Relatório de auditoria operacional: governança em Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso - 2017

Governança de Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso – 2017 TCE-MT | Relatório de Auditoria Operacional 11 1.3.1 Questões de auditoria A questão de auditoria, segundo o Manual de Au- ditoria Operacional do TCE-MT, é o elemento central na determinação do direcionamento dos trabalhos, das meto- dologias a adotar e dos resultados que se pretende atingir. Nessa diretriz, a questão respon- dida neste trabalho foi: A Sefaz-MT adota práticas de governança de TI de forma a auxiliar a organização na alocação de recursos (materiais, humanos e financeiros), na proteção de informações críticas e no alcance dos seus objetivos institucionais? A fim de responder a referida questão, elaborou-se sub-questões de auditoria, as quais foram formuladas se- gregando o trabalho em eixos, organizados segundo o tema analisado. O trabalho está dividido em quatro eixos. O primeiro eixo avaliado é relativo à liderança da alta administração. O segundo eixo refere-se às estratégias e planos da Sefaz-MT. O terceiro eixo é relativo à política de pessoal de TI. Por fim, o quarto eixo do trabalho refere-se aos processos de TI. 1.3.2 Critérios de auditoria Critério de auditoria “é o padrão de desempenho usa- do para medir se há economicidade, eficiência, eficácia e efetividade. Serve para determinar se o objeto auditado atinge, excede ou está aquém do desempenho esperado” 3 . Os critérios que embasaram a auditoria incluem dis- positivos constitucionais, legais e infralegais, bem como Acórdãos do Tribunal de Contas da União (TCU) relaciona- dos ao tema de governança e de gestão de TI. Também foram utilizados como critérios o guia Co- bit 5 4 , da Information Systems Audit and Control Associa- 3 Definição do Manual de Auditoria Operacional do TCE-MT 4 COBIT - Control Objectives for Information and related Technology - Um framework para governança e controle de TI, reconhecido internacionalmente. tion (Isaca); as normas ABNT 5 NBR ISO/IEC 12207:2009, 22301:2013, 27002:2013, 27005:2011, 31000:2009 e 38500:2009; o Referencial Básico de Governança, do TCU (versão 2.0) 6 ; a Nota Técnica 7/2017, do TCU 7 ; o Código das Melhores Práticas de Governança Corporativa, do Ins- tituto Brasileiro de Governança Corporativa (IBGC) 8 ; e a Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018 9 . 1.3.3 Metodologia A metodologia utilizada no planejamento do trabalho consistiu no uso dos procedimentos previstos no Manual de Auditoria Operacional do TCE-MT. 1.3.4 Universo analisado A auditoria teve por objetivo verificar a implementa- ção e execução de controles e processos de governança de TI no âmbito da Secretaria de Estado de Fazenda. O traba- lho avaliou primordialmente a atuação da alta administra- ção e da Coordenadoria de Tecnologia da Informação (Coti). 1.3.5 Limitações A inexistência de normatização, em um único docu- mento ou manual, em âmbito estadual acerca da gover- nança de TI, exceto algumas normas esparsas, constituiu limitação de auditoria. Assim, adotou-se as normas federais sobre o tema, a exemplo do Referencial Básico de Gover- nança do TCU e da Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Adminis- tração Pública Federal 2015-2018. 5 Associação Brasileira de Normas Técnicas (ABNT). 6 Brasil. Tribunal de Contas da União. Referencial básico de governança aplicável a órgãos e entidades da administração pública / Tribunal de Contas da União. Versão 2 - Brasília: TCU, Secretaria de Planejamento, Governança e Gestão, 2014. 80 p. 7 Organização do sistema de governança de tecnologia da informação (TI): Nota Técnica 7/2014 Sefti/TCU / Tribunal de Contas da União. – Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2015. 8 Instituto Brasileiro de Governança Corporativa. Código das melhores práticas de governança corporativa. 5.ed . / Instituto Brasileiro de Governança Corporativa. - São Paulo, SP: IBGC, 2015. 108p. 9 Brasil. Presidência da República. Gabinete de Segurança Institucional. Estraté- gia de segurança da informação e comunicações e de segurança cibernética da Administração Pública federal 2015 - 2018: versão 1.0 / Gabinete de Segurança Institucional, Secretaria-Executiva, Departamento de Segurança da Informação e Comunicações. Brasília: Presidência da República, 2015. 82 p.: il.