*Carlos Albuquerque Lemos
A crescente utilização da Tecnologia da Informação (TI) na Administração Pública representa um grande desafio para os tribunais de contas. O grande número de sistemas informatizados, a crescente quantidade de informações armazenadas nos bancos de dados, as questões relativas à segurança de informação, as licitações de bens e serviços de TI, a avaliação da governança e das metas de governo são apenas alguns aspectos que envolvem as auditorias de TI realizadas por vários tribunais de contas.
Conforme o Tribunal de Contas da União – TCU, a expressiva materialidade das aquisições relacionadas à Tecnologia da Informação, os recursos geridos por meio de sistemas de informação e o uso intensivo da manipulação e armazenamento de dados resultaram no surgimento de novos riscos e fragilidades. Assim, devido à importância das auditorias de TI, o TCU criou em 2006 a Secretaria de Fiscalização de Tecnologia da Informação – Sefti¹ com o objetivo de fiscalizar o uso dos recursos de Tecnologia da Informação pela Administração Pública Federal.
Outro ponto importante, ainda relacionado ao TCU, é que essa Corte de Contas passou a realizar concursos públicos para o cargo de Auditor de Controle Externo com especialização em Tecnologia da Informação². Isso reforça ainda mais a importância das auditorias de TI realizadas no âmbito do controle externo exercido pelos tribunais de contas. Assim, em simetria com o TCU, vários tribunais de contas no Brasil também realizam concursos públicos para cargos de auditores com especialidade em Tecnologia da Informação.
Cabe destacar que não se deve confundir auditoria de TI com as atividades realizadas pelas equipes de TI dos tribunais de contas. As auditorias de TI são realizadas por auditores com formação específica, lotados em setores responsáveis pela atividade fim dos tribunais – o controle externo, enquanto que as atividades de TI são relacionadas à manutenção da infraestrutura tecnológica, ao desenvolvimento e manutenção de sistemas estruturantes e ao suporte a usuários, dentre outras atividades que também são muito importantes para o funcionamento dos tribunais.
De acordo com Barbosa (2018), em pesquisa realizada em 2018 com 27 tribunais de contas estaduais, constatou-se que oito (30%) Cortes de Contas possuem setor estruturado para auditorias de TI, conforme quadro abaixo:
Tribunais de contas que possuem setor estruturado para auditorias de TI
Adicionalmente, a importância das auditorias de TI também é reforçada pelo Marco de Medições de Desempenho dos Tribunais de Contas – MMD-TC da Associação dos Membros dos Tribunais de Contas do Brasil – Atricon³. Dentre os itens que serão utilizados para avaliação dos tribunais de contas em 2019, pode-se destacar o QATC 24.2 – fiscalização de tecnologia da informação dos jurisdicionados, que aborda temas específicos relacionados à realização das auditorias de TI, conforme o quadro abaixo:
Fonte: https://qatc.atricon.org.br/wp-content/uploads/2015/04/MMD-TC_planilha-base_criterios_v.3-09.05.2019.xlsx
No caso do Tribunal de Contas do Município de São Paulo – TCMSP, embora ainda não possua um setor específico para as auditorias de TI, desde o ano de 2017 vem contando com o Grupo de Auditoria de Tecnologia da Informação – Gati, que foi criado no âmbito da Subsecretaria de Fiscalização e Controle – SFC. Esse grupo é constituído por três auditores com formação em TI, aprovados no concurso público de 2015₄, que vêm trabalhando de forma matricial em apoio às coordenadorias da SFC e, para isso, contam com o apoio do Supervisor e do Coordenador da Coordenadoria III.
Durante o ano de 2018, o Gati atuou em mais de 50 atividades envolvendo auditorias programadas e extraplano, acompanhamento de editais e execuções contratuais de bens e serviços de TI, sistemas de informação, extrações de dados, estudos e pareceres técnicos. Neste ano de 2019, o TCMSP aprovou o Plano Anual de Fiscalização de Tecnologia da Informação – PAF-TI, que possui a previsão de 12 auditorias de TI a serem realizadas em diversos órgãos da Prefeitura Municipal de São Paulo – PMSP. A essas auditorias se somarão outros trabalhos que surgirão ao longo do ano, cuja natureza técnica demande o apoio do Gati.
Outra grande conquista foi a criação do Manual de Auditoria de TI, elaborado pelo Gati e aprovado pela alta direção do tribunal. As técnicas específicas de auditoria são abordadas em anexos do manual denominados Procedimentos Operacionais Padrão-POP, conforme a Política da Qualidade do TCM. O primeiro POP também já foi oficialmente aprovado e versa especificamente sobre a Segurança da Informação e um procedimento padrão para verificação de itens de segurança relacionados a sistemas de informação, instalações de processamento de dados (data centers) e os cuidados relacionados às atividades de Tecnologia da Informação executadas pelos agentes públicos responsáveis por esses serviços.
O Município de São Paulo possui uma população de mais de 12 milhões de habitantes, 32 subprefeituras, 26 secretarias, uma empresa estatal de Tecnologia da Informação e Comunicação, várias empresas e fundações públicas e um orçamento de 60 bilhões de reais. Esses órgãos municipais administram mais de 500 bases de dados utilizadas por cerca de 40 tecnologias distintas e centenas de aplicativos espalhados por milhares de unidades administrativas, dentre as quais se encontram as secretarias, mais de 1800 escolas, cerca de 400 unidades de saúde (hospitais, UBS, etc.), terminais de ônibus, centrais de monitoramento e despacho, bibliotecas, teatros e muitas outras.
Essa multiplicidade de sistemas e suas interconexões apresentam um grande desafio para o controle externo exercido pelo TCMSP. O número cada vez maior de sistemas informatizados, complexos e inter-relacionados, propicia vulnerabilidades e riscos ao recurso que é cada vez mais crítico e estratégico para a Administração Pública – a informação.
Dessa forma, as auditorias de TI realizadas pelo TCU, por vários tribunais de contas estaduais e pelo Tribunal de Contas do Município de São Paulo são indispensáveis para o controle externo, pois possibilitam a fiscalização e o controle dos sistemas de informação, da eficiência na aquisição dos bens e serviços de TI, da qualidade dos dados estratégicos e da conformidade com as leis e as regras que regem a Administração Pública.
REFERÊNCIA
BARBOSA, Reuben Bezerra. A aderência do controle externo de tecnologia da informação às normas internacionais de auditoria: o caso do tribunal de contas do estado do Ceará. 2018. Dissertação (Mestrado em Administração e Controladoria) – Universidade Federal do Ceará.
* Carlos Albuquerque Lemos – Auditor de Controle Externo do Tribunal de Contas do Município de São Paulo, graduado em Redes de Computadores pela UCB/RJ, graduado em Análise e Desenvolvimento de Sistemas pela Unicesumar/PR, especialista em Gestão de Projetos pela UGF/RJ, especialista em Finanças e Orçamento Público pela FGF/CE e bacharelando em Engenharia de Software pela Unicesumar/PR.
1 https://portal.tcu.gov.br/fiscalizacao-de-tecnologia-da-informacao/home/. Acesso em: 16 jun. 2019.
2 https://portal.tcu.gov.br/concursos/concursos-em-andamento/aufc-2015.htm. Acesso em: 17 jun. 2019.
3 <https://qatc.atricon.org.br/> Acesso em: 16 jun. 2019.
4 https://fgvprojetos.fgv.br/concursos/tcm-sp Acesso em: 17 jun. 2019.