Auditoria: Auditoria de TI no Setor Público

A crescente digitalização dos processos governamentais e a adoção de tecnologias emergentes no setor público trouxeram consigo a necessidade imperativa de garantir a segurança, integridade, disponibilidade e eficiência dos sistemas de informação. Nesse contexto, a auditoria de Tecnologia da Informação (TI) desponta como um instrumento fundamental de controle e governança, especialmente no âmbito dos Tribunais de Contas, responsáveis por zelar pela regularidade e eficácia da gestão pública.

A auditoria de TI no setor público transcende a mera verificação de conformidade técnica, assumindo um papel estratégico na avaliação de riscos, na mitigação de vulnerabilidades e na promoção da transparência e da prestação de contas. Este artigo explora as nuances da auditoria de TI no setor público, abordando sua importância, os desafios inerentes à sua prática e as melhores práticas para a condução de auditorias eficazes, com foco na atuação dos Tribunais de Contas.

O Papel Estratégico da Auditoria de TI nos Tribunais de Contas

A auditoria de TI, quando conduzida pelos Tribunais de Contas, assume uma relevância ímpar, pois atua como um mecanismo de controle externo, avaliando a gestão de TI nos órgãos públicos e assegurando que os recursos tecnológicos sejam utilizados de forma eficiente, eficaz e em consonância com os princípios da administração pública.

A atuação dos Tribunais de Contas na auditoria de TI se desdobra em diversas frentes, incluindo:

1. Avaliação da Governança de TI: A auditoria verifica se a organização possui estruturas de governança de TI adequadas, como comitês de TI, políticas de segurança da informação, planos diretores de TI (PDTI) e processos de gestão de riscos.
2. Análise de Contratos de TI: A auditoria examina a legalidade, a economicidade e a eficiência dos contratos de aquisição de bens e serviços de TI, verificando se os processos licitatórios foram conduzidos de forma transparente e se os serviços contratados estão sendo prestados de acordo com os termos estabelecidos.
3. Avaliação de Sistemas Críticos: A auditoria avalia a segurança, a disponibilidade e a integridade dos sistemas de informação essenciais para a prestação de serviços públicos, identificando vulnerabilidades e propondo medidas corretivas.
4. Auditoria de Projetos de TI: A auditoria acompanha o desenvolvimento e a implementação de projetos de TI, verificando se os prazos, os custos e os requisitos estão sendo cumpridos e se os resultados esperados estão sendo alcançados.

Fundamentação Legal e Normativa

A auditoria de TI no setor público encontra amparo legal em diversos diplomas normativos, que estabelecem princípios, diretrizes e obrigações para a gestão de TI nos órgãos públicos. Destacam-se:

• Constituição Federal de 1988: O artigo 70 estabelece a competência do Tribunal de Contas da União (TCU) para a fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e das entidades da administração direta e indireta. O artigo 71, por sua vez, detalha as atribuições do TCU, incluindo a realização de inspeções e auditorias de natureza contábil, financeira, orçamentária, operacional e patrimonial.
• Lei nº 8.666/1993 (Lei de Licitações e Contratos Administrativos): A lei estabelece normas gerais sobre licitações e contratos administrativos pertinentes a obras, serviços, inclusive de publicidade, compras, alienações e locações no âmbito dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios.
• Lei nº 14.133/2021 (Nova Lei de Licitações e Contratos Administrativos): A nova lei substitui a Lei nº 8.666/1993, modernizando as regras de licitação e contratação pública, com destaque para a obrigatoriedade do planejamento das contratações e a utilização de meios eletrônicos.
• Decreto nº 8.135/2013: O decreto dispõe sobre as comunicações de dados da administração pública federal direta, autárquica e fundacional, estabelecendo diretrizes para a contratação de serviços de telecomunicações e de provimento de acesso à internet.
• Instrução Normativa SGD/ME nº 1/2019: A instrução normativa estabelece diretrizes para a gestão de riscos de TI no âmbito da administração pública federal, definindo os processos e as responsabilidades para a identificação, a avaliação, o tratamento e o monitoramento dos riscos de TI.
• Resolução CNJ nº 332/2020: A resolução institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), estabelecendo diretrizes e metas para a modernização tecnológica do Poder Judiciário.

Jurisprudência e Normativas Relevantes

A jurisprudência dos Tribunais de Contas, em especial do TCU, tem se consolidado no sentido de exigir maior rigor na gestão de TI dos órgãos públicos, com ênfase na governança, na segurança da informação e na transparência das contratações.

Destacam-se as seguintes decisões e normativas:

• Acórdão nº 2.585/2012 - Plenário (TCU): O acórdão determinou a realização de auditorias anuais de governança de TI em órgãos e entidades da administração pública federal, com o objetivo de avaliar a maturidade da gestão de TI e promover a adoção de melhores práticas.
• Acórdão nº 1.233/2012 - Plenário (TCU): O acórdão estabeleceu diretrizes para a contratação de serviços de TI, exigindo a realização de planejamento prévio, a definição clara dos requisitos e a adoção de critérios de avaliação de desempenho.
• Acórdão nº 2.471/2008 - Plenário (TCU): O acórdão determinou a adoção de medidas para garantir a segurança da informação nos órgãos públicos, incluindo a elaboração de políticas de segurança, a realização de testes de invasão e a implementação de controles de acesso.

Desafios e Melhores Práticas

A auditoria de TI no setor público enfrenta diversos desafios, que exigem dos auditores conhecimento técnico especializado, capacidade analítica e atualização constante. Destacam-se:

1. Complexidade Tecnológica: A rápida evolução tecnológica e a adoção de soluções complexas, como computação em nuvem, inteligência artificial e blockchain, exigem dos auditores o domínio de novos conceitos e ferramentas.
2. Falta de Padronização: A ausência de padrões e metodologias unificadas para a gestão de TI nos órgãos públicos dificulta a realização de auditorias comparativas e a identificação de melhores práticas.
3. Escassez de Profissionais Qualificados: A demanda por profissionais de TI qualificados, tanto para a gestão quanto para a auditoria, supera a oferta, o que pode comprometer a eficácia das ações de controle.

Para superar esses desafios e garantir a eficácia da auditoria de TI, é fundamental a adoção de melhores práticas, tais como:

• Capacitação Contínua: Os auditores devem investir em capacitação contínua, buscando atualização sobre as novas tecnologias, as metodologias de auditoria e as normas e regulamentações aplicáveis.
• Utilização de Ferramentas de Auditoria: A utilização de ferramentas de auditoria assistida por computador (CAATs) e de análise de dados (Data Analytics) permite a automatização de tarefas, a identificação de anomalias e a realização de análises mais aprofundadas.
• Abordagem Baseada em Riscos: A auditoria deve adotar uma abordagem baseada em riscos, priorizando as áreas e os sistemas de maior criticidade e direcionando os esforços para a mitigação dos riscos mais significativos.
• Integração com a Auditoria Interna: A auditoria de TI deve atuar de forma integrada com a auditoria interna dos órgãos públicos, compartilhando informações e coordenando as ações de controle.

Orientações Práticas para Profissionais do Setor Público

Para os profissionais do setor público (defensores, procuradores, promotores, juízes, auditores) que atuam na fiscalização e no controle da gestão de TI, é fundamental:

1. Conhecer a Legislação e a Normativa: É essencial o domínio da legislação e da normativa aplicáveis à gestão de TI, incluindo as leis de licitações e contratos, as normas de segurança da informação e as resoluções dos Tribunais de Contas.
2. Entender os Riscos de TI: É importante compreender os riscos de TI inerentes às atividades do órgão público, como riscos de segurança, riscos de continuidade de negócios e riscos de conformidade.
3. Solicitar Informações e Documentos: Os profissionais devem solicitar aos gestores de TI informações e documentos que comprovem a regularidade e a eficácia da gestão de TI, como o PDTI, as políticas de segurança da informação e os relatórios de auditoria interna.
4. Acompanhar as Decisões dos Tribunais de Contas: É recomendável acompanhar as decisões e as orientações dos Tribunais de Contas sobre a gestão de TI, buscando alinhar as práticas do órgão público com as melhores práticas recomendadas.

Conclusão

A auditoria de TI no setor público é um instrumento essencial para garantir a segurança, a integridade, a disponibilidade e a eficiência dos sistemas de informação, bem como a transparência e a prestação de contas na gestão dos recursos tecnológicos. A atuação dos Tribunais de Contas, aliada à capacitação contínua dos auditores e à adoção de melhores práticas, é fundamental para o aprimoramento da governança de TI no setor público e para a construção de uma administração pública mais eficiente, eficaz e segura.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.