AUDITORIA DE TI NA CGU:

Proposta de Modelo de Implementação de

Auditoria de Tecnologia da Informação no
âmbito da Controladoria-Geral da União

PROGRAMA DE PÓS-GRADUAÇÃO
ADVOCACIA-GERAL DA UNIÃO - AGU
CÂMARA DOS DEPUTADOS - CD
CONTROLADORIA-GERAL DA UNIÃO - CGU
TRIBUNAL DE CONTAS DA UNIÃO - TCU
Índice

Objetivos

Motivação

Diagnóstico de Auditoria de TI no âmbito da SFC

Modelo Proposto

Conclusão

Bibliografia
Objetivos
Objetivos

Objetivos Específicos:

Fazer um diagnóstico da Auditoria de
Tecnologia da Informação (TI) dentro da SFC.

Apresentar proposta de modelo para
implementação de Auditoria de TI no âmbito
da CGU.
Objetivos (cont.)

Objetivos Secundários:

Levantar a discussão dentro da SFC sobre a
criação de Coordenações voltadas a temas
específicos;

Contribuir para a conscientização dos Gestores
Públicos na melhoria da Governança de TI e da
Segurança da Informação;

Contribuir para a demonstração da necessidade
de legislação específica que regule a TI dentro da
APF.
Motivação
A TI dentro da APF

Altos investimentos em TI.

De 2002 a 2006: investimento superior a R$26 bilhões.
Descrição 2002 2003 2004 2005 2006

Subelementos de TI (OFSS) 2.036.284.489,57 1.870.242.033,40 2.322.875.424,48 2.572.695.553,92 2.657.370.973,08

Subfunção Tecnologia da 1.024.551.927,07 971.216.010,01 621.302.338,78 912.656.959,51 1.060.686.897,57

Informação excluídos os
subelementos de TI

Empresas Estatais 1.090.337.577,00 1.468.532.159,00 1.781.696.550,00 1.686.118.044,00 1.515.333.994,00

SERPRO (subfunção 126) (no OFSS) (no OFSS) 843.174.107,53 1.043.704.402,63 1.292.195.461,67

Total 4.151.175.995,64 4.309.992.205,41 5.569.050.424,79 6.215.176.965,06 6.525.589.332,32

Crescimento anual - 4% 29% 12% 5%

Crescimento em relação a 2002 - 4% 34% 50% 57%

Fonte: Trabalho de levantamento de gastos em TI na APF (TCU, 2008a).

Alto valor das informações geridas pela Tecnologia.

A TI dentro da APF - Problemas

Aumento da dependência das atividades do setor
público nos processos de TI e nas informações
resultantes.

Falta de alinhamento entre o objetivos de negócio da

APF e a aquisição de produtos e serviços de TI, ou
seja, ausência de Governança de TI.

Dificuldade de responsabilização.

QUESTÃO: COMO CONTROLAR ESSES

INVESTIMENTOS DE FORMA A EVITAR TAIS
PROBLEMAS?
A Auditoria de TI na APF

Em geral, as Auditorias de TI são ad hoc (existem
exceções, como as instituições financeiras);

Falta de padronização;

Ausência de uma linguagem comum;

Abrangência da Auditoria de TI: Gestão de TI,
Dados, Softwares, Infra-Estrtura, Segurança da
Informação, Licitações e Contratos de TI.

Lacunas legais:

Acesso não autorizado aos sistemas.

Interceptação não autorizada de informações.

Uso não autorizado de sistemas de informática.

Alteração de dado ou programa de computador.

Difusão de vírus eletrônico.
A Auditoria de TI na APF (cont.)

De acordo com pesquisa do TCU (2008b):

Apenas 40% dos 255 Órgãos/Entidades
declararam ter realizado Auditoria de TI nos
últimos 5 anos;

Dentre esses, 68% executaram, no máximo, uma
Auditoria de TI por ano.

Apenas 19% declararam possuir equipe interna
de Auditoria de TI.

O Acórdão 1.603/2008 – Plenário do TCU
recomenda à CGU que realize regurlamente
auditorias de TI e/ou promova ações para
estimular a realização dessas auditorias nos
Órgãos/Entidades da APF.
Diagnóstico da Auditoria de TI no
âmbito da SFC
Metodologia

Forma: Aplicação de questionários online.

Ferramenta: Google Docs.

Período de Aplicação: de 24/09/2009 a 09/10/2009.

Universo (Censo):

24 Coordenadores-Gerais de Unidades
finalísticas.

47 servidores de TI de Unidades finalísticas.

Participação:

20 Coordenadores-Gerais (83,33%)*.

44 servidores de TI (93,61%).
Resultados

Perda de aproximadamente 23%, de 2004 a 2009, dos
servidores de TI da CGU;

76% dos Coordenadores e 75% dos servidores de TI afirmaram
que a necessidade de Auditoria de TI em suas Unidades é
Alta ou Muito Alta;

75% dos servidores realizam trabalhos de Auditoria Comum
Muitas Vezes ou Sempre, enquanto apenas 29,54% executam
a ações de controle com foco em TI na mesma frequência;

Eventualmente, Muitas Vezes ou Sempre, observa-se que
63,64% dos colaboradores da pesquisa executam trabalhos
relacionados à informática (sem foco em Auditoria);

70% de todos os participantes da pesquisa consideraram que
suas Coordenações se enquadram no Nível de Maturidade “1 –
Inicial /Ad-Hoc”.
 Resultados (cont.)
Dificuldades Coordenadores Servidores
Tempo insuficiente para a realização dos trabalhos. 38% 41%
Falta de apoio da alta administração. 10% 80%
Não é uma prioridade dentro da Coordenação. 19%
Falta de prioridade dentro da Coordenação. 55%
Falta de incentivo dentro da Coordenação. 32%
Falta de servidores capacitados em Auditoria de TI. 62%
Deficiência na capacitação para esse tipo de auditoria. 77%
Deficiência nos procedimentos de Auditoria de TI. 48% 66%
Deficiência de recursos tecnológicos. 38% 45%
Ausência de uma linguagem comum ou padrão dentro da SFC
52% 73%
sobre Auditoria de TI.
Falta de apoio técnico sobre Auditoria de TI. 38% 75%
Inexistência de um núcleo consultivo de Auditoria de TI dentro
38% 80%
da SFC.
Outras. 5% 9%
Modelo Proposto
Modelo

Proposta: Criação de escritório de projetos de
Auditoria de TI na SFC, a Coordenação-Geral de
Auditoria de Tecnologia da Informação (GSTIN).

Auditoria de TI como projeto:

Esforço temporário;

Criação de produto, serviço ou resultado exclusivo
(PMBOK 2008).

Escritório de Projetos: “corpo ou entidade
organizacional à qual são atribuídas várias
responsabilidades relacionadas ao gerenciamento
centralizado e coordenado dos projetos sob seu
domínio” (PMBOK 2008).
Organograma da SFC com GSTIN
Organograma da GSTIN
Estrutura matricial balanceada
Requisitos de Implantação

Projeto Básico;

Concurso Público;

Formação de Equipe;

Recursos tecnológicos;

Plano de Comunicação;

Capacitação em
gerenciamento de projetos,
licitações e contratos, TI e
Auditoria de TI;

Mapeamento técnico das
necessidades de Auditoria
de TI;

Testes piloto;

Correções;

Planejamento dos
trabalhos sistemáticos;

Fornecimento de apoio
técnico e treinamento;

Banco de práticas da
iniciativa privada; e

Capacitação e melhoria
contínuas.
Conclusão
 Criação da GSTIN
Principais Problemas Soluções

Subaproveitamento de
Realização de auditorias
servidores de TI; especializadas em TI e

Falta de capacitação em melhoria do gerenciamento;
Auditoria de TI;
Capacitação em Auditoria

Ausência de linguagem de TI;
comum ou padrão dentro
Padronização da Auditoria
da SFC em Auditoria de de TI no âmbito da SFC;
TI;
Fornecimento de apoio

Inexistência de núcleo técnico para as demais
consultivo de Auditoria de Unidades da SFC.
TI dentro da SFC.
Criação da GSTIN

Consequências:

Elevação do nível de maturidade da Auditoria de TI na
SFC;

Aumento da capacidade técnica em Auditoria de TI;

Melhor aproveitamento do conhecimento de servidores
de TI;

Padronização de uma linguagem de Auditoria de TI na
SFC;

Elevação da qualidade dos trabalhos; e

Expansão da capacidade de atuação da SFC em
Auditoria de TI.
Trabalhos Futuros

A realização de um mapeamento técnico, junto aos Órgãos e
Entidades da Administração Pública dos possíveis objetos de
Auditoria de TI, com a finalidade de se identificarem os
trabalhos que possam ser escopo das ações de controle.

A elaboração de metodologia de Auditoria de TI baseada nas

melhores práticas de Gerenciamento de Projetos.

A elaboração de novos procedimentos de Auditoria de TI e a

atualização daqueles já existentes com base nos critérios mais
aceitos e na legislação brasileira. Tal processo é iterativo e
deve sofrer melhoria contínua.
Bibliografia

BRASIL. Tribunal de Contas da União. Acórdão nº 1.603 - Plenário.
2008. Levantamento do referencial estratégico da Secretaria de
Fiscalização de Tecnologia da Informação (Sefti). Brasília, 2008.

GOOGLE. Google Docs. Disponível em
<http://www.docs.google.com>. Acesso em: 5 ago. 2009.

PROJECT MANAGEMENT INSTITUTE. A guide to the Project
Management Body of Knowledge (PMBOK® Guide), Quarta Edição,
2008.

TRIBUNAL DE CONTAS DA UNIÃO. Relatório de Levantamento de
Auditoria elaborado no âmbito da Secretaria de Auditoria de
Tecnologia da Informação – SEFTI (Gastos em Tecnologia da
Informação na Administração Pública Federal), TC nº 007.972/2007-8.
Brasília, 2008.
Bibliografia (Cont.)

TRIBUNAL DE CONTAS DA UNIÃO. Sumário Executivo: Levantamento acerca
da Governança de Tecnologia da Informação na Administração Pública Federal,
2008. Disponível em
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_inform
acao/sumarios>. Acesso em: 17 out. 2009.

TRIBUNAL DE CONTAS DA UNIÃO. Sumário Executivo: Levantamento do
Referencial Estratégico da Secretaria de Fiscalização de Tecnologia da
Informação, 2008. Disponível em
<http://portal2.tcu.gov.br/portal/page/portal/TCU/comunidades/tecnologia_inform
acao/sumarios>. Acesso em: 10 out. 2009.

TRIBUNAL DE CONTAS DA UNIÃO. Auditoria da Sefti alerta para situação
preocupante da governança de TI. Informativo do Tribunal de Contas da União,
ano XXIII, nº 152, 27 nov. 2008.
FIM
Agradecimentos
Esse trabalho é dedicado a todos que combatem a corrupção no País e
lutam por uma administração mais eficaz, eficiente e efetiva dos
recursos públicos.

Agradeço a Deus por tudo, a minha mãe Vera pelo constante apoio, a
meu namorado Rafael pelo incentivo, ao meu orientador André pelo
direcionamento, aos professores desse Curso pelas novas visões
apresentadas, aos queridos amigos que participaram ativamente desse
projeto, a minha Coordenadora e a meus colegas de trabalhos pela
compreensão e aos Coordenadores-Gerais e servidores que
contribuíram tão prontamente com a coleta de informações.

Obrigada a todos vocês!

Contato: maira.hanashiro@cgu.gov.br
Deficiências em Governança de TI
(TCU, 2008d)