A governação electrónica na perspectiva da auditoria

(RELATÓRIO)

Novembro de 2004

i

ÍNDICE

1. INTRODUÇÃO .....................................................................................................3

2. A GOVERNAÇÃO ELECTRÓNICA: TENDÊNCIAS............... .........................5

2.1. INTRODUÇÃO...................................................................................................5 2.2. O QUE É A GOVERNAÇÃO ELECTRÓNICA? ............................................................5 2.3. APLICAÇÕES DA GOVERNAÇÃO ELECTRÓNICA: ALGUNS EXEMPLOS........................8 2.4. POTENCIAIS VANTAGENS..................................................................................10 2.5. O QUE TEM A GOVERNAÇÃO ELECTRÓNICA DE ÚNICO? .......................................11 2.6. ASPECTOS RELACIONADOS COM A IMPLEMENTAÇÃO...........................................16 2.7. OBSERVAÇÕES FINAIS......................................................................................17

ANEXO 1 ......................................................................................................................19

3. RISCO..................................................................................................................19

3.1. INTRODUÇÃO.................................................................................................19 3.2. RISCOS ASSOCIADOS AO PLANEAMENTO, DESENVOLVIMENTO E INTRODUÇÃO DE

SERVIÇOS DE GOVERNAÇÃO ELECTRÓNICA......................................................................19 3.3. RISCOS ASSOCIADOS À GESTÃO DOS SERVIÇOS DE GOVERNAÇÃO ELECTRÓNICA.....24 3.4. AUDITORIA DE RISCOS NOS PROJECTOS DE SERVIÇOS DE GOVERNAÇÃO ELECTRÓNICA

28 3.5. OBSERVAÇÕES FINAIS......................................................................................31

4. AUDITORIA A PROGRAMAS E PROJECTOS...............................................33

4.1. INTRODUÇÃO.................................................................................................33 4.2. QUADRO CONCEPTUAL....................................................................................33 4.3. MÉTODOS DE AUDITORIA................................................................................36 4.4. ESQUEMATIZAÇÃO NO MODELO COBIT .............................................................43 4.5. OBSERVAÇÕES FINAIS......................................................................................44

ANEXO 2 ......................................................................................................................47

5. A AUDITORIA FINANCEIRA EM AMBIENTE DIGITAL (“SEM PAP EL”) 49

5.1. INTRODUÇÃO.................................................................................................49 5.2. AMBIENTES DIGITAIS.......................................................................................49 5.3. AUDITORIA DE AMBIENTES DIGITAIS (“ SEM PAPEL”) ..........................................52 5.4. OBSERVAÇÕES FINAIS......................................................................................57

6. CONSEQUÊNCIAS A NÍVEL ORGANIZACIONAL............... ........................59

6.1. INTRODUÇÃO.................................................................................................59 6.2. A TRANSIÇÃO PARA OS PROCEDIMENTOS DIGITAIS..............................................59 6.3. MÉTODOS......................................................................................................60 6.4. QUALIFICAÇÕES.............................................................................................60 6.5. RECURSOS.....................................................................................................61 6.6. OBSERVAÇÕES FINAIS......................................................................................61

GLOSSÁRIO ................................................................................................................63

1

PREFÁCIO

Durante a sua primeira reunião em Setembro/Outubro de 2002, o Grupo de Trabalho da EUROSAI para as tecnologias da informação decidiu criar um subgrupo, com vista à definição de uma abordagem geral sobre a governação electrónica e o comércio electrónico, bem como à elaboração de um relatório sobre tendências, definições, riscos, métodos de auditoria, experiências, etc. Este subgrupo é constituído por Portugal (responsável pela coordenação dos trabalhos), Dinamarca, Alemanha, Polónia, Rússia e Países Baixos.

Em Fevereiro de 2003, na reunião do subgrupo que deu início aos trabalhos foi aprovada a estrutura do relatório. Seguidamente, os membros do subgrupo trabalharam os vários capítulos que o compõem sendo este o resultado do seu trabalho. Não obstante todos pertencermos a países europeus, todos vestimos diferentes “camisolas nacionais”, consoante as nossas próprias experiências e a situação dos nossos países. Em certa medida, estas diferenças estão reflectidas nos vários capítulos do presente documento. No entanto, apesar de alguns dos exemplos se basearem nas experiências de determinados países, apresentam-se de forma suficientemente genérica por forma a interessar todos os leitores.

Associado ao presente relatório está um documento em anexo, intitulado “E-Procurement and its effect on future audit approach” (A governação electrónica e seus efeitos numa perspectiva futura de auditoria) que tem como base a experiência dinamarquesa.

Em 25 de Novembro de 2003, foi enviado um projecto do presente relatório aos 24 membros do grupo de trabalho (àquela data) para que estes se pronunciassem sobre o mesmo. A data-limite para apresentação de comentários foi 15 de Dezembro de 2003. Após esta data, o relatório foi revisto com base nos comentários recebidos, muito embora a discussão de algumas das questões levantadas tenha sido adiada para a segunda reunião do grupo de trabalho, que teve lugar em Março de 2004, em Berna, na Suíça. Durante essa reunião, foram aprovadas as últimas alterações ao texto do relatório, cuja versão final é aqui apresentada.

2

3

1. INTRODUÇÃO

Sob a designação de “governação electrónica”, a maior parte dos Estados europeus assumiu o compromisso de disponibilizar, num futuro próximo (até 2005 na maioria dos casos), o maior número possível de serviços públicos em linha através da Internet, para tal tendo desenvolvido diversos programas de acção e iniciativas. Estes programas deverão desempenhar um papel fundamental na concretização do objectivo político de transformar a Europa numa sociedade da informação. Os governos pretendem assegurar aos cidadãos, às empresas, aos meios académicos e às restantes entidades governamentais um acesso mais simples, mais rápido e mais rentável de serviços públicos. Estes esforços visam aumentar o grau de satisfação dos cidadãos para com o Estado e reforçar a competitividade dos países, das empresas e dos pequenos negócios familiares. Os programas de governação electrónica deverão ser ainda uma importante componente do projecto global de modernização administrativa. A implementação coerente de programas de governação electrónica permitirá criar o ímpeto necessário ao surgimento de processos de reestruturação empresarial em toda a administração pública, permitindo simplificar todas a panóplia de estruturas e procedimentos administrativos. Por este motivo, o fracasso ou até mesmo o atraso na execução de programas ou projectos de governação electrónica determinará o fracasso ou atraso do programa de modernização administrativa. Além de que, o imperativo da consolidação orçamental exige a exploração de todas as oportunidades de redução dos custos, sem que tal implique uma deterioração da qualidade dos serviços públicos. Os programas de governação electrónica poderão abrir novos caminhos para a concretização deste objectivo. Uma das consequências da governação electrónica é a transição de um sistema baseado no papel para um sistema que não o utiliza, de que o resultado é a alteração total do ambiente de controlo. Este facto coloca novos desafios tanto aos dirigentes de topo como aos auditores. A ausência da documentação em suporte de papel exige controlos mais apertados das TI nos sistemas utilizadores, quer gerais quer programados, bem como controlos manuais rigorosos dos mesmos sistemas. Esta tendência tem consequências profundas no desenvolvimento e na implementação de projectos de governação electrónica, bem como na administração dos sistemas operacionais de TI. No que respeita a consequências para os auditores, um dos principais desafios que os mesmos terão de enfrentar prende-se com a apreciação da validade e com o rigor dos dados. A auditoria a um sistema de governação electrónica implica a adaptação dos métodos e técnicas existentes bem como à criação de novos. Além disso, dada a crescente interligação entre sistemas de TI e os processos empresariais, as decisões sobre TI são essencialmente decisões empresariais e não meras decisões técnicas, que exige a participação dos quadros superiores. Apenas a participação activa dos dirigentes de topo permitirá assegurar um controlo adequado, por parte de toda a organização, dos riscos relacionados com TI, isto é, dos riscos relacionados com os projectos e com as actividades do quotidiano. A implementação da governação electrónica é uma tarefa complexa que exige não apenas visão mas também um liderança política forte ao mais alto nível.

4

Todos estes aspectos exigem que as ISC (Instituições Superiores de Controlo) dediquem uma especial atenção ao programa da governação electrónica. O presente relatório visa apoiar as ISC nesta matéria. Após uma breve introdução, são analisados cinco tópicos: o primeiro, “A governação electrónica: tendências” começa por analisar algumas definições no sentido de clarificar o conceito de governação electrónica, enumerando de seguida algumas das suas potenciais vantagens e abordando alguns aspectos relacionados com a sua implementação. O segundo, “Riscos”, descreve alguns dos riscos associados às fases anteriores do planeamento e desenvolvimento dos serviços de governação electrónica, bem como os riscos a ter em conta durante a sua implementação e os riscos associados à gestão e manutenção daqueles serviços. O terceiro e quarto tópicos, “Auditoria a programas e projectos” e “Auditorias em ambiente digital («sem papel»)”, desenvolvem abordagens às auditorias do ponto de vista estratégico e operacional, respectivamente; enquanto o primeiro salienta a necessidade de novos métodos de auditoria que permitam acompanhar os progressos alcançados pela administração na implementação de programas e projectos de governação electrónica, o segundo analisa a questão das auditorias em ambientes digitais e os requisitos necessários à sua conclusão em termos de objectivos, conteúdo e âmbito. Por último, o quinto tópico, “Consequências a nível organizacional”, apresenta os desafios que se colocam às diversas ISC, referindo a necessidade de desenvolver iniciativas estratégicas no domínio das TI em resultado da transição para os procedimentos digitais e dos esforços de desenvolvimento de novos processos por forma a que possam concretizar a sua missão de uma forma mais eficiente e eficaz. Embora o presente relatório esteja organizado de uma forma que nos parece a mais lógica, os leitores podem optar por ler os diversos capítulos por outra ordem, mais consentânea com os seus conhecimentos ou interesses específicos. O relatório está estruturado por forma a que cada capítulo possa ser lido como um texto independente, dedicado a um subtópico específico dentro do tema genérico da governação electrónica na perspectiva da auditoria.

5

2. A GOVERNAÇÃO ELECTRÓNICA : TENDÊNCIAS 2.1. Introdução

O presente capítulo visa esclarecer o conceito de governação electrónica. Em primeiro lugar, no ponto 2.2, após a análise de algumas das definições existentes, propomos uma definição de governação electrónica. Seguidamente, no ponto 2.3, apresentamos alguns exemplos, a fim de clarificar o âmbito deste conceito. No ponto 2.4, abordamos as suas potenciais vantagens. No ponto 2.5, prosseguimos com a identificação das suas características essenciais. No ponto 2.6, analisamos alguns aspectos relacionados com a sua implementação. Concluímos o presente capítulo com algumas observações finais no ponto 2.7. 2.2. O que é a governação electrónica?

Para encontrarmos uma definição útil e operacional do conceito de governação electrónica, melhor será partir de algo que nos é familiar. O grupo do Comité das TI da INTOSAI responsável pelo projecto da governação electrónica utiliza a seguinte definição:

A governação electrónica consiste no fornecimento de informações de interesse

público, bem como na prestação de serviços em linha aos cidadãos, a empresas

e a outros organismos públicos. Embora o fornecimento de informações e a prestação de serviços sejam indiscutivelmente elementos muito importantes do conceito de governação electrónica tal como o encaramos, consideramos, porém, que esta definição, estabelecida para responder às necessidades do grupo INTOSAI responsável pelo projecto, é demasiado restrita para os nossos objectivos. De facto, abrange apenas as actividades em linha, cujos destinatários directos são as entidades externas. Em nossa opinião, por exemplo, a gestão das cadeias de abastecimento, que visa, tal como acontece no comércio electrónico, o reforço da eficiência e/ou eficácia, é um elemento igualmente importante da governação electrónica. O exemplo sobre cuidados personalizados mencionado no ponto 2.3.5 ilustra bem o que queremos dizer. Todavia, a definição da INTOSAI não abrange a gestão integrada típica das cadeias de abastecimento. Ao aprofundarmos a nossa pesquisa, deparamo-nos com inúmeras definições, desde as mais restritas às mais abrangentes. Para darmos uma ideia do vasto leque de definições possíveis, apresentamos aqui três constantes de um manual, elaboradas com base numa conferência realizada nos Países Baixos, em 2001.

A governação electrónica respeita ao fornecimento ou obtenção de informações,

serviços ou produtos, através de meios electrónicos, por ou através de

organismos públicos, em qualquer momento ou local, proporcionando deste modo

uma mais-valia a todas as partes envolvidas.

A governação electrónica é constituída pelos seguintes elementos: governo

electrónico, democracia em linha e prestação de serviços electrónicos.

6

As quatro perspectivas da governação electrónica são:

(a) a perspectiva dos destinatários (interface com a administração pública);

(b) a perspectiva do processo (reorganização dos processos administrativos);

(c) a perspectiva da cooperação (esforços de cooperação e de colaboração);

(d) a perspectiva do conhecimento (gestão da informação e do conhecimento

dentro da administração pública). Consideramos que não seria sensato limitar logo à partida o nosso campo de análise, adoptando uma definição demasiado restrita. Seguidamente apresentamos mais algumas definições abrangentes. A Universidade de Ciências Aplicadas (Berner Fachhochschule) de Berna, na Suíça, dá-nos a seguinte definição:

A governação electrónica abrange o apoio às relações, processos e participação

política, tanto dentro dos diversos níveis da administração (federal e/ou estadual,

regional, local, etc.) como entre os organismos públicos e todas as partes

interessadas, nomeadamente os cidadãos, as empresas e outras organizações.

Este objectivo é alcançado mediante a disponibilização dos meios de interacção

necessários, através de canais electrónicos. Já a União Europeia1adopta outra definição:

A governação electrónica [ou “administração em linha”, na terminologia adoptada na Comunicação] consiste na “utilização das tecnologias da informação e das

comunicações nas administrações públicas em combinação com as mudanças

organizativas e novas qualificações com vista a melhorar os serviços públicos e

os processos democráticos e reforçar o apoio às políticas públicas.” A Lei da Governação Electrónica norte-americana, de 2002, contém uma definição simultaneamente abrangente e concisa:

Entende-se por governação electrónica a utilização, por parte da administração

pública, de aplicações de Internet e de outras tecnologias da informação em

combinação com processos que permitem implementar essas tecnologias, com o

objectivo de:

(a) melhorar o acesso e a prestação de informações e serviços governamentais

ao público, a outros organismos públicos e a outras entidades governamentais; ou

(b) introduzir melhorias nas actividades governamentais, nomeadamente em

termos de eficácia, eficiência, qualidade dos serviços ou sua transformação. Tendo por base estas definições, definimos o conceito de governação electrónica da seguinte forma:

1 COM(2003) 567 final, 26.9.2003, “Papel da administração em linha (eGoverno) no futuro da Europa”.

7

Com o termo “governação electrónica” pretendemos designar a utilização das tecnologias da

informação e da comunicação por parte da administração pública com o objectivo de: (a) melhorar o intercâmbio de informações e/ou a prestação de serviços aos

cidadãos e às empresas;

(b) melhorar a actividade governamental em termos de eficácia e/ou eficiência2;

(c) reforçar a participação política. Segundo esta definição, o conceito de governação electrónica abrange outros aspectos para além da prestação de serviços electrónicos. Porém, o presente capítulo centra-se essencialmente neste aspecto, dado ser o que mais afecta os cidadãos e as empresas. Quando se fala em prestação de serviços electrónicos, é possível estabelecer uma distinção entre três categorias, consoante o grupo alvo em causa: os cidadãos, as empresas ou a própria administração pública. Alguns autores identificam uma quarta categoria: os serviços prestados pela administração pública aos seus funcionários. Entre outros serviços, esta categoria abrange a gestão de conhecimentos e a gestão de carreiras. Contudo, não nos iremos debruçar no presente documento sobre esta categoria. Para darmos uma ideia geral das três principais categorias, apresentamos de seguida uma breve descrição de cada uma delas3:

• No que respeita à categoria “Administração Pública – Cidadãos”, é instituído um regime de balcão único para uso dos cidadãos, com pontos de entrada únicos, que permitirão um fácil acesso a serviços administrativos de elevada qualidade; Alguns exemplos incluem o fornecimento de informações, a apresentação de

declarações fiscais por meios electrónicos e sistemas práticos de pagamento de

portagens4;

• Os serviços electrónicos “Administração Pública - Empresas” permitem reduzir os encargos das empresas mediante a utilização de protocolos Internet e a simplificação do complexo e redundante processo de prestação de informações; São exemplos desta categoria os diversos serviços prestados pela administração

pública às empresas e os sistemas informáticos de apresentação de propostas

nos processos de contratação electrónica.

• A vertente “Administração Pública - Administração Pública” apoia o intercâmbio de informações entre organismos da administração pública e torna a gestão da informação mais eficiente e menos burocrática para os cidadãos e as empresas.

2 Esta componente abrange o intercâmbio de informações e/ou a prestação de serviços entre os organismos

públicos. 3 As duas primeiras definições (mas não os exemplos) baseiam-se num memorando do director do Gabinete

norte-americano da Gestão e do Orçamento (Office of Management and Budget - OMB): M-01-28, memorando destinado aos directores das agências e departamentos executivos (Mitchell E. Daniels, Jr.).

4 Uma das formas de pôr em prática este último serviço consiste na instalação no veículo de um pequeno dispositivo (“identificador”), que permitirá identificar o seu proprietário. O leitor de identificadores existente na portagem transmite a informação a um sistema de informação e a quantia em causa é deduzida da conta pré-paga do cliente.

8

Um exemplo consiste na instituição da figura do infomediário que possibilita aos

organismos públicos a recolha de uma única vez de dados relativos a cidadãos e a

empresas. Com este sistema, se outro organismo autorizado necessitar dos

mesmos dados que tenham sido já previamente recolhidos pelo infomediário, este

não terá de incomodar a pessoa ou a empresa em questão solicitando novamente

a mesma informação. Tal como ficou estabelecido na definição de governação electrónica, um dos principais objectivos consiste em utilizar as TI em benefício dos cidadãos e das empresas, bem como da própria administração. 2.3. Aplicações da governação electrónica: alguns e xemplos

O presente ponto contém alguns exemplos esclarecedores de aplicações da governação electrónica. Pretendemos com isto dar apenas uma ideia da riqueza do campo da governação electrónica e não apresentar uma lista exaustiva das suas aplicações. Para outros exemplos, consulte no final do presente capítulo o Anexo 1, onde se enumeram os serviços de governação electrónica considerados pela UE como serviços básicos. 2.3.1 Informações de interesse público

Muitos Governos disponibilizam informação, nos seus sites na Internet, aos cidadãos e às empresas, que permitem, por exemplo, o acesso remoto a arquivos e bases de dados, serviços informativos, informações jurídicas, livros brancos e documentação sobre as políticas adoptadas. 2.3.2 Gabinetes virtuais

Os gabinetes virtuais oferecem aos cidadãos e às empresas a possibilidade de apresentarem ou actualizarem dados pessoais, requererem a concessão de licenças ou subsídios ou candidatarem-se a um emprego. 2.3.3 Balcão único

O regime de balcão único complementa os gabinetes virtuais, disponibilizando um conjunto unificado de serviços, prestados graças à cooperação entre várias organizações. Os empresários, por exemplo, podem aceder a planos de ordenamento do território, apresentar pedidos de licenças de construção, inscrever-se na Câmara do Comércio, pagar os seus impostos ou efectuar outras diligências, tudo isto através de um único ponto de prestação de serviços.

9

2.3.4 Contratação electrónica

Alguns governos já criaram portais para a contratação electrónica, com o objectivo de estabelecer um ponto de encontro para as entidades públicas adquirentes e os respectivos fornecedores. Estes portais facilitam, a ambas as partes, o acesso a propostas, contratos, estatísticas sobre adjudicações e vendas, etc. Permitem igualmente a todas as partes interessadas a integração de dados sobre contratação, vendas e pagamentos nos respectivos sistemas financeiros. Uma das vantagens da contratação electrónica é a redução de custos, pois além de se reduzir substancialmente o tempo dispendido em registos e verificações manuais, alguns dos procedimentos destinados a correcção de erros podem ser eliminados. Todo o processo de adjudicação de contratos poderá igualmente ser optimizado. 2.3.5 Prestação de cuidados personalizados

Encontram-se em curso vários projectos destinados a explorar as oportunidades que a tecnologia de cartões inteligentes proporciona, com vista a prestar cuidados personalizados aos clientes, nomeadamente na área da saúde. Actualmente, o grande problema consiste no facto de todos os dados potencialmente relevantes para o tratamento de determinado doente se encontrarem dispersos por uma vasta rede de organizações, que abrange médicos de clínica geral, hospitais, médicos especialistas e farmácias. Todas estas entidades dispõem de informações dispersas sobre o doente, tais como a história clínica, tipo de sangue, alergias, reacções adversas a medicamentos, diagnósticos, exames, receituário, contactos em caso de emergência, condições das apólices de seguro, etc. Estão a ser desenvolvidos sistemas que permitem a divulgação de toda esta informação a médicos ou paramédicos autorizados, através de um cartão inteligente atribuído ao doente. Esta tecnologia permitirá aceder a toda a informação necessária, independentemente do local ou do momento em que o doente solicita a prestação de cuidados médicos e até mesmo nos casos em que seja encontrado inconsciente após um acidente (desde que tenha consigo o cartão inteligente). 2.3.6 Infra-estruturas

Foram desenvolvidas aplicações telemáticas5 que permitem um controlo mais rápido e seguro do tráfego, como, por exemplo, os sinais nas auto-estradas para informar sobre os limites de velocidade e as situações de congestionamento. Dois outros exemplos são os sistemas de supervisão do tráfego e os sistemas de cobrança de portagem em troços congestionados6.

5 A telemática consiste num conjunto de tecnologias que combinam as telecomunicações e a informática. 6 Estes sistemas consistem na cobrança aos motoristas de uma taxa para poderem conduzir durante as horas

de ponta em zonas tendencialmente congestionadas.

10

2.3.7 Apresentação de declarações fiscais por meios electrónicos

Em alguns países, as autoridades fiscais permitem o envio de declarações fiscais através de disquete, de uma ligação modem-modem ou da Internet. 2.3.8 Intercâmbio de informações dentro da administração pública

Na organização tradicional da administração pública, cada organismo governamental lida com os seus clientes de forma separada. Esta separação leva a que exista uma sobreposição entre as respectivas bases de dados de clientes. Tanto quanto sabemos, a Bélgica foi o primeiro país a compreender a necessidade de optimizar os sistemas de gestão dos dados que os cidadãos e as empresas são obrigados a fornecer ao Estado. Há cerca de dez anos, foi criado o “Banco de Cruzamento da Segurança Social”, seguido, mais recentemente, pelo “Banco de Cruzamento das Empresas”. Os bancos de cruzamento desempenham as funções de infomediários, viabilizando a aplicação do princípio da recolha de determinada informação uma única vez e permitindo que a mesma seja colocada à disposição de todas as organizações com direito a utilizá-la. 2.3.9 Participação no processo de decisão política

Os sites na Internet têm vindo a ser utilizados para fomentar a reacção dos cidadãos a determinadas questões políticas. Em certos casos, no âmbito da preparação para a tomada de decisões políticas, são instituídos debates virtuais muito elaborados, que poderão manter-se ao longo de vários meses. 2.4. Potenciais vantagens

As potenciais vantagens da governação electrónica para os cidadãos e para as empresas incluem:

• acessibilidade (acesso à administração em qualquer momento ou local; regime de balcão único; rapidez nas respostas);

• melhoria da qualidade dos serviços prestados ao cliente; • acesso a mais e melhor informação; • no caso específico das empresas, redução dos custos da sua actividade.

As potenciais vantagens para os organismos públicos incluem:

• maior eficácia em termos globais, devido a: o presença administrativa em linha mais homogénea, que permite o acesso a

informações de maior qualidade e mais estruturadas, de fácil localização e que dispensa um conhecimento aprofundado da forma de funcionamento da administração;

o prestação de serviços unificados; o melhor informação sobre os cidadãos e as empresas.

11

• maior eficiência devido a: o redução dos custos da prestação de serviços; o melhoria dos processos empresariais; o automatização de tarefas que implicam o manuseamento de um grande

número de documentos e, consequentemente, mais propícias a erros; o possibilidade de tratar as excepções de forma mais inteligente e rápida; o possibilidade de analisar em tempo real as fases menos eficientes da

prestação de serviços. 2.5. O que tem a governação electrónica de único?

Este ponto analisa as características que distinguem a governação electrónica de outros desenvolvimentos no domínio das TI. Estas características podem influenciar a panóplia de métodos a utilizar (ver figura 6 no ponto 4.3.1). 2.5.1 Orientação para o cliente

Um denominador comum consiste no facto de todas as iniciativas de governação electrónica partirem de uma análise das necessidades do cliente, com base no reconhecimento da importância de abandonar a orientação convencional assente nas especulações da própria administração pública quanto às possíveis necessidades dos clientes (ou quanto aos serviços que ela mesma está à altura de prestar). Esta transição tem consequências muito vastas, dado que, na maioria dos casos, as necessidades dos clientes não se adequam à tradicional divisão da administração pública. No que respeita às questões da habitação, por exemplo, os cidadãos têm geralmente de contactar vários ministérios, como sejam o Ministério do Interior ou o Ministério da Habitação, bem como a autarquia. Se o Governo pretende instituir um regime de balcão único, terá de eliminar as divisões entre os seus organismos e entre os vários níveis da administração pública. Todas as organizações envolvidas devem procurar reforçar a sua cooperação e reestruturar as suas relações. Trata-se de um objectivo a prosseguir tanto ao nível estratégico como ao nível das actividades quotidianas. Este processo corresponde a uma verdadeira revolução na administração pública, pelo que os governos terão de reformular as suas estratégias, bem como desenvolver e aplicar novos modelos empresariais. 2.5.2 Ambiente sem papel

Se um estudante se candidatar a um bolsa de estudos ou um empresário apresentar um pedido de constituição de uma empresa através da Internet, não são gerados quaisquer documentos em papel. Consequentemente, não são introduzidos quaisquer dados em registos de correspondência. A organização terá assim de desenvolver outros métodos para inventariar os inúmeros requerimentos que são apresentados. Nas fases iniciais da governação electrónica, esta dificuldade poderá ser ultrapassada mediante a impressão sistemática de todos os requerimentos recebidos, fazendo-se o seu tratamento através dos

12

procedimentos convencionais. Todavia, quando a governação electrónica estiver em pleno funcionamento (ver ponto 2.6), esta forma complexa de resolver o problema será eliminada. Nos exemplos mencionados, “apenas” a certeza jurídica está em jogo: se os cidadãos pedem para exercer um direito que lhes assiste, o seu pedido deve merecer o tratamento adequado, dentro dos prazos eventualmente estipulados na lei. Noutros casos, porém, existem também consequências financeiras, nomeadamente no domínio das declarações fiscais electrónicas ou dos sistemas informáticos de apresentação de propostas nos processos de contratação electrónica. Estas situações levantam igualmente questões de regularidade. Este tema é analisado mais pormenorizadamente no ponto 5.2 (“Ambientes digitais”). 2.5.3 Processamento em tempo real

Um exemplo claro de serviços em tempo real é os sistemas de alerta em caso de emergências. Gartner refere, por exemplo, o Sistema Telefónico de Alerta de Emergências utilizado pelos serviços de segurança pública, de saúde pública e de protecção ambiental de vários Estados norte-americanos para informar rapidamente os cidadãos sobre acontecimentos importantes, tais como derrames de substâncias químicas, perturbações na prestação dos serviços básicos e busca de criminosos. Esta tecnologia recorre essencialmente aos telefones de rede fixa dado serem o dispositivo mais comum, mas poderá vir a aplicar-se à governação electrónica quando esses sistemas suportarem o correio electrónico, os browsers e os aparelhos móveis. Um outro exemplo menos impressionante prende-se com as informações em tempo real sobre os congestionamentos de tráfego ou o encerramento das escolas. A prestação de serviços em tempo real exige que a organização prestadora transforme os necessários processos de back office (serviços administrativos e de apoio), substituindo o processamento em lote pelo processamento em tempo real. Se, por exemplo, uma determinada newsletter deixar de ser distribuída em suporte papel e passar a estar disponível na Internet, a organização em causa terá de proceder à sua actualização com mais frequência, por vezes mais do que uma vez por semana. A gestão da informação deve ser reestruturada para que as novas informações possam ser divulgadas (quase) imediatamente no site da Internet. 2.5.4 Integração entre os sistemas de front office e de back office

Um site na Internet ou qualquer outro canal utilizado como meio de interacção é, em si mesmo, por mais bem concebido ou funcional que seja, uma mera concha vazia. Para funcionar como um balcão para a prestação de serviços, tem de estar ligado ao back office, onde é executado o trabalho subjacente ao serviço em causa. Esta exigência coloca dois desafios. Em primeiro lugar, os organismos públicos existentes recorrem a procedimentos estabelecidos com base na sua própria lógica de funcionamento, não sendo muitas vezes orientados para o cliente nem aplicáveis em tempo real. Tal como já mencionado, para darem resposta às necessidades associadas à governação electrónica, estes organismos terão de implementar transformações radicais nestes domínios. O segundo aspecto prende-se com o facto de o legado das organizações existentes consistir em sistemas de

13

informação e bases de dados obsoletos. O problema é que estes sistemas e bases de dados encontram-se muitas vezes mal documentados e são de difícil manutenção. Além disso, em muitos casos, os funcionários das TI que possuíam um conhecimento profundo dos sistemas em causa já não trabalham nessa organização. Por este e outros motivos, torna-se difícil construir as interfaces necessárias entre um servidor de front office (de contacto directo com o público) e os antigos sistemas e bases de dados. 2.5.5 Canais electrónicos

Actualmente, a Internet é o canal mais utilizado no âmbito da governação electrónica, especialmente no que respeita à prestação de serviços electrónicos. Todavia, tendo em conta que o objectivo é a adopção generalizada, a utilização da Internet como o único canal poderá revelar-se uma abordagem demasiado restritiva. Na verdade, nem todos estão igualmente preparados para utilizar o computador. Além disso, alguns grupos-alvo mostram-se menos inclinados a utilizar o computador para fins de comunicação. Os jovens, por exemplo, comunicam principalmente através do telemóvel. Embora já esteja disponível a tecnologia que permite desenvolver sites na Internet acessíveis através dos telemóveis – a tecnologia WAP (Protocolo de Aplicações sem Fios) –, os custos para o consumidor são bastante elevados. Além disso, importa ter em consideração que a criação de um segundo site deste tipo, para além do original, exige esforços acrescidos em termos de manutenção. Uma outra possibilidade seria a utilização do serviço de mensagens das redes de telefones móveis: o SMS7. Um exemplo desta última abordagem é-nos dado por uma iniciativa do Governo australiano, que permite aos condutores localizarem o ponto de venda de combustível com os preços mais baixos dentro da sua área, através de vários canais de comunicação, um dos quais é o SMS. Outro destes canais é o cartão inteligente8. O Bracknell Forest Council do Reino Unido, por exemplo, desenvolveu um sistema de cartões inteligentes, que permite aceder a vários serviços através de um único cartão, nomeadamente a entrada em bibliotecas e piscinas e o pagamento de refeições nas escolas. Nos Países Baixos, estão em curso alguns projectos-piloto que visam explorar as possibilidades da utilização da tecnologia dos cartões inteligentes em serviços como, por exemplo, os transportes públicos e os serviços de saúde. 2.5.6 Processo de decisão electrónico

De acordo com a tradição, as decisões políticas são tomadas pelos representantes democraticamente eleitos pelos respectivos círculos eleitorais. Nos últimos anos, muitos países têm-se defrontado com um decréscimo do interesse dos cidadãos pela vida política. A governação electrónica pode ser utilizada para inverter esta tendência, pois abre novas perspectivas à participação dos cidadãos no processo de decisão política. Os decisores políticos podem, por exemplo, organizar sondagens de opinião ou referendos sobre determinadas questões, tais como projectos de construção ou renovação de

7 Short Message Service (Serviço de Mensagens Curtas). 8 Um cartão inteligente é um cartão de plástico com as dimensões de um cartão de crédito, que contém um

microprocessador e uma memória. Trata-se de uma espécie de microcomputador, que comunica com os sistemas de informação através de dispositivos especiais designados leitores de cartões inteligentes.

14

infra-estruturas, propostas legislativas, etc. O resultado dessas sondagens/referendos poderá afectar o processo de decisão. 2.5.7 Processos automatizados

A governação electrónica permite reduzir, em grande parte, a intervenção humana. Por conseguinte, o processo conducente à prestação de serviços fica menos dependente do humor dos funcionários, sendo também menos propenso a erros humanos. Além disso, se forem bem concebidos, os sistemas informáticos são mais flexíveis em termos de carga de trabalho. Por este motivo, a governação electrónica, em princípio, é mais adequada para lidar com grandes flutuações na procura de serviços. Para automatizar os processos conducentes à prestação de serviços, o organismo em causa terá de encontrar uma forma inteligente de ligar os seus sistemas de front office às bases de dados relevantes dentro da própria organização e, se for necessário, até mesmo fora dela. Contudo, a eliminação da intervenção humana não traz apenas vantagens: um dos possíveis efeitos negativos é a possibilidade de, sem supervisão humana, alguns erros não serem detectados. 2.5.8 Dependência das TI

Pode dizer-se que, por definição, a governação electrónica depende em grande medida das TI. Consequentemente, caso os riscos associados às TI não sejam devidamente identificados e minimizados, os programas de governação electrónica são vulneráveis a ameaças. As duas grandes questões que aqui se colocam são a segurança da informação e a gestão de projectos. Quanto à primeira questão, é indispensável definir claramente uma política de segurança. Esta política deve ser consentânea quer com os programas de governação electrónica do organismo público, quer com a sua estratégia global. É igualmente necessário desenvolver um plano de segurança com base na política de segurança. Entre outros aspectos, a elaboração deste plano implica a implementação de todo um sistema de controlo coerente, que permita reduzir os riscos em termos de segurança a um nível aceitável. Para além do controlo a implementar a nível do hardware e do software, é ainda necessário um controlo organizacional. O plano deve, por exemplo, definir claramente as responsabilidades no domínio das TI, dedicando a devida atenção à diferenciação de funções. É ainda necessário elaborar um plano de emergência que esteja em conformidade com a política de segurança, de modo a dar resposta a eventuais imprevistos. O plano de segurança deve ser cuidadosamente executado, havendo ainda que realizar auditorias regulares para verificar se o sistema de controlo foi devidamente implementado e está a funcionar como esperado. Se a política de segurança da informação não for claramente definida e aplicada, existe o risco de o nível de segurança alcançado ser insuficiente ou demasiado elevado (e dispendioso), tendo em conta as ameaças aos objectivos do projecto de governação electrónica ou aos bens da organização. Por outro lado, pode suceder que o nível de segurança seja suficiente, mas que o conjunto de medidas de segurança, no seu todo, não

15

se revele eficiente. No ponto 3.3 são discutidos os riscos associados à gestão dos serviços de governação electrónica. Curiosamente, no que respeita à gestão de projectos, a OCDE emitiu um aviso, em 2001, afirmando que a governação electrónica está em risco, dado que a maioria das administrações públicas se depara com problemas na execução de projectos de TI de grande dimensão9. Esta organização chegou mesmo a declarar que, a menos que as administrações públicas aprendessem a gerir os riscos associados a grandes projectos públicos de TI, estes “sonhos electrónicos” transformar-se-iam em pesadelos globais (entendendo-se por “sonhos electrónicos” as políticas de governação electrónicas). No seu estudo preparatório, intitulado “Why IT projects fail” (A razão do insucesso dos projectos de TI), o National Auditing Office (Gabinete de Auditoria Geral britânico) emitiu as seguintes recomendações para melhorar os projectos públicos de TI, que vale a pena ter em consideração:

• É necessário reforçar as capacidades de desenvolvimento empresarial necessárias para que os projectos sejam enquadrados num contexto de mudança empresarial e encarados como projectos empresariais, e não como projectos de TI;

• Os projectos de maior dimensão devem ser divididos em componentes de menor dimensão e mais fáceis de gerir;

• A liderança ao mais alto nível deverá ser activa e visível, com funções e responsabilidades claramente definidas;

• O desenvolvimento das competências na área da gestão de projectos deverá ter em conta a dificuldade da avaliação dos projectos face às capacidades dos gestores de projecto, além do que deverá aprofundar-se os conhecimentos sobre a gestão do risco;

• Deverão identificar-se as principais necessidades em termos de competências e definir-se as formas mais rápidas de colmatar as lacunas detectadas;

• É importante melhorar as relações com os fornecedores para que ambas as partes cheguem a um entendimento quanto às exigências e aos riscos envolvidos;

• Devem ser criados mecanismos formais de acompanhamento dos progressos alcançados e, desta forma, garantir a concretização das vantagens pretendidas;

• É necessário divulgar conhecimentos, melhores práticas e experiências para que os novos projectos beneficiem da experiência anterior.

9 “The hidden threat to E-Government; Avoiding large government IT failures” (A ameaça oculta à governação

electrónica; como evitar o fracasso dos grandes projectos públicos de TI), Documento de síntese n.º 8 do PUMA, Março de 2001.

16

2.5.9 Por último… o que não tem a governação electrónica de único?

Quando se salientam as características que distinguem a governação electrónica dos outros grandes desenvolvimentos na administração pública, corre-se o risco de perder de vista os aspectos comuns a ambas. Deste ponto de vista, a principal característica prende-se com o facto de a transição para a governação electrónica consistir essencialmente numa reestruturação dos processos empresariais. Durante um Simpósio da OCDE destinado a quadros superiores na área da governação electrónica, que decorreu em Junho de 200310, os participantes salientaram, com toda a propriedade, que o elemento mais importante da governação electrónica é o próprio conceito de governação e não o facto de ser “electrónica” e que, mais cedo ou mais tarde, os líderes políticos teriam de tomar consciência deste facto. Ao invés de se concentrarem na própria tecnologia, os participantes reconheceram as potenciais vantagens da sua utilização como ferramenta estratégica na modernização das estruturas, dos processos e da cultura global das administrações públicas. Vários países designam esta transição por “modernização administrativa”, uma transformação que faz parte dos planos nacionais e das estratégias de reforma dos organismos públicos e dos sistemas de informação relevantes. 2.6. Aspectos relacionados com a implementação

Em termos de gestão política ao mais alto nível, uma das principais responsabilidades de um país consiste em definir a estratégia de governação electrónica a implementar. Esta estratégia deverá ser implementada em todos os níveis da administração pública. Gartner distingue as seguintes fases no processo de implementação da governação electrónica:

• (Presença): sites na Internet que contêm apenas informação; • (Interacção): interactividade limitada, pesquisa básica, sites da Internet com

ligações entre si; • (Transacção): portais, contratação electrónica, aplicações self-service; • (Transformação): aplicações CRM11, personalização, sondagens e votação.

A Comissão Europeia (iniciativa eEurope) define as seguintes fases:

• (Informação): informação em linha sobre serviços públicos; • (Interacção simples): download de formulários; • (Interacção dupla): processamento de formulários, incluindo autenticação; • (Transacção): portais, contratação electrónica, tratamentos de casos individuais,

aplicações self-service, decisões e entregas (pagamentos). Tanto no modelo de Gartner como no modelo europeu, as fases mais avançadas do processo de implementação baseiam-se nas fases anteriores.

10 O simpósio decorreu na Casa Branca, em Washington, em 9 de Junho de 2003. 11 Customer relation management (gestão das relações com os clientes).

17

Porém, embora ambos os modelos contemplem quatro fases, a fase 4 do modelo europeu (Transacção) corresponde à combinação entre as fases 3 (Transacção) e 4 (Transformação) do modelo de Gartner. Uma vez que, para além de se complementarem, os dois modelos são, em grande parte, comparáveis, propomos uma combinação dos dois. Assim, identificamos as seguintes fases:

−−−− Fase 1 (Presença): sites na Internet permanentemente disponíveis, contendo apenas informação sobre serviços públicos;

−−−− Fase 2 (Interacção simples): pesquisa básica, sites da Internet com ligações entre si, download de formulários;

−−−− Fase 3 (Interacção inteligente): processamento de formulários, incluindo autenticação;

−−−− Fase 4 (Transacção): tratamento de casos individuais, decisões e entregas (pagamentos), aplicações CRM, personalização, sondagens e votação, contratação electrónica.

Segundo a opinião de vários especialistas, a implementação das quatro fases poderá demorar, no mínimo, cinco anos. Por conseguinte, para que um sistema de governação electrónica atinja um estádio de pleno funcionamento, será necessário um esforço contínuo por parte de todas as entidades envolvidas. Actualmente, muitos países europeus desejam avançar para a fase final da implementação da governação electrónica. À medida que a fase 4 for avançando, serão criados procedimentos de interacção inovadores, tanto dentro dos organismos públicos como entre a administração e os cidadãos/empresas, que poderão abrir novas perspectivas. 2.7. Observações finais

Vários organismos pertencentes aos mais diversos sectores já concluíram, ou estão prestes a concluir, o processo de implementação da governação electrónica. Se correctamente implementada, a governação electrónica poderá trazer diversas vantagens aos cidadãos e às empresas, nomeadamente em termos da acessibilidade e da qualidade dos serviços. Os próprios organismos poderão beneficiar de vantagens, que se traduzirão, acima de tudo, numa maior eficácia e eficiência. Por outro lado, a governação electrónica torna os organismos mais vulneráveis, dado depender consideravelmente das TI. Além disso, os organismos públicos terão de lidar com questões organizacionais, tais como a criação de organizações orientadas para o cliente e a integração dos serviços de front office com os serviços de back office . Para garantir a concretização das potenciais vantagens proporcionadas pela governação electrónica e minimizar riscos desnecessários, quer para o organismo público quer para o cliente, é indispensável uma boa gestão das TI. A gestão de projectos e a segurança da informação são áreas que exigem especial atenção. Além disso, tendo em conta o seu papel determinante na concretização da missão de um organismo, as TI devem estar bem enquadradas na estratégia empresarial deste. Por estes motivos, a responsabilidade pela implementação da governação electrónica não pode ser atribuída aos quadros inferiores ou ao departamento de informática. Pelo contrário, os quadros superiores desempenham aqui

18

um papel fundamental. A chave para o sucesso da governação electrónica reside na definição de uma visão da governação electrónica simultaneamente ambiciosa e viável por parte destes dirigentes e no desempenho de um papel de liderança claro, com o objectivo de concretizar essa visão.

19

ANEXO 1

Lista europeia comum de serviços públicos básicos

A presente lista contém os serviços de governação electrónica considerados pela EU como serviços básicos. Elaborada no contexto do plano de acção eEurope, é utilizada para acompanhar os progressos alcançados na implementação de serviços básicos de governação electrónica na União Europeia.

Serviços Públicos aos Cidadãos 1 Impostos sobre o rendimento: declaração de rendimentos, notificação de liquidação 2 Serviços de procura de emprego oferecidos pelos serviços de emprego 3 Contribuições para a segurança social (3 dos seguintes serviços):

• Subsídio de desemprego

• Abono de família

• Despesas de saúde (reembolso ou pagamento directo)

• Bolsas de estudos 4 Documentos de identificação (passaporte e carta de condução) 5 Registo de automóveis (novos, usados e importados) 6 Pedidos de licenciamento de construções 7 Declarações à polícia (por ex.: em caso de furto) 8 Bibliotecas públicas (disponibilização de catálogos, ferramentas de pesquisa) 9 Certidões (de nascimento, de casamento): pedido e entrega 10 Matrícula em estabelecimentos de ensino superior/universidades 11 Anúncio de mudança de residência (alteração de endereço) 12 Serviços relacionados com a saúde (por ex.: aconselhamento interactivo sobre os

diversos serviços dos hospitais; marcação de consultas, exames, etc. em hospitais). Serviços Públicos às Empresas 1 Contribuições sociais respeitantes aos trabalhadores 2 Imposto sobre o rendimento colectivo: declaração, notificação 3 IVA: declaração, notificação 4 Registo de um novo organismo público 5 Envio de dados para os serviços de estatística 6 Declarações aduaneiras 7 Licenças relacionadas com o ambiente (incluindo relatórios) 8 Contratação pública

18

19

3. RISCO

3.1. Introdução

O presente capítulo descreve alguns riscos associados às fases de pré-implementação (planeamento e desenvolvimento) dos serviços de governação electrónica, bem como os riscos a ter em conta durante a sua introdução e os riscos associados à gestão dos mesmos. O capítulo termina com algumas observações finais sobre a auditoria de projectos relativos a serviços de governação electrónica e as correspondentes abordagens.

3.2. Riscos associados ao planeamento, desenvolvime nto e introdução de serviços de governação electrónica

3.2.1 Planeamento estratégico, coordenação e gestão da qualidade

Se não existir um organismo central que desempenhe um papel estratégico a nível federal, central ou local, ou se o organismo a quem esse papel for atribuído não for o mais indicado para o desempenhar, existe o risco de falta de coordenação no planeamento e na introdução dos serviços de governação electrónica12. Os riscos associados à falta de coordenação a nível central incluem, entre outros, a disparidade estrutural, a sobreposição de funções e a duplicação de recursos. Para minimizar estes riscos, deverão ser adoptadas medidas como, por exemplo, a inclusão de disposições adequadas no Plano de Desenvolvimento Nacional, financiamento central, uma política de incentivos contínuos e normas de qualidade obrigatórias. 3.2.2 Expectativas dos utilizadores / análise do perfil dos utilizadores /

garantia da qualidade

É inquestionável que, actualmente, a Internet é a plataforma de comunicação mais utilizada em todos os Estados-Membros da UE e o custo do acesso à mesma diminuiu drasticamente desde meados dos anos 90. Porém, são poucos os utilizadores dos serviços

12Por exemplo, o Ministério Federal do Interior alemão é responsável pelo planeamento e coordenação, a nível central, de todos os projectos de governação electrónica da administração pública federal, bem como pelo estabelecimento de contactos ou ligações com os sistemas administrativos a nível estadual, local e outros. Por outro lado, segundo a Constituição Federal alemã, cada ministro federal deverá gerir de forma autónoma as actividades do seu ministério, o qual está sob sua exclusiva responsabilidade (embora dentro dos limites estabelecidos pelas directrizes políticas do Chanceler Federal). Assim sendo, a responsabilidade pela prestação de serviços de TI pertence, em grande parte, a cada um dos ministérios federais. Estes ministérios e os organismos públicos sob sua tutela concebem e desenvolvem a maior parte das aplicações de TI necessárias às funções específicas que desempenham e, na maioria dos casos, gerem os seus próprios centros de informática.

A “Gateway Poland”, uma estratégia desenvolvida pelo Governo polaco, define dois grandes objectivos no domínio dos serviços públicos, objectivos esses que deverão ser alcançados até 2005: atingir a média europeia em matéria de serviços públicos básicos disponíveis por via electrónica e aumentar a eficácia da administração pública em 40%. Esta estratégia prevê ainda a transferência de todos os processos de contratação pública para a Internet até final de 2004.

20

prestados pela administração pública através da Internet. Não obstante a fragilidade da relação entre a administração pública e os cidadãos, os departamentos e organismos públicos partem geralmente do princípio de que os serviços que prestam através da Internet são atractivos ou, pelo menos, actuam com base nessa premissa (alegando como prova, e a título de exemplo de uma relação entre a administração pública e as empresas, a reacção positiva à possibilidade de apresentar declarações aduaneiras através da Internet). Se não forem realizados inquéritos adequados para medir a aceitação, existe o risco de se definir incorrectamente o grupo alvo dos potenciais utilizadores e de resultarem infrutíferos os esforços para uma maior eficiência e eficácia na administração pública através do acesso à Internet, em geral, e ao acesso a serviços de governação electrónica, em particular. A falta de critérios de qualidade explícitos pode pôr em risco a conformidade entre a presença de um departamento ou organismo público na Internet e as necessidades e expectativas dos “clientes”, as disposições legais e outros requisitos sobre privacidade e segurança dos dados. Os organismos responsáveis pela implementação devem assegurar a revisão e a eventual alteração ou substituição das estruturas e dos procedimentos existentes – criados para tratar as situações e as transacções da forma tradicional –, por novas estruturas e procedimentos, sempre que tal se revele necessário, de modo a facilitar e acelerar a introdução e o desenvolvimento da governação electrónica. Na prática, as estruturas e procedimentos administrativos (incluindo estruturas administrativas, características dos recursos humanos e modelos de gestão) raramente reflectem as necessidades da governação electrónica. Por conseguinte, o sucesso dos programas de governação electrónica depende substancialmente da capacidade de efectuar as transformações empresariais relacionadas com os serviços a serem prestados em linha e da eficácia dessas transformações. A maior parte das estruturas e procedimentos é criada directamente por regulamentos aprovados ao mais alto nível, na sequência de um longo processo democrático. O planeamento financeiro poderá depender de uma estrutura orçamental de forma alguma vocacionada para a governação electrónica. As medidas destinadas a atenuar este risco devem abranger diversos meios e mecanismos que assegurem um serviço de back office electrónico eficaz e seguro, capaz de armazenar e recuperar registos públicos de forma mais rápida e mais económica. 3.2.3 Relação custo-eficácia

As administrações devem assegurar não só a funcionalidade dos serviços de governação electrónica mas também a sua introdução com uma boa relação custo-eficácia. Em termos globais, as iniciativas de governação electrónica foram dotadas com verbas orçamentais consideráveis. Segundo os programas aprovados, uma grande parte destas verbas será gasta ao longo dos próximos anos. Na Alemanha, por exemplo, 25% destas verbas deverão ser aplicadas na reformulação das estruturas da administração pública e dos correspondentes processos empresariais. As necessidades de financiamento serão satisfeitas graças à redução de custos e à reafectação de verbas dentro e entre os departamentos e organismos públicos.

21

Embora tenham sido já identificadas potenciais vantagens, como sejam a economia ao nível dos materiais e a maior celeridade dos processos empresariais, ainda não foram realizadas, na maioria dos casos, análises de custo-benefício em termos monetários, nem avaliações da qualidade e da prioridade dos vários serviços. Esta lacuna poderá levar a uma estimativa incorrecta do efeito de poupança resultante da prestação de serviços de informação através da Internet. Provavelmente, as potenciais poupanças serão consideravelmente inferiores às alcançadas com a prestação de serviços de comunicações e de transacção. Além disso, na realização das análises de custo-benefício, importa ter em conta o seguinte facto:

É bem possível que, durante muito tempo, os serviços de governação electrónica exijam uma duplicação das infra-estruturas, pois haverá necessidade de continuidade das infra-estruturas convencionais para a prestação de serviços públicos sem recurso à Internet.

As estimativas incorrectas poderão prejudicar a percepção sobre a real dimensão da despesa futura com a coordenação, direcção, contabilidade e, em certos casos, a cobrança destes serviços. Até final de 2005, quase todos os serviços abrangidos pelo programa de governação electrónica deverão estar disponíveis em linha através da Internet. Em muitos países da UE, cerca de 60 por cento destes serviços deverão estar disponíveis na Internet logo no final de 2003. Os organismos responsáveis pela implementação devem definir correctamente os seus objectivos e metas, recorrendo, para tal, aos instrumentos disponíveis (incluindo os planos de desenvolvimento nacional, orçamentos anuais e plurianuais, planos regionais e municipais, etc.), bem como a novos instrumentos concebidos especificamente para determinadas tarefas, caso tal se revele necessário. Ao elaborarem os correspondentes documentos, deverão ser coerentes e obedecer aos princípios das boas práticas. É igualmente necessário executarem todas as acções que permitam cumprir os objectivos e as metas estabelecidos. Actualmente, verifica-se muitas vezes uma falta de transparência na definição dos projectos e dos objectivos, metas programadas e linhas directrizes relativos a cada um dos serviços. Por vezes, os documentos existentes contemplam elementos específicos, tais como objectivos e metas mensuráveis que possibilitam a posterior avaliação do programa. Estas informações devem ser publicadas e amplamente divulgadas para que todas as partes directa ou indirectamente interessadas delas possam tomar conhecimento. 3.2.4 Criação do quadro legal e organizativo necessário

As administrações devem assegurar a criação de um quadro legal e organizativo que promova a governação electrónica. Dois dos domínios mais importantes são o custo do acesso e a segurança das transacções. Não obstante muitas das disposições do direito civil e administrativo terem sido já adaptadas aos requisitos das comunicações e das transacções electrónicas, o risco da inexistência de um quadro legal adequado aos ambiciosos programas de acção da reforma

22

administrativa irá exigir um esforço contínuo e inabalável para adaptar a legislação em vigor e aprovar nova legislação. As decisões sobre o quadro legal e organizativo da prestação de serviços públicos através da Internet deverão ser tomadas logo numa fase inicial. As alternativas possíveis são as seguintes:

• prestação de toda a gama de serviços de governação electrónica através de organizações de serviços directos dentro dos departamentos ou organismos públicos; ou

• adjudicação ao sector privado da execução da totalidade ou parte dos trabalhos necessários (subcontratação para o desenvolvimento, exploração e/ou infra-estruturas de TI, prestação de serviços de aplicações, instalação de redes).

3.2.5 Normas e regulamentos sobre TI

Foram estabelecidas algumas normas vinculativas sobre a implementação de projectos de TI e respectiva avaliação segundo o critério do desempenho (relação qualidade/preço) 13. Os organismos responsáveis pela implementação devem assegurar a conformidade entre os sistemas de governação electrónica e normas como a ISO 17799, o CobiT e a legislação aplicável em matéria de comércio electrónico. Todavia, a mera existência de normas e regulamentos não será suficiente em situações que envolvem tarefas novas, complexas, dispendiosas e exigentes, geralmente executadas por organizações que se encontram a braços com um profundo processo de reestruturação, normalmente necessário durante a transição para uma verdadeira governação electrónica. Existe um sério risco de que as administrações se concentrem primordialmente nas questões da prestação de serviços, ignorando as normas e os regulamentos aplicáveis. Uma vez que as comunicações e as transacções no âmbito da governação electrónica também implicam o intercâmbio de dados confidenciais entre a administração pública e os cidadãos, será necessário emitir directrizes adequadas sobre o planeamento e a implementação de aplicações seguras para a governação electrónica.14 Será necessário avaliar as diversas opções existentes para os sistemas públicos de TI, especialmente aquelas que são fundamentais para a segurança das TI em áreas de elevado risco. Para tal, será necessário identificar e, em certos casos, desenvolver normas específicas de segurança, bem como verificar a conformidade dos sistemas de TI com essas normas. Muitas soluções para sistemas de TI terão de ser submetidas a um processo de certificação em termos de segurança, quer para cumprirem requisitos legais, quer para satisfazerem níveis de conformidade. 13 Por exemplo, na Alemanha:

http://www.kbst.bund.de/Anlage300441/Band+52+komplett+%281%2c3+MB%29.pdf 14 Comparar com o programa “ePolska”, de Maio de 2003, em que a responsabilidade pela definição de

normas sobre a segurança das aplicações da administração pública compete aos ministérios. Relativamente ao Governo Federal alemão, consultar o site: http://www.bsi.bund.de/fachthem/egov/3_en.htm.

23

Além disso, talvez seja possível obter gratuitamente software que tenha sido já desenvolvido por outros organismos públicos. A falta de directrizes metodológicas e de normas adequadas sobre TI 15 pode pôr em risco a interoperabilidade entre as diferentes aplicações de governação electrónica, tanto as novas como as já existentes. Se o desenvolvimento de infra-estruturas (qualidade, acesso à Internet, etc.), em determinadas áreas, não atingir atempadamente os padrões desejados, a disponibilidade e o funcionamento dos melhores serviços de governação electrónica, prestados pelos mais potentes servidores e centros, poderão ser profundamente afectados. Existem vários métodos para garantir a conformidade. Em muitos países, coexistem procedimentos de auto-avaliação, auditorias internas, ISC e organizações e procedimentos especializados, que criam, no seu conjunto, uma rede de estruturas e mecanismos que fomentam a conformidade com as boas práticas, as normas profissionais e os requisitos legais relacionados com a governação electrónica e as suas componentes. 3.2.6 Criação das infra-estruturas técnicas

Um planeamento inconsistente pode pôr em causa a disponibilidade e a fiabilidade de componentes e serviços de base das TI (portais da Internet, sistemas de gestão de conteúdos, servidores de formulários, serviços de base relacionados com a segurança das transacções), que deveriam estar à disposição da maioria dos departamentos e dos organismos públicos e dos respectivos serviços em linha. 3.2.7 Dependência das empresas de TI

Se não existir um quadro normativo e uma base legal adequados, as empresas que fornecem soluções de TI ao Governo poderão conquistar uma posição privilegiada nos sistemas de governação electrónica. Esta situação poderá levar, por exemplo, à preferência de determinadas empresas em detrimento de outras, à perturbação da livre concorrência e a uma diminuição da eficácia de todo o sistema em termos de custos. As administrações devem evitar ficar dependentes de tecnologias específicas patenteadas pelas empresas, que poderão usar a sua posição de domínio para praticar preços injustos. Para minimizar este risco, poderá recorrer-se a tecnologias de fonte aberta, utilizar duas ou mais tecnologias alternativas desenvolvidas por empresas concorrentes, celebrar contratos de longa duração, minuciosamente elaborados, que assegurem a estabilidade dos preços (ou a sua redução em função dos preços de mercado), a manutenção e desenvolvimentos tecnológicos futuros.

15 Para garantir a interoperabilidade entre as diferentes aplicações de governação electrónica, tanto as novas

como as já existentes, a Alemanha adoptou, no início de 2003, um conjunto de directrizes metodológicas designado “Standards and Architectures in e-Government Applications” – SAGA (Normas e Arquitecturas para Aplicações de Governação Electrónica).

24

3.2.8 Direito ao domínio Internet

Uma regulamentação legal inadequada pode pôr em risco o direito ao domínio Internet. Para manter uma presença na Internet, cada departamento ou organismo público deve registar um endereço Internet ou um “domínio Internet” junto das autoridades competentes. A escolha do nome deve ser lógica, de modo a que os utilizadores da Internet possam associar imediatamente o site em causa aos serviços prestados pelo departamento ou organismo público. Por exemplo, para uma autoridade polaca, a escolha lógica seria “www.nomedaautoridade.gov.pl” e para uma autoridade alemã “www.nomedaautoridade.de” ou “www.descriçãodoserviço.de”. 3.2.9 Evolução da tecnologia da informação e da comunicação

Ao contrário do que acontece em outros domínios da vida, a tecnologia da informação e das comunicações (TIC) está sujeita a mudanças extremamente rápidas. Tal como tem vindo a acontecer, é provável que a capacidade das plataformas que suportam os sistemas de TI duplique de 18 em 18 ou de 24 em 24 meses. Se as plataformas de comunicação escolhidas para a governação electrónica, nomeadamente a Internet e o correio electrónico, não forem adequadas, poderão ser afectadas pela rapidez da evolução tecnológica. Esta evolução deverá ser acompanhada de perto pelos serviços de governação electrónica, em interacção com os “clientes”. Um outro risco a ter em consideração prende-se com o ritmo de evolução das TIC no seio da população e da zona geográfica visadas pela governação electrónica Esta questão abrange diversos aspectos relacionados com o desenvolvimento, nomeadamente as infra-estruturas, a qualidade dos serviços, a capacidade económica e a educação.

3.3. Riscos associados à gestão dos serviços de gov ernação electrónica

3.3.1 Nível adequado de segurança técnica e organizacional das TI

A introdução de serviços de governação electrónica implica, muitas vezes, a aquisição ou a reestruturação do equipamento e das infra-estruturas de TIC. O risco de erro e de fraude exige o planeamento e a implementação de vários controlos praticamente inexistentes num ambiente sem TI: diferenciação de funções, controlos relativos ao acesso, à introdução de dados, ao processamento, etc. A inexistência de medidas claras no domínio da protecção jurídica da privacidade e da segurança dos dados põe em risco sobretudo a segurança na utilização do correio electrónico e da Internet enquanto plataformas de comunicação e transacção no âmbito da prestação dos serviços de governação electrónica. As medidas a adoptar devem ter em conta, entre outros, os seguintes aspectos (ver ponto 5.3.3 “Auditoria da aplicação das TI”):

−−−− Integridade

25

A integridade implica a adopção de medidas para proteger as informações e os dados armazenados num computador contra perdas parciais ou totais, destruição ou adulteração. No caso das comunicações electrónicas, é indispensável proteger integralmente os dados contra tentativas de alteração ou adulteração durante a sua transmissão.

−−−− Autenticidade Este conceito implica a adopção de medidas adequadas para garantir que o parceiro de comunicação é realmente quem afirma ser e/ou que as informações recebidas provêm realmente da fonte indicada. Devem ser implementados mecanismos que permitam a identificação, em qualquer momento, da fonte dos dados pessoais. Neste contexto, importa estabelecer a distinção entre a prova de identidade (os parceiros de comunicação provam a sua identidade através de meios que não deixam qualquer dúvida) e a prova de origem (o emitente prova que a comunicação tem origem em si e que não foi alterada). Os procedimentos de autenticação permitem detectar e fornecer protecção contra os acessos não autorizados e a adulteração dos dados. Além disso, protegem dados sensíveis durante a sua transmissão através das redes. Tal facto exige procedimentos que permitam a todas as partes envolvidas identificar inequivocamente os seus parceiros de comunicação.

−−−− Confidencialidade É necessário adoptar medidas que garantam o acesso a dados e informações apenas por pessoas autorizadas e segundo as formas autorizadas. A transmissão de dados através da Internet sem medidas de protecção técnica permite que terceiros acedam ao conteúdo das mensagens e o alterem sem o conhecimento do emissor ou do destinatário. Por conseguinte, é necessário adoptar medidas adequadas para evitar o acesso não autorizado e não detectado ao conteúdo das mensagens electrónicas, bem como a sua adulteração.

−−−− Disponibilidade É necessário adoptar medidas que garantam a disponibilidade das informações e dos serviços sempre que os utilizadores deles necessitem. O processamento atempado e correcto dos dados é um aspecto particularmente importante da prestação de serviços de governação electrónica. Há que envidar os maiores esforços para evitar que defeitos técnicos levem à perda de dados ou afectem o hardware ou o software. É necessário desenvolver planos sólidos de segurança e de recuperação de dados no quadro de uma “Política de Segurança” mais abrangente.

−−−− Carácter vinculativo das transacções electrónicas e comprovativo de recepção de mensagens

Devem ser implementados mecanismos que impossibilitem negar a autenticidade do envio ou da recepção de dados e informações (ou seja, que permitam provar a realização de uma transacção legalmente vinculativa).

26

−−−− Possibilidade de sujeição a auditorias

As autoridades responsáveis pela gestão dos serviços de governação electrónica têm a obrigação de adoptar medidas técnicas e organizacionais que permitam a verificação ex post das transacções electrónicas por parte dos supervisores ou auditores, que poderão assim determinar quem foi o autor do registo ou da transmissão, que dados foram inseridos ou transmitidos e qual a data dessas operações. As medidas adoptadas deverão ainda permitir a detecção e investigação de quaisquer tentativas não autorizadas de aceder aos dados ou de os adulterar.

Eis alguns exemplos dos riscos e dos potenciais danos causados pelo não cumprimento destes requisitos:

• introdução de software malicioso em redes informáticas (por exemplo, vírus, cavalos de Tróia, bombas lógicas ou worms);

• adulteração, deterioração ou destruição de sistemas operativos ou aplicações de software (incluindo registos afectados);

• protecção inadequada do acesso remoto para manutenção; • adulteração por parte de “infractores internos” (por exemplo,

administradores ou utilizadores); • software defeituoso ou pouco seguro; • adulteração das ligações de comunicação; • falta de sensibilização para as questões de segurança; • pessoal sem as qualificações adequadas.

Os danos causados por estes factores podem ser classificados nas seguintes categorias: • materiais; • financeiros [o tempo (de inactividade) é (também) dinheiro]; • imateriais (por vezes mais prejudiciais do que os danos financeiros); e • danos na área dos recursos humanos.

O registo de acesso é uma prevenção contra o acesso não autorizado e a adulteração, dado que ninguém pode ter a certeza de que as transgressões não serão detectadas. As pistas de auditoria16 fornecem uma garantia de não adulteração dos dados. É fundamental dedicar especial atenção a esta questão, dado que, tendo em vista os programas de governação electrónica a eliminação dos documentos em suporte papel, as pistas de auditoria convencionais tendem igualmente a desaparecer. Por conseguinte, as organizações devem criar novas pistas de auditoria nos sistemas de informação automatizados, de modo a permitir que as transacções sejam auditadas. A inexistência de pistas de auditoria adequadas comporta o risco de as alterações não autorizadas de dados não poderem ser detectadas.

16 Uma pista de auditoria é um conjunto de registos organizados por ordem cronológica que, no seu conjunto,

fornecem provas documentais do processamento, que permitem reconstruir, analisar e examinar uma actividade (fonte: “Information Systems Auditing; Glossary of Terms”, glossário de termos de auditoria de sistemas informáticos, Comité da INTOSAI sobre TI).

27

3.3.2 Segurança das transacções

Para evitar a falta de segurança das transacções no que respeita à comunicação com o cliente e, sobretudo, aos serviços de transacção (entre a administração pública e os cidadãos/empresas e dentro da própria administração pública), a administração deverá cumprir os rigorosos requisitos estabelecidos na Portaria da Assinatura Digital. Importa ainda assegurar a interoperabilidade entre as soluções adoptadas a nível nacional e internacional em matéria de assinaturas digitais. Para que as entidades públicas possam comunicar de forma segura e legalmente vinculativa através da Internet, devem dispor ainda de um “postmaster digital”, uma espécie de gateway central de segurança largamente automatizada, que desempenhará as funções de autenticação, verificação e criação de assinaturas digitais, descodificação e codificação, bem como outras tarefas de controlo destinadas a garantir a segurança. Os serviços mais complexos poderão exigir do cliente um sistema de autenticação mais rigoroso e, nos casos em que a validade legal das comunicações depende da sua redução à forma escrita, a autenticidade tem de ser objecto de acreditação, o que requer uma assinatura digital válida. 3.3.3 Transacções de pagamentos

No futuro, o pagamento de tarifas, direitos aduaneiros e impostos, cujo valor pode atingir milhares de milhões de euros por ano, será efectuado através dos sistemas de TI das autoridades fiscais e aduaneiras. A inexistência de requisitos suficientemente rigorosos em matéria de segurança põe em risco a cobrança electrónica destes valores, mais ainda do que o incumprimento de determinadas normas pelos restantes sistemas de prestação de serviços de governação electrónica. Recorrendo a uma plataforma de transferência de verbas, a autoridade em causa poderá e deverá prestar um serviço electrónico de cobrança dessas tarifas, impostos ou direitos, assegurando a efectiva recepção dos montantes em dívida e o envio dos recibos à unidade de gestão de tesouraria competente para efeitos de contabilidade ou, se a transferência electrónica de verbas não for concluída, a comunicação imediata desse facto. 3.3.4 Redundância, descontinuidade dos suportes e interoperabilidade

inadequada

As estruturas redundantes para a prestação de serviços devem ser desinstaladas. A longo prazo, para eliminar os problemas de descontinuidades dos suportes, cada serviço de governação electrónica deverá ser prestado, na sua totalidade, através de TI. Nos casos em que os serviços administrativos não envolvem quaisquer decisões discricionárias sobre casos individuais, a prestação de serviços poderá ser totalmente automatizada.

28

3.4. Auditoria de riscos nos projectos de serviços de governação electrónica

3.4.1 Características do auditor

A diversidade e a complexidade dos factores que seguidamente se enumeram podem servir como ponto de partida para analisar as abordagens à auditoria:

• o número de departamentos e organismos públicos que participam nos programas; • o vasto número de projectos e serviços electrónicos; • a ligação entre os vários serviços electrónicos (e entre órgãos da administração

central, regional e local); e • sobretudo, o volume de financiamento necessário.

À luz destes factores, compreende-se o elevado nível de exigência dos requisitos relativos às características e qualificações profissionais do auditor de serviços de governação electrónica:

• conhecimento técnico de base necessário para avaliar as especificações técnicas que o serviço de governação electrónica em causa tem de cumprir;

• conhecimento profundo da plataforma TIC que suportará o serviço de governação electrónica;

• capacidade para analisar dados; nível de conhecimentos e competências para utilizar técnicas de recolha e análise de informações probatórias por meios electrónicos.

3.4.2 Ética

Muitas vezes, o auditor responsável por auditorias relacionadas com a governação electrónica depara-se com situações complexas que exigem a tomada de decisões éticas. As ISC (Instituições Superiores de Controlo) terão de se certificar de que cada um dos auditores envolvidos neste tipo de auditoria está preparado para lidar com estas situações.

3.4.3 Abordagens da auditoria

Os projectos já implementados ao abrigo das iniciativas de governação electrónica proporcionaram já alguma experiência no campo da auditoria. Uma vez que os serviços de transacção de maior risco só serão introduzidos numa fase posterior, só dentro de alguns anos as ISC estarão em condições de formular conclusões definitivas, no âmbito das suas auditorias, sobre a introdução e o funcionamento dos serviços de governação electrónica complexos. Apresentamos seguidamente alguns exemplos de abordagens específicas de auditoria à luz dos riscos existentes na fase de concepção do programa, de planeamento da despesa pública, durante a execução do programa17 e na fase da avaliação da eficiência:

17

O tema “Auditoria de programas e projectos” é tratado de forma mais aprofundada no capítulo 4.

29

• Na fase de concepção do programa:

o ausência de coordenação dos trabalhos durante a constituição da governação electrónica ao nível da administração federal, regional e local; inexistência de um conceito e de um programa únicos;

o preparação do projecto de governação electrónica em condições de inexistência ou afastamento do quadro das estratégias gerais (plano, programa) de desenvolvimento social e económico do país e de digitalização da sociedade, quadro esse que, por sua vez, deverá contemplar a necessária transformação das relações entre as entidades públicas e a sociedade;

o não conformidade da funcionalidade ou da lógica do fornecimento de informações e de outros serviços electrónicos novos com as estruturas administrativas e os algoritmos de decisão existentes;

o apreciação inadequada da “desigualdade digital” existente no país, a condição mais importante da produtividade do programa de governação electrónica;

o inexistência de uma definição clara do projecto em termos de objectivos, actividades, prazos, acordos e recursos financeiros necessários (abordagem não orientada para a resolução de problemas), bem como de indicadores de eficiência (produtividade) das despesas financeiras;

o inexistência de normas universalmente aceites sobre armazenamento e fornecimento de dados durante a criação dos mecanismos de intercâmbio de informações no seio dos órgãos de soberania e entre estes e organizações públicas e comerciais;

o quadro normativo (base legal) incompleto no campo do intercâmbio de informações ao nível dos órgãos de soberania e das instituições da administração local autónoma, bem como no campo do intercâmbio de informações entre os órgãos de soberania, por um lado, e os cidadãos e o sector empresarial, por outro.

• Na fase de planeamento da despesa pública:

o estimativa incorrecta das despesas de financiamento do projecto e da

capacidade do Estado na afectação dos recursos financeiros necessários;

o incapacidade do sistema de financiamento e da cultura das organizações estatais de criarem um sistema de investimento eficaz, incluindo verbas públicas, em projectos de digitalização complexos.

o inexistência de um sistema de definição de prioridades para a promoção do projecto no contexto de um financiamento limitado;

30

o insuficiente pormenorização na classificação orçamental para garantir a transparência do planeamento e, posteriormente, do controlo da despesa pública;

o na atribuição de verbas nos orçamentos federais do ano fiscal seguinte não se ter em consideração a concretização dos objectivos das iniciativas dos programas, o que conduz à acumulação de programas e fases incompletos, bem como a um investimento em hardware e software genérico sem o desenvolvimento de actividades específicas para os utilizadores finais;

o desfasamento temporal na atribuição de verbas por parte das várias fontes de financiamento (orçamento geral do Estado, empréstimos e crédito externos, recurso a financiamentos privados, etc.).

• Durante a execução do programa:

o o sistema de gestão do programa não permite uma reacção eficaz a factores adversos e a novos riscos (financeiros, tecnológicos, sociais e outros);

o elevado grau de inércia da burocracia moderna e, consequentemente, resistência às mudanças;

o inexistência de indicadores da evolução do programa (fases, níveis) e de subsistemas ou atrasos no seu desenvolvimento;

o desajustamentos temporais na definição de soluções legislativas, organizacionais e tecnológicas para os elementos do programa;

o lentidão na mudança dos padrões de comportamento social e político da população; desilusão com a progressão na execução do programa e com as expectativas quanto à sua utilidade para o sector empresarial e para a população; falta de confiança na eficácia das medidas destinadas a garantir a confidencialidade dos dados;

o inexistência de modelos de relatórios sobre a organização do intercâmbio de informações entre os órgãos da administração e as organizações públicas e comerciais;

o incoerência ao nível do desenvolvimento do programa de governação electrónica e dos sistemas de informação dos órgãos de soberania, do programa de governação electrónica e de outras componentes da “sociedade electrónica” que ultrapassam as relações entre a administração pública e as empresas ou os cidadãos (por exemplo, entre as próprias empresas, entre os cidadãos ou entre aquelas e estes).

31

• Na fase de avaliação da eficiência na execução do programa:

o os objectivos e os parâmetros do programa não são alcançados; o as despesas com o programa ultrapassaram o orçamento previsto; o o custo da introdução e do funcionamento é inaceitável, tanto para o

Estado como para o sector empresarial e para os cidadãos; o a execução do programa não teve como resultado uma melhoria da

posição do Estado na comunidade electrónica mundial.

3.5. Observações finais

A dimensão dos programas de governação electrónica, a quantidade de projectos relevantes e as suas diferentes fases, tais como o planeamento, desenvolvimento, introdução e gestão dos serviços de governação electrónica, comportam vários riscos, dos quais apenas alguns foram mencionados no presente relatório. A elevada dependência dos organismos públicos e dos seus clientes das TI e a sua vulnerabilidade representam um extraordinário desafio para os mecanismos de responsabilização das entidades públicas. Por este motivo, os decisores políticos e os gestores terão de se concentrar na minimização dos riscos logo que estes sejam identificados, por forma a evitar danos cuja extensão se desconhece, mas que, em regra, são consideráveis.

32

33

4. AUDITORIA A PROGRAMAS E PROJECTOS

4.1. Introdução

Uma vez que a governação electrónica é um domínio novo, é-nos difícil imaginar de que forma poderemos fiscalizar, por exemplo, um portal do Governo recorrendo apenas aos métodos tradicionais (incluindo os métodos utilizados nas auditorias informáticas). Por esse motivo, são necessários novos métodos de auditoria. Com estes novos métodos, poderemos determinar os progressos alcançados pela administração pública na implementação de programas e projectos de governação electrónica (ver, por exemplo, o caso da Rússia, no Anexo 2 no final do presente capítulo). Os novos métodos deverão ter expressamente em consideração as TI, dado que os programas de governação electrónica dependem fundamentalmente destas tecnologias. Embora a governação electrónica seja, em si mesma, um fenómeno novo, as TI e as auditorias às TI não o são. Assim sendo, podemos recorrer, em grande parte, à nossa experiência neste campo. Contudo, tal como foi referido no ponto 2.5 (“O que tem a governação electrónica de único?”), a governação electrónica apresenta algumas características próprias. Pelo que, poderão ser necessários novos métodos para dar resposta a estas características. Para ser eficaz, a auditoria a um programa deve centrar-se sobretudo nas fases iniciais do mesmo, analisando questões relacionadas com o controlo ainda durante a fase de concepção ou implementação. Uma auditoria realizada após a conclusão do programa não será muito eficaz, dado que, nessa altura, é demasiado tarde para adoptar medidas destinadas a melhorar o controlo do programa objecto da auditoria. Para efeitos do presente capítulo, o termo “programa” abrange todos os projectos relacionados entre si (incluindo projectos de TI), cujo objectivo intermédio ou final seja a transição para a governação electrónica como, por exemplo, o programa federal ou regional. Neste sentido, podemos igualmente considerar que um programa é uma espécie de “cabaz” onde estão reunidos diversos projectos, de TI e outros. Um projecto que se encontre neste “cabaz” é considerado um dos projectos individuais do cabaz (seja um projecto de TI ou outro). 4.2. Quadro conceptual

4.2.1 Principais categorias de objectos de auditoria

As auditorias no domínio da governação electrónica podem ter por objecto um ou mais dos seguintes elementos, correspondentes a três níveis de controlo:

• um programa, considerado como um conjunto (“cabaz”) de projectos (incluindo projectos de TI), com objectivos intermédios ou finais;

• um projecto (de TI), considerado quer como um projecto independente, quer como um projecto executado no quadro do programa (“projecto”);

• um sistema de informação (“SI”) ou recurso informação (“RI”), criados ou utilizados no interesse do governo electrónico (“SI/RI”).

34

As questões que se colocam nos três níveis de controlo são as seguintes:

• nível estratégico: eficiência na organização, planeamento, gestão e controlo da execução dos programas;

• nível operacional: execução dos projectos; • nível aplicacional: utilização dos novos e antigos sistemas de informação e

recursos de informação. O presente capítulo é dedicado ao nível estratégico de controlo durante a transição para a governação electrónica e para o seu desenvolvimento futuro. 4.2.2 Tipos gerais de auditoria

Geralmente, as auditorias são classificadas de acordo com as seguintes categorias: • auditoria financeira, ou seja, a auditoria de:

o investimentos e despesas; o contabilidade; o organização dos sistemas de controlo interno e de comunicação de

informações, eficiência das despesas. • auditoria informática: auditoria da gestão de TI; • auditoria do desempenho, ou seja, a avaliação de:

o sistemas de controlo da qualidade; o eficiência e eficácia; o eficiência do processo de decisão; o qualidade dos serviços; o políticas de recrutamento de pessoal; competências e nível de

conhecimentos dos funcionários.

35

Figura 1 – Tipos e métodos de auditorias gerais

AUDITORIA DE DESEMPENHO

AUDITORIA INFORMÁTICA

AUDITORIA FINANCEIRA

AUDITORIA FINANCEIRAAUDITORIA FINANCEIRAAUDITORIA FINANCEIRAAUDITORIA FINANCEIRA

Métodos de auditoria:

•Auditoria financeira de organizações comerciais

•Auditoria financeira de entidades orçamentais

•Auditoria financeira num ambiente de TI

AUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICAAUDITORIA INFORMÁTICA

Métodos de auditoria:

•Auditoria dos sistemas de informação

•Auditoria dos recursos de informação

•Auditoria da segurança da informação

AUDITORIA DE DESEMPENHOAUDITORIA DE DESEMPENHOAUDITORIA DE DESEMPENHOAUDITORIA DE DESEMPENHO

Métodos de auditoria:

•Análise do quadro normativo (base legal)

•Auditoria dos sistemas de qualidade

•Auditoria da eficiência do projecto e dos resultados do programa

MÉTODOS DE AUDITORIA

Para cada tipo de auditoria, podemos confiar, em parte, em métodos e técnicas de auditoria tradicionais. Porém, quando aplicados a questões de governação electrónica, terão de ser complementados por novas abordagens. 4.2.3 Perspectiva temporal

Com base na prática internacional das instituições de controlo financeiro, numa perspectiva temporal, podemos definir três fases do controlo financeiro:

• pré-implementação: controlo durante o processo de decisão política sobre o orçamento e outros projectos de lei ou sobre outras áreas sujeitas a controlo financeiro.

• concomitante: controlo de outras questões relacionadas com a execução orçamental que possam surgir durante a execução dos programas e projectos.

• pós-implementação: aprovação dos relatórios de contas sobre a execução orçamental e sobre os resultados dos programas e projectos.

36

4.3. Métodos de auditoria

4.3.1 Aplicabilidade dos tipos de auditoria existentes ao domínio da governação electrónica

A perspectiva tridimensional analisada nas secções anteriores cria um espaço de controlo (fig. 2), em que cada elemento corresponde a um grupo de métodos: M(i,j,k). Neste contexto, as letras “i”, “j” e “k” representam as variáveis “objecto da auditoria”, “tipo de auditoria” e “perspectiva temporal”, respectivamente (fig. 3). Figura 2 – Espaço de controlo da governação electrónica

(Nível estratégico)

(Nível operational)

(Nível aplicacional)

Figura 3 – Grupo de métodos de auditoria da governação electrónica

Tipos deauditoria

Objectos daauditoria

j

k

Group of audit

government

Perspectiva temporal

j

k

Group of auditmethods of

E-governmentM(I,j,k)

Audit j

k

Group of audit

governmentj

k

Grupos de métodosde auditoria da

governaçãoelectrónica

M(i,j,k)Método deauditoria

i

37

A figura 4 mostra a aplicabilidade dos vários grupos de métodos de auditoria da transição para a governação electrónica.

Figura 4 – Aplicabilidade dos métodos de auditoria existentes durante a transição para a governação electrónica

Tipos de auditoria Objecto da auditoria

Perspectiva temporal Auditoria

financeira Auditoria informática Auditoria do desempenho

Pré-implementação

Necessário desenvolver novos métodos

Concomitante Necessário desenvolver

novos métodos Programa

Pós-implementação

Necessário desenvolver novos métodos

Necessário desenvolver novos

métodos Pré-implementação

Concomitante Projecto (de TI)

Pós-implementação

Necessário desenvolver novos métodos

Necessário desenvolver novos

métodos

Pré-implementação

Necessário desenvolver novos

métodos Concomitante

SI/RI

Pós-implementação

Quando analisamos mais pormenorizadamente a aplicabilidade dos métodos, é útil considerar também a perspectiva do ciclo de vida. Por exemplo, a um nível estratégico de controlo, podemos identificar as seguintes fases do ciclo de vida (ver também a figura 5).

• fase do planeamento estratégico (I): tomada de decisões políticas; desenvolvimento do programa, com a definição dos objectivos, requisitos, actividades e critérios de concepção necessários à viabilidade do programa;

• fase da concepção (II): constituição do órgão de gestão do programa (elaboração da documentação que serve de base ao concurso e realização do concurso para seleccionar a entidade responsável pelo programa em causa); criação do quadro normativo (base legal); discriminação dos objectivos e actividades do programa; constituição do “cabaz” de projectos e elaboração do orçamento do programa, etc.;

38

• fase da execução (III): criação da base técnica e económica do projecto; documentação que serve de base ao concurso de adjudicação dos projectos do programa; organização de concursos e celebração de contratos relativos aos projectos; constituição da carteira de investimentos e financiamento dos projectos; controlo das fases de execução e dos resultados do projecto; conclusão / suspensão/ início dos projectos do programa; actualização do programa, etc.;

• fase final (IV): avaliação dos resultados do programa; avaliação da qualidade da contabilidade e dos relatórios de contas; avaliação da eficiência do programa, etc.

Figura 5 – Questões relativas à auditoria ao longo das várias fases do ciclo de vida.

I fase II fase III fase

Projecto 1

Tip

osde

aud

itoria

Planeamento do programa

Auditoria do desempenho

Sistema de gestão do controlo da qualidade

Projecto 2

Projecto N

Auditoria da legalidade e da regularidade

IV fase

Acç

ões

a ef

ectu

arna

tran

siçã

opa

raa

gove

rnaç

ãoel

ectr

ónic

a

Auditoria financeira

Auditoria informática

CriaCriaçãçãoo do do quadroquadro normativonormativo (base(base legal)legal)

Fases do «ciclo de vida» de um programa

A figura 5 ilustra o modo como os vários tipos de auditoria (financeira, informática e de desempenho) podem ser utilizados em diferentes fases do ciclo de vida do programa alvo. O quadro que se segue apresenta os métodos que devem ser utilizados nas várias fases do ciclo de vida.

39

Figura 6 – Métodos de auditoria a aplicar nas várias fases do programa

Fases do ciclo de vida Métodos de auditoria

1 Análise do programa sob uma perspectiva normativa (legal)

2 Avaliação das previsões sobre os resultados

(I) Planeamento estratégico

3 Apreciação do conceito subjacente ao programa 4 Análise da documentação que serve de base ao concurso para selecção da entidade responsável 5 Auditoria do sistema de controlo da qualidade utilizado pela entidade responsável 6 Análise dos projectos sob uma perspectiva normativa (legal)

(II) Concepção

7 Auditoria do orçamento da entidade responsável 8 Auditoria financeira do sistema utilizado pela entidade responsável para elaboração do seu orçamento 9 Auditoria financeira das despesas relacionadas com a execução do programa 10 Análise da documentação que serve de base ao concurso para selecção dos adjudicatários dos projectos 11 Auditoria da organização e do processo de realização do concurso

12 Auditoria do sistema logístico do programa

13 Auditoria do desempenho

14 Auditoria dos riscos associados ao programa

(III) Execução

15 Auditoria dos sistemas de informação utilizados pela entidade responsável 16 Auditoria financeira do sistema utilizado pela entidade responsável para a elaboração do seu orçamento 17 Auditoria financeira das despesas relacionadas com a execução do programa

(IV) Final

18 Auditoria do desempenho A figura 6 contém informações sobre o nível de adequação dos métodos de auditoria nas várias fases do ciclo de vida do programa alvo, com base na experiência de auditoria do Tribunal de Contas e dos organismos responsáveis pela contabilidade pública da Federação Russa. Os métodos referidos no quadro serão explicados na próxima secção. 4.3.2 Explicação dos métodos

Segue-se uma explicação dos métodos enunciados na figura 6. (1) Análise do programa de uma perspectiva normativa (legal)

40

Analisar os projectos sob uma perspectiva normativa (legal) no que respeita ao processo de decisão política sobre:

• a necessidade da transição para o governo electrónico; • os modelos, os objectivos e as actividades da governação electrónica; • a necessidade de reorganização da administração pública; • as dotações orçamentais e os prazos para o cumprimento das metas.

(2) Avaliação das previsões sobre os resultados

• verificar se existem previsões e se as mesmas foram expressas em termos de desenvolvimento social e económico;

• verificar se estas previsões foram feitas com base em métodos e procedimentos correctos e eficientes.

(3) Apreciação do conceito subjacente ao programa

• determinar se os objectivos e as actividades do programa estão em conformidade com os objectivos e actividades estratégicos no que respeita ao desenvolvimento socioeconómico do país;

• verificar se foram estabelecidos critérios correctos e mensuráveis para a avaliação dos resultados intercalares e finais do programa.

(4) Análise da documentação que serve de base ao concurso para selecção da entidade responsável Verificar:

• a conformidade dos documentos do concurso com a legislação em vigor; • a existência de condições para a realização do concurso; • os resultados do concurso.

(5) Auditoria do sistema de controlo da qualidade utilizado pela entidade responsável

• verificar se a entidade responsável dispõe de um sistema de controlo da qualidade (caso este seja necessário);

• determinar se o sistema de controlo da qualidade é adequado à gestão e coordenação das actividades do programa;

• verificar se a gestão do programa ficará a cargo da autoridade competente;

• verificar se a entidade responsável cumpre os requisitos do sistema de controlo da qualidade.

(6) Análise dos projectos sob uma perspectiva normativa (legal) Analisar o quadro legal aplicável à entidade responsável relativamente a aspectos como, por exemplo:

• a conformidade com os objectivos e actividades do programa; • a validade do cálculo dos custos;

41

• a validade do planeamento do projecto (datas de conclusão e encadeamento);

• a validade da conclusão de projectos independentes; • a especificação ou alteração dos objectivos e das actividades dos

projectos. (7) Auditoria do orçamento da entidade responsável

• Fiscalizar a saúde financeira da entidade responsável. (8 ,16) Auditoria financeira do sistema utilizado pela entidade responsável para elaboração do seu orçamento

• examinar as despesas da entidade responsável durante a execução do programa;

• examinar as demonstrações financeiras e outros documentos com informações de comunicação obrigatória.

(9,17) Auditoria financeira das despesas relacionadas com a execução do programa Fiscalizar as despesas da entidade responsável relacionadas com:

• a gestão do programa; • a preparação, organização e construção de uma situação competitiva

para os projectos que integram o programa; • a realização de aquisições centralizadas de equipamento e software para

os participantes no programa; • a regularidade, pontualidade e integralidade dos pagamentos; • a exactidão, integralidade e pontualidade dos relatórios financeiros e de

outros documentos de natureza contabilística ou que contenham informações de comunicação obrigatória.

(10) Análise da documentação que serve de base ao concurso para selecção dos adjudicatários dos projectos

• verificar se a documentação que serve de base ao concurso de adjudicação dos projectos do programa está em conformidade com os requisitos estabelecidos na legislação em vigor;

• verificar se as condições para a realização do concurso se encontram preenchidas;

• examinar os resultados do concurso e a escolha das empresas que irão executar os projectos do programa.

(11) Auditoria da organização e processo de realização do concurso

• examinar a preparação e a realização das aquisições centralizadas de equipamento, software e serviços para os participantes no programa por parte da entidade responsável ou de uma entidade autorizada;

42

• verificar a regularidade, pontualidade e integralidade do pagamento das aquisições;

• verificar se o equipamento, o software e os serviços adquiridos cumprem os requisitos técnicos e de qualidade estabelecidos.

(12) Auditoria do sistema logístico do programa Examinar:

• a forma como a aquisição, o armazenamento e a distribuição do equipamento e do software adquiridos a nível central para os participantes no programa estão organizados;

• a forma como os participantes do programa organizaram a elaboração e a apresentação dos documentos relativos à concepção do mesmo, de contabilidade e financeiros.

(13, 18) Auditoria do desempenho Avaliar os resultados da execução do programa do ponto de vista:

• do cumprimento pontual e integral das metas estabelecidas; • da eficiência na gestão do programa; • da eficiência na utilização dos recursos afectos ao programa.

(14) Auditoria dos riscos associados ao programa

Estes problemas são analisados no capítulo 3. (15) Auditoria dos sistemas de informação utilizados pela entidade responsável

• Avaliar em que medida os vários aspectos da qualidade dos sistemas de informação utilizados pela entidade responsável cumprem as regras, normas e requisitos estabelecidos. Tal abrange a análise do risco e dos sistemas empresariais utilizados pelos participantes no programa.

43

4.4. Esquematização no modelo CobiT

Todos os métodos de auditoria aos níveis estratégico, operacional e aplicacional referidos no presente capítulo são passíveis de esquematização no modelo CobiT18. Fig. 7 −−−−Esquematização dos três tipos de objectos de auditoria / níveis de controlo segundo os processos CobiT.

Domínio CobiT

Código do Domínio CobiT

Processo

Pro

gram

a (E

stra

tégi

co)

Pro

ject

o (O

pera

cion

al)

SI/R

I (A

plic

ação

)

PO1 Definição da estratégia de TI X PO2 Definição da arquitectura de informação X X PO3 Definição da orientação tecnológica X X PO4 Definição da organização das TI e suas

interdependências X

PO5 Gestão dos investimentos em TI X X X PO6 Comunicação de orientações e objectivos

estratégicos X X

PO7 Gestão dos recursos humanos X PO8 Cumprimento de requisitos externos X X PO9 Avaliação dos riscos X X X PO10 Gestão dos projectos em curso X

Planeamento & Organização

PO11 Gestão da qualidade X AI1 Identificação de soluções automatizadas X AI2 Aquisição e manutenção de aplicações X AI3 Aquisição e manutenção da infra-estrutura

tecnológica X

AI4 Desenvolvimento e manutenção de procedimentos

X

AI5 Instalação e certificação de sistemas X

Aquisição & Implementação

AI6 Gestão da mudança X DS1 Definição e gestão dos níveis de serviço X DS2 Gestão dos serviços prestados por terceiros X DS3 Gestão do desempenho e da capacidade X DS4 Assegurar a continuidade dos serviços X DS5 Assegurar a segurança dos sistemas X DS6 Identificação e afectação de recursos X DS7 Orientação e formação dos utilizadores X

Entrega de Serviços & Suporte Técnico19

DS8 Prestação de apoio e aconselhamento aos clientes

X

18 CobiT- – Control Objectives for Information and Related Technology. 19 A expressão ‘Entrega de serviços & Suporte Técnico’ corresponde à expressão no CobiT, em inglês,

‘Delivery and Support’ pelo que o código de domínio dos processos se mantém DS1,DS2, etc.

44

Domínio CobiT

Código do Domínio CobiT

Processo

Pro

gram

a (E

stra

tégi

co)

Pro

ject

o (O

pera

cion

al)

SI/R

I (A

plic

ação

)

DS9 Gestão da configuração X DS10 Gestão de problemas e incidentes X DS11 Gestão de dados X DS12 Gestão das instalações X

DS13 Gestão das operações X M1 Monitorização dos processos X X X M2 Avaliação da adequação dos controlos

internos X X

M3 Certificação de serviços e sistemas X X Monitorização

M4 Realização de auditorias independentes X X

Este quadro reflecte a nossa ideia de que as auditorias dos programas e projectos de governação electrónica não devem ser limitadas por qualquer norma funcional e não podem ser reduzidas a alguns domínios ou processos CobiT, tais como o PO10 (gestão de projectos) e o PO11 (gestão da qualidade).

4.5. Observações finais

Gostaríamos de sublinhar que a classificação dos tipos de auditoria em categorias distintas (ver ponto 4.2.2) se destina apenas a clarificação de conceitos. Na prática, a auditoria de programas e projectos combina normalmente elementos da auditoria financeira, informática e/ou do desempenho num único programa ou projecto.

A auditoria de todos os aspectos relevantes dos programas e projectos durante a transição para a governação electrónica, bem como das condições necessárias para a governação electrónica, implica necessariamente o recurso a novos métodos. Estes métodos devem ser criados à medida que as actividades de governação electrónica forem sendo desenvolvidas.

Estes novos métodos devem abranger aspectos como:

• a qualidade dos sistemas contabilísticos das entidades responsáveis pela organização e execução dos programas de governação electrónica;

• a conformidade entre os projectos e normas funcionais, tais como as aplicáveis à gestão de investimentos (ISO/IEC 15288:CD2);

• o cumprimento das normas relativas à implementação e utilização de TI (CobiT);

• a existência de sistemas de controlo da qualidade certificados em cada fase da execução do projecto.

45

Importa ainda salientar que a melhor abordagem à auditoria pode variar de país para país, dado poderem existir diferenças significativas na rede de entidades envolvidas num programa de governação electrónica e na atribuição de funções aos vários parceiros. O desenvolvimento do sistema pode, por exemplo, ser objecto de subcontratação externa mas não é imprescindível que assim seja.

46

47

ANEXO 2

Desenvolvimento da governação electrónica: a experiência russa

(O programa alvo federal “Uma Rússia electrónica nos anos 2002-2010”)

Recursos de informação estatais Sistema de centros de dados

Perfil externo (público) da governação electrónica(perfil electrónico do sistema de prestação de serviços públicos)

Sistema de normas administrativas e organizacionais electrónicas

Sistema de garantia da segurança da informação dos cidadãos e do Estado

Sistema de gestão dos funcionários públicosSistema de monitorização, análise e ,

estimativa , da informação (sistemas de apoio à decisão )

Sistema de informação para apoio aos procedimentos de controlo no

governo do Estado

Sistema de circulação da documentação electrónica das entidades públicas

Sistema de gestão do projecto de governação electrónica

Infra-estrutura de apoio às transacções financeiras do Estado

Sistema de informaçãoestatal às empresas

Portais de Intranet

Perfil interno

(serviço) da governação electrónica

Rede de informação -comunicação estatal (espaço de comunicação

fechado)

Medidas políticas

Medidas legais Medidas sobre pessoal

Medidas tecnológicas

Medidas organizacionais

Sistema de preparação do projecto de governação electrónica

Medidas financeiras

Acesso independente Acesso por intermediário

Redes abertas

Infra-estrutura de conjugação

Infra-estrutura da democracia electrónica ( apoio aos processos democráticos )

Infra-estrutura de apoio a processos de informatização pública

Infra-estrutura de apoio ao sector empresarial e às interacções económicas

Infra-estrutura de apoio à interacção com governos estrangeiros e

organizações internacionais

Portais e sites de organismos públicos federais e regionais

Portal da administração

Infra-estrutura de criação e apresentação de recursos de informação e serviços “electrónicos” estatais

Interfaces de governação electrónica

Infra-estrutura tecnológica do acesso dos cidadãos à governação

electrónica ( espaço de comunicação aberto )

48

49

5. A AUDITORIA FINANCEIRA EM AMBIENTE DIGITAL (“ SEM PAPEL”)

5.1. Introdução

O objectivo deste capítulo centra-se na auditoria financeira e apresenta um quadro de referência relativo aos requisitos gerais aplicáveis às auditorias em ambientes digitais quanto aos seus objectivos, conteúdo e âmbito. Esta exposição baseia-se principalmente na experiência adquirida na área da contratação electrónica. A contratação electrónica corresponde a uma fase mais avançada da implementação da governação electrónica (ver ponto 2.6 - “Aspectos relacionados com a implementação”). Todavia, importa reconhecer que a governação electrónica é um domínio vastíssimo e, como tal, poderiam ter sido escolhidos muitos outros tópicos para ilustrar o seu estado de desenvolvimento. Uma vez que o principal grupo alvo é constituído pelos decisores políticos, dedicou-se maior atenção à descrição dos principais aspectos da auditoria em ambientes digitais (informatizados). A informatização das funções administrativa e de contratação das entidades do sector público proporciona diversas vantagens, nomeadamente ao nível da criação de procedimentos de trabalho mais eficientes e da capacidade para encontrar novas formas de comunicação e cooperação. Os tradicionais procedimentos de trabalho em suporte papel podem ser optimizados, alterados ou simplesmente apagados quando os dados e a comunicação de dados assumir a forma electrónica. Como tal, os recursos disponíveis podem ser transferidos da administração para a prestação de serviços. Porém, a informatização não traz apenas vantagens. O factor de risco altera-se radicalmente em função do desenvolvimento tecnológico. Por exemplo, os dados digitais que substituem os tradicionais documentos em suporte de papel podem ser fácil e rapidamente roubados (copiados), alterados e apagados por terceiros, sem qualquer contacto físico e sem deixar vestígios. No futuro, a segurança dos sistemas digitais assumirá uma importância prioritária em todos os domínios da sociedade. No ponto 3.3 são discutidos os riscos associados à gestão dos serviços de governação electrónica. 5.2. Ambientes digitais

5.2.1. Características

As TI constituem a base do conhecimento, informação e gestão de uma entidade pública, sendo aplicadas com crescente frequência nos procedimentos técnico profissionais e administrativos. Simultaneamente, a aplicação das TI tem assumido um papel estratégico cada vez mais importante, sendo cada vez mais decisiva para a concretização da missão e dos objectivos das entidades públicas. Por conseguinte, um ambiente de TI eficiente e seguro é fundamental para as actividades quotidianas das entidades públicas. Nos sistemas sem papel (digitais), os dados das entidades públicas não existem sob a forma dos tradicionais documentos de papel, mas apenas em formato electrónico/digital.

50

O conceito de documento digital não abrange apenas os documentos que existem originalmente em suporte de papel (por exemplo, cartas) e são posteriormente digitalizados, mas também os documentos que existem apenas e são exclusivamente utilizados em formato digital ao longo de todo o seu “ciclo de vida”. A introdução de sistemas digitais (sem papel) e a ligação dos sistemas internos à Internet, por exemplo no âmbito da contratação electrónica, agrava a dependência das TI e reforça as exigências de segurança e acessibilidade dos recursos de TI. Quando os documentos em papel deixarem de ser utilizados e forem substituídos por documentos (dados) electrónicos, que passarão a ser a única forma de documentação utilizada nas transacções das entidades públicas, o ambiente de controlo destas entidades terá de reunir as condições para dar resposta a uma questão essencial, que se prende com o facto de os documentos electrónicos terem de possuir o mesmo valor probatório que os documentos em suporte papel. A grande maioria dos países estabeleceu uma prática legal e uma metodologia para determinar o valor probatório dos documentos em papel. Todavia, o mesmo não acontece em relação aos documentos electrónicos, o que significa que o seu valor probatório depende, muitas vezes, da qualidade dos controlos integrados nos sistemas digitais e do ambiente operacional geral20. Consequentemente, a segurança em torno dos sistemas digitais e do armazenamento de dados digitais deve ser tão rigorosa que permita cumprir tanto os requisitos de controlo interno como os requisitos legais externos aplicáveis à documentação. Com a transição do formato de papel para os sistemas digitais, a natureza do ambiente de controlo sofre ainda mais alterações, deixando de ser caracterizado por controlos essencialmente manuais e passando a depender essencialmente de controlos informáticos pré-programados. Para serem eficazes na prevenção de falhas imprevistas ou sistemáticas nos fluxos de dados automatizados, estes controlos devem estar operacionais numa fase inicial do processo. É importante garantir um nível satisfatório de segurança do sistema, dos dados e das operações, ou seja, da segurança das TI em geral e da segurança de cada sistema, bem como a sua adequação às actividades e condições gerais da entidade pública. 5.2.2. Riscos associados aos ambientes digitais

Um ambiente de controlo inadequado permite o acesso não autorizado a sistemas e dados, quer através da Internet, quer de um posto de trabalho interno. Quer isto dizer que os dados podem ser alterados, copiados (roubados por terceiros) ou apagados sem que seja possível saber quando tal ocorreu e quem foi o seu autor.

20 “Auditing Paperless Systems, An internal guide to auditing electronic forms, imaging and messaging

systems” (Auditoria de sistemas sem papel: um guia interno para a auditoria de sistemas de formulários electrónicos, sistemas de imagem e correio electrónico), Tribunal de Contas do Reino Unido, Abril de 1998.

51

O acesso não autorizado abre as portas à fraude informática. Entre os exemplos de fraude informática encontram-se tentativas de alterar dados contabilísticos; gerar e transferir verbas para fornecedores fictícios, clientes ou trabalhadores; ocultar transacções fictícias ou falsificadas, o furto de programas e dados, bem como hacking, sabotagem, etc. Estes actos podem causar danos consideráveis ao banco de dados de uma entidade pública, tanto a nível económico como ao nível dos dados operacionais, podendo ainda, em certos casos, pôr em causa o próprio funcionamento ou existência dessa entidade. 5.2.3. Desafios aos dirigentes

No futuro, os dirigentes das entidades públicas terão de analisar mais profundamente se os seus sistemas digitais se coadunam e estão a ser implementados de acordo com a sua estratégia empresarial. É igualmente da sua responsabilidade assegurar a implementação de sistemas que possuam capacidades de transacção e de controlo/detecção (designadas por pista de auditoria) adequadas, controlos preventivos, detecção/correcção (controlos do sistema digital) eficazes, uma separação funcional adequada, bem como o seu funcionamento num ambiente de TI suficientemente seguro. Geralmente, os controlos dos sistemas digitais devem ser activados numa fase precoce (exercendo uma função de prevenção e não apenas de detecção ou correcção) devido à rapidez de fluxo da informação electrónica. Importa assegurar a actualização não só dos ficheiros originais como também dos ficheiros de transacções (e as correcções aos mesmos) de forma controlada, bem como a programação e manutenção dos controlos informáticos, dado que as deficiências no seu funcionamento aumentam o risco de ocorrência de prejuízos financeiros. O quadro de risco altera-se e adquire maior dinamismo. Em termos técnicos e económicos, o hardware e o software possuem um tempo de vida mais reduzido, pelo que têm de ser constantemente substituídos por novas versões. Da mesma forma, os actuais sistemas de segurança para as TI poderão não ter capacidade para dar resposta às exigências futuras no domínio da segurança, sendo necessário actualizá-los ou substituí-los por novos. Por estes motivos, a segurança e a política para as TI devem passar a fazer parte da agenda dos dirigentes das entidades públicas. A segurança das TI deixará de ser uma questão apenas confinada aos departamentos de TI das entidades públicas. Através da política de segurança para as TI, os dirigentes terão de determinar o grau de segurança pretendido e definir formas de minorar os riscos. A política de segurança para as TI deve contemplar as ameaças (riscos), tanto internas como externas, para os sistemas e para os dados indispensáveis à concretização da missão e ao desenvolvimento da entidade pública.

52

5.3. Auditoria de ambientes digitais (“sem papel”)

5.3.1. Objectivo da auditoria

O principal objectivo da auditoria financeira consiste em emitir um parecer fundamentado sobre a qualidade das contas anuais apresentadas pelos órgãos dirigentes, de modo a que as Instituições Superiores de Controlo (ISC) possam avaliar esta matéria num relatório de auditoria. O objectivo da auditoria não é afectado pelo facto de uma entidade pública ter feito a transição para um ambiente digital. 5.3.2. Auditoria informática e auditoria de sistemas

Uma auditoria é organizada e realizada com base na materialidade e no risco, determinados segundo o modelo de definição do risco da auditoria, e em conformidade com as práticas de auditoria do sector público. As ISC devem realizar a auditoria de forma financeiramente adequada e eficiente, com vista à recolha de informações probatórias pertinentes, suficientes e a um custo razoável. A auditoria é preparada como uma auditoria informática, sendo combinada, na medida necessária, com uma auditoria aos sistemas de controlo interno (substantive audit). A auditoria deve poder obter prova a partir da pista de auditoria do sistema. A auditoria informática abrange a auditoria dos procedimentos manuais e dos procedimentos baseados nas TI, incluindo os controlos gerais das TI que suportam os sistemas para utilizadores (sistemas aplicacionais) baseados nas TI e os controlos internos. São exemplos de auditorias aos sistemas de controlo interno as auditorias de análise das contas e as auditorias aos recibos e outros comprovativos, eventualmente realizadas com o recurso às TAAC (técnicas de auditoria assistida por computador), com base numa avaliação da fiabilidade/segurança dos controlos internos no seu conjunto. Quando os processos administrativos e financeiros de uma entidade pública são digitalizados, os procedimentos de TI e outros procedimentos com eles relacionados assumem uma importância considerável para o planeamento e a realização da auditoria. Por conseguinte, a ISC deverá determinar se o órgão de supervisão interna dos sistemas para utilizadores, etc. funciona de forma eficaz, assegurando a integridade, fiabilidade e integralidade dos dados, bem como se os sistemas aplicacionais funcionam, em ambiente de TI, de uma forma satisfatória quanto à fiabilidade/segurança dos sistemas, dos dados e das operações. O ponto seguinte descreve de que forma a auditoria da aplicação das TI pode ser estruturada.

53

5.3.3. Auditoria da aplicação das TI21

A análise da aplicação das TI de uma entidade pública está idealmente dividida nas seguintes actividades:

a. avaliação inicial da aplicação das TI; b. análise dos controlos gerais das TI; c. análise dos controlos dos sistemas para utilizadores (sistemas

aplicacionais); d. subcontratação.

a. Avaliação inicial da aplicação das TI

O objectivo da avaliação inicial da aplicação das TI realizada pela ISC consiste em estabelecer uma visão geral que servirá de base para estruturar a auditoria e recolher informações sobre a organização das TI, o hardware e o software, o método de gestão e os principais sistemas aplicacionais e bases de dados da entidade pública. Com base numa avaliação da materialidade e do risco, as ISC analisam a relevância da aplicação das TI e determinam se, em caso de quebra ou redução da capacidade das TI, a entidade pública corre o risco de sofrer prejuízos financeiros significativos, etc.

b. Análise dos controlos gerais das TI O objectivo da análise dos controlos gerais das TI realizada pela ISC consiste em avaliar a fiabilidade/segurança dos sistemas, dos dados e das operações, por forma a determinar se reúnem as condições para formar a base para a auditoria aos sistemas aplicacionais. Os controlos gerais das TI são os controlos que os dirigentes de uma entidade pública decidem implementar na área das TI, para que os limites externos da fiabilidade/segurança do sistema, dos dados e das operações se tornem aceitáveis, tendo em conta as necessidades dessa entidade. Estes controlos possuem naturezas distintas, podendo ser, por exemplo, organizacionais, físicos, pré-programados ou manuais. A auditoria dos controlos gerais das TI é realizada principalmente através de entrevistas, observação e verificação das informações obtidas. Em condições normais, a análise terá por objecto a estratégia e a política para as TI, as condições organizacionais, o desenvolvimento e a manutenção dos sistemas, o funcionamento, os controlos do acesso, a comunicação de dados, a segurança física, a existência de cópias de segurança e os planos de emergência. Esta análise abrange, por exemplo, uma investigação destinada a determinar se existe uma separação funcional ao nível das funções globais das TI, do desenvolvimento e gestão dos sistemas e ainda se os controlos no acesso são suficientes. Por último, a ISC deverá determinar se a legislação relevante no domínio do processamento de dados electrónicos está a ser cumprida.

21

Comité de Auditoria da Associação Nacional de Revisores Oficiais de Contas, Dinamarca, Statements on

Auditing Standards n.os 14 (Setembro de 1995) e 17 (Março de 2000).

54

A análise dos controlos gerais das TI termina com a conclusão da ISC quanto à qualidade desses controlos, a qual inclui também uma avaliação da possibilidade de a ISC se basear nos mesmos durante a auditoria aos sistemas aplicacionais.

c. Análise dos controlos dos sistemas aplicacionais Um sistema aplicacional é entendido como um sistema (uma aplicação) que, numa determinada área, envolve algumas funções administrativas sistemáticas, manuais e baseadas nas TI. Num sistema apliicacional, os controlos internos são pré-programados, sendo complementados, na medida do necessário, por controlos manuais. A análise de um sistema aplicacional abrange:

• as funções do sistema; • os registos usados; • o processamento da entrada/saída de dados; • controlos pré-programados e manuais; • o registo de transacções e controlos; e • o cumprimento da legislação relevante em matéria de dados.

O objectivo da análise da ISC consiste em determinar se os controlos internos do sistema aplicacional garantem um processamento integral, exacto e pontual das transacções aprovadas e ainda se esses controlos permitem evitar a ocorrência de erros ou até mesmo a sua detecção e correcção. Por último, a análise deve tomar em consideração a documentação existente sobre o processamento de dados efectuado pelo sistema aplicacional e sobre os controlos preventivos, pré-programados e manuais. Se os controlos internos do sistema aplicacional funcionarem de forma satisfatória, será possível, graças a eles, ampliar consideravelmente o alcance da auditoria. Caso contrário, a ISC terá de analisar a possibilidade de concretizar o objectivo da auditoria através de outros meios. Caso a ISC conclua que existem lacunas significativas nos controlos internos do sistema aplicacional ou que existem discrepâncias nas contas ou nos procedimentos contabilísticos, a situação deverá ser mencionada nas recomendações do auditor e, possivelmente, também no relatório de auditoria. O sistema aplicacional, que permite enviar, receber e processar dados por meios electrónicos entre a entidade pública e os respectivos parceiros comerciais, é normalmente constituído pelas seguintes componentes principais: um programa de aplicações (por exemplo, o sistema financeiro), um método de comunicação de dados (por exemplo, uma ligação por modem com linha comutada do tipo dial-up ou uma ligação link-up através de um fornecedor VANS22 ), uma norma comum para o intercâmbio de dados (por exemplo, o formato XML) e, possivelmente, software de tradução e/ou conversão (tradução de uma norma comum para o intercâmbio de dados para um formato de registo interno).

22 Value Added Network Service (serviço de rede de valor acrescentado)

55

A integração entre sistemas é possível porque estes são construídos por módulos e possuem interfaces abertas para outros sistemas, tanto externamente para a Internet, como internamente dentro da entidade pública, sendo geralmente baseados numa aprovação electrónica para todas as transacções. Do ponto de vista da entidade pública, a principal preocupação é garantir a exactidão dos dados recebidos quando são guardados na aplicação do utilizador, bem como dos dados por ela transmitidos. Além disso, é importante que a entidade pública assegure a existência e manutenção de documentação sobre o envio/recepção de transacções (não repúdio) e que o conteúdo dessas transacções não seja afectado durante a transmissão de dados (integridade). Para validar a exactidão dos dados recebidos e enviados, é importante que os controlos do sistema aplicacional façam essa validação, recorrendo, para tal, a dois controlos, designados por Controlo 1 e Controlo 2 (ver figura 8)23. Figura 8 – Fluxo de dados e controlos de validação

A figura 8 mostra um gráfico do fluxo de dados electrónicos entre a entidade pública e os seus parceiros comerciais, por um lado, e, por outro, a validação de dados recebidos e enviados ao nível do Controlo 1 e a validação dos dados recebidos e enviados ao nível do Controlo 2.

23 “EDI in smaller business enterprises” (O intercâmbio electrónico de dados nas pequenas empresas),

Conselho Dinamarquês para o Intercâmbio Electrónico de Dados, 1998.

Parceiro comercial

Transmissão Controlo

1 Controlo

2

Recepção e validação de

dados

Tradução para formato de registo interno, validação e geração de dados recebidos destinados à

aplicação do utilizador

Geração de dados a enviar, validação e formatação segundo as normas de

comunicação

Validação e envio de dados

Aplicação do utilizador

Entidade pública Entrada de

dados

Saída de dados

56

Controlo 1 O Controlo 1 situa-se na interface do sistema aplicacional logo após a recepção e imediatamente antes do envio de uma transacção. O Controlo 1 deve garantir que a transacção electrónica respeite os seguintes requisitos fundamentais dos dados:

• Autenticidade (o autor é realmente quem afirma ser). • Integridade (os dados recebidos correspondem aos dados enviados). • Confidencialidade (nenhuma pessoa não autorizada teve acesso aos dados). • Não repúdio (o emitente/destinatário não pode negar ter enviado/recebido os

dados). Nos sistemas totalmente digitalizados, tanto o emitente como o destinatário preenchem as condições supramencionadas. Quando o Controlo 1 comprova que os dados recebidos e/ou enviados são autênticos (que se mantiveram confidenciais e não foram comprometidos durante a transmissão, que foram recebidos pelo destinatário e não foram repudiados), a transacção recebida pode ser transferida para a aplicação do utilizador (sistema financeiro). Esta fase, porém, comporta igualmente um certo elemento de risco, que o Controlo 2 visa neutralizar. Controlo 2 O Controlo 2 situa-se imediatamente antes da aplicação, traduzindo e transmitindo tanto as transacções recebidas como as transacções a enviar de e para a aplicação do utilizador que lhe está subjacente (sistema financeiro). O Controlo 2 deve garantir a segurança nos dados de entrada e saída em termos de:

• Integralidade (por exemplo: a integralidade não é afectada durante a tradução dos dados do formato externo para o interno; uma avaria do sistema não causa perda de dados ou outros danos semelhantes; os defeitos que afectam o emissor não impedem a transacção de ser recebida na sua totalidade. Um controlo manual deverá garantir que as transacções deficientes que venham a ser potencialmente filtradas sejam subsequentemente registadas de forma correcta na aplicação).

• Exactidão (por exemplo: a validação de dados sobre transacções, recebidos e

respeitantes, por exemplo, a referências, quantidade, qualidade e preços de produtos, etc. Os dados enviados pela entidade pública serão igualmente sujeitos a esse controlo).

• Validade/aprovação (por exemplo: validação destinada a assegurar que

apenas as transacções respeitantes à entidade pública são transferidas para a aplicação do utilizador. Deverá assegurar-se a implementação de um processo de aprovação das transacções recebidas por toda a organização e a realização dessa tarefa por pessoal devidamente autorizado).

57

• Pontualidade (a operação em curso deverá assegurar que o processamento de dados de transacções guardadas ocorre de forma atempada).

Um requisito essencial da eficiência dos controlos do sistema aplicacional é a existência de controlos gerais das TI adequados e eficientes. No que respeita à auditoria dos controlos dos sistemas aplicacionais, a ISC deve concentrar-se nos controlos que estão a ser implementados em vários níveis distintos. Tal como referido anteriormente, o primeiro controlo destina-se a garantir a autenticidade, confidencialidade, integridade e não repúdio de uma transacção. O segundo controlo destina-se a garantir a integralidade, exactidão, validade e pontualidade de uma transacção.

d. Subcontratação Uma vez que alguns componentes da aplicação das TI de uma entidade pública são adquiridos a uma entidade externa (outsourcing), os dirigentes daquela terão de assegurar a conformidade entre as suas necessidades e o grau de fiabilidade/segurança dos sistemas, dos dados e das operações que envolvem os processos, bem como os sistemas e o acesso a dados. Para garantir o cumprimento destas condições, a entidade pública e a entidade externa deverão celebrar um contrato escrito. Em regra, este contrato deverá ainda incluir, no mínimo, uma declaração anual do departamento de contabilidade da entidade externa relativa à fiabilidade/segurança dos sistemas, dos dados e das operações. No âmbito da auditoria, a ISC deverá analisar o contrato celebrado com a entidade externa e, em geral, ter acesso a todos os dados sobre contratação relativos à entidade pública em causa que se encontrem na posse da entidade externa. 5.4. Observações finais

Embora o principal objectivo da auditoria financeira seja dotar a ISC de um parecer fundamentado sobre a qualidade das contas anuais apresentadas pela entidade pública, a auditoria é preparada como uma auditoria informática, sendo combinada com uma auditoria de sistemas, na medida do necessário. A auditoria de sistemas abrange a auditoria dos procedimentos manuais e dos procedimentos baseados nas TI, nomeadamente os controlos gerais das TI que suportam os sistemas aplicacionais/procedimentos baseados nas TI e os controlos internos. A auditoria de sistemas digitais compreende uma avaliação da aplicação das TI, uma análise dos controlos gerais das TI, uma análise dos controlos dos sistemas aplicacionais e uma avaliação de eventuais contratos celebrados com entidades externas. A auditoria dos controlos gerais das TI permite determinar se o grau de segurança dos sistemas, dados e operações é adequado e estabelecer a base para a auditoria aos sistemas aplicacionais. A auditoria dos controlos do sistema aplicacional permite determinar se foram implementados controlos adequados que garantam a autenticidade, confidencialidade,

58

integridade e não repúdio de uma transacção, bem como a sua integralidade, exactidão, validade e pontualidade.

59

6. CONSEQUÊNCIAS A NÍVEL ORGANIZACIONAL

6.1. Introdução

A digitalização dos procedimentos de trabalho nas instituições públicas exige que cada uma das ISC desenvolva iniciativas estratégicas neste domínio. Estas iniciativas devem visar a transição das ISC para os procedimentos digitais, bem como o desenvolvimento de processos e a formação contínua no domínio das TI. O fundamento para estas iniciativas é, antes de mais, o reconhecimento da dependência das TI e o facto de estas serem determinantes para a concretização da missão e dos objectivos da ISC. A base para a transição digital das ISC resultará da conjugação entre a estratégia organizacional e as estratégias de TI. É importante que os quadros superiores da ISC definam o quadro formal para a aplicação das TI e assumam a responsabilidade geral pela sua gestão e aplicação, nomeadamente no que respeita às questões da segurança. A digitalização das ISC exige alterações em 4 áreas:

• a transição para os procedimentos digitais; • métodos; • qualificações; • recursos.

6.2. A transição para os procedimentos digitais

As ISC, tal como qualquer outra instituição pública, sentirão a necessidade de optimizar as suas rotinas de trabalho com o auxílio da digitalização. Para facilitar a adaptação das ISC aos procedimentos digitais e melhorar o processamento da documentação electrónica, esta transição exigirá:

• o reforço da organização e da capacidade tecnológica das TI; • a garantia de que os mecanismos de segurança das TI, nomeadamente cópias

de segurança, barreiras anti-intrusão (firewalls), etc., dão resposta às novas exigências, permitindo o funcionamento num ambiente em que os dados internos apenas estão disponíveis em formato electrónico;

• a implementação de uma política de novos procedimentos e rotinas para a recepção e para o envio de mensagens de correio electrónico, de modo a que os funcionários utilizem, registem e processem estas mensagens para fins profissionais;

• a criação de um ou mais endereços oficiais de correio electrónico a nível da autoridade, da instituição, do departamento e/ou dos funcionários;

• a divulgação do processo de transição aos funcionários da organização; • a divulgação da versão actualizada das directrizes da instituição relativas à

comunicação digital aos parceiros externos.

60

Desta forma, a digitalização exigirá que as ISC aprofundem os seus conhecimentos na área das TI, implementando e utilizando novas ferramentas e métodos. A digitalização exigirá ainda o reforço da função interna das TI, de modo a permitir que a organização processe apenas informações digitais. Quer isto dizer que os servidores de correio electrónico, as barreiras anti-intrusão (firewalls), a segurança, etc. passarão a desempenhar um papel muito mais importante. 6.3. Métodos

A auditoria num ambiente digital não pode ser realizada da mesma forma que uma auditoria num ambiente baseado em papel. Um bom exemplo da dimensão destas mudanças é o de um serviço público de transportes fluviais que passou de um sistema de emissão de bilhetes totalmente manual e baseado em papel para um sistema electrónico que dispensa praticamente de qualquer intervenção humana. Este serviço público instalou um novo sistema electrónico de venda, emissão de bilhetes, facturação e pagamento, que permite, através da Internet, a venda de bilhetes, pagamentos com cartão, o registo do embarque dos veículos transportados, a realização de operações contabilísticas, a impressão automática de facturas, etc. Esta evolução exigirá a alteração dos procedimentos e conceitos da auditoria, permitindo a identificação de novos riscos. As iniciativas estratégicas a implementar incluem, entre outras:

• o desenvolvimento de novos métodos e ferramentas de auditoria; • a identificação de novas tecnologias passíveis de serem utilizadas internamente

em novos conceitos como, por exemplo, testes estatísticos aleatórios e aplicações especificamente desenvolvidas (por exemplo, TAAC).

6.4. Qualificações

A digitalização de funções importantes nas empresas significa que os tradicionais processos e controlos internos baseados em papel tornar-se-ão obsoletos e serão substituídos por dados electrónicos, com excepção dos elementos processuais que dizem respeito ao fluxo físico de mercadorias. Para as ISC, este facto representa uma importante mudança no ambiente de controlo. As transacções isoladas anteriormente documentadas através de recibos ou de outros comprovativos serão substituídas por informações (dados) digitais, acompanhadas por uma aprovação electrónica da transacção. No futuro, a auditoria dos controlos gerais das TI e dos sistemas aplicacionais nelas baseados constituirão uma componente muito mais importante da auditoria de sistemas, exigindo ainda mais horas de trabalho e pessoal devidamente qualificado nas áreas da auditoria e das TI. As iniciativas estratégicas a implementar incluem, entre outras:

• formação em métodos de auditoria de ambientes digitais (ver capítulo V); • formação na utilização de novas ferramentas (IDEA, TAAC, etc.);

61

• formação contínua em conformidade com a constante evolução tecnológica (na entidade auditada e internamente, na organização);

• acções de formação, para toda a organização, dedicadas às atitudes e à compreensão das questões relevantes;

• reforço das TI a nível interno, de modo a que a organização e a tecnologia estejam em condições de dar resposta aos desafios associados ao facto de os dados se encontrarem apenas disponíveis em formato digital;

• alterações e reestruturação a nível organizacional, de modo a possibilitar o cumprimento das novas tarefas.

6.5. Recursos

O processo de transição exige, acima de tudo, mais recursos. É necessário desenvolver os novos conceitos, devendo partir-se do princípio de que a auditoria a cada entidade irá consumir mais recursos num ambiente totalmente digitalizado. Existem, porém, dois factores que contrariam esta tendência. Em primeiro lugar, o desenvolvimento de novos métodos e ferramentas de auditoria visa um aumento da eficiência. Em segundo lugar, em alguns países, a situação está a evoluir no sentido da criação de centros de serviços de TI cada vez maiores. Uma das consequências da digitalização é o desaparecimento da necessidade de uma proximidade física com dados e informações. Quer isto dizer que funções que se encontravam anteriormente muito dispersas a nível geográfico podem agora ser agrupadas, como é o caso, por exemplo, do processamento de salários e do recrutamento, tarefas complexas que exigem muitos recursos. Por um lado, importa partir do princípio de que a auditoria de cada entidade pública consumirá mais recursos, se bem que, por outro, existe uma tendência para a diminuição do número de empresas a auditar. O cenário que se apresenta em matéria de recursos é pouco definido. Em princípio, a necessidade de mais recursos manter-se-á apenas durante um período de transição. Eis um exemplo de uma iniciativa estratégica a implementar:

• sensibilização em larga escala dos dirigentes quanto à necessidade de explorar as oportunidades para melhorar a eficiência através da estruturação de novos métodos de auditoria.

6.6. Observações finais

Para as ISC, a digitalização do sector público implicará uma importante adaptação técnica e organizacional a nível interno, que exigirá o desenvolvimento de iniciativas estratégicas relacionadas com:

• a transição para os procedimentos digitais;

62

• o desenvolvimento de novos métodos e ferramentas de auditoria; • o desenvolvimento das competências dos auditores na área das TI; • a exploração das oportunidades de melhoramento da eficiência através de uma

melhor estruturação de novos métodos de auditoria.

63

GLOSSÁRIO

Assinatura digital –Processo de codificação e descodificação de um ficheiro, tendo em

vista, no âmbito dos serviços de transacção vinculativos através da Internet, a autenticação de um determinado tipo de comunicação que, em regra, tem de assumir a forma escrita para ser legalmente válido, utilizado pela administração para comunicar de forma segura e lícita com os cidadãos, as empresas e outras entidades públicas.

Auditoria do desempenho – As auditorias do desempenho são análises destinadas a determinar se um determinado organismo público está a desempenhar as suas funções de forma eficiente e eficaz. As auditorias do desempenho poderão ter por objecto um programa do Governo, um organismo público ou alguns dos seus serviços ou ainda questões específicas que afectem todo o sector público.

Auditoria ao sistema de controlo interno (com a realização de testes substantivos)

–Processo de recolha e avaliação de provas, tendo em vista formar uma opinião sobre a fiabilidade/segurança do sistema de controlo interno.

Auditoria informática –Processo de recolha e avaliação de provas, tendo em vista determinar se o sistema informático (sistemas aplicacionais) protege os bens da organização, mantém a integridade dos dados, possibilita a concretização dos objectivos, bem como avaliar a eficiência na utilização de recursos.

Auditoria técnica – Processo de recolha e avaliação de provas, tendo em vista determinar se a infra-estrutura de TI (ou componentes da mesma) protege os bens da organização, mantém a integridade dos dados, possibilita a concretização de objectivos, bem como avaliar a eficiência na utilização de recursos. Neste contexto, entende-se por infra-estrutura de TI o hardware, as redes, os sistemas operativos e todo o software que não corresponda a aplicações de utilizadores (gestão de bases de dados, software de segurança, sistemas de gestão de centrais de dados, etc.).

Autenticidade –No contexto da segurança da informação, comprovação de que o autor

de uma mensagem, de um ficheiro, etc. é realmente quem afirma ser.

Cartão inteligente –Tecnologia electrónica de transacção que permite armazenar e actualizar informações sobre a autenticação ou a conta de um utilizador.

64

Certificado de chave pública

– Declaração (que também poderá ser em suporte papel, mas que, normalmente, é transmitida por meios electrónicos através de uma rede de informação) que estabelece a relação entre determinado indivíduo (ou organização) e uma dada chave pública. Em princípio, inclui (mas não necessariamente) outras informações, tais como morada, local de trabalho e número de telefone.

Certificado digital –Em criptografia, mensagem que garante a autenticidade dos dados dela

constantes. No contexto da criptografia de chave pública, para garantir a autenticação, o certificado deve ser emitido por uma entidade certificadora que mereça a confiança de todos os utilizadores. Um certificado contém, em regra, a identidade do titular da chave pública, a própria chave pública e a sua data de caducidade.

Confidencialidade

–No contexto da segurança da informação, garantia de que a informação não é colocada à disposição ou divulgada a pessoas ou entidades não autorizadas.

Contratação – Todos os aspectos do processo desde o levantamento de necessidades em termos de bens e serviços e sua aquisição, entrega/prestação e armazenamento. O processo de contratação é um elemento central da gestão de qualquer actividade, sendo fundamental para obter bens e serviços com a qualidade desejada, pelo preço certo, no momento certo. A conjugação de requisitos no domínio da aquisição de bens e serviços permite melhorar consideravelmente a sua relação qualidade/preço.

Contratação electrónica –Substituição dos tradicionais documentos comerciais (ex.: notas de

encomenda e facturas) por dados transmitidos por meios electrónicos.

Controlos gerais das TI –No contexto da segurança da informação, controlos implementados no ambiente de TI, por forma a que os limites externos da fiabilidade/segurança do sistema, dos dados e das operações se tornem aceitáveis, tendo em conta as necessidades da entidade pública. Estes controlos possuem naturezas distintas, podendo ser, por exemplo, organizacionais, físicos, pré-programados ou manuais.

Controlos internos –No contexto da segurança da informação, controlos pré-programados existentes no sistema aplicacional que visam assegurar o processamento integral, exacto e pontual das transacções aprovadas, evitar a ocorrência de erros e até mesmo a sua detecção e correcção.

Controlos do sistema aplicacional

–Controlos internos pré-programados, complementados, na medida do necessário, por controlos manuais.

65

Democracia em linha – Desempenho de funções com a participação dos cidadãos na tomada de decisões políticas através de processos disponíveis no sistema informático e, especificamente, na Internet. Os decisores políticos podem, por exemplo, organizar sondagens de opinião ou referendos sobre determinadas questões, tais como projectos de construção ou renovação de infra-estruturas, propostas legislativas, etc. O resultado dessas sondagens/referendos pode afectar o processo de decisão.

Disponibilidade –Capacidade de aceder a um sistema, recurso ou ficheiro (bem como

utilizá-lo), no momento e no local necessários.

Documentos digitais –Dados de uma entidade pública que existem em formato electrónico ou digital, abrangendo não apenas os documentos que foram digitalizados a partir de suporte papel (ex.: cartas), mas também os documentos que apenas existem e são utilizados em formato digital ao longo de todo o seu “ciclo de vida”.

Domínio –Parte da hierarquia de nomes da Internet. O nome de um domínio localiza rigorosamente uma organização ou outra entidade na Internet, por exemplo: http://www.eurosai.org/ . Um endereço do tipo http://www.eurosai-it.org/. é um subdomínio.

Entidade certificadora –Em criptografia, entidade merecedora da confiança de todos os utilizadores a quem compete criar e atribuir certificados digitais. Esta função é normalmente desempenhada por instituições públicas, tais como as estações de correios ou bancos de compensação (ex.: Barclays).

Exactidão –Qualidade assegurada por um controlo do sistema situado imediatamente antes da aplicação do utilizador, que permite validar dados recebidos respeitantes a, por exemplo, referências, quantidade, qualidade e preços dos produtos.

Fiabilidade/segurança –No contexto dos sistemas de informação, a capacidade de um computador ou de um sistema de informação ou de telecomunicações funcionar coerente e rigorosamente em conformidade com as suas especificações e requisitos de concepção, merecendo um elevado nível de confiança.

Governação electrónica –Utilização das tecnologias da informação e da comunicação pela administração pública com o objectivo de: (a) prestar mais e/ou melhor informação e outros serviços, externamente a cidadãos e empresas e internamente a outras organizações públicas; (b) melhorar a actividade governamental em termos de eficácia e/ou eficiência; (c) reforçar a participação política.

66

Governo electrónico –Associado à definição, desenvolvimento e aplicação de políticas, leis e regulamentos necessários para apoiar o funcionamento de uma sociedade e economia digitais. As questões administrativas e legais surgem em todos os níveis da governação electrónica.

Integralidade –Qualidade assegurada por um controlo do sistema situado imediatamente antes da aplicação do utilizador, associada à garantia de que não existe qualquer quebra durante a tradução do formato externo para o interno, a avaria do sistema não causa perda de dados ou outros danos semelhantes e os defeitos que afectam o emissor não impedem a transacção de ser recebida na sua totalidade.

Integridade –No contexto da segurança da informação, qualidade associada à garantia de que os dados recebidos correspondem aos dados enviados.

Interoperabilidade – No contexto dos sistemas de informação, qualidade que permite a interligação entre duas redes de operadores, de modo a permitir a interacção dos sistemas em toda a linha de interligação.

Não repúdio –No contexto da segurança da informação, qualidade associada à

garantia de que o emissor/destinatário não poderá negar o envio/recepção dos dados.

Pontualidade –No contexto da segurança da informação, qualidade assegurada por um controlo do sistema situado imediatamente antes da aplicação do utilizador, associada à garantia de que, durante os ciclos de actualização das operações, o processamento dos dados constantes das transacções descarregadas tem lugar de forma pontual.

Processo de decisão electrónico

–Interacção entre as entidades do sector público e a forma como a sociedade se organiza para a tomada de decisões colectivas através da utilização de mecanismos electrónicos transparentes.

Reestruturação dos processos empresariais

–Inovação e transformação de processos de trabalho e estruturais, com vista a melhorar a qualidade do serviço e a eficiência no sector público.

Responsabilização –No contexto da segurança da informação, princípio segundo o qual os utilizadores dos sistemas são individualmente identificáveis e responsabilizados pelos seus actos. A possibilidade de identificar individualmente os utilizadores permite detectar os autores de violações da segurança. Este objectivo é frustrado com a partilha de palavras-passe.

67

Segurança –Conjunto de mecanismos que assegura a confidencialidade das informações, protege o(s) sistema(s) ou a(s) rede(s) utilizadas no seu processamento e controla o acesso às mesmas. Por esse motivo, os mecanismos de segurança impõem regras de acesso às informações armazenadas nos computadores.

Sistema de front office –Infra-estrutura tecnológica de uma organização concebida especificamente como interface de comunicação com clientes externos, tais como sites ou portais na Internet.

Sistema de back office – Infra-estrutura tecnológica de uma organização que suporta aplicações empresarias essenciais, mas não possui interface externa com os clientes (ao contrário de um site ou portal na Internet).

Sistema aplicacional (sistema para utilizadores)

–Aplicação informática que envolve, numa determinada área, algumas funções administrativas sistemáticas, manuais e/ou baseadas nas TI.

Telemática –Conjunto de tecnologias que combina as telecomunicações e a informática.

Validação/aprovação –No contexto da segurança da informação, qualidade assegurada por um controlo do sistema situado imediatamente antes da aplicação do utilizador, associada à garantia de que existe um procedimento para aprovação das transacções recebidas por toda a organização e que essa aprovação é concedida por pessoal devidamente autorizado (ex.: validação destinada a assegurar que apenas as transacções respeitantes à entidade pública são transferidas para a aplicação do utilizador).

Vulnerabilidade –Ponto fraco do sistema que pode ser explorado para alterar o comportamento que se espera do mesmo. A vulnerabilidade pode estar relacionada com a segurança, a integridade, a disponibilidade e outras propriedades do sistema. A exploração da vulnerabilidade representa uma ameaça, que comporta o risco de ser também explorada.