Prestação de Contas: Auditoria de TI no Setor Público

No cenário de crescente digitalização da administração pública, a Tecnologia da Informação (TI) deixou de ser mero suporte técnico para assumir papel estratégico na prestação de serviços à sociedade. Essa transformação, impulsionada por marcos legais como a Lei de Governo Digital (Lei nº 14.129/2021), exige uma correspondente evolução dos mecanismos de controle. A auditoria de TI no setor público, portanto, não se restringe à verificação de sistemas, mas abrange a avaliação da governança corporativa, da segurança da informação, da conformidade legal e da efetividade das políticas públicas mediadas pela tecnologia. Este artigo examina o papel fundamental da auditoria de TI na prestação de contas, detalhando seus fundamentos legais, as metodologias aplicadas pelos Tribunais de Contas e os desafios inerentes a essa prática.

Fundamentos Legais e Normativos da Auditoria de TI

A base legal para a atuação do controle externo, exercido pelo Congresso Nacional com o auxílio do Tribunal de Contas da União (TCU), reside na Constituição Federal. O artigo 70, caput, estabelece que a fiscalização contábil, financeira, orçamentária, operacional e patrimonial da União e das entidades da administração direta e indireta, quanto à legalidade, legitimidade, economicidade, aplicação das subvenções e renúncia de receitas, será exercida pelo Congresso Nacional, mediante controle externo, e pelo sistema de controle interno de cada Poder. Essa determinação abrange, inequivocamente, os recursos aplicados em TI.

O artigo 71, incisos II, IV e VI, da CF/88, por sua vez, detalha as competências do TCU, incluindo o julgamento das contas dos administradores, a realização de inspeções e auditorias e a aplicação de sanções. A Lei Orgânica do TCU (Lei nº 8.443/1992) regulamenta essas competências, detalhando os procedimentos de auditoria e as penalidades aplicáveis.

No âmbito específico da TI, a Lei de Licitações e Contratos Administrativos (Lei nº 14.333/2021) introduziu importantes inovações, exigindo maior rigor no planejamento e na execução de contratações de soluções de tecnologia. O artigo 11, por exemplo, estabelece a necessidade de alinhamento estratégico da contratação, enquanto o artigo 18 exige a elaboração de estudo técnico preliminar e análise de riscos.

A Estratégia de Governo Digital 2020-2022 (Decreto nº 10.332/2020), posteriormente atualizada, consolidou princípios como a prestação digital de serviços, a interoperabilidade e a segurança da informação, que devem ser objeto de acompanhamento e auditoria. A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), em seu artigo 50, exige a implementação de boas práticas e governança em privacidade, exigindo adaptações significativas nos sistemas e processos governamentais, aspectos que também são alvo de fiscalização.

As resoluções do Conselho Nacional de Justiça (CNJ) e do Conselho Nacional do Ministério Público (CNMP) também estabelecem diretrizes de governança e gestão de TI para os respectivos órgãos, servindo como parâmetros para as auditorias.

A Atuação dos Tribunais de Contas na Auditoria de TI

Os Tribunais de Contas, tanto o TCU quanto os Tribunais de Contas Estaduais (TCEs) e Municipais (TCMs), têm intensificado suas ações de auditoria de TI, adotando metodologias baseadas em referenciais internacionais, como o COBIT (Control Objectives for Information and Related Technologies) e o ITIL (Information Technology Infrastructure Library).

Governança de TI

A auditoria de governança de TI visa avaliar se as estruturas, os processos e os mecanismos de decisão garantem que a TI suporte os objetivos estratégicos da organização pública. O foco recai sobre a existência de comitês de governança, o alinhamento do Plano Diretor de Tecnologia da Informação (PDTI) ao planejamento estratégico institucional, a gestão de portfólio de projetos e a gestão de riscos de TI. O TCU, por meio do levantamento do Perfil de Governança de TI (iGovTI), avalia periodicamente a maturidade da governança nas organizações públicas federais, fornecendo um panorama abrangente e identificando áreas críticas.

Contratações de TI

As contratações de soluções de TI, frequentemente caracterizadas por alta materialidade e complexidade, são objeto de rigoroso escrutínio. A auditoria verifica a observância da Lei nº 14.333/2021 e da Instrução Normativa SGD/ME nº 94/2022 (ou normativas equivalentes nos estados e municípios), analisando a qualidade do planejamento (estudo técnico preliminar, termo de referência), a adequação dos critérios de seleção e a efetiva gestão contratual. A jurisprudência do TCU (e.g., Acórdão 2.471/2008-Plenário e Acórdão 2.504/2019-Plenário) consolidou entendimentos sobre a vedação de contratação de postos de trabalho em TI e a necessidade de mensuração de resultados.

Segurança da Informação e LGPD

Com o aumento das ameaças cibernéticas e a vigência da LGPD, a auditoria de segurança da informação tornou-se prioritária. Avalia-se a existência de Política de Segurança da Informação (POSIC), a implementação de controles de acesso, a gestão de incidentes, a realização de backups e a adequação dos sistemas aos princípios da proteção de dados (Privacy by Design e Privacy by Default). A auditoria verifica se o órgão público atua de forma diligente para prevenir, detectar e responder a incidentes de segurança, protegendo os dados dos cidadãos e a continuidade dos serviços.

Sistemas Estruturantes e Efetividade

A auditoria de sistemas estruturantes, como sistemas de gestão financeira, de recursos humanos e de compras, visa assegurar a confiabilidade, a integridade e a disponibilidade das informações que suportam as decisões governamentais. Além disso, a auditoria busca avaliar a efetividade das soluções de TI na prestação de serviços à sociedade, verificando se os sistemas entregam o valor prometido e se contribuem para a melhoria da qualidade e da eficiência da administração pública.

Desafios e Perspectivas na Auditoria de TI

A auditoria de TI no setor público enfrenta desafios significativos, exigindo constante adaptação e aprimoramento por parte dos Tribunais de Contas.

Complexidade Tecnológica e Evolução Contínua

A rápida evolução tecnológica, com a adoção de tecnologias emergentes como inteligência artificial, computação em nuvem e blockchain, exige que os auditores mantenham-se atualizados e desenvolvam novas competências. A auditoria de algoritmos, por exemplo, é um desafio emergente, exigindo a verificação de vieses e a garantia de transparência nas decisões automatizadas.

Escassez de Profissionais Especializados

A falta de profissionais com formação e experiência em auditoria de TI é um gargalo em muitos Tribunais de Contas. A atração e a retenção de talentos, bem como a capacitação contínua dos auditores, são fundamentais para garantir a qualidade e a efetividade das ações de controle.

Integração e Compartilhamento de Dados

A dificuldade de integração e compartilhamento de dados entre os órgãos públicos e os Tribunais de Contas dificulta a realização de auditorias contínuas e o uso de técnicas de análise de dados (Data Analytics). A promoção da interoperabilidade e a implementação de plataformas de compartilhamento de dados são essenciais para fortalecer o controle externo.

Orientações Práticas para Profissionais do Setor Público

Para gestores e profissionais do setor público (defensores, procuradores, promotores, juízes, auditores internos), a compreensão da auditoria de TI é fundamental para garantir a conformidade e a efetividade na gestão dos recursos tecnológicos:

1. Fortalecer a Governança de TI: Implementar comitês de governança, elaborar e monitorar o PDTI e integrar a gestão de riscos de TI à gestão de riscos corporativos.
2. Aprimorar o Planejamento das Contratações: Dedicar tempo e recursos adequados à fase de planejamento das contratações de TI, elaborando estudos técnicos preliminares consistentes e termos de referência claros e objetivos, em conformidade com a Lei nº 14.333/2021.
3. Priorizar a Segurança da Informação: Implementar e atualizar a POSIC, promover a conscientização dos servidores sobre segurança da informação e garantir a adequação dos sistemas à LGPD.
4. Acompanhar a Jurisprudência dos Tribunais de Contas: Manter-se atualizado sobre as decisões e os entendimentos consolidados pelos Tribunais de Contas em relação à TI, utilizando-os como guia para a tomada de decisões.
5. Colaborar com o Controle Externo: Encarar a auditoria de TI não como um obstáculo, mas como uma oportunidade de melhoria da gestão, colaborando com os auditores e implementando as recomendações e determinações expedidas.

Conclusão

A auditoria de TI consolida-se como um pilar essencial da prestação de contas no setor público contemporâneo. Ao avaliar a governança, a segurança, as contratações e a efetividade das soluções tecnológicas, os Tribunais de Contas contribuem para a mitigação de riscos, a otimização dos recursos públicos e a entrega de serviços de maior qualidade à sociedade. A superação dos desafios inerentes a essa prática exige o aprimoramento contínuo das metodologias de auditoria, a capacitação dos profissionais e a adoção de tecnologias analíticas, fortalecendo, em última instância, a transparência e a eficiência do Estado.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.