A Secretaria de Estado de Fazenda (Sefaz/MT) deverá instituir normas de cumprimento obrigatório, políticas corporativas de gestão de riscos e de continuidade de negócios em Tecnologia de Informação; realizar avaliação dos papéis e responsabilidades organizacionais relativos à governança corporativa; definir os papéis e responsabilidades mais relevantes para a governança de TI; instituir um comitê de Tecnologia da Informação de forma que se possibilite a priorização das ações de TI no âmbito da Sefaz. Essas foram algumas recomendações feitas pelo Tribunal de Contas de Mato Grosso na conclusão de auditoria operacional que teve como objetivo avaliar a implementação de controles e processos de governança de Tecnologia da Informação na Sefaz/MT. Na sessão plenária desta terça-feira (12.12), a Corte de Contas aprovou a auditoria que agora será encaminhada à Sefaz, à Empresa Mato-Grossense de Tecnologia da Informação – MTI e à Controladoria-Geral do Estado – CGE/MT.
A auditoria operacional teve quatro eixos de análise: liderança da Alta Administração da instituição; instituição e execução dos planejamentos estratégicos institucional e de TI; política de pessoal de TI; e processos de gestão de TI. A relevância do objeto auditado decorreu do fato da informação ser um recurso primordial para todas as instituições, sejam elas públicas ou privadas, de modo que a Tecnologia de Informação – TI tornou-se uma ferramenta fundamental para a eficiência das ações.
A equipe de auditores, oriundos da Secretaria de Controle Externo de Auditorias Operacionais do TCE, concluíram que por conta da alta rotatividade de secretários, as práticas de governança corporativa não foram plenamente definidas e implementadas no âmbito da instituição, resultando no risco de a estrutura estabelecida ser ineficaz, com falhas na avaliação, direcionamento e monitoramento da atuação da gestão, principalmente no que diz respeito ao gerenciamento de riscos estratégicos e ameaças atuais e futuras para a continuidade do negócio.
O relatório de auditoria (Processo nº 151203) ainda ressalta que em razão da falta de pessoal capacitado para realizar avaliações em governança de TI, da não previsão dessas avaliações no plano anual de acompanhamento e controles internos, e da baixa sensibilização da Alta Administração acerca da importância dessa atividade, não são realizadas avaliações na governança de TI pelo controle interno da Sefaz/MT.
Diante da existência de falhas de governança de TI na implementação de processos específicos de segurança da informação e da ausência de responsáveis, formalmente instituídos, constatou-se, ainda, deficiências nos processos de segurança da informação; na execução de processos de gestão de serviços de TI na Sefaz/MT, especificamente na gestão de continuidade, de mudança e de incidentes; e deficiências no gerenciamento de projetos de TI.
Segundo explicou o conselheiro relator e presidente do TCE-MT em seu voto, Gonçalo Domingos de Campos Neto, tais falhas podem ocasionar problemas na avaliação das políticas de segurança da informação e o risco de acesso indevido; alteração ou perda de informações fiscais; interrupção da prestação dos serviços e má alocação de recursos e problemas na priorização dos projetos de TI.
Para sanar as fragilidades identificadas, a Secretaria de Controle Externo de Auditorias Operacionais propôs várias recomendações, com a finalidade de contribuir para melhoria das práticas de governança de Tecnologia da Informação da Sefaz.
Do total de R$ 562,5 milhões do orçamento para o exercício de 2017 da Secretaria de Estado de Fazenda, R$ 11 milhões foram destinados às ações de Tecnologia da Informação, tais como manutenção das ações de informática, modernização dos sistemas de administração financeira e de gestão do Estado e modernização da administração fazendária. As despesas com TI podem representar uma proporção significativa dos gastos de recursos financeiros e humanos de uma organização. “No entanto, o retorno desse investimento pode não ocorrer devido ao uso da TI desalinhada ao contexto geral do negócio. Dessa forma, atingir excelência operacional por meio da aplicação eficiente e confiável da tecnologia, manter os riscos a um nível aceitável e otimizar os custos dos serviços de TI são alvos de governança que devem ser perseguidos para o bom aproveitamento dos investimentos em tecnologia da informação”, disse o relator.
