TRIBUNAL DE CONTAS DA UNIO

Auditoria de TI no TCU
Experincias, Resultados e Desafios

Daniel Jezini, CISA

Secretaria de Fiscalizao de Tecnologia da Informao Tribunal de Contas da Unio

Seminrio TI e Controle Externo, Tribunal de Contas de Pernambuco

Recife-PE, 2 de dezembro de 2011

Agenda

A Secretaria de Fiscalizao de TI Experincias Resultados Desafios

O tamanho do oramento de TI

Governo grande contratador de TI

Em 2004, ~23% do mercado de outsourcing de TI
(E-Consulting apud GONALVES; OLIVEIRA, 2004)

Em 2007, gastos com TI: R$ 6B

(Ac1934/2007-P, primeira aproximao, sem detalhes)

Em 2010 (Sidor + Dest) Oramento total de TI: R$ 12,5B Em 2011 (Sidor + Dest) Oramento total de TI: R$ 18,1B

A APF gasta bem esse dinheiro? ...

3

Deliberaes do TCU sobre contrataes de servios de TI

Mas o problema s o mau gasto? ...

Fonte: Pesquisa textual na base do Sistema Juris (TCU)

Quanto a APF e o cidado dependem de TI hoje?

O que ocorreria se falhassem, por exemplo, os sistemas que controlam ...

... os processos judiciais? ... as publicaes da Imprensa Nacional? ... o recebimento da declarao do IRPF? ... o SIAFI? ... as eleies brasileiras? ... o trfego areo? ... o pagamento do Bolsa Famlia? ... o pagamento de servidores e aposentados?

Se o risco to grande, qual a ao do TCU? ...

Criao da Sefti

Criada em agosto de 2006

A Secretaria de Fiscalizao de Tecnologia da Informao tem por finalidade fiscalizar a gesto e o uso de recursos de tecnologia da informao pela Administrao Pblica Federal. Resoluo TCU 193/2006

Quantos somos
28 servidores: 26 auditores e 02 tcnicos

Estrutura
03 diretorias de fiscalizao de governana de TI, 02 assessorias e 01 servio de administrao

Competncia profissional

Formao em reas de tecnologia

Cincia da Computao, Engenharia e afins

Certificaes
12 CISA (Certified Information Systems Auditor) 2 CGEIT (Certified in the Governance of Enterprise) 2 CGAP (Certified Government Auditor Professional) 2 Auditor Lder (ISO/NBR 27001) 1 CISSP (Certified Information Systems Security Professional) 1 CIA (Certified Internal Auditor)

Mestrados 5 servidores MBA 8 servidores

O que j realizamos 2007-2011

Processos (181) Fiscalizaes (101) Palestras ministradas (110) Treinamentos ministrados (26) Orientaes Formais aos Gestores Cartilha de Boas Prticas em Segurana da Informao - 3 edio Base de Normas e Jurisprudncia de TI www.tcu.gov.br/fiscalizacaoti Notas tcnicas Avaliao de Governana de TI (iGovTI) - 2 edio

O que j realizamos 2007-2010

Notas Tcnicas
1 Termo de Referncia 2 Uso do Prego 3 Credenciamento de licitantes pelos fabricantes 4 Amostra 5 Certificao para qualidade de processo de software 6 Nveis de Servio em Contratos de TI
Divulgao

Negcio Controle externo da governana de tecnologia da informao na Administrao Pblica Federal Misso Assegurar que a tecnologia da informao agregue valor ao negcio da Administrao Pblica Federal em benefcio da sociedade Viso Ser unidade de excelncia no controle e no aperfeioamento da governana de tecnologia da informao

11

Fonte: Cobit 5

Agenda

A Secretaria de Fiscalizao de TI Experincias Resultados Desafios

reas de atuao - Governana

Controles gerais Programas e polticas Sistemas Dados Segurana Infraestrutura Contrataes

Fiscalizao operacional e/ou conformidade

14

Principais trabalhos realizados

15

Principais trabalhos realizados - 2011

Auditoria no sistema Comprasnet portal de compras do Governo Federal recursos geridos em 2009: R$ 16,8 bilhes Objetivos verificar a consistncia e a confiabilidade dos dados dos sistemas se a existncia de inconsistncias e a ausncia de controles internos possibilitam a ocorrncia de irregularidades
Acrdo 1793/2011 TCU Plenrio Relator: Ministro Valmir Campelo

Principais trabalhos realizados - 2011

Auditoria no sistema Comprasnet Principais achados contratao de empresas cujos scios so servidores pblicos do prprio rgo contratante existncia de licitantes reiteradamente desclassificados por no atenderem aos editais ou no honrarem suas propostas contratao de empresas declaradas inidneas; existncia de contrataes decorrentes de registro de preo cujo quantitativo superior a 100% do definido em ata; ...

Em andamento

Acompanhamento de Editais TC 017.316/2011-1

Regimento Interno: Art. 241. Acompanhamento o instrumento de fiscalizao utilizado pelo Tribunal para: I examinar, ao longo de um perodo predeterminado, a legalidade e a legitimidade dos atos de gesto dos responsveis sujeitos a sua jurisdio, quanto ao aspecto contbil, financeiro, oramentrio e patrimonial;

Agenda

A Secretaria de Fiscalizao de TI Experincias Resultados Desafios

Deliberaes do TCU sobre contrataes de servios de TI

Criao da SEFTI

Fonte: Pesquisa textual na base do Sistema Juris (TCU)

Acrdos estruturantes

1.603/2008

1.827/2008

371/2008 353/2008 786/2006

OGS
2.094/2004

2.471/2008 2.079/2009 2.308/2010

E outros que esto por vir...

Tm a responsabilidade por normatizar e fiscalizar o uso e a gesto de TI em seus respectivos segmentos da Administrao Pblica Federal
(Voto do Acrdo 1.145/2011-TCU-Plenrio)

rgos Governantes Superiores (OGS)

rgos governantes superiores de TI (OGS)

AGU CGU CNJ CNMP Dest/MP Enap/MP GSI/PR SLTI/MP SOF/MP STN/MF

Alguns resultados

Judicirio
CNJ Resoluo n 70, de 18.03.2009 dispe sobre o Planejamento e a Gesto Estratgica no mbito do Poder Judicirio CNJ Resoluo n 99, de 24.11.2009 dispe sobre o Planejamento Estratgico de TI no mbito do Poder Judicirio

Executivo
GSI/PR IN GSI/PR n 01, de 13.06.2008 disciplina a Gesto de Segurana da Informao na Administrao Pblica Federal GSI/PR 9 Notas Complementares (entre outubro de 2008 e novembro de 2010)

Alguns resultados

Executivo
MP IN/SLTI 04/2008, de 19.05.2008 dispe sobre processo de trabalho para contrataes de TI MP Portaria 63, de 27.03.2009 e Portaria n 107 de 04.03.2010 autorizam a realizao de concurso pblico para provimento e a contratao de 230 Analistas de TI MP Induo da previso e execuo das despesas de TI no OGU (Acrdo n 371/2008 Plenrio)

Benefcios das aes de controle

Financeiros: R$ 7,5 bilhes (2007-2010) Relao custo/benefcio: R$ 1 para R$ 366 Dbitos, multas, economias e ganhos Benefcios no financeiros melhorias na organizao administrativa, nos controles internos e na forma de atuao dos rgos fiscalizados; fornecimento de subsdios para a atuao do Ministrio Pblico e do Congresso Nacional; recomendaes para aprimoramento de normas.

Benefcios das aes de controle

Maior conformidade com: O devido planejamento da contratao DL 200/67, IN 4/2010 SLTI/MP Contratao de servios comuns por prego Lei 10.520/2002 Contratao com remunerao por resultados Dec. 2.271/97, IN 4/2010, Acrdos 786/2006, 2.471/2008 e muitos outros.

Agenda

A Secretaria de Fiscalizao de TI Experincias Resultados Desafios

Principais desafios

Desafios Tcnicos

Tarefa: TMS - Sistemas informatizados de gesto das empresas estatais Objetivo: Avaliar o tratamento dado aos riscos existentes e as prticas de governana adotadas pelas empresas estatais no uso de sistemas integrados de gesto, tambm chamados de Enterprise Resource Planning (ERP).

TMS Sistemas informatizados de gesto das empresas estatais

Como definir escopo? Questes de auditoria divididas entre os seguintes temas: 1) Auditoria Interna 2) controles gerais 3) controles de aplicao 4) contratos de sustentao

Desafios Humanos - Competncias profissionais necessrias

Para um projeto desse porte e complexidade: 1) Gesto de projetos 2) Tcnicas de auditoria 3) Auditoria de TI Contratos Sistemas Dados Controles gerais

Desafios normativos

Adeso a atas de registro de preos Decreto 3931/01 Como deveria ser?

Em que situaes (Decreto 3.931/2001, art. 2)

Art. 2 Ser adotado, preferencialmente, o SRP nas seguintes hipteses:

I - quando, pelas caractersticas do bem ou servio, houver necessidade de contrataes frequentes; II - quando for mais conveniente a aquisio de bens com previso de entregas parceladas ou contratao de servios necessrios Administrao para o desempenho de suas atribuies; III - quando for conveniente a aquisio de bens ou a contratao de servios para atendimento a mais de um rgo ou entidade, ou a programas de governo; e IV - quando pela natureza do objeto no for possvel definir previamente o quantitativo a ser demandado pela Administrao.

Porm, o decreto tambm previu...

O carona (Decreto 3.931/2001, art. 8)

A Ata de Registro de Preos, durante sua vigncia, poder ser utilizada por qualquer rgo ou entidade da Administrao que no tenha participado do certame licitatrio, mediante prvia consulta ao rgo gerenciador, desde que devidamente comprovada a vantagem.

Desafios normativos (SRP)

Efeitos colaterais SRP tem sido usado para ... ... contornar contingenciamento ... evitar contratao por dispensa ... escolher marca ou empresa A jurisprudncia comea a tomar forma...

Desafios normativos (SRP)

SRP (conceitos em consolidao): Planejamento conjunto a regra, no a carona Carona no um tipo de dispensa de licitao, mas adeso a quantitativo efetivamente licitado Quantitativo o da Ata e no por contrato Quantitativo um s, gerido pelo gestor da Ata Servios personalizados no podem ter carona Carona contaminado na eventual ilegalidade da Ata Contrato de SRP vincula-se ao Edital e Ata

Concluso

TI tornou-se estratgica (o meio pelo qual o negcio se expressa) H muito dinheiro sendo investido em TI, mas e o resultado? TI deve ser uma das prioridades do Controle Externo, em razo do elevado benefcio de controle associado

Concluso

Controles fundamentais: Os dirigentes mximos avaliam, dirigem e monitoram o uso e a gesto de TI para a produo de valor de negcio com risco controlado? Os rgos governantes superiores estabeleceram normas adequadas para o uso e a gesto de TI? As auditorias internas so efetivas no controle do uso e da gesto de TI?

TRIBUNAL DE CONTAS DA UNIO

Auditoria de TI no TCU
Experincias, Resultados e Desafios

Daniel Jezini, CISA

Secretaria de Fiscalizao de Tecnologia da Informao Tribunal de Contas da Unio

sefti@tcu.gov.br
Seminrio TI e Controle Externo, Tribunal de Contas de Pernambuco

Recife-PE, 2 de dezembro de 2011