Relatório de auditoria operacional: governança em Tecnologia da Informação da Secretaria de Estado de Fazenda de Mato Grosso - 2017

22 TCE-MT | Relatório de Auditoria Operacional 5. Processos ma referência ao início de formalização nem da prática de execução de processo de gestão de riscos nos processos críticos. No documento há somente um processo com seus riscos avaliados. Pelo exposto, concluiu-se que a Sefaz-MT não adota tais práticas. Pelas mesmas razões, concluiu-se que não são ado- tadas as práticas de identificação, avaliação e tratamento aos riscos de TI dos processos críticos de negócio, as quais constam no questionário como “adotada parcialmente”. No tocante à definição dos níveis de risco de TI aceitá- veis pela organização na consecução dos seus objetivos e a tomada de decisões estratégicas considerando os níveis de risco de TI definidos, a Sefaz-MT respondeu “não adotar” as práticas. A falta de política estabelecendo diretrizes para a ges- tão de riscos corporativos acaba por inviabilizar o estabe- lecimento de política de gestão de riscos de TI, tendo em vista que não há sequer como conceber quais são os níveis de riscos aceitáveis pela organização (apetite ao risco). Essa falta de definição do apetite ao risco da orga- nização impacta negativamente no planejamento, eleva a possiblidade de respostas ineficazes aos riscos e pode gerar prejuízos aos ativos de informação da organização. 5.1 Falhas na gestão de riscos de TI Diante da ausência de política de gestão de riscos corporativos, da não sensibilização da alta administração acerca da importância do tema para a organização e da inércia da alta administração em dirigir a gestão de riscos de TI, foram evidenciadas falhas na gestão de riscos de TI na Sefaz-MT. Essa deficiência pode impactar em prejuízos aos ativos de informação da organização; em interrupção dos serviços e prejuízos à avaliação e à resposta aos riscos de TI; e no desalinhamento da gestão de riscos de TI com a gestão de riscos da organização. O TCU 21 esclarece que, de acordo com o Cobit 5, a gestão de riscos, no âmbito da tecnologia da informação, é considerada um dos pilares da criação de valor por parte da TI, juntamente com a entrega de benefícios e com a otimização do uso de recursos. Em resposta ao questionário eletrônico, a Sefaz-MT informou que “iniciou plano para adotar” a definição for- mal das diretrizes e de papéis e responsabilidades para a gestão de riscos de TI, a execução de processo de gestão de riscos de TI e a formalização como norma de cumprimento obrigatório do processo de gestão de riscos de TI. No entanto, quando solicitado documento que evi- denciasse essas afirmações, foi informado, no caso da de- finição formal das diretrizes, que inexiste tal documento e, no caso da definição de papéis e responsabilidades, que a Sefaz-MT não adota a prática. Já quanto aos questionamentos sobre a execução do processo de gestão de riscos de TI e se o processo está formalmente instituído como norma de cumprimento obrigatório, o documento apresentado 22 não traz nenhu- 21 Acórdão 3.051/2014-TCU-Plenário, pág. 36. 22 Relatório de Análise de Risco - Acessos a informações fazendárias. Versão 1.0.