraes municipais e pelo constante aprimoramento e atualizao de seu
corpo tcnico, possui a capacidade e o dever de transmitir os ensinamentos
necessrios a seus jurisdicionados, em especial os municpios, pois estes
possuem menos recursos e uma estrutura mais precria do ponto de vista
material e de tcnicos especializados.
Como rgo de controle externo, o TCE-RJ vem ampliando sua forma de
atuao atravs da implantao de uma Escola de Contas e Gesto. Essa Escola
tem como misso promover o ensino e a pesquisa na rea de gesto pblica,
voltados para o desenvolvimento e a difuso de conhecimento, modelos e
116
metodologias comprometidas com a inovao, a transparncia, a
responsabilidade e a melhoria do desempenho e controle governamental.
A anlise crtica presente no presente estudo aponta para a necessidade
de criao pela Escola de Contas e Gesto do TCE-RJ de um curso nos moldes
expostos, a ser ministrado pelos tcnicos responsveis pelas auditorias de TI nos
municpios, permitindo tambm o intercmbio de experincias e o aprimoramento
da prpria atividade de auditoria.
A pesquisa revelou tambm a ocorrncia de falhas operacionais como a
ausncia de procedimento formal de cadastramento de usurios tanto na rede de
computadores como nos sistemas de informao, assim como a ausncia de
arquivos de log ou com registro falho nos sistemas aplicativos, que possibilitam,
em ltima instncia, a preservao de mecanismos de impunibilidade. Um dos
fatores que contribuem para este tipo de problemas de rotinas e procedimentos
a falta de continuidade da administrao, sujeita a mudanas em seus quadros
resultantes da alternncia normal de poder.
Os critrios utilizados em auditoria com foco em tecnologia da informao
possibilitam tambm a verificao da conformidade do sistema auditado com as
regras do negcio, estabelecidas em leis, decretos e portarias. Apesar do estudo
revelar uma baixa incidncia deste tipo de impropriedade nos municpios
analisados, inegvel a importncia deste tipo de anlise para o aprimoramento
do controle exercido pelo Tribunal de Contas. Nessa categoria esto, por
exemplo, os critrios para clculo dos salrios dos servidores no sistema de
recursos humanos, a forma de clculo dos impostos e taxas no sistema de
controle da arrecadao, assim por diante.
Os tipos de deficincias encontradas pelas auditorias de TI, notadamente
a no conformidade do sistema auditado com as regras do negcio, evidenciam a
fragilidade da rea de controle interno da administrao pblica municipal. Como
o controle interno visa, principalmente, evitar a prtica de fraudes, erros,
desperdcios e abusos, natural que ele seja exercido em carter prvio, antes
de concludo o ato administrativo.
117
Os relatrios de auditoria em TI tm sempre procurado invocar a
responsabilidade do controle interno, fazendo constar em suas recomendaes a
efetiva participao deste importante setor administrativo na resoluo das
impropriedades e irregularidades encontradas. Por outro lado, a prpria atividade
do TCE-RJ serve de amparo para o controle interno, apoiando suas aes na
defesa do patrimnio pblico.
A quantidade e diversidade de impropriedades na rea de informtica
sugerem a necessidade do TCE-RJ em aumentar a fiscalizao no setor,
necessidade que esbarra no limitado quadro de tcnicos especializados em
auditoria de TI, atualmente composto por apenas trs analistas.
Observa-se tambm a necessidade de se realizar inspees de retorno a
muitos municpios auditados, com o intuito de verificar se as recomendaes
efetuadas foram de fato implementadas, j que muitas so de carter operacional
e exigem a observao in loco para verificar seu cumprimento.
A auditoria de TI necessita tambm de maior integrao com outras reas
de fiscalizao do Tribunal em que a presena de sistemas informatizados cada
vez maior, com destaque paras as reas de pessoal, educao e sade. Essas
so reas em que a informatizao vem produzindo novos modelos de estruturas
e novos processos de organizao, todos com o objetivo de simplificar e agilizar
os fluxos de informao.
Os resultados da pesquisa revelam tambm a necessidade de legislao
especfica na rea de informtica, como instrues normativas, de forma a dar
suporte s recomendaes resultantes dos trabalhos de auditoria realizados.
Hoje, as auditorias de TI baseiam-se fortemente em normas tcnicas e boas
prticas da rea de informtica, prevalecendo, em muitos casos, a
conscientizao do auditado para a necessidade de cumprimento das
recomendaes para o aumento da segurana e melhoria de funcionamento do
ambiente de informtica.
A presente pesquisa evidencia, por fim, a importncia da auditoria
operacional de Tecnologia da Informao como forma de ampliao e
118
fortalecimento da atividade de controle externo exercida pelo Tribunal de Contas
do Estado do Rio de Janeiro.
119
9. REFERNCIAS BIBLIOGRFICAS
ABNT. NBR ISO/IEC 17799:2005: Tecnologia da Informao - Tcnicas de
segurana - Cdigo de Prtica para a gesto da segurana da informao.
Rio de Janeiro, Associao Brasileira de Normas Tcnicas, 2005.
ABNT. NBR ISO/IEC 27001 :2005: Tecnologia da Informao - Tcnicas de
segurana - Sistemas de gesto de segurana da informao - Requisitos.
Associao Brasileira de Normas Tcnicas.
ALBERTIN, Alberto Luiz. Administrao de Informtica: funes e fatores
crticos de sucesso; colaborao de Rosa Maria de Moura. 4 ed. So Paulo:
Atlas, 2002.
ALBUQUERQUE, Frederico de Freitas Tenrio. A auditoria operacional e seus
desafios: um estudo a partir da experincia do Tribunal de Contas da Unio.
2006,152f. Dissertao (Mestrado Profissional em Administrao) - Escola de
Administrao, Universidade Federal da Bahia, Salvador, 2006.
ARAJO, Inaldo da Paixo Santos. Introduo auditoria operacional. Rio de
Janeiro: Editora FGV, 2001.
BARDIN, Laurence. Anlise de Contedo. Lisboa: Edies 70, 1977.
BARROS, Elizabeth Ferraz. Auditoria de desempenho nos tribunais de contas
estaduais brasileiros: uma pesquisa exploratria. Dissertao (Mestrado).
Faculdade de Economia, Administrao e Contabilidade da USP. So Lus, 2000.
BARTON, R. GloballT management. Chichester: John Wiley & Sons, 2003.
BARZELA Y, Michael. Instituies centrais de auditoria e auditoria de
desempenho: uma anlise comparativa das estratgias organizacionais na OCDE.
Revista do Servio Pblico, Braslia, ano 53, n. 2, p. 5-35, abr.ljun. 2002.
BASTOS, Glria Maria Merola da Costa. A experincia do Tribunal de Contas da
Unio em auditoria operacional e avaliao de programas governamentais. In:
TCU - Tribunal de Contas da Unio. O controle externo e a nova
administrao pblica: uma viso comparativa. Braslia: 2002.
BRASIL. Constituio (1988). Constituio da Repblica Federativa do Brasil.
10 ed. So Paulo: Rideel, 2004.
BRESSER PEREIRA, Luiz Carlos. A reforma do Estado dos anos 90: lgica e
mecanismos de controle. Lua Nova. So Paulo, n.o 45, p. 49-95,1998.
120
___ o A reforma gerencial do Estado de 1995. Revista de Administrao, Rio
de Janeiro: FGV, 34 (4), p.7-26, jul.lago.2000.
CAMPOS, Anna Maria, Accountability. quando poderemos traduzi-Ia para o
portugus? Revista de Administrao Pblica. Rio de Janeiro. Vol. 24. N 2,
fev/abr, 1990, pp. 30-50.
CARNEIRO, Roberto Antnio Fortuna. Avaliao: elemento vital e constituinte do
planejamento e da gesto de resultados. Revista Bahia anlise e dados.
Salvador,v.12,n.2, p.91-100, setembro 2002.
CARVALHO FILHO, Jos dos Santos. Manual de Direito Administrativo. 14
a
ed. Rio de janeiro, 2005
CASH JR., J. 1.; McFARLAN, F. W.; McKENNEY, J. L. Corporate information
systems management: the issues facing senior executives. Homewood:
Richard D.lrwin, 1992.
CCAF - Canadian Comprehensive Auditing Foundation. Auditoria integrada:
conceitos, componentes e caractersticas. Trad. Inaldo da Paixo Santos Arajo.
1
a
ed. Salvador: Tribunal de Contas do Estado da Bahia, 1995.
CRUZ, Flvio da. Auditoria governamental. So Paulo: Atlas, 1997.
CUNHA, Cyrino. Auditoria governamental e a auditoria operacional: uma
introduo com algumas consideraes. Revista do Tribunal de Contas, Porto
Alegre, n 9, v. 6, dez.1998
DA SILVA, Roberto Carvalho. Auditoria Operacional como instrumento de
gerncia no Setor Pblico. Dissertao de Mestrado, So Paulo: FEAlUSP,
1993.
DERLlEN, H-U . Uma comparacin internacional em la evaluacion de ls polticas
pblicas, Revista do Servio Pblico, 52 (1); 105-123,2001.
DI PIETRO, Maria Silvia Zanella. Direito administrativo. 13 ed. So Paulo:Atlas,
2001.
EARL, M. J. Information systems strategy formulation. In: BOLAND JR., R. J.;
HIRSCHHEIM, R. A. (Org.). Criticai issues in information systems research.
New York: John Wiley, 1987.
EIN-DOR, P.; SEGEV, E. Strategic planning for management information
systems. ManegementScience, v. 24, nO 15, p.1631-1641, Nov. 1978.
FARIA, C. A. .A poltica da avaliao de polticas pblicas, Revista Brasileira de
Cincias Sociais, 20 (59): 97-109. 2005.
FDER, Joo. Auditoria Operacional. Revista do Tribunal de Contas do Estado
de Santa Catarina, Santa Catarina, n.4, p. 5-7, nov/dez.1988.
121
___ , Joo. Auditoria Operacional. Revista do Tribunal de Contas de Minas
Gerais, Belo Horizonte, v.21 ,n.4, p. 13-53, outldez.1996.
FERLlE, E. et al.The new public management in action.Oxford, Oxford
University Press, 1996.
FERRAZ, J. A. R. et ai. Etapas dos trabalhos. In: ENCONTRO DE AUDITORIA DE
NATUREZA OPERACIONAL, 2., 2005, Recife:TCE/PE, 2005.1 CD-ROM.
FREITAS, Carlos Alberto Sampaio. Aprendizagem, isomorfismo e
institucionalizao: o caso da atividade de auditoria operacional no Tribunal de
Contas da Unio. 2005. Dissertao (Mestrado em Administrao). Universidade
de Braslia - UNB, Faculdade de Economia, Administrao, Contabilidade e
Cincia da Informao e Documentao - FACE. Braslia.
___ o Melhoria de Desempenho. In: OFICINA DE AUDITORIA DE
NATUREZA OPERACIONAL, 1.,2004, Recife:TCE/PE, 2004.1 CD-ROM.
FIGUEIREDO, Carlos Mauricio et ai. Comentrios Lei de Responsabilidade
Fiscal. 2
a
ed. So Paulo: Editora Revista dos Tribunais. 2001, p.261-272.
FRANA, Junia Lessa; VASCONCELOS, Ana Cristina de .Manual para
normalizao de publicaes tcnico-cientficas. 7ed. Belo Horizonte: Ed.
UFMG, 2004. 242p.
GASPARINI, Digenes. Direito Administrativo. So Paulo, Saraiva, 1989
GENERAL ACCOUNTING OFFICE. Normas de auditoria governamental do
escritrio da controladoria geral dos Estados Unidos. Trad. Inaldo da Paixo
Santos Arajo. Reviso 2003: Tribunal de Contas do Estado da Bahia, 2005
(Srie Tradues - N. 12).
GIL, Antonio Loureiro. Auditoria de Computadores. 3 ed. So Paulo: Atlas,
1998.
GREINER, John M. In: BOUCKAERT, Geet na HALACHMI, Arie. Organizational
performance and measurement in the public sector.London: quorum Books,
1996.
GREMBERGER, W.v, HAES, S., GULDENTOPS, E., Structures, processes and
relational mechanisms for Informations Technology Governance: Theories
and practices, 2004.
GUIMARES, Tomas de Aquino. A nova administrao pblica e a abordagem
da competncia. Revista de Administrao Pblica (RAP), Rio de Janeiro, FGV,
34(3), p.125-40, Mai./Jun. 2000.
122
HALLER, E.J.; BROWN R E.; CLEMENTS, RL. Avaliao de desempenho
operacional : estabelecimento de uma auditoria operacional. EUA: Price
Waterhouse, 1985.150p.
INTOSAI. Cdigo de tica e normas de auditoria. Salvador: Tribunal de Contas
do Estado da Bahia, 2005a (Srie Tradues nO 10).
____ .Diretrizes para aplicao de normas de auditoria operacional da
INTOSAI. Salvador: Tribunal de Contas do Estado da Bahia, 2005b.
IT GOVERNANCE INSTITUTE. Board Briefing on IT Governance, 2 Edio,
2006. Disponvel em www.itgi.org. Acesso em: 15 set. 2008.
IT GOVERNANCE INSTITUTE, COBIT 3rd Edition Audit Guidelines, 2000.
____ , COBIT Control Practices: Guidance to Achieve Control Objectives
for SuccessfullT Governance, 2nd Edition, 2007.
____ , IT Governance Implementation Guide: Using COBIT and Vai IT,
2nd Edition, 2007.
____ , IT Assurance Guide using COBIT, Roiiing Meadows, 2007.
____ , COBIT Security Baseline, 2nd Edition, 2007.
___ , COBIT Quickstart, 2nd Edition, 2007.
JOBIM.Nelson. O controle exercido pelo Tribunal de contas na viso judicial. In:
CONGRESSO DOS TRIBUNAIS DE CONTAS DO BRASIL.23,2005, Gramado.
KETTL, Donald F. A revoluo global: reforma da administrao do setor
pblico. in. Reforma do Estado e administrao pblica gerencial, Orgs. Bresser
Pereira, Luiz Carlos & Spink, Peter., 4. ed. Rio de Janeiro: Fundao Getlio
Vargas, 2001.
KING, W. R Strategic planning for management information systems. MIS
Quartely, v. 2, nO 1, p.27-37, Mar. 1978.
LIMA, Dagomar Henriques. Avaliao de programas e responsabilizao dos
agentes pblicos pelo resultado da ao governamental: o papel do Tribunal
de Contas da Unio. In: TCU - Tribunal de Contas da Unio. Prmio Serzedello
Corra: monografias vencedoras: 2005. p. 45-73.
MARINI, Caio. Gesto pblica: o debate contemporneo. Fundao Luz
Eduardo Magalhes. Salvador: FLEM: 2003. 104 p.
MATOS, Juliana M. O. Auditoria operacional no Tribunal de Contas do Estado
de Pernambuco: caminhos para sua institucionalizao 2006. 158f.
123
Dissertao (Mestrado Profissional em Gesto Pblica) - Coordenao de
Cincias Sociais, Universidade Federal de Pernambuco, Recife, 2006.
MEIRELLES, Hely Lopes. Direito administrativo brasileiro. 28 ed. So Paulo:
Malheiros, 2003.
MEYER,John W., ROWAN, Brian.lnstitucionalized Organizations: Formal
Structure as Myth and Ceremony, in Powell, Walter W., Di Maggio, Paul (eds.),
The New Institucionalism in Organizational Analysis.Chicago: University of
Chicago Press.
MINGAY, S; BITTINGER, S. Combine CobiT and ITIL for Powerful IT
Governance, in Research Note, TG-16-1849, Gartner, 2002. Disponvel em
http://www3.gartnet.com. Acesso em: mai. 2008
MNACO, Gabriel Santana. Agncias executivas e contratos de gesto. A
possibilidade de ampliao da autonomia gerencial, oramentria e
financeira deve ficar restrita apenas s autarquias e fundaes? Jus
Navigandi, Teresina, ano 11, n. 1539, 18 set. Disponvel em:
<http://jus2.uol.com.br/doutrinaltexto.asp?id=10423>. Acesso em: 08 set. 2008.
NASCIMENTO, Roberto Srgio do. Auditoria operacional versus auditoria
operacional:uma ampliao do escopo da auditoria tradicional. Revista do
Tribunal de Contas, Braslia, v.32, n.88, abr/jun. 2001
_____ . Roberto Srgio do. Auditoria como instrumento de Controle e de
avaliao das organizaes:estudo de Caso envolvendo o fundo de recuperao
do estado do esprito santo (FUNRES) com base na auditoria operacional.
Revista do Tribunal de Contas, Braslia, v.33, n.92, abr/jun. 2002
NORONHA, Maridel Piloto de. A experincia do Tribunal de Contas da Unio
do Brasil na avaliao de programas de governo. In: Congreso Internacional
dei CLAD sobre la Reforma dei Estado y de la Administracin pblica.8. Panam,
28-31 out. 2003.
NUNES, Wanda Cludia Galluzzi. Auditorias de desempenho. Revista do
Tribunal de Contas do Municpio do Rio de Janeiro, Rio de Janeiro, n. 26, p. 64-
74, abr.l2004.
O'DONNELL, Guillermo. Democracia delegativa? Novos Estudos, S. Paulo:
Cebrap, n. 31, p. 25-40, out. 1991.
OAG - Office of the Auditor General of Canada. Auditoria de eficincia - guia de
auditoria - parte 1. 1993. Trad. Curso de Francs L Lyce. 1
a
ed. Salvador:
Tribunal de Contas do Estado da Bahia, 1995, 28 p.
OLIVEIRA, Luiz Carlos Silva. Auditoria operacional sob a tica da eficcia - A
relevncia da sua utilizao pelo sistema de controle interno federal.
Trabalho apresentado no XVI congresso brasileiro de contabilidade, Goinia, 15 a
20 de outubro de 2000
124
PETER, Maria da Glria; MACHADO,M.VV. Manual de auditoria
governamental. So Paulo: Atlas,2003.
PETERSON R R, Information Strategies and Tactics for Information
Technology Governance, in Strategies for Information Technology
Gove,rnance, book edited by Van Grembergen W., Idea Group Publishing, 2003.
POLLlTT, Christopher et aI. Performance or Compliance? Performance Audit
and Public management in Five Countries. Oxford: Oxford University Press:
Addison-Wesley. 1999.
POWER, M. The Audit Society: Rituais of Verification. Oxford: Oxford
University Press.1997
PYBURN, P. J. Linking the MIS plan with corporate strategy: an exploratory study.
MIS Quartely, v.7, nO 2, p. 1-15, June 1983.
REIDER, Harry R The complete guide to operational auditing. New York, John
Wiley, 1993.
ROCHA, Arlindo Carvalho. A funo de Auditoria Operacional na avaliao de
controle de Entidades Governamentais. Revista do Tribunal de Contas da
Unio. v. 44, abr.ljun. 1990.
RODRIGUEZ, M. V. R Gesto Empresarial: organizaes que aprendem. Rio
de Janeiro. Qualitymark, 2002.
SILVADe Plcido.Vocabulrio Jurdico. Rio de Janeiro: Companhia Editora
Forense, 2001.
SILVA, Francisco Carlos da Cruz. Controle Social: reformando a
administrao para a sociedade. Braslia/DF, Prmio Serzedello Corra -
Monografias Vencedoras -, 2001.
SILVA, Jos Afonso da. Curso de Direito Constitucional Positivo. So Paulo,
Editora Revista dos Tribunais Ltd
a
, 5
a
ed. revista e ampliada de acordo com a
nova Constituio, 1989, p.108.
SILVA OLIVEIRA, Luiz Carlos. Auditoria operacional sob a tica da eficcia -
A relevncia da sua utilizao pelo sistema de controle interno federal. In:
CONGRESSO BRASILEIRO DE CONTABILlDADE,16.,2002, Goinia.2002, p. 14
SOUZA, Jorge. Controle interno municipal: uma abordagem prtica. Porto
Alegre: Evangraf, 2006.
TCU - Tribunal de Contas da Unio. Levantamento da governana de TI na
administrao federal. Braslia: TCU, Secretaria de Fiscalizao de Tecnologia
da Informao, 2007.
125
___ o Manual de auditoria de natureza operacional. Braslia: TCU,
Coordenadoria de Fiscalizao e Controle, 2000 .
---
. Manual de auditoria de desempenho. Braslia: TCU, Secretaria de
Auditoria e Inspees, 1998.
VERGARA, Sylvia Constant. Projetos e relatrios de pesquisa em
administrao. 7. ed. So Paulo: Atlas, 2006
__ o Mtodos de pesquisa em administrao. So Paulo: Atlas, 2005.
VILLAS, Mareio Martins. Auditoria Operacional em Entidades Governamentais.
Braslia, Revista do Tribunal de Contas da Unio, Braslia, 21 (44), abr/jun.
1990.
WEILL, P., ROSS, J. W. IT Governance: How Top Performers Manage IT
Oecision Rights for Superior Results. Harward Business School Press, 2004.
126
ANEXO A: LEGISLAO DE CONTROLE
Legislao Descrio
Constituio Federal de 1988 A seo IX que trata da Fiscalizao
Contbil, Financeira e Oramentria.
Lei Complementar
nO
63, de 1 de Dispe sobre a Lei Orgnica do
agosto de 1990 Tribunal de Contas do Estado do Rio
de Janeiro e d outras providncias.
Deliberao nO 167, de 10 de dezembro Aprova o Regimento Interno do
de 1992. Tribunal de Contas do Estado do Rio
de Janeiro.
Deliberao nO 247, de 13 de maro de Dispe sobre o encaminhamento de
2008 dados relativos rea da receita dos
municpios do Estado do Rio de Janeiro
e d outras providncias.
Deliberao nO 245, de 18 de dezembro Estabelece normas a serem
de 2007 observadas pelos rgos e entidades
municipais da Administrao Pblica
Direta e Indireta de qualquer dos
Poderes, sob a jurisdio do Tribunal
de Contas, visando o controle e
fiscalizao dos atos administrativos
que especifica.
127
ANEXO B: lEGISLAO APLICVEL TI
legislao Descrio
lei nO 7.232, de 29 de outubro Dispe sobre a Poltica Nacional de Informtica e
de 1984 d outras providncias.
lei nO 8.159, de 8 de janeiro de Dispe sobre a poltica nacional de arquivos
1991 pblicos e privados.
lei nO 8.248, de 23 de outubro Dispe sobre a capacitao e competitividade do
de 1991 setor de informtica e automao, e d outras
providncias.
lei nO 8.666, de 21 de junho de Institui normas para licitaes e contratos da
1993 Administrao Pblica.
lei nO 9.609, de 19 de fevereiro Dispe sobre a proteo da propriedade
de 1998 intelectual de programa de computador, sua
comercializao no Pas, e d outras
providncias.
lei nO 9.610, de 19 de fevereiro Altera, atualiza e consolida a legislao sobre
de 1998 direitos autorais e d outras providncias.
lei nO 9.983, de 14 de julho de Altera o Decreto-Lei nO 2.848, de 7 de dezembro
2000 de 1940 - Cdigo Penal. Prev penas especficas
para crimes de insero, alterao, excluso e
divulgao indevidas de dados nos sistemas
informatizados ou banco de dados da
Administrao Pblica.
Medida Provisria nO 2.200-2, Institui a Infra-Estrutura de Chaves Pblicas
de 24 de agosto de 2001 Brasileira - ICP-Brasil e transforma o Instituto
Nacional de Tecnologia da Informao em
autarquia.
Decreto nO 3.555, de 8 de Aprova o regulamento para a modalidade de
agosto de 2000 licitao denominada prego, para aquisio de
bens e servios comuns.
Decreto nO 3.697, de 21 de Regulamenta o pargrafo nico do art. 2 da
dezembro de 2000 Medida Provisria nO 2.026-7, de 23 de novembro
de 2000, que trata do prego por meio da
utilizao de recursos de tecnologia da

Decreto nO 3.872, de 18 de Dispe sobre o Comit Gestor da Infra-Estrutura
julho de 2001 de Chaves Pblicas Brasileira - CG IGP-Brasil,
sua Secretaria Executiva, sua Comisso Tcnica
Executiva.
Decreto nO 3.931, de 19 de Regulamenta o Sistema de Registro de Preos
setembro de 2001 previsto no art. 15 da Lei nO 8.666, de 21 de junho
de 1993, e d outras providncias.
lei nO 10.520, de 17 de julho de Institui no mbito da Unio, Estados, Distrito
2002 Federal e Municpios, nos termos do art. 37,
inciso XXI, da Constituio Federal, modalidade
de licitao denominada prego, para aquisio
de bens e servios comuns, e d outras
providncias.
128
ANEXO C: TABELA COBIT
A tabela abaixo possui todos os 34 Processos do COBIT divididos em
seus 4 Domnios com o mapeamentos dos Critrios da Informao e Recursos de
TI relevantes em cada processo. Traduo livre.
Legenda;
Critrio da Informao
Em branco" Sem impacto
P '" Impacto primrio
S '" Impacto Secundrio
Recursos de TI
Em branco" No usado
x = Usado
129
ANEXO D: MATRIZ DE PLANEJAMENTO
PROJETO DE AUDITORIA: Auditoria na rea de Informtica, objetivando descrever a situao geral da
informatizao e analisar um Sistema de Informao de forma mais acurada.
PROBLEMA DE AUDITORIA: O Sistema em anlise realiza as principais funes para as quais foi projetado,
oferecendo segurana aos dados da Prefeitura?
PRINCIPAIS INFORMAOES ESTRATGIAS
METODOS DE METODOS DE
CONCLUSOES
QUESTOES NECESSRIAS METODOLGICAS
COLETA DE ANLISE DE LIMITAO
POSSVEIS
DADOS DADOS
1) o Sistema emite os Principais relatrios Consulta aos relatrios. Solicitao. Anlise dos relatrios Pouca Se o Sistema cumpre o
principais relatrios que emitidos pelo Sistema. Entrevista. Uso direto do Sistema. quanto forma e disponibilidade do objetivo de disponibilizar
permitem acompanhar o Identificao do contedo. Gestor do Sistema. informaes aos usurios.
processo informatizado? Gestor. Quadro tcnico
insuficiente.
2) Os dados armazenados Projeto Lgico do Consulta aos dados Solicitao. Testes de tipos de Pacote de Software Se o Sistema confivel
so consistentes? Sistema (DFD, existentes. Navegao Uso direto do Sistema. dados. fechado, adquirido (Dados consistentes).
Dicionrio de Dados, no Sistema Valores mximos, no mercado.
Modelo ER). mlnimos, repetidos.
Projeto Fsico (Layout Teste de domlnio.
das Tabelas) Cruzamentos de
dados.
3) Os dados armazenados Registros mais atuais Consulta aos dados Solicitao. Teste de valores Manuteno do Se a informao fornecida
so atuais, ou seja, o do Banco de Dados. existentes. Uso direto do Sistema. armazenados no Sistema confivel
Sistema alimentado Navegao no Sistema. Banco de Dados. Terceirizada.
regularmente?
4) O Sistema seguro, ou Descrio do Log do Consulta aos dados Solicitao. Testes utilizando Pacote de Software Se o Sistema oferece
seja, possui proteo Sistema. existentes. Uso direto do Sistema. tcnicas de acesso fechado, adquirido segurana
contra acessos indevidos? Descrio da tabela Navegao no Sistema. privilegiado. no mercado. razovel.
de senhas. Regras de Anlise das
validao de senha. informaes obtidas.
5) O Sistema registra Arquivo de Log do Anlise do arquivo de Solicitao. Anlise do arquivo Pacote de Software Se o Sistema registra
adequadamente as Sistema (registro da Log. atravs de instrues fechado, adquirido devidamente as operaes
operaes efetuadas aes dos usurios). SQL. no mercado. ocorridas.
pelos usurios?
6) So realizados backups Planilha de Backup Consulta de dados Solicitao. Restaurao e testes Servios de Se h garantia da
regulares dos dados? existentes Observao direta. para verificar gerenciamento de disponibilidade das
confiabilidade dos CPD terceirizados. informaes
backups.
7) O Sistema est em Legislao atinente ao Consulta da legislao. Solicitao. Anlise da legislao. Falta de informao Se o Sistema est em
conformidade com a Sistema. Observao do cdigo Anlise do cdigo do Gestor quanto conformidade com a
legislao vigente? fonte do Sistema. fonte do Sistema. legislao vigente. Legislao vigente.
130
PRINCIPAIS INFORMAES ESTRATGIAS
METODOS DE METODOS DE
CONCLUSES
COLETA DE ANLISE DE LIMITAO
QUESTES NECESSRIAS METODOLGICAS
DADOS DADOS
POSSVEIS
8) H polticas de Documentos com Consulta Observao direta. Comparao. Ausncia de Se o Sistema e seu
contingncia descrio dos documentao. Entrevista. Estudo de Caso. documentao. ambiente esto preparados
implementadas? procedimentos de Entrevista com os para a ocorrncia de
contingncia adotados. profissionais de eventuais sinistros.
informtica.
9) Existem procedimentos Manual do usurio. Consulta Observao direta. Triangulao. Ausncia de Se h padronizao e
de operao do Sistema documentao. Entrevista. Observao direta. documentao. documentao dos
bem definidos e procedimentos operacionais
implementados?
10) A Performance do Documentao do Navegao no Sistema. Solicitao. Testes de Limitaes no Se a performance do
Banco de Dados e do Banco de Dados. Testes de acesso. Uso direto do Banco Performance. acesso e utilizao Sistema adequada.
Sistema satisfatria? de Dados. do Sistema.
11) O Banco de Dados Documentao do Testes de acesso ao Solicitao. Uso direto Testes de Segurana. Limitaes no Se o Banco de Dados
utilizado seguro? Banco de Dados. Banco de Dados. do Banco de Dados. Verificao dos acesso ao Banco de seguro.
Consulta principais controles Dados
documentao lgicos.
12) O ambiente de Projeto Fsico Observao direta. Solicitao. Estudo de caso Ausncia de Se o ambiente do Sistema
produo e (Descrio do Consulta Observao direta. Documentao. seguro.
desenvolvimento do AmbienteI Hardware, documentao. Entrevista. Pouca
Sistema seguro? Softwares, controles Entrevista com os disponibilidade dos
de acesso) analistas responsveis. tcnicos.
13) H registros de Arquivo extrado da Solicitao dos arquivos. Solicitao ou extrao Formao de uma Sistemas e servios Se houve utilizao irregular
utilizao indevida do Base de Dados. direta dos dados. Base de Dados. Terceirizados. do Sistema.
Sistema? Arquivo de Log do Consultas Base
Sistema (registro dos utilizando instrues
acessos). Sal.
131
PROBLEMA DE AUDITORIA: O grau de Informatizao e de segurana do ambiente atende s necessidades
do jurisdicionado?
PRINCIPAIS INFORMAOES ESTRATEGIAS METODOS DE METODOS DE LlMITAAO CONCLUSOES
QUESTES REQUERIDAS METODOLGICAS OBTENO DE ANLISE DE POSSVEIS
DADOS DADOS
1. Existem Polticas de PDI (Plano Diretor de Consulta de Solicitao Anlise do contedo Documentao Se h Polticas de
Informtica definids e Informtica) ou documentao existente. de Documentos. dos documentos. Insuficiente. Informtica adequadas.
adequadas? documentao similar.
2.Como a estrutura Organograma Consulta aos dados. Observao Direta. Anlise de contedo. Corpo Tcnico Se a estrutura organizacional
organizacional? da Informtica. Questionrio. insuficiente ou relativa Informtica
Entrevista. incapacitado. adequada.
3. O Parque de Informtica Descrio do Parque de Visitas aos ambientes de Entrevistas com Anlise qualitativa e Prazo de Se o grau de
Informtica e da Rede Informtica. usurios. quantitativa. realizao satisfao do
suficiente e adequado de computadores. Questionrio. da Inspeo. usurio alto.
s necessidades do Observao direta.
'urisdicionado?
4. O nmero de Relao do pessoal Pesquisa. Entrevistas. Anlise de contedo. Prazo de Se o quantitativo e o perfil
profissionais adequado tcnico. Observao direta. realizao dos profissionais
s Atribuies dos cargos. da Inspeo. adequado.
necessidades?
5. A Rede de Diagrama Consulta a dados. Questionrio. Anlise de contedo. Perfil de acesso Se a Rede de computadores
Computadores est da Rede. Utilizao da Rede. Anlise qualitativa das inadequado. segura.
configurada de forma Perfis de acesso Observao Direta. configuraes.
segura? Rede.
6. Quais so as garantias Contratos de Consulta a dados. Solicitao. Anlise de contedo Ausncia de Se os contratos
nos contratos acerca de Informtica. contratos garantem a
hardware/software formalizados. continuidade
adquiridos de terceiros? dos servios essenciais.
7. Existe uma Documento Pesquisa. Entrevista. Anlise de contedo. Falta de informao Se h uma Politica de
Poltica de Segurana descrevendo a Solicitao. dos usurios da Segurana vigente.
Corporativa? Poltica de Segurana. Rede.
8. Existe um Plano de Documento Pesquisa. Entrevista. Anlise de contedo Falta de Se h um plano de
Contingncia Corporativo? descrevendo o Solicitao. documentao dos Contingncia para
Plano de Contingncia. procedimentos salvaguardar todo o
adotados. ambiente informatizado.
9. Os links da Rede com a Diagrama da Rede. Consulta a Dados. Entrevista. Anlise de contedo. Perfil de acesso Se o acesso Internet
Internet so seguros? Configurao das Utilizao da Rede. Anlise das inadequado. efetuado de forma segura.
estaes. configuraes.
10. Os softwares utilizados Licenas de uso dos Consulta a Dados. Solicitao. Anlise de contedo. Falta de informao Se h o devido licenciamento
so devidamente softwares. dos profissionais de dos softwares utilizados.
licenciados? informtica.
1 3 ~
PROBLEMA DE AUDITORIA: H irregularidades nas contrataes e execuo contratual dos Sistemas de
Informao da Prefeitura?
PRINCIPAIS INFORMAOES ESTRATEGIAS METODOS DE METODOS DE LlMITAAO CONCLUSOES
QUESTES REQUERIDAS METODOLGICAS OBTENO DE ANLISE DE POSSVEIS
DADOS DADOS
1. Houve danos Contrato e seus Termos Consulta de Solicitao Anlise do contedo Documentao Se h dano administrao
administrao municipal na Aditivos. documentao existente. de Documentos. dos documentos. Insuficiente. No municipal.
contratao da empresa Entrevista. entrega de
CCA? documentos
solicitados.
2. Houve contratao em Demais Contratos e Consulta de Solicitao Anlise do contedo Documentao Se houve contratao em
duplicidade, com mais de respectivos Termos documentao existente. de Documentos. dos documentos e Insuficiente. No duplicidade para o mesmo
um Sistema contratado Aditivos. Observao Direta. anlise do discurso. entrega de objeto.
para a mesma finalidade ? Entrevista. documentos
solicitados.
3. A execuo contratual Contrato e seus Termos Consulta de Solicitao Anlise do contedo Documentao Se h correspondncia entre
est de acordo com o Aditivos. documentao existente. de Documentos. dos documentos e Insuficiente. No o previsto no contrato e o
previsto no instrumento Observao Direta. anlise do discurso. entrega de efetivam,ente executado.
contratual? Entrevista. documentos
solicitados.
4. H irregularidades na Processos de Consulta de Solicitao Anlise do contedo Documentao Se h irregularidades na
atestao dos pagamento relativos s documentao existente. de Documentos. dos documentos. Insuficiente. No atestao dos pagamentos
pagamentos? contrataes. entrega de efetuados s empresas
documentos contratadas.
solicitados.
5. Os processos Iicitat6rios Processos licitat6rios Consulta de Solicitao Anlise do contedo Documentao Se os processos Iicitat6rios
relativos a TI seguem o das contrataes das documentao existente. de Documentos. dos documentos. Insuficiente. No seguiram os preceitos legais.
ordenamento jurdico em empresas envolvidas. entrega de
vigor? documentos
solicitados.
6. Houve atuao do Processos licitat6rios Consulta de Solicitao Anlise do contedo Documentao Se houve atuao do
controle interno no que se das contrataes das documentao existente. de Documentos. dos documentos e Insuficiente. No controle interno no sentido
refere a eventuais empresas envolvidas, Entrevista. anlise do discurso. entrega de de sanar possveis
irregularidades? respectivos pagamentos documentos irregularidades.
e sindicncias. solicitados.
- - -_. -- _. --- --
j