Relatório de auditoria operacional: governança em Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso - 2017

Governança de Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso – 2017 TCE-MT | Relatório de Auditoria Operacional 15 2.4 Não avaliação da governança de TI pelo controle interno da Sefaz-MT Em decorrência da falta de pessoal capacitado para realizar avaliações em governança de TI, da não previsão dessas avaliações no plano anual de acompanhamento e controles internos e da baixa sensibilização da alta administração acerca da importância dessa atividade, não são realizadas avaliações na governança de TI pelo controle interno da Sefaz-MT, ocasionando riscos de não conhecimento dos processos de governança de TI na instituição, de não aderência da governança de TI aos planos estratégicos existentes e de não contribuição do controle interno para a melhoria do desempenho organizacional. da Sefaz-MT, pode-se apontar a ausência de pessoal ca- pacitado para realizar avaliações em governança de TI, a não previsão no plano de auditoria interna de avaliação da governança de TI e a baixa sensibilização e compreensão da alta administração acerca da importância da realização de avaliações na governança de TI. Tais fatos expõem a Sefaz-MT a riscos, tais como, a não contribuição do controle interno para a melhoria do desempenho organizacional, o risco de não aderência da governança de TI aos planos existentes, o não conhecimen- to da maturidade dos processos de governança de TI na instituição, o risco de inadequação dos processos de TI em relação às políticas da instituição e o risco de imaturidade da governança na área de TI, sem controles e indicadores que possam apontar os problemas e oportunidades de ne- gócio para a organização. Os controles internos devem ser implantados com a finalidade de diminuir os riscos existentes a um nível aceitável pela organização, levando-se em consideração a relevância do processo a ser controlado e os custos dos controles. No âmbito da Sefaz-MT, existe uma Unidade Setorial de Controle Interno (Uniseci) que possui dentre suas atri- buições regimentais 15 “elaborar o plano anual de acompa- nhamento e controles internos” e “verificar a conformidade dos procedimentos relativos aos processos dos subsistemas planejamento e orçamento, financeiro, contábil, patrimô- nio e serviços, aquisições, gestão de pessoas, arquivo, pro- tocolo e outros relativos a atividades de apoio e serviços comuns a todos os órgãos e entidades da Administração”. Entretanto, foi identificado que não são realizadas avaliações na governança de TI da Sefaz-MT. Tal consta- tação é evidenciada pela resposta da Sefaz-MT ao questionário eletrônico aplicado, afirmando não adotar a prá- tica. Com relação à avaliação dos riscos considerados críticos para o negócio e da eficácia dos respectivos controles, inicialmente a Sefaz-MT respondeu no questionário que havia iniciado plano para adotar a prática. No entanto, no e-mail encaminhado em 20/07/17 hou- ve retificação da resposta para “não adota” a prática. Como causas para a não realiza- ção de avaliações na governança de TI 15 Regimento Interno da Sefaz, art. 21, I e II.