Prática: Auditoria de TI no Setor Público

A auditoria de Tecnologia da Informação (TI) no setor público deixou de ser um diferencial e tornou-se um requisito indispensável para a governança e a accountability governamental. Com a crescente digitalização dos serviços públicos e o volume exponencial de dados processados pelo Estado, a eficiência, a segurança e a legalidade das operações de TI são fundamentais para a garantia dos direitos dos cidadãos e a otimização dos recursos públicos.

Este artigo aborda a prática da auditoria de TI no contexto dos Tribunais de Contas, explorando a base legal, a jurisprudência, as normas aplicáveis e as orientações práticas para os profissionais que atuam na fiscalização e no controle da administração pública.

A Base Legal da Auditoria de TI no Setor Público

A Constituição Federal de 1988 estabelece, em seu artigo 70, o dever de prestar contas por qualquer pessoa física ou jurídica, pública ou privada, que utilize, arrecade, guarde, gerencie ou administre dinheiros, bens e valores públicos. A fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e das entidades da administração direta e indireta, quanto à legalidade, legitimidade, economicidade, aplicação das subvenções e renúncia de receitas, é exercida pelo Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada Poder.

A Lei nº 8.443/1992 (Lei Orgânica do Tribunal de Contas da União - TCU) consolida a competência do TCU para realizar auditorias e inspeções, abrangendo também a área de TI. O artigo 1º, inciso I, da referida lei, explicita a competência do Tribunal para julgar as contas dos administradores e demais responsáveis por dinheiros, bens e valores públicos da administração direta e indireta, incluídas as fundações e sociedades instituídas e mantidas pelo Poder Público federal.

No âmbito estadual e municipal, as Leis Orgânicas dos Tribunais de Contas espelham as competências do TCU, adaptando-as às realidades locais. A Lei de Responsabilidade Fiscal (Lei Complementar nº 101/2000) também impõe rigorosos controles sobre a gestão pública, exigindo transparência e eficiência, o que engloba a gestão de TI.

A Lei de Acesso à Informação (Lei nº 12.527/2011) e a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD) trouxeram novos desafios e obrigações para a administração pública, exigindo que a auditoria de TI avalie a conformidade com as normas de transparência e proteção de dados.

Jurisprudência e Normativas Relevantes

A jurisprudência do TCU e dos Tribunais de Contas Estaduais (TCEs) tem se consolidado no sentido de exigir maior rigor na gestão de TI. Acórdãos recentes do TCU, por exemplo, têm determinado a adoção de boas práticas de governança de TI, como a implementação do COBIT (Control Objectives for Information and Related Technology) e da ITIL (Information Technology Infrastructure Library).

As normas emanadas pelos Conselhos Nacionais, como o Conselho Nacional de Justiça (CNJ) e o Conselho Nacional do Ministério Público (CNMP), também estabelecem diretrizes e requisitos para a gestão de TI em seus respectivos órgãos. A Resolução CNJ nº 370/2021, que institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), é um exemplo de normativa que orienta a atuação dos tribunais e, consequentemente, a auditoria de TI.

A Norma ABNT NBR ISO/IEC 27001, que trata de sistemas de gestão da segurança da informação, e a ABNT NBR ISO/IEC 27002, que estabelece código de práticas para controles de segurança da informação, são referenciais fundamentais para a auditoria de TI no setor público, auxiliando na avaliação da segurança e da confidencialidade dos dados.

A Prática da Auditoria de TI: Fases e Procedimentos

A auditoria de TI no setor público, assim como em qualquer outra área, segue um ciclo de vida que compreende o planejamento, a execução, a comunicação dos resultados e o monitoramento das recomendações.

1. Planejamento

O planejamento é a fase crucial da auditoria, onde são definidos os objetivos, o escopo, a metodologia, os recursos e o cronograma dos trabalhos. Nesta fase, o auditor de TI deve:

• Conhecer o ambiente de TI do órgão auditado: Mapear a infraestrutura, os sistemas, os processos, a governança e as políticas de TI.
• Identificar os riscos: Avaliar as vulnerabilidades e as ameaças que podem comprometer a segurança, a disponibilidade, a integridade e a confidencialidade das informações.
• Definir os critérios de auditoria: Estabelecer os parâmetros de comparação, como leis, normas, boas práticas e políticas internas.
• Elaborar o programa de auditoria: Detalhar os procedimentos e os testes a serem realizados durante a execução.

2. Execução

A fase de execução consiste na coleta de evidências e na aplicação dos procedimentos definidos no programa de auditoria. O auditor de TI deve:

• Analisar documentos: Examinar políticas, procedimentos, contratos, relatórios e outros documentos relevantes.
• Realizar entrevistas: Conversar com os gestores e os técnicos de TI para compreender os processos e as práticas adotadas.
• Executar testes: Aplicar testes de controle e testes substantivos para verificar a eficácia dos controles internos e a conformidade com as normas.
• Documentar as constatações: Registrar as evidências e as conclusões de forma clara, objetiva e concisa.

3. Comunicação dos Resultados

A comunicação dos resultados é a fase em que o auditor apresenta as constatações e as recomendações aos gestores do órgão auditado. O relatório de auditoria deve ser claro, objetivo, imparcial e fundamentado em evidências:

• Apresentar as constatações: Descrever as não conformidades, as deficiências e as oportunidades de melhoria identificadas.
• Elaborar recomendações: Propor ações corretivas e preventivas para mitigar os riscos e aprimorar a gestão de TI.
• Obter o contraditório: Garantir que os gestores do órgão auditado tenham a oportunidade de se manifestar sobre as constatações e as recomendações.

4. Monitoramento das Recomendações

O monitoramento das recomendações é a fase em que o auditor acompanha a implementação das ações corretivas e preventivas propostas no relatório de auditoria. O objetivo é verificar se as deficiências foram corrigidas e se os riscos foram mitigados.

Desafios e Tendências na Auditoria de TI

A auditoria de TI no setor público enfrenta diversos desafios, como a rápida evolução tecnológica, a complexidade dos sistemas, a escassez de recursos humanos qualificados e a necessidade de atualização constante das normas e das metodologias.

As tendências apontam para a adoção de tecnologias emergentes, como a inteligência artificial, a análise de dados (Big Data) e a computação em nuvem, que exigem novas abordagens e ferramentas de auditoria. A auditoria contínua e a auditoria preditiva são conceitos que ganham força, permitindo a identificação proativa de riscos e a otimização dos controles internos.

A Lei nº 14.129/2021 (Lei do Governo Digital) e a Estratégia de Governo Digital (EGD) impulsionam a transformação digital no setor público, exigindo que a auditoria de TI avalie a eficácia e a segurança dos serviços digitais oferecidos aos cidadãos.

Orientações Práticas para Profissionais do Setor Público

Para os profissionais que atuam na fiscalização e no controle da administração pública, a auditoria de TI exige conhecimentos específicos e habilidades analíticas:

• Capacitação contínua: Acompanhar a evolução tecnológica e as normas aplicáveis à área de TI.
• Adotar metodologias e ferramentas adequadas: Utilizar frameworks como COBIT, ITIL e normas ISO, além de softwares de auditoria e análise de dados.
• Trabalhar em equipe: A auditoria de TI exige a colaboração de profissionais de diversas áreas, como contabilidade, direito, administração e tecnologia.
• Focar nos riscos: Priorizar a avaliação dos processos e dos sistemas que apresentam maior risco para a organização.
• Comunicar de forma clara e objetiva: Apresentar os resultados da auditoria de forma compreensível para os gestores e para a sociedade.

Conclusão

A auditoria de TI no setor público é um instrumento fundamental para a garantia da governança, da transparência e da eficiência da administração pública. A atuação dos Tribunais de Contas e dos demais órgãos de controle é essencial para assegurar que a tecnologia da informação seja utilizada de forma ética, segura e em benefício da sociedade. A constante atualização e a adoção de boas práticas são desafios que exigem o comprometimento de todos os profissionais envolvidos na gestão e no controle da TI no setor público.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.