grupo i – classe v – plenário - cidadão | … · web viewtc 003.501/2001-7 natureza:...
TRANSCRIPT
GRUPO I – CLASSE V – PlenárioTC 003.501/2001-7Natureza: Relatório de AuditoriaEntidades: Instituto Nacional do Seguro Social – INSS e Empresa de Processamento de Dados da Previdência
Social – DataprevResponsáveis: Francisco Fernando Fontana e Ramon Eduardo Barros Barreto
Ementa: Relatório de Auditoria junto ao Instituto Nacional do Seguro Social – INSS e Empresa de Processamento de Dados da Previdência Social – Dataprev. Inexistência de uma ação efetiva da gestão de segurança. Inexistência de um plano diretor de tecnologia da informação. Determinações ao INSS e à Dataprev.
RELATÓRIO
Trata-se de Auditoria realizada junto ao INSS e Dataprev, dando cumprimento ao item 8.4.1 da Decisão nº 633/2000 – Plenário, de 09/08/2000, que determinava a realização de verificação no grau de confiabilidade dos sistemas de informação da Previdência Social.
Os trabalhos de auditoria foram realizados pela Secretaria Adjunta de Fiscalização – ADFIS, que elaborou relatório às fls. 27/79, Volume Principal, cuja qualidade nos impele a apresentar cumprimentos.
A Unidade Técnica, então, se manifestou nos seguintes termos, que transcrevo no essencial, in verbis:
“...7.RESUMO EXECUTIVO
Trata-se de Auditoria nos Sistemas Informatizados da Previdência Social, abrangendo o Instituto Nacional de Seguro Social – INSS, a Empresa de Processamento de Dados da Previdência Social – Dataprev e o Comitê de Tecnologia e Informação do INSS – CTINF, realizada no período de 19/03 a 22/06/2001, por servidores da ADFIS, 4ª SECEX, SECEX/RJ e SEINF, sob a coordenação da primeira.
Os trabalhos de auditoria foram realizados em cumprimento ao item 8.4.1 da Decisão nº 633/2000 – Plenário, de 09/08/2000, TC 014.933/1999-3 – Representação, o qual determina que ‘se verifique o grau de confiabilidade dos sistemas de informação da Previdência Social’. Dada a grande abrangência do termo confiabilidade, a equipe deu maior ênfase aos seguintes aspectos: aferição da confiabilidade dos sistemas, com base em padrões preestabelecidos (Norma ISO/IEC 17799:2000; Orange Book, do Departamento de Defesa Americano; PA 02 – Procedimentos de Auditoria de Sistemas, do TCU; e Manual de Auditoria de Sistemas, do TCU); avaliação do controle na utilização de operações especiais nos sistemas Atualização Especial de Benefícios (AEB) e Cadastro Nacional de Informações Sociais (CNIS); verificação das ações já implementadas, com vistas ao cumprimento das determinações emanadas da Decisão nº 1049/2000TCU-Plenário, referentes aos sistemas informatizados; e, por fim, análise detalhada do funcionamento e informações nos sistemas de controle de acesso lógico, tendo em vista as falhas verificadas na auditoria de 1999.
Em relação aos padrões Orange Book e ISO/IEC 17799, a equipe constatou que os sistemas da Previdência Social analisados demonstraram uma insuficiência de cumprimento às normas em ambos os casos, atingindo classe D – Proteção Mínima, quando a desejada seria B2 – Proteção estruturada (Orange Book) e descumprindo 13 itens da ISO/IEC 17799, o que impediria a concessão do certificado de adequação.
Quanto aos controles internos, verificados com base em recomendações do Manual e dos Procedimentos de Auditoria de Sistemas do TCU, a equipe identificou que a Dataprev vem realizando vários trabalhos de auditoria interna e desenvolveu, inclusive, um sistema para controle e acompanhamento das atividades realizadas e das ações adotadas para o cumprimento das determinações. Destacamos, porém, sua incapacidade de emanar determinações para toda a esfera da Previdência, apesar de algumas constatações feitas em seus trabalhos exigirem tal abrangência. As
Auditorias Internas do INSS e do MPAS, por sua vez, são inoperantes no que se refere à área de Tecnologia da Informação. Apesar de existirem setores responsáveis por tais trabalhos (Auditoria do INSS e CTINF), não é dada a importância devida para tal área. A fim de dotar a Previdência Social de um instrumento direcionador de projetos, diretrizes e investimentos nessa área, foi contratada uma consultoria para elaborar o Plano Diretor de Tecnologia e Informação da Previdência Social – PDTI, projeto no âmbito do PROAST – Projeto de Assistência Técnica para Modernização da Previdência Social, financiado com recursos do Banco Mundial (BIRD). O término dos trabalhos e apresentação do relatório final pela empresa contratada – KPMG Consulting, vencedora de processo licitatório, está previsto para setembro de 2001.
Além disso, destacamos a atuação da Força Tarefa, composta pelo Departamento de Polícia federal, Ministério Público e INSS, que vem realizando levantamentos importantes, embora localizados na área de concessão de benefícios do Rio de Janeiro, alertando para a existência de diversas formas de execução de fraudes contra a Previdência Social, inclusive com a utilização de sistemas informatizados.
Durante a análise do cumprimento, por parte da Dataprev, INSS e Comitê de Tecnologia da Informação do INSS, das determinações referentes à Tecnologia da Informação constantes da Decisão n° 1049/2000 TCU – Plenário, a equipe constatou o não cumprimento de várias delas, o que evidencia a existência de problemas na estrutura funcional na condução das ações de Tecnologia da Informação na Previdência Social. Como exemplos de falhas encontradas, podemos citar a falta de coordenação da área e a inoperância do CTINF no que concerne à implementação de ações (determinação 8.4.2); a inoperância da Empresa na implementação das ações na área de segurança (determinações 8.2.1, 8.3.3, 8.3.4 e 8.3.6); e a falta de planejamento e condução de projetos, levando à existência de uma descontinuidade crônica em seu prosseguimento, por vários fatores e em várias fases de seu desenvolvimento (determinações 8.1.4, 8.1.6, 8.1.9, 8.2.3, 8.2.4, 8.3.7, 8.3.8 e 8.3.10).
Ao analisar os controles gerais, de aplicativos e de acesso lógico, a equipe constatou diversas falhas de ordem estrutural, as quais poderão ser resolvidas com a implementação das recomendações a serem emanadas no relatório final do PDTI. Os principais focos de ocorrências identificadas que podem comprometer a confiabilidade dos sistemas da Previdência Social relacionam-se à instituição de políticas, padrões e procedimentos organizacionais; programa geral de segurança; documentação do plano de contingência; classificação dos recursos de informação, lista de autorização e níveis de acesso, entre outros controles físicos e lógicos de acesso; planejamento, desenvolvimento e implementação de aplicativos.
Em síntese, a equipe identificou várias falhas na condução da sistemática de Tecnologia da Informação da Previdência que deixam suas informações vulneráveis a ataques de origens diversas. Os problemas encontrados mostram um quadro preocupante em vários níveis de gestão: estrutural, funcional e operacional. Algumas ações já foram tomadas pelos órgãos da Previdência Social, principalmente no que se refere à adequação de sua estrutura organizacional referente à Tecnologia de Informação. As propostas de solução que devem emanar dos relatórios finais do PDTI da KPMG se proporão a solucionar essas falhas.
As propostas da equipe de auditoria, ora submetidas à apreciação superior, visam:a)dar ao Tribunal informações sobre o andamento das ações de TI tomadas pela Previdência Social (envio de
informações periódicas);b)melhoria do Sistema de Controle de Acesso;c)controle de utilização de funções críticas do sistema (AEB);d)normatização da segurança de informações;e)acompanhamento de implementação de soluções (PDTI);f)verificação de ocorrência de fraudes (auditoria em benefício);g)controle de determinações por outros órgãos.
8.INTRODUÇÃO
Esta fiscalização foi coordenada pela Adfis por meio do Projeto de Auditoria da Tecnologia da Informação vinculado à mesma. A Resolução 140/2000 deste Tribunal, no inciso VI do art.14, estabelece como competência da Adfis: ‘coordenar projetos de auditoria, especialmente de sistemas, que requeiram conhecimento técnico especializado não específico de outras unidades técnicas da Secretaria-Geral de Controle Externo, podendo contar com o apoio de servidores lotados em qualquer unidade do Tribunal ou de especialistas externos, observada a legislação pertinente’. Com o objetivo de pesquisar, desenvolver e disseminar técnicas e ferramentas de Auditoria da TI, além de coordenar a execução das auditorias de TI mais complexas realizadas pelo Tribunal foi criado o Projeto de Auditoria da Tecnologia da Informação.
8.1BREVE RELATO SOBRE AS UNIDADES FISCALIZADAS
Conforme os autos exarados como resultado da auditoria realizada em 1999, já referenciada, a Previdência Social vem passando por uma série de transformações estruturais. Haja visto a publicação do Decreto nº 3.838, de 06/06/2001, que aprova nova estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções gratificadas do INSS.
O relacionamento teoricamente existente entre as três entidades que compõem a Previdência Social pode ser assim resumido: toda a política previdenciária é de responsabilidade do MPAS, com o INSS atuando como unidade operacional, responsabilizando-se pela prestação de serviços ao cliente, e a Dataprev oferecendo suporte de Tecnologia da Informação (TI).
Desde o decorrer daquela auditoria, percebemos a atuação efetiva de alguns novos elementos pertencentes a essa estrutura, tornando-se responsáveis diretos pelas decisões emanadas para toda a Previdência Social. Devemos destacar, no tocante à área de Tecnologia da Informação, objeto de nosso trabalho, a atuação do Comitê de Tecnologia e Informação do INSS. Algumas ações, antes inexistentes ou executadas de forma descentralizada, passaram a ser rotineiras e de responsabilidade desse Comitê:
a)propostas de instrumentos normativos;b)criação de grupos de trabalhos;c)apresentação de balanços das atividades implementadas;d)apresentação de novos projetos e novas implementações em sistemas;e)propostas de aquisições de software e hardware;f)discussão de problemas em sistemas; eg)acompanhamento de projetos em desenvolvimento.
8.2Legislação Pertinente e Diretrizes Governamentais Aplicáveis
A partir do início do ano de 2000, devido às várias ações implementadas para se conter problemas relativos ao ‘bug do milênio’, o Governo Federal vem se empenhando em estabelecer políticas aplicáveis à tecnologia da informação. Antes, a segurança das aplicações e das informações dependiam de ações isoladas de cada órgão governamental.
Assim, tínhamos como legislação básica aplicável a todos os órgão do Governo, somente o Decreto nº 1.048, de 21/01/1994, que trata do Sistema de Administração dos Recursos da Informação e Informática – SISP, muito pouco atuante. Com o advento do Decreto nº 3.505, de 13/06/2000, instituindo a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal, gerou-se a obrigatoriedade de serem criadas normas de segurança, como acontece em alguns países da Europa e nos Estados Unidos da América.
Foi publicada, ainda, a Lei nº 9.983, de 14/07/2000, acrescentando ao Código Penal a tipificação dos crimes contra a Previdência Social, incluindo crimes contra ou com a utilização de sistemas de informação.
Também no contexto de segurança, seguindo as diretrizes exaradas pelo citado Decreto nº 3.505, encontra-se em processo de consulta pública, pela Associação Brasileira de Normas Técnicas – ABNT, o Código de Prática para a
Gestão da Segurança da Informação, que, quando aprovado, será convertido em Norma equivalente à ISO/IEC 17799:2000. Tendo em vista sua larga utilização no mercado, inclusive pela Dataprev, adotaremos tal norma como um dos paradigmas de nossa avaliação.
O Orange Book, normativo do Departamento de Defesa Norte Americano (DoD), será outro instrumento normativo que balizará nosso trabalho, tendo em vista sua larga aceitação internacional nos setores público e privado e sua utilização em vários países, principalmente EUA, França, Alemanha, Holanda e Reino Unido.
8.3Objeto da Fiscalização
O objeto principal do trabalho são os sistemas de informação da Previdência Social. Entendemos que a definição de sistemas, aqui referenciada, deva ter uma interpretação bem ampla, englobando desde os sistemas organizacionais, como os sistemas específicos de tratamento de dados, até as próprias informações manipuladas por eles, conforme norteiam os instrumentos normativos já citados no item 8.2.
8.4Objetivos e Escopo da Fiscalização
O item 8.4.1 da Decisão 633/2000, já citada, determina ‘verificar o grau de confiabilidade dos sistemas de informação da Previdência Social’.
O estabelecimento de parâmetros que sirvam de subsídio para a afirmação de que um ambiente onde se alojam sistemas informatizados seja seguro, dando-lhes confiabilidade é uma atividade complexa. Os modelos atualmente em utilização prevêem alguns princípios básicos a serem observados para proteção de dados e sistemas:
a)disponibilidade: estão sempre aptos a serem utilizados;b)integridade: oferecem respostas completas e corretas;c)confidencialidade: são disponíveis apenas a que tenha permissão para sua utilização; ed)autenticidade: a informação é sempre válida e verdadeira.A verificação da observância desses princípios requer análises estruturais, funcionais e operacionais em todo o
órgão ou conjunto de órgãos a serem auditados. Assim, por se tratar de um tema bastante abrangente, a equipe decidiu dar maior ênfase a alguns aspectos:
a) aferir a confiabilidade dos sistemas, com base em padrões preestabelecidosi) Norma ISO/IEC 17799:2000;ii) Orange Book do DoD;iii) PA 02 – Procedimentos de Auditoria de Sistemas do TCU; eiv) Manual de Auditoria de Sistemas do TCU;b) avaliar o controle na utilização de operações especiais nos sistemasi) Atualização Especial de Benefício – AEB;ii) Cadastro Nacional de Informações Sociais – CNIS;c) verificar as ações já implementadas, com vistas ao cumprimento das determinações emanadas da Decisão nº
1049/2000TCU-Plenário, referentes aos sistemas informatizados;d) realizar análise detalhada do funcionamento e informações nos sistemas de controle de acesso lógico, tendo
em vistas as falhas verificadas na auditoria de 1999.
8.5Metodologia Utilizada na Fiscalização
Além de seguir os procedimentos sugeridos pelo Manual de Auditoria de Sistemas, esta equipe realizou procedimentos pioneiros no que diz respeito às auditorias de desempenho realizadas pelo Tribunal.
Assim, os trabalhos tiveram início com uma reunião onde participaram, além dos membros da equipe de auditoria e o Gerente do Projeto de ATI, o Secretário Adjunto de Fiscalização, Cláudio Souza Castello Branco, o
Relator, Exmo Sr. Ministro Adylson Motta e o Ministro da Previdência e Assistência Social, Roberto Brant. Tal iniciativa permitiu que a auditoria fosse conduzida de uma maneira harmoniosa, a partir do momento em que se concluiu sobre o interesse comum nos resultados buscados, apesar da sensibilidade dos assuntos tratados.
Outra iniciativa pioneira diz respeito à participação efetiva, em todas as etapas do trabalho, de auditor da Dataprev, Renato Sérgio Vieira, o que, devido ao seu conhecimento específico das situações da Empresa, permitiu:
a)conhecimento detalhado da situação da entidade;b)maior facilidade de acesso às informações; ec)maior adequação das sugestões à realidade da entidade.Além disso, todos os achados e falhas encontrados foram comunicados à direção da Empresa, agilizando o
processo de correção e adequação dos sistemas.Seguindo, ainda, as boas práticas de auditoria, a equipe buscou entrar em contato com outros órgãos que
poderiam estar desenvolvendo ações que viessem ao encontro do objetivo traçado. Nesse sentido, firmamos acordo formal de colaboração, conforme documento às fls. 001 e 002 do Volume 7, com a Força Tarefa destinada ao combate aos crimes previdenciários, instituída pela Portaria MPAS/GM nº 3.700/200, de 08.03.2000, possibilitando troca de informações e de sugestões focadas na área de tecnologia da informação.
Foram solicitados alguns documentos ao Ministério da Previdência, conforme ofícios de fls. 13 a 17, para análise de cumprimento de determinações e adequação de desenvolvimento de soluções.
Realizamos, também, várias reuniões para tratar de assuntos específicos com as áreas responsáveis da Dataprev e do INSS e com seus dirigentes.
Ademais, foram solicitadas várias extrações de dados de sistemas, conforme ofícios 03 a 05, e extraímos informações sobre pessoal dos órgãos da Previdência Social no Sistema Integrado de Administração de Recursos Humanos – SIAPE.
A Dataprev disponibilizou acesso a seu ambiente de informática, possibilitando a utilização de alguns sistemas, no módulo de consulta: SAFE SECURE, CONSCA, Benefício, Arrecadação, CNIS, BMD e Intranet.
Por fim, foi efetuada uma confrontação da situação encontrada com os dispositivos das normas ISO/IEC 17799 e Orange Book, estabelecendo-se a situação em que se encontram os dados da Previdência Social, quanto a sua confiabilidade.
8.6Problemas Enfrentados e Limitações
O maior problema em relação às análises efetuadas foi relacionado à extensão e à magnitude do trabalho que nos propusemos a realizar, apesar do escopo bem definido que traçamos. Como já era do conhecimento da equipe, os dados da Previdência têm uma diversidade muito grande, tanto no que diz respeito ao tipo de informações, quanto a sua forma de armazenamento. Por isso, tomamos a decisão de centralizar as atenções sobre o controle de acesso a esses dados e a sua manipulação por funções que fogem à regra geral.
O grande volume de dados manipulados exigiu, também, limitação das amostras analisadas, sem a perda da representatividade da informação. Necessitamos de equipamentos especiais, providos pela Empresa, em suas instalações.
A concentração, em um só funcionário, de parte do conhecimento, dificultou, em determinadas áreas da Dataprev, a obtenção de algumas informações, gerando, inclusive, atraso em sua disponibilização (especialmente aquelas relacionadas aos sistemas de controle de acesso).
Devido ao tempo consumido nas outras tarefas, os seguintes aspectos complementares ao objetivo central do trabalho, que foram propostos como metas nas matrizes de planejamento, deixaram de ser analisados:
a)análise dos bancos de dados de benefício e de arrecadação, detectando inconsistências;b)levantamento de manipulações indevidas nos dados, por meio da análise dos logs dos sistemas.Tais ações se destinariam à averiguação de ocorrências de fraudes já perpetradas contra a Previdência Social e a
identificação dos possíveis fraudadores, o que, proporemos que seja efetuado em outros trabalhos.
9.AVALIAÇÃO DE CONTROLES INTERNOS9.1Auditoria Interna da Dataprev
Neste tópico, efetuaremos um breve resumo sobre alguns trabalhos realizados por aquela Auditoria Interna, desde 1999.
a) Relatório de Auditoria CGAUP n° 012/99 – fls. 227 a 237 do Volume 2
A auditoria em questão, realizada no período de 20.09.99 a 19.10.99, objetivou avaliar as atividades do CTSP.O.O Controle Interno da entidade destacou ‘a necessidade da padronização e descrição de procedimentos que
disciplinem na empresa as atividades relacionadas com os processos dos Centros de Tratamento, com práticas sem as quais o conhecimento fica restrito aos agentes nos diversos processos, sem um instrumento formal que oriente adequadamente as atividades’. Nesse sentido, prossegue, ‘só não se enquadraria a gestão de contratos, cujos aspectos mais importantes levantados estão afetos à deficiência nos controles, acompanhamento e encaminhamento de informações consistentes e fundamentais inclusive ao atesto seguro das faturas de fornecedores’.
A Auditoria Interna viu ainda como prioritária a configuração dos equipamentos de grande porte, hoje em poder do CTSP.O, e o posicionamento que se faz necessário com relação ao grau de uso nas operações da empresa frente ao seu alto custo e à crescente demanda por processamento especial online.
b) Relatório de Auditoria CGAUP n° 015/99, fls. 195 a 203 do Volume 2
Trata de auditoria no Projeto DAP-31 – Agências da Previdência, realizada em 1999. O Controle Interno da entidade identificou falhas que refletiam ‘o caráter emergencial do início do Projeto, a ausência de planejamento inicial com definição de necessidades de recursos orçamentários e técnicos (equipamentos e humanos), o não atendimento à Metodologia de Desenvolvimento de Sistemas (MDS) e ausência de Contrato de Prestação de Serviço formalizado junto ao cliente’.
c) Relatório de Auditoria CGAUP n° 039/2000, fls. 238 a 243 do Volume 2
Cuida de auditoria na base de dados de Benefícios, realizada no período de 05.09.2000 a 14.11.2000, e que teve como objetivo avaliar pontos relativos à integridade e confiabilidade dos dados cadastrais de segurados, notadamente quanto à inserção de dados pessoais e conformidade com padrões e definições.
Os pontos de auditoria, correspondentes a processos e dados que necessitam de fortalecimento de controles e ação corretiva, foram agrupados nas seguintes categorias:
a)identificação unívoca do segurado, com evidências de duplicidade de benefícios mas com informações incompletas para confirmação, tais como data de nascimento diferente e nome incompleto, o que impossibilita ao sistema a identificação de duplicidade;
b)integridade dos dados, com registros fora das especificações por desatualização da descrição do banco de dados DMS-2 (DASDL), críticas incompletas e por divergência na entrada de dados pelos diversos sistemas;
c)consistência entre campos, em decorrência da inexistência de críticas especificadas para cada espécie e das críticas serem incompletas;
d)ausência de crítica em função da liberação da obrigatoriedade desse procedimento para concessão de benefícios em casos como os de despacho judicial;
e)necessidade de documentação contendo as regras de negócio.
d) Relatório de Auditoria CGAUP n° 001/2001, fls. 204 a 206 do Volume 2
Trata de auditoria realizada em janeiro do ano corrente que teve como finalidade certificar as ações de segurança implementadas pela área de controle de acesso, objetivando sanar pendências relativas à Administração de Segurança contidas no relatório CGAU.P n° 006/99, bem como, recomendações exaradas por este Tribunal e pela Secretaria Federal de Controle – SFC.
A Auditoria Interna da Dataprev constatou que os controles de acesso não estão sendo exercidos plenamente. De início, verificou que informações sobre desligamento de empregados da entidade para cancelamento de acesso não são remetidas tempestivamente, permanecendo, indevidamente, o direito de acesso para ex-empregados, tendo observado falhas operacionais nos procedimentos determinados pela Comunicação de Serviço/DERH.A/no 007/00, de 09/10/2000, fls. 153 e 154 do Volume 2, que trata da rotina de desligamento de funcionário. Ademais, asseverou o Controle Interno que, no que tange à concessão de acessos via emulador residencial, não consta normatização adequada versando sobre o assunto.
Tais ocorrências, segundo a Auditoria Interna, ‘colocam em risco a segurança de acesso aos sistemas da Previdência Social, tendo como conseqüência a possibilidade de perda de integridade e qualidade das informações e a descontinuidade operacional’.
e) Relatório de Auditoria CGAUP n° 010/2001, fls. 244 e 245 do Volume 2
O trabalho, realizado em 03/2001, teve como objetivo avaliar se foram adotadas medidas práticas no sentido de reduzir a quantidade de usercodes privilegiados tanto nos ambientes de produção como no de desenvolvimento.
A Auditoria Interna da Dataprev concluiu que, com a adoção dos mecanismos de controle estabelecidos na entidade a partir da auditoria realizada em 1999 por este Tribunal, ‘houve uma melhora acentuada nos controles internos sobre o processo de concessão de usercodes privilegiados (códigos de usuários com direito a utilizar os sistemas com privilégios), que deve ser sistematicamente monitorado e periodicamente analisado, visando manter o quantitativo em patamares aceitáveis’.
9.2Auditoria Interna do INSS e MPAS
Conforme já verificado em auditorias anteriores, a auditoria do INSS é inoperante no que se refere à área de sistemas informatizados. Ademais, devemos salientar ser urgente a formação de uma equipe especialista em auditoria da TI, tendo em vista a premente finalização da fase III do Plano Diretor de Tecnologia da Informação – PDTI, cuja implantação e acompanhamento é de responsabilidade do CTINF.
9.3Consultoria da KPMG – PDTI
O objetivo do citado PDTI é dotar a Previdência Social, integrada pelas três instituições que a compõem (MPAS, INSS e Dataprev), de um instrumento direcionador de diretrizes, projetos e investimentos na área da Tecnologia da Informação.
A KPMG Consulting, vencedora do processo licitatório 129/2000, foi contratada em 14 de agosto de 2000, resultando no contrato 133/2000, para o desenvolvimento do Plano Estratégico de Tecnologia da Informação da Previdência Social, a um custo inicial orçado de US$1,034,141.06. O PDTI é um dos projetos no âmbito do PROAST – Projeto de Assistência Técnica para Modernização da Previdência Social, financiado com recursos do Banco Mundial – BIRD.
A previsão de encerramento do Projeto era de 14/03/2001. Em 09/02/2001 foi assinado aditivo no valor de US$155,000.00, com prorrogação da data de encerramento para 31/07/2001, com o objetivo de possibilitar sua introdução no projeto de tecnologia de Governo Eletrônico, e-Gov do Poder Executivo Federal.
O Projeto foi organizado em 4 (quatro) fases, com o seguinte cronograma de implementação e desembolso:
Fase Prazo de Conclusão
Parcela Aprovação Pagamento Valor
I – Entendimento do Negócio
45 dias após início dos serviços
15% do total
06/02/2001 20/02/2001 US$155,121.16
II – Análise da Situação Atual
90 dias após início dos serviços
25% do total
07/05/2001 13/06/2001 US$258,535.26
III – Elaboração da Solução
90 dias após aprovação da Fase 2
25% do total
Em execução
IV – Plano de Implementação
30 dias após aprovação da Fase 3
35% do total
Até a data de execução do presente trabalho de auditoria, o PDTI encontrava-se na Fase III, já tendo sido concluídas as Fases I e II, com a entrega dos respectivos relatórios gerados.
Após análise dos Relatórios das Fases I e II, observa-se que muitas das conclusões/recomendações se coadunam perfeitamente ao escopo da presente Auditoria já tendo sido o projeto, inclusive, objeto de Determinações deste Tribunal em auditorias anteriores (TC 001.983/1998-9 e TC 014.933/1999-3).
Seguindo uma metodologia clássica de Planejamento Estratégico, a KPMG comparou os pontos fortes e fracos mais evidentes no ambiente interno da Previdência Social, apresentando ações com vistas a fazer face aos principais problemas encontrados, agrupando-as nos seguintes tópicos:
a)Organização do Planejamento Estratégico do negócio Previdência Social;b)Maior integração do planejamento, dos processos, das estruturas e dos serviços, focalizando as necessidades do
cliente;c)Monitorização e responsabilidade;d)Modernização das plataformas de TI e eliminação, em fases, da tecnologia obsoleta;e)A necessidade de um relacionamento comercial sólido entre a Dataprev e seus clientes;f)Padronização da tecnologia e dos sistemas em todo o Ministério.Na Fase II, Análise da Situação Atual, foram identificados os principais projetos em andamento, para os quais
destinaram-se R$ 35,82 milhões para os projetos financiados com recursos próprios e R$ 196,84 milhões para aqueles financiados com recursos internacionais, o que representa um volume financeiro extremamente significativo a ser despendido em um período previsto entre 1 e 48 meses.
Para o trabalho específico da análise da segurança das informações, a KPMG Consulting subcontratou os serviços técnicos especializados da Módulo Security Solutions S.A.
Tais trabalhos foram focados quase que exclusivamente em Plataforma Baixa (redes, servidores e estações de trabalho) e em aspectos organizacionais de Procedimentos de Segurança da Informação, não tendo sido realizada uma análise mais profunda no acesso aos sistemas que estão residentes nos mainframes, que representam a parcela mais significativa e sensível dos negócios da Previdência Social.
A KPMG consignou a dificuldade de análise da Política de Segurança na área da TI da Previdência Social. O reduzido material disponibilizado e a defasagem existente entre os documentos sobre Política de Segurança (1997 e 1998) foram as principais causas apontadas. A parte avaliada englobou a política de senhas, política de backup, controle de acesso físico, processo de identificação, privilégios, administração do ambiente, trilhas de auditoria, desenvolvimento de sistemas e plano de contingência.
Em todas as reuniões e contatos mantidos com o MPAS, INSS e Dataprev, bem como com a equipe da KPMG responsável por esse trabalho, pudemos constatar que o Projeto é considerado fundamental para a modernização da Previdência Social.
Entendemos que o foco do PDTI deva ser, principalmente, a gestão da TI na Previdência Social, assegurando que as estruturas organizacionais do MPAS, INSS e Dataprev contemplem as funções de gestão, auditoria e administração de segurança da informação, cuja implementação deve ser acompanhada pelo Tribunal devido à sua crucial importância para o bom funcionamento do Seguro Social brasileiro e os altos valores despendidos na sua realização.
9.4Força Tarefa
A equipe entrou em contato com a Força Tarefa criada para apuração de fraudes contra a Previdência Social, constituída por representantes do INSS, Ministério Público Federal e Departamento de Polícia Federal. Em reunião realizada no Rio de Janeiro, em 23/04/2001, firmamos um acordo formal de cooperação, conforme documento às fls. 001 e 002 do Volume 7.
O objetivo desta equipe foi, basicamente, colher informações já levantadas pela Força Tarefa, para subsidiar os trabalhos nas bases de dados de benefícios e para tentar estabelecer um padrão de utilização de falhas nos sistemas informatizados na condução das fraudes. Nos foram entregues vários documentos, constantes do Volume 7, que resumem a ação do grupo de trabalho daquela Força Tarefa.
Algumas fraudes cometidas, conforme sintetizado abaixo, utilizam, certamente, falhas nos sistemas:a)inclusão de dados fictícios no CNIS, principalmente com a utilização da RAIS;b)aceitação de documentos com dados divergentes do CNIS;c)falta de crítica na entrada de dados do sistema PRISMA (benefícios);d)falta de informações cadastrais de beneficiários;e)concessões/reativação de vários benefícios com informações suspeitas, pelo mesmo servidor.A Força Tarefa teceu algumas sugestões de alteração dos sistemas, que mereceram nossa atenção:a)modificações no formulário base para concessão de benefício, com inclusão de várias informações;b)cruzamento de informações entre os bancos de dados da Previdência e outras entidades tributárias;c)verificação das bases de dados de benefícios;d)criação de mecanismos de identificação dos responsáveis pelas informações postadas no CNIS;e)aprimoramento dos mecanismos de identificação dos beneficiários (no momento saque).Podemos observar que algumas dessas ações já estão sendo levadas a cabo pela Previdência Social, conforme
será detalhado nos itens seguintes:a)melhoria de qualidade dos dados do CNIS;b)verificações das bases de benefícios; ec)inclusão de críticas nos sistemas de benefícios.Outrossim, com base nas informações colhidas, notamos a necessidade premente de realização de auditoria
específicas nas bases de dados de benefício e de arrecadação (apesar desta não ser área de atuação atual da Força Tarefa), que seria uma das atividades complementares a serem desenvolvidas pelo presente trabalho.
10.CUMPRIMENTO DE DETERMINAÇÕES
A seguir, efetuaremos uma análise do cumprimento, por parte da Dataprev, INSS e Comitê de Tecnologia da Informação do INSS, das determinações constantes da Decisão n° 1049/2000 TCU – Plenário:
10.1 Determinações ao INSS
a) ‘8.1.2 – regularize, com a maior brevidade possível, seu contrato de prestação de serviços com a Dataprev, especificando os serviços a serem prestados e os valores envolvidos;’
No concernente a tal ponto, o Sr. Francisco José Barbosa, Coordenador-Geral do Comitê de Tecnologia e Informação do INSS – CTINF, assevera que ‘a renovação do Contrato de Prestação de Serviços da Dataprev ao INSS foi aprovada no Comitê de Tecnologia e Informação do INSS no dia 22.08.2000 e assinado pela Diretoria Colegiada em 26.09.2000’, anexando cópia do referido contrato, conforme documento do Volume 11.
b) ‘8.1.3 – normalize as rotinas de emissão de Certidões Negativas de Débito – CND que fogem à regra geral, principalmente aquelas referentes a contribuições com restrições, de forma a minimizar a emissão de CND por meio de Autorização Especial, realizando levantamento e fiscalização sobre as emissões passadas;’
Por meio do Memorando INSS/238/2001, de 26/06/2001, encaminhado pelo Ofício CGCTINF nº 085/2001, de 29/06/2001, às fls. 98 e 99 do Volume 1, o Sr. Valdir Moysés Simão, Diretor de Arrecadação, assegura que a emissão de CND é acompanhada e controlada pelas Gerências Executivas, seguindo orientação da OS INSS/DAF nº 207, de 08/04/99.
Tal controle já era de conhecimento desta equipe de auditoria, porém, o problema levantado em 1999 se referia à grande quantidade de emissão de CND sem a devida cobertura dos sistemas corporativos, ou seja, emissões especiais, contrariando as informações de tais sistemas. O que persiste é a falta de acompanhamento gerencial e de fiscalizações de CND emitidas, mesmo com informações de inadimplência nos sistemas corporativos. Há uma falta de confiança nos dados desses sistemas, como afirma o Diretor, com referência aos sistemas de controle de créditos previdenciários, SICOB e GFIP, que, segundo ele, ‘não fornecem, ainda, informações confiáveis quanto aos débitos dos contribuintes’.
c) ‘8.1.4 – quanto ao Sistema de Atualização de Guias da Previdência – AGUIA, estude a possibilidade de requisitar à Dataprev o desenvolvimento de uma rotina de emissão de relatório periódico que identifique os registros com ‘marca de erro’, definindo uma equipe de controle para verificar os relatórios emitidos, tanto das guias atuais quanto daquelas já pertencentes ao banco de dados, de forma a efetuar as devidas correções;’
No mesmo Memorando citado acima, o Diretor de Arrecadação informa a implantação do sistema INFORMAR, com informações sobre ‘marcas de erro’ de 1996 até 2001. O trabalho de correção de GPS seria efetuado pelas Gerências Executivas, mas ainda não foi iniciado ‘por falta de recursos humanos e capacitação técnica nos sistemas INFORMAR e AGUIA’.
A equipe verificou a operacionalização de tais sistemas, em ambiente de testes, e constatamos que seria uma alternativa válida para solucionar o problema levantado na Auditoria de 1999, porém, sua utilização ainda não foi difundida.
d) ‘8.1.6 – adote medidas para agilizar a implantação e utilização do Sistema Módulo de Controle de Processos – MCP, providenciando a correção de suas falhas;’
A informação prestada pelo Sr. Ivan Ferreira de Souza, Coordenador-Geral do Contencioso Judicial, conforme Ofício CGCTINF nº 091/2001, de 10/07/2001, às fls. 105 a 109 do Volume 1, destaca as falhas encontradas durante a utilização dos sistemas MCP (Módulo de Controle de Processo) e MIP (Módulo de Integração da Procuradoria), que deveriam operar sobre uma base de dados integrada em nível nacional, padronizando as ações da Procuradoria do INSS e identificando duplicidade de participação em ações, respectivamente.
O não-atendimento dos anseios da Procuradoria, gerou a evolução dos dois sistemas para o ProcNet, que ainda necessita, para sua plena utilização, da migração das bases antigas, do treinamento de pessoal e do suprimento de equipamentos para as Procuradorias. Já foi implantado em 10 unidades.
e) ‘8.1.7 – estude a possibilidade de criação de um grupo de controle/segurança, na área de informática, que seja responsável por:
a)investigar e corrigir qualquer problema operacional em terminal, microcomputador ou outro dispositivo de entrada de dados;
b)investigar qualquer ação de intervenção do operador;c)assegurar que os procedimentos de ‘restart’ sejam executados de maneira correta;d)monitorar as atividades de entrada de dados no terminal, microcomputador ou outro dispositivo similar; e
e)investigar qualquer desvio dos procedimentos de entrada de dados preestabelecidos;’
Quanto a esse item, o Coordenador-Geral do Comitê de Tecnologia e Informação do INSS argumenta à fl. 95 do Volume 1, existir um estudo em andamento no Projeto PDTI – Plano Diretor de Tecnologia da Informação visando a elaboração, por parte da KPMG Consulting, de proposta de Organização da Área de TI – Tecnologia da Informação, considerando as recomendações deste Tribunal. Ademais, a Diretora de Benefícios do INSS, Srª Patrícia Souto Audi, alega à fl. 96 do Volume 1, ter sido criado um subcomitê de segurança, vinculado ao Comitê de Tecnologia e Informação da Previdência Social, estando em andamento a implantação de um novo sistema de controle de acesso aos sistemas, bem como a edição de um novo ato normativo definindo os procedimentos a serem adotados na área de segurança de dados, mesmo argumento por ela utilizado em resposta às determinações constantes dos itens 8.2.1, 8.3.3, 8.3.6 e 8.3.11.
f) ‘8.1.8 – adote medidas com vistas a manter o controle sobre as rotinas que fogem à regra geral de concessão ou atualização de benefícios, como a transação AEB – Atualização Especial de Benefício e aquelas com base em decisões judiciais (regidas pelos Despachos 03 e 04), de forma a impedir acesso indevido a transações online;’
No pertinente à determinação em tela, a Diretora de Benefícios do INSS informou, fl. 96 do Volume 1, que está sendo criada uma função no Sistema Único de Benefícios ‘que permite uma definição dos usuários que têm permissão para alteração de dados com base em decisões judiciais, viabilizando um controle gerencial mais eficiente a fim de identificar possíveis distorções’, acrescentando ainda que o acompanhamento dos logs e alterações efetuadas por cada servidor é efetuado para todas as transações previstas neste item.
Em que pese a argumentação apresentada pela Diretora de Benefícios, esta equipe de auditoria realizou estudo detalhado a respeito da utilização da transação AEB – Atualização Especial de Benefício, analisada no item 11.2.2.
g) ‘8.1.9 – implemente o projeto de apuração de inconsistências nas bases de dados de benefícios, com vistas a agilizar o processo de correção de distorções identificadas;’
A diretora de Benefícios do INSS argumenta, fl. 96 do Volume 1, que para a implementação deste ponto faz-se necessária a revisão de toda estrutura tecnológica e organizacional de dados da Previdência Social, o que, segundo ela, está em andamento por meio do Plano Diretor de Tecnologia e Informação e do Programa de Apoio à Modernização do Sistema Previdenciário Brasileiro – PROPREV.
No nosso entendimento, não merecem prosperar as alegações oferecidas pela Diretora de Benefícios do INSS, eis que a apuração de inconsistências nas bases de dados de benefícios não depende, absolutamente, de uma revisão de toda estrutura tecnológica e organizacional de dados da Previdência Social. Deve-se aduzir, ademais, que a confiabilidade das bases de dados de benefícios é um pré-requisito fundamental para qualquer estrutura de informação, devendo, inclusive, a apuração de inconsistências nas bases de dados ser feita preferencialmente antes da implantação da nova Organização da Área de Tecnologia da Informação a ser apresentada pela KPMG Consulting, segundo a gerente de projeto da própria consultoria.
Ademais, nos termos do relatório de auditoria interna da Dataprev nº 039/00, comentada no item 9.1-c, existem vários problemas na base dados de benefício que merecem atenção especial por parte deste Tribunal.
h) ‘8.1.11 – adote providências no sentido de equipar as unidades da Procuradoria do INSS em que a carência de equipamentos de informática seja mais crítica;’
De acordo com o Coordenador-Geral do Comitê de Tecnologia e Informação, no Programa de Apoio à Modernização do Sistema Previdenciário Brasileiro – PROPREV está inserida ação que prevê a modernização do
parque de informática, provendo todas as unidades do INSS, inclusive a Procuradoria, com equipamentos de informática e promovendo a substituição dos equipamentos obsoletos.
10.2 – Determinações ao INSS e à DATAPREV
a) ‘8.2.1 – quanto ao controle de acesso aos sistemas, procedam à aplicação imediata dos preceitos constantes da Portaria/MPAS n° 4.494/98 e do Manual para Acesso Lógico aos Sistemas Informatizados da Previdência Social;’
Quanto ao item em questão, o Diretor de Operações e Telecomunicações da Dataprev, Sr. Eduardo Luiz Matoso, lembra, fl. 167 do Volume1, ter sido a Portaria nº 4.494/98 revogada em 26.03.2001 pela Portaria MPAS nº 862/2001, argumentando que ‘durante a vigência da Portaria 4.494/98 a Dataprev atendeu a todos os seu requisitos no tocante ao controle de acesso aos sistemas’. Outrossim, alega que, com relação à observação deste Tribunal de que existiriam funcionários da Empresa exercendo a função de gestor de sistemas, não consta da base de dados do sistema de controle de acesso – SCA nenhuma matrícula de funcionário registrado como gestor ou autorizado a executar transações nos sistemas da Previdência Social. Por derradeiro, observa que ‘de acordo com a Resolução da Presidência da Dataprev nº 2224/97 de 18.11.97, nenhum empregado da Empresa pode ter autorização de acesso aos sistemas de exclusiva competência do INSS para executar as atividades de concessão de benefícios, alteração de valores de benefício, cancelamento/inclusão de valores de débitos ou qualquer ação que envolva valores’.
Em que pese o arrazoado apresentado pela Dataprev, constatou-se que as principais regras da Portaria 4494/1998 (substituída pela Portaria 862/2001) não foram adotadas no âmbito da Previdência Social: a Dataprev, através da Supervisão de Controle de Acesso, permanece administrando o sistema SCA; ainda não existem políticas e procedimentos para a classificação dos recursos de informação; além disso, não há revisão tempestiva das autorizações de acesso dos funcionários demitidos ou afastados.
b) ‘8.2.2 – adotem, com urgência, medidas que permitam a completa funcionalidade do Sistema de Controle Financeiro – SCF, eliminado os problemas de compatibilização com outros sistemas, com vistas a confrontar os valores arrecadados e pagos ao INSS pelos bancos;’
Com relação a tal determinação, a Dataprev informou terem sido solucionadas as questões atinentes ao fechamento do batimento físico-financeiro do Banco do Brasil (em função da ausência de informações de cobrança e de FPM) e à performance no SCF dos relatórios estatísticos do sistema. Quanto ao não reflexo no SCF, para fins de batimento físico-financeiro, das guias modificadas e/ou excluídas através do sistema AGUIA e SARCI, o INSS e a Dataprev expuseram o cronograma estabelecido para a conclusão dessa rotina, prevista para 30.06.2001.
c) ‘8.2.3 – adotem providências para viabilizar a migração de todos os dados referentes à dívida (administrativa e judicial), contidos no sistema antecessor (ATARE), para o Sistema de Registro e Controle de Débitos, Parcelamento e Cobrança – SICOB;’
Quanto a esse ponto, o Gerente Substituto da Divisão de Negócios de Cobrança da Dataprev, Sr. Adauri Pires Bauer, alega, à fl. 170 do Volume 1, que a migração foi dividida em duas etapas. A primeira, que consistia em migrar os processos corretos e os que poderiam ser acertados através de lógicas implementadas dentro do programa de migração, já estaria concluída. A segunda etapa, em fase de desenvolvimento, consiste em um trabalho em conjunto com o INSS, por meio de trocas de informações levantadas junto aos processos físicos. Existe um cronograma de ‘Migração de débitos e parcelamentos do BDDEB para BDCOBRANCA’, prevendo a finalização para 30/03/2001, mas conforme informações no Diretor de Arrecadação, nos documentos do Ofício CGCTINF nº 085/2001, fl. 100 do Volume 1, surgiram vários problemas que ocasionaram atraso no processo, que está em fase de conclusão.
Não obstante o alegado pela entidade, esta equipe de auditoria constatou que a migração dos dados referentes à dívida administrativa e judicial encontra-se no mesmo estágio que o verificado à época da auditoria desde Tribunal, realizada no exercício de 1999.
Deve ser também lembrado que o Sistema de Registro e Controle de Débitos, Parcelamento e Cobrança – SICOB jamais funcionou de acordo com as necessidades operacionais da Previdência Social, principalmente devido a problemas na migração dos dados, sendo instaurado, inclusive, um processo administrativo disciplinar para apurar responsabilidades ocorridas no desenvolvimento do sistema em questão.
d) ‘8.2.4 – realizem esforço concentrado para que todos os dados referentes à dívida (administrativa e judicial), migrados para o novo sistema DÍVIDA, sejam depurados, eliminando inconsistências e erros porventura existentes;’
Segundo informação da Dataprev, as rotinas de eliminação das inconsistências de dados são realizadas continuamente, à medida que tais inconsistências são identificadas pelo usuário.
A nosso ver, não procede o asseverado pela Entidade, pois a migração dos dados referentes à dívida administrativa e judicial para o novo sistema DÍVIDA, bem como a eliminação de inconsistências e erros existentes em tais dados, não foi, conforme verificação efetuada por esta equipe, realizada a contento.
e) ‘8.2.5 – atentem para um gerenciamento quantitativo e qualitativo das informações do Cadastro Nacional de Informações Sociais – CNIS, de forma a tornar mais eficaz sua utilização;’
A empresa vem tomando várias medidas no sentido de controlar as informações do CNIS, tendo em vista sua importância, conforme documentos às fls. 171 a 173 do Volume 1. Foi contratada, também, consultoria para avaliação dos dados dos CNIS.
Destacamos outras considerações a respeito deste Sistema no item 11.2.1.
f) ‘8.3.1 – proceda a estudos objetivando a otimização da utilização de seus mainframes, incluindo projeções futuras dessa utilização, com vistas a evitar problemas no processamento de dados;’
No concernente a esse item, a Dataprev afirma, fl. 174 do Volume 1, que foram realizados os upgrades dos servidores corporativos hospedeiros dos sistemas de Benefícios e Arrecadação, acrescentando que, por meio da Comunicação de Serviço DOP – 004/2001, fl. 165 do Volume 2, foram definidos os procedimentos para Planejamento de Capacidade nos computadores de grande porte da UNISYS.
g) ‘8.3.2 – regularize, com a maior brevidade possível, sua relação contratual com a UNISYS, por meio de um contrato elaborado nos termos das normas vigentes, especificando os serviços a serem prestados e os valores envolvidos;’
No pertinente a tal ponto, a entidade argumentou, fl. 174 do Volume 1:‘Objetivando a melhoria na qualidade dos serviços prestados a seus clientes e adequação da relação
custo/benefício no desenvolvimento/produção dos sistemas, a Dataprev vem buscando a adoção de soluções baseadas nos padrões de mercado. Historicamente, nossos sistemas estão calcados na arquitetura UNISYS (MCP/DMSII). São anos de investimentos nesta plataforma e, consequentemente, existe uma cultura e um acervo (legado) a ser convertido de forma organizada e segura. Através de seu Comitê de Tecnologia da Informação, a Dataprev está traçando suas diretrizes e homologando todos os produtos a serem utilizados nos próximos anos. Temos, atualmente, diversos servidores de Aplicações e Banco de Dados em plataformas open e já estamos providenciando edital de licitação de servidor com Capacidade de Multiprocessamento, a fim de proceder à unificação dos diversos servidores, acarretando
redução dos esforços de operação, administração e suporte. Um segundo equipamento a ser licitado atenderá à conversão do CNPJ/CNIS’.
O assunto sob enfoque foi objeto de análise por parte da Secretaria de Controle Externo do Tribunal de Contas da União, no Estado do Rio de Janeiro – SECEX/RJ, TC 017.767/2000-3, que trata de Representação formulada pela Exma
Srª Senadora Heloisa Helena Lima de Moraes Carvalho. Nesses autos, aquela SECEX apregoa a necessidade de ‘aprofundamento no estudo dos contratos relativos à atividade fim da Dataprev, em especial o contrato firmado com a UNISYS BRASIL, sobretudo os aspectos de motivação, oportunidade, fundamento legal, evolução histórica, custos, serviços e bens locados, bem como, a dependência crônica em relação à UNISYS e o planejamento realizado pela Dataprev com vistas a obter uma maior autonomia’. Assim, foi proposta ao Exmo Sr. Ministro Adylson Motta, relator daquele processo, a realização de Auditoria de natureza operacional na Dataprev, a ser inserida no Plano de Auditoria do 2º semestre de 2001, com vistas à avaliação do contrato firmado entre aquela empresa e a UNISYS BRASIL LTDA.
h) ‘8.3.3 – quando de sua reestruturação organizacional, atente para o posicionamento hierárquico da área de segurança física e lógica de sistemas, que deve constar em um nível superior, de forma a conter todas as funções de segurança delineadas como necessárias, estabelecendo, em conseqüência, segregação na execução das mesmas;’
Tal determinação não foi implementada. Apesar de ter sido criada uma supervisão de segurança, as funções de definição e de controle de políticas (administração) não são efetuadas por setor apartado das funções executivas e ligado diretamente à direção da Empresa.
i) ‘8.3.4 – adote as medidas recomendadas por sua Auditoria Interna, quando de fiscalização efetuada no CTRJ, em 1999, como por exemplo a implementação de um plano formal que contenha medidas de contingência e recuperação de projetos;’
A Diretoria de Operações e Telecomunicações da Dataprev alega, fl. 176 do Volume 1, que todas as medidas recomendadas por sua Auditoria Interna foram atendidas, com exceção daquela relativa aos itens 3.02.02.00 e 3.02.01.00 do respectivo relatório: ‘Análise de logs’.
Convém notar que a própria Coordenação Geral de Auditoria da Dataprev, após verificar as ações de segurança implementadas pela área de controle de acesso, objetivando sanar pendências relativas à administração de segurança contidas no relatório CGAU.P n° 006/99, bem como algumas recomendações exaradas por este Tribunal e pela Secretaria Federal de Controle – SFC, expôs, no respectivo relatório de auditoria (CGAU.P n° 001/01), fls. 204 e 205 do Volume 2, fragilidades nos controles para cancelamento dos acessos após o desligamento da empresa, pela não observância da CS DERH/007/2000, fls. 153 e 154 do Volume 2, que ‘colocam em risco a segurança de acesso aos sistemas da Previdência Social, tendo como conseqüência a possibilidade de perda de integridade e qualidade das informações e a descontinuidade operacional’.
j) ‘8.3.5 – proceda a estudo objetivando adotar um sistema que prepare automaticamente os procedimentos que devam ser executados diariamente;’
No concernente a esse ponto, a Dataprev argumenta que os processos produtivos diários efetuados nos Centros de Tratamento da Informação ‘já dispõem de sistema de controle de processamentos, sendo que a preparação e a decisão do momento oportuno de executá-los, na maioria dos casos, não se configuram como automatizáveis por software sendo esta a razão de mantermos esta atividade de forma manual’.
k) ‘8.3.6 – adote as seguintes medidas, quanto ao controle de acesso de sistemas:
a)implantação do Modelo de Gestão de Segurança definido pelo Projeto DAP-12;
b)efetivação de estudos no sentido de obrigar a confirmação de acesso de usuários, por gestor, nos moldes, por exemplo, da Conformidade de Operadores do sistema SIAFI;
c)implementação das medidas corretivas dos problemas relatados na Resolução/Dataprev nº 2.246/98;’
A Dataprev argumenta, fl. 167 do Volume 1, que:
‘a) do modelo de gestão definido no projeto DAP-12, no que se refere ao controle de acesso aos sistemas, a Dataprev implementou todos os mecanismos previstos para segurança preventiva, detectiva e corretiva;
b) com a revogação da Portaria 4494/94 pela Portaria 862, a Dataprev está adequando o sistema de controle de acesso – SCA, com isso, vamos proceder estudos de viabilidade para implementação do controle de acesso nos moldes do sistema SIAFI, conforme sugestão do TCU;
c) a citada resolução determina que DOP execute a implementação do projeto DAP-12. Os mecanismos de controle de acesso definidos no projeto foram devidamente implementados’.
A equipe de auditoria constatou in loco que dos produtos do projeto DAP-12 apenas os que dizem respeito a parametrização da ferramenta SAFE SECURE estão sendo seguidos, de forma a implementar as recomendações relativas ao controle de acesso. O processo de conformidade de operadores semelhante ao do SIAFI, não foi implementado. Observou-se, também, que não são devidamente analisados os logs e relatórios de violações aos procedimentos de segurança. Outrossim, não são investigadas as violações de segurança e atividades suspeitas, tais como tentativas frustradas de entrada no sistema, não sendo, ademais, tomadas ações que evitem que novas violações sejam perpetradas quando tais ocorrências são detectadas.
Com a publicação da Decisão do Tribunal no início de 2001, a Dataprev iniciou uma série de ações, tais como revisão dos privilégios de acesso nos ambientes de produção, publicação das diretrizes gerais da política de segurança, estabelecimento das responsabilidades pela elaboração dos instrumentos normativos específicos da política de segurança, instruções de procedimento para, acesso aos computadores de grande porte com usercode privilegiado, acesso aos sistemas da Previdência Social nos computadores de grande porte, instalação e configuração de antivírus e controle de acesso à internet. Cabe ressaltar entretanto que houve um grande lapso de tempo entre maio de 1998, quando foram entregues os produtos do projeto DAP-12, até o início dessas ações.
l) ‘8.3.7 – informe a este Tribunal, quando da apresentação de sua próxima Prestação de Contas, sobre a forma como está sendo utilizada a Metodologia de Desenvolvimento de Sistemas – MDS e o desenrolar dos projetos DAP-35/99 (Documentação de Sistemas) e DAP-37/99 (Construção e Desenvolvimento de Manuais Interativos e Tutoriais para os Sistemas);’
A Dataprev informa, fls. 177 a 204 do Volume 1, que o projeto DAP-35 foi incumbido de planejar e executar a documentação de todos os sistemas existentes na empresa, tendo sido apresentado à diretoria da entidade, em agosto de 1999, um plano de trabalho com a proposta de metodologia a ser utilizada no projeto. No entanto, o Gerente do Departamento de Negócios e Serviços Corporativos da Dataprev alega que, diante do custo estimado para a documentação dos programas e/ou sistemas, e tendo em conta a inexistência de recursos financeiros e a possibilidade de utilização do consórcio DPCON para migração dos sistemas para um plataforma mais moderna, a Diretoria decidiu, em novembro de 1999, pela suspensão do DAP-35.
Com relação ao projeto DAP-37, a entidade expõe que esse foi extinto, ‘visto que após o atingimento de seus objetivos de construção emergencial de tutoriais para os sistemas (tidos como prioritários) da Dataprev, constatou-se tratar de uma atividade de linha / de rotina, que precisa ser realizada paralelamente ao desenvolvimento dos sistemas, não devendo portanto confundir-se com este, visto que os chamados manuais interativos não são manuais de documentação de sistemas e sim uma espécie de help online que deverá ser utilizado, quando necessário, pelo usuário
do sistema, assim como os Tutoriais, que são desenvolvidos através de ferramentas de auditoria, voltados para o aprendizado a distância (EAD) destes sistemas’.
As alegações apresentadas pela entidade demonstram a falta de planejamento na condução dos mencionados projetos. Esse fato insere-se no contexto de um problema crônico de descontinuidade na execução de projetos da Previdência Social.
m) ‘8.3.8 – adote, com urgência, medidas visando à completa implantação do Projeto de Descentralização das Bases de Dados da Arrecadação – RADAR, com vistas a garantir a segurança dos dados processados e a possibilitar a interligação entre os diversos níveis do INSS;’
Em resposta ao item em questão, a Divisão de Negócios Fiscalização da Dataprev alega, sucintamente, fl. 205 do Volume 1, que ‘o prazo do Novo Modelo de Gestão das Receitas Previdenciárias está previsto para um horizonte de dois a três anos’, argumentando que ‘nesse ínterim, atendendo à essência do projeto DAP-23, de evolução tecnológica da plataforma de processamento, visando segurança e confiabilidade dos dados e rápido acesso a nível nacional, a DIFI.N revisou o modelo de dados e funções do projeto DAP-23 e desenvolveu o CNAF – Cadastro Nacional de Ações Fiscais, na plataforma Oracle/web, que vem sendo usado no desenvolvimento das aplicações de aferição de BPF/GDAT, Migração do Acervo de Ações Fiscais e Gerenciamento da Ação Fiscal via CNAF’.
Em que pese a justificativa da entidade, foi constatado por esta equipe de auditoria que o Projeto de Descentralização das Bases de Dados da Arrecadação – RADAR não foi devidamente implementado, fato que corrobora a falta de planejamento na execução de projetos da Previdência Social.
n) ‘8.3.9 – agilize as migrações dos sistemas cruciais da Previdência que usam a linguagem Clipper para plataformas mais modernas e integradas que permitam o efetivo gerenciamento das unidades regionais;’
A Dataprev informou, no memorando de fl. 206 do Volume 1, que ‘o Departamento de Negócios e Arrecadação – DEAR.N tem migrado os sistemas desenvolvidos/mantidos em linguagem Clipper, sob sua gestão, para plataformas mais modernas e integradas que possibilitam o gerenciamento nas unidades locais’, acrescentando que foram iniciados em fevereiro de 2001 mais três projetos que transferirão para novas plataformas os módulos de fiscalização do sistema GIRAFA.
o) ‘8.3.10 – adote um planejamento mais eficaz quando da implantação de sistemas, inclusive centralizando sua operacionalização, com vistas a evitar incompatibilidade de informações entre sistemas afins, como o ocorrido entre o Sistema de Cadastramento e Alteração de Documentos – SICAD e o Sistema de Registro e Controle de Débitos, Parcelamento e Cobrança – SICOB;’
Em resposta para tal determinação, a Divisão de Negócios Fiscalização da Dataprev limitou-se a argumentar, fls. 207 e 208 do Volume 1, que o Módulo de Cobrança do GIRAFA, também chamado de SICAD, foi construído obedecendo fielmente a especificação do INSS, aduzindo que ‘o atraso da implantação do SICOB em relação ao SICAD, por si só, não gerou queda representativa da qualidade dos dados, conforme afirma o Relatório de Auditoria’, havendo ‘apenas um represamento dos débitos a cadastrar, por cerca de um mês, problema solucionado tão logo o SICOB começou a funcionar’.
A nosso ver, a argumentação apresentada pela empresa não satisfaz a determinação proferida por este Tribunal, eis que, como já anteriormente demonstrado nos comentários relativos aos itens 8.2.3 e 8.2.4 da Decisão 1.049/2000-Plenário, a migração dos dados referentes à dívida administrativa e judicial, contidos no sistema ATARE, para o Sistema SICOB não foi realizada a contento. Ressalte-se, por imprescindível, que tanto o SICAD quanto o SICOB nunca funcionaram de acordo com as necessidades operacionais da Autarquia, tendo sido, inclusive, aberto um
processo administrativo disciplinar para apurar responsabilidades ocorridas no desenvolvimento dos sistemas informatizados sob enfoque.
p) ‘8.3.11 – adote rotinas e procedimentos de controle que garantam que todos os projetos de segurança lógica dos bancos de dados sigam padrões preestabelecidos, de modo a atingir os objetivos determinados na política de segurança;’
q) ‘8.3.12 – desenvolva metodologia de avaliação do desempenho dos bancos de dados, objetivando a eliminação, por exemplo, de entraves no processamento e procedimentos de consulta e de atualização mal construídos, com vistas a otimizar sua utilização;’
Os itens acima foram respondidos pelo Gerente do Departamento de Suporte Técnico da Dataprev, encaminhado pelo Ofício CGCTIN nº 086/2001, de 05/07/2001, fls. 101 a 104 do Volume 1. Foi dada a informação de que a metodologia de avaliação citada tem previsão de desenvolvimento em 3 fases, finalizando-se em 31/12/2001.
Notamos que, apesar da iniciativa da Empresa, tal assunto não deveria ser tão tardiamente tratado, tendo em vista o levantamento do problema desde a Auditoria de 1999 e a importância da matéria. Devemos acompanhar sua implantação e utilização.
r) ‘8.3.13 – adote providências com vistas a:a)preservar as versões anteriores das estruturas de banco de dados, de forma a recompor emergencialmente
situações anteriores;b)manter um histórico das alterações efetuadas nos bancos de dados, juntamente com suas justificativas, com
vistas a fundamentar decisões tomadas, assim como dar subsídios a decisões futuras;c)viabilizar soluções intermediárias entre a administração de dados e a Área de Sistemas, quando da
implementação de estruturas de dados, com a finalidade de reduzir a manutenção, eliminar a falta de confiabilidade dos dados e a falta de integração entre os aplicativos;’
s) ‘8.3.14 – mantenha em arquivo o modelo conceitual dos dados que retrate o seu inter-relacionamento, adotando, ainda, rotinas e procedimentos que evitem que as duas áreas de administração de dados atuem de forma não coordenada e criem soluções de modelagem conflitantes entre si;’
t) ‘8.3.15 – proceda a levantamento dos modelos de dados que representem a estrutura dos bancos de dados implementados no ambiente de grande porte;’
u) ‘8.3.16 – estude a possibilidade de criar um pseudo-sistema dentro do Designer 2000 que permita o acesso somente à leitura da documentação pelas equipes de desenvolvimento, para que não se perca o controle sobre alterações efetuadas;’
Quanto às determinações constantes dos itens 8.3.13 a 8.3.16, expostas anteriormente, a Dataprev informou:‘As atividades de Administração de Dados na Dataprev atualmente possuem um bom nível de integração com as
áreas de desenvolvimento de sistemas da Empresa.Já existe homologado e em uso na empresa a ferramenta Case (Oracle Designer/2000) que permite o registro e
armazenamento dos modelos conceituais de dados dos sistemas aplicativos.A Administração de Dados relativa ao CNIS já se encontra integrada na estrutura de Administração de Dados
Central da empresa.
Quanto ao ambiente de grande porte, os analistas de sistemas não têm autonomia para atualizar o dicionário de dados, visto que o acesso aos mesmos é definido através de perfis. O único perfil que permite a atualização no dicionário de dados é o perfil de Administração de Dados, restrito ao DETI.N.
Quanto ao registro de histórico de alteração de modelos de dados, tanto a nível conceitual quanto a nível físico (grande porte), se encontram registrados na Ferramenta Case, bem como em formulários específicos, conforme o caso’.
v) ‘8.3.17 – envide esforços na depuração da base de dados do CD-IDEIA Procuradoria, corrigindo os dados constantes nos seguintes campos de registro: indicador de débito, data de atualização, data de recadastramento, data do documento de origem, data da fase anterior, data da fase atual e data de inscrição;’
A Dataprev alega, fl. 210 do Volume 1, que as inconsistências nas informações são decorrentes dos créditos antigos, existentes na base anterior à implantação do Sistema Dívida atual, acrescentando que o Sistema Dívida tem à disposição da Procuradoria do INSS, para realizar depurações dessa natureza, a função AÇÕES MIGRADAS, cabendo ao INSS realizar todas as depurações desta natureza através da função.
10.3Determinações ao Comitê de Tecnologia e Informação – CTINF
a) ‘8.4.1 – adote medidas no sentido de viabilizar um controle efetivo dos equipamentos de hardware que compõem o parque computacional da Previdência;’
Quanto a esse item, o Comitê de Tecnologia e Informação encaminhou uma série de Resoluções que tratam do tema, a saber:
Resolução n° 04, de 04.11.1999, fls. 53 e 54 do Volume 2 – disciplina a forma de alteração em equipamentos de informática e suas configurações;
Resolução n° 08, de 04.07.2000, fls. 48 a 50 do Volume 2 – normatiza a destinação dos equipamentos de informática inservíveis no INSS e uso do lacre de segurança nos equipamentos de informática da Previdência Social;
Resolução n° 09, de 22.08.2000, fls. 51 e 52 do Volume 2 – normatiza o processo de aquisições de equipamentos, sistemas e serviços de informática no âmbito da Previdência Social;
Resolução n° 10, de 14.11.2000, fls. 55 e 56 do Volume 2 – cria o Subcomitê de Segurança de Sistemas.
b) ‘8.4.2 – adote medidas visando agilizar a implementação dos produtos do projeto DAP-12, atentando para procedimentos relativos ao programa de segurança, especialmente quanto a: análise de logs e relatórios de violações dos procedimentos de segurança; proteção dos logs contra destruição intencional ou acidental; violações de segurança; e tentativas de acesso ao sistema.’
As questões atinentes ao Projeto DAP-12 já foram por nós discutidas na alínea k do 10.2 retro nos comentários relativos ao item 8.3.6 da Decisão 1.049/2000-Plenário. Não houve nenhuma ação do CTINF com vistas à agilização da implementação dos produtos do projeto.
10.4Resumo do atendimento às determinações
Devemos destacar que o não cumprimento de diversas determinações nos leva a evidenciar os problemas na estrutura funcional na condução das ações de Tecnologia da Informação na Previdência Social. Assim, podemos resumir as falhas em alguns tópicos:
a) falta de coordenação da área, verificando a inoperância do CTINF no que concerne à implementação de ações (8.4.2);
b) inoperância da Dataprev na implementação das ações na área de segurança (8.2.1, 8.3.3, 8.3.4, 8.3.6);
c) falta de planejamento e condução de projetos, levando à existência de uma descontinuidade crônica em seu prosseguimento, por vários fatores e em várias fases de seu desenvolvimento (8.1.4, 8.1.6, 8.1.9, 8.2.3, 8.2.4, 8.3.7, 8.3.8, 8.3.10).
11. DETALHAMENTO DAS FALHAS/IRREGULARIDADES ENCONTRADAS11.1 Controles Gerais – 100011.1.1 Controles Organizacionais – 110011.1.1.1 Políticas, padrões e procedimentos1101 – não existem políticas de informática da organização;
Não existe um planejamento estratégico para TI (Tecnologia da Informação) referente à Previdência Social. Porém, como já foi detalhado no item 9.3, está em desenvolvimento o Plano Diretor de Tecnologia da Informação – PDTI que vai prover à administração, quando implementado, direção e apoio para a segurança da informação. A existência de uma política clara, documentada, difundida a todo o corpo funcional e com um gestor, responsável por sua manutenção e análise crítica, impediria que fossem efetuadas mudanças sem a devida justificativa e sem o devido embasamento em um estudo criterioso e técnico.
O Tribunal deve acompanhar a implementação do PDTI, que se encontra em sua fase crucial (definição de soluções e implantação), garantindo que sejam iniciados os processos para a resolução de vários problemas de segurança em TI da Previdência Social.
11.1.2. Programa Geral de Segurança – 120011.1.2.1 Documentação do programa de segurança1212 – o plano de segurança não existe ou não é mantido atualizado, com revisões periódicas e ajustes que
reflitam as mudanças nas condições de operação e nos riscos.
Verificado o descumprimento da Norma ISO/IEC 17799 nº 3.1.1, que trata de documentos da política de segurança da informação.
Não existe uma Política de Segurança de Informação para toda a Previdência Social.Na Dataprev, por outro lado, foi desenvolvido, como produto do Projeto DAP-12, a Política de Segurança da
Empresa, por um contrato com a UNISYS no valor total de R$ 4.126.448,75. A análise detalhada do produto e do projeto foi efetuada por ocasião da auditoria realizada em 1999 (TC 001.983/1998-9), culminando, inclusive, em determinação (8.3.6-a).
A nosso ver, existiu um lapso de tempo demasiadamente grande entre a elaboração dos produtos do Projeto DAP-12 e o limiar de sua implementação. Poucas foram as ações da Dataprev de 1997 até início de 2001, no sentido de seguir as orientações daquele Projeto.
Na nota de auditoria NA-04/AS CGAU.P 006/99, às fls. 184 a 194 e às fls. 207 a 226 do Volume 2, foi descrita a situação exata daquele Projeto, constatando uma série de falhas na condução de seu processo de implantação:
a) nem todos os produtos foram entregues;b) não implementação de produtos concluídos;c) desvio do valor orçado, de serviço de implantação, para aquisição de software;d) descumprimento do contrato com o INSS (cláusula 3, item 3.2, alíneas ‘e’, ‘f’ e ‘h’);e) falhas evidenciadas em vários trabalhos de auditoria e consultoria (Ernest & Young-1991, Boucinhas &
Campos-1991 e 1996, UNISYS-1996, CISET-1997, TCU-1999).Foram realizados trabalhos de auditoria para verificação de alguns pontos e editados normativos referentes à
Política de Segurança de Informação da Dataprev, quais sejam:
a) Resolução nº 2401/2001, de 22/02/2001, fls. 135 a 137 do Volume 2, que estabelece as diretrizes gerais da Política e prazo de 60 dias para edição de normativos específicos para cada área;
b) Resolução nº 2406/2001, de 07/03/2001, fls. 138 a 147 do Volume 2, que estabelece as responsabilidades pela elaboração de instrumentos normativos da Política de Segurança, com base nos dispositivos da Norma ISO/IEC 17799;
c) IP/ST/003/01, de 15/03/2001, fls. 62 a 66 do Volume 2, manual de instalação e configuração de antivírus;d) IP/RT/001/01, de 03/04/2001, fls. 121 a 127 do Volume 2, que trata de controle de acesso aos computadores
de grande porte com usercode privilegiado;e) IP/RT/002/01, de 09/04/2001, fls. 128 a 134 do Volume 2, que trata de acesso aos sistemas da Previdência
Social nos computadores de grande porte.A Empresa argumenta que existe uma grande carência de pessoal e que a área responsável pela continuidade do
projeto ficou 8 meses sem Diretor nomeado, gerando dificuldades na condução dos projetos.Não obstante, entendemos que a atual administração da Dataprev está preocupada com a resolução dos
problemas apontados e com o cumprimento das determinações deste Tribunal e vem tomando algumas medidas nesse sentido, haja visto a criação de fórum de discussão sobre segurança com reuniões mensais, a partir de 01/2001, conforme atas de reunião, fls. 155 a 173 do Volume 3.
Devemos acompanhar a implantação das medidas da Política de Segurança da Informação em toda a Previdência Social, tornando-a instrumento normativo de todo o setor, e atentar para que o PDTI contemple tais medidas.
11.1.2.2 Gerência de segurança1217 – no organograma não existe gerência de segurança dos sistemas de informação, tanto em nível geral como
nos níveis subordinados;
Verificado o descumprimento das Normas ISO/IEC 17799 nos. 3.1.2 e 4.1, que trata da infra-estrutura da segurança da informação.
Os organogramas do INSS e da Dataprev não se adequam aos preceitos universalmente aceitos para se iniciar e se controlar a implementação da segurança da informação na Previdência Social.
Deve existir um fórum para garantir um direcionamento claro e o comprometimento de todos os envolvidos nas iniciativas de segurança. O CTINF, já citado, realiza as funções de análise e aprovação de políticas e projetos de segurança. Porém, falta, como discutido no item 11.2.5, um gestor mais afeiçoado às ações executivas, responsável por monitorações constantes e estudos prévios, para posterior submissão ao Comitê.
Apesar do Comitê da TI exercer parte desta responsabilidade, não existe um processo ou fórum geral de planejamento estratégico onde possam ser discutidas, planejadas e acordadas as necessidades de TI do MPAS, INSS e da Dataprev , antes de serem submetidas ao Comitê
Na Dataprev, conforme constatado no processo de auditoria citado, não foi implementada, ainda, a determinação do item 8.3.3. Apesar de ter sido criada uma supervisão de segurança, as funções de definição e de controle de políticas (administração) não são efetuadas por setor apartado das funções executivas e ligado diretamente à direção da Empresa.
1222 – o plano de segurança não é periodicamente revisto e atualizado, não estando em dia com as necessidades da entidade.
Não existe, também, um gestor responsável pela manutenção e análise crítica da Política, que garanta sua adequação às mudanças da Previdência, nem da Dataprev.
O PDTI deve assegurar que as estruturas organizacionais da Dataprev e do INSS contemplem as funções de gestão, auditoria e administração de segurança da Previdência, cuja implementação deve ser acompanhada pelo Tribunal.
11.1.2.3 Políticas de segurança
1232 – os funcionários não estão cientes de suas responsabilidades quanto à segurança;1233 – a entidade não exige dos funcionários e usuários externos com acesso a informações confidenciais que
assinem uma declaração de confidencialidade.
Verificado descumprimento da Norma ISO/IEC 17799, itens:a) 3.1.1 – documentação da política de segurança da informação;b) 6.1.3 – acordos de confidencialidade;c) 6.1.4 – termos de condição de trabalho.Verificado, ainda, descumprimento da Portaria MPAS 4.494/1998, art. 4º, § 1º e 3º, substituída pela Portaria
MPAS 862/2001, art. 6º, § 1 e art. 7º, Parágrafo único.Não foi constatada, desde a auditoria de 1999, nenhuma melhoria no processo de concessão de chave para acesso
para os servidores, funcionários e prestadores de serviço de toda a Previdência Social. A Dataprev, por outro lado, publicou duas Instruções de Procedimento (IP/RT/002/01, de 03/04/2001, e IP/RT/002/02, de 09/04/2001, já citadas no item 12.1.2.1) voltadas para o controle de concessão de chaves de acesso para seus empregados. Entendemos que a assinatura de Termo de Responsabilidade auxiliaria na divulgação da política de segurança, além de possibilitar imputação de responsabilidade administrativa, penal e civil.
1234 – existem funcionários ‘proprietários’ de informações críticas ou confidenciais.Foram constatadas duas situações de risco:a) o INSS não possui servidor capacitado para acompanhar as ações de segurança implementadas pela Dataprev,
que detém todas as informações.b) na Dataprev, até o advento da auditoria em questão e conforme já alertado na auditoria de 1999, as ações de
gerenciamento do Sistema de Controle de Acesso estão praticamente restritas a um único funcionário, temerariamente detentor de conhecimento e autorização para efetuar quaisquer ações no referido Sistema, inclusive sendo seu gestor.
A direção do INSS deve providenciar a designação de servidor de seu quadro para acompanhar e supervisionar a gestão de segurança de suas informações. A Dataprev está providenciando a solução desse grave problema, designando outras pessoas para atuar na área, conforme Comunicação de Serviço DERE.O/nº 005/2001, 23/01/2001, fl. 155 do Volume 2.
11.1.2.4 Supervisão do programa de segurança1242 – não existem (ou não são devidamente analisados) logs e relatórios de violações aos procedimentos de
segurança;
O Produto 9 do Projeto DAP-12, intitulado ‘Roteiro de Auditoria de Acesso ao Série A’, indica diversos relatórios que deveriam ser produzidos e examinados, diária, semanal e mensalmente, pelo administrador do Sistema de Controle de Acesso.
Os Relatórios diários visam atender à necessidade de se buscar informações relevantes de segurança de forma tempestiva e não volumosa, evitando que algum evento passe desapercebido. Esses relatórios dão informações sobre: violação de segurança, utilização de comandos do sistema; mudanças no userdatafile, acesso a aplicações sensíveis e outros, num total de 18 relatórios.
Os Relatórios semanais e mensais devem ser retidos e comparados com relatórios anteriores. São relatórios estatísticos e sumários que são apropriados para inspeção externa e auditoria.
Constatamos que não existe rotina que preveja a utilização de tais relatórios e que a equipe de auditoria da Dataprev não realiza um efetivo controle sobre a execução de tais rotinas.
A Empresa nos informou que já está em andamento a elaboração de um trabalho que permita o controle efetivo sobre a utilização dos relatórios do Produto 9. Devemos acompanhar a efetiva implementação de tal trabalho.
11.1.2.5 Avaliação de riscos1201 – os riscos não são periodicamente avaliados, de acordo com políticas documentadas para essa avaliação.1202 – as avaliações do risco não são realizadas por pessoal suficientemente independente (não diretamente
responsável pelas questões de segurança), não sendo revistas toda vez que algum sistema, instalação ou outra condição se altere.
1203 – a avaliação do risco não leva em conta a vulnerabilidade inerente dos dados e o risco adicional acrescentado pelos diversos caminhos de acesso passíveis de utilização por usuários e estranhos não autorizados.
1204 – a alta administração não realiza avaliações periódicas do risco, para determinar se as técnicas de controle para segregação de funções estão funcionando como esperado e mantendo o risco em níveis aceitáveis.
As observações referentes a estes tópicos nos levam à uma constatação de extrema gravidade, já citada em outros tópicos: um grande problema na área de segurança da informação da Previdência Social reside no fato de não existir uma estrutura que permita a execução de atividades de forma segregada, confundindo-se, na maioria das vezes, as funções de elaboração, supervisão, administração e execução dos ditames da política de segurança.
Com a estrutura atual, as informações contidas em alguns produtos, como o Produto 9 do Projeto DAP-12, perdem sua eficiência e não auxiliam a administração no processo de avaliação do risco.
O PDTI, em sua fase 3, prevê a Organização da Função Informática, o que deve ser acompanhado por este Tribunal.
11.1.3. Continuidade do Serviço – 130011.1.3.1 Documentação do plano de contingência1362 – não existe na organização um plano de contingências;
Verificado o descumprimento da Norma ISO/IEC 17799 nº 11.1, que trata de gestão da continuidade do negócio.Conforme, também, já verificado na auditoria de 1999, os planos de contingência existentes são localizados e
restritos ao CTSP e CTRJ, resultando na determinação 8.3.4. No âmbito do INSS não há qualquer atividade nesse sentido.
A auditoria interna da Dataprev detectou tal situação, apontando, em seu relatório 006/99, de 01/09/99, citado no item 11.1.2.1/1212, que ‘os procedimentos contingenciais encontrados não são suficientes para garantir a continuidade dos serviços essenciais para a Previdência Social’.
A Empresa apresentou, na reunião realizada em 13/06/2001 com esta Equipe de Auditoria, o Plano Integrado de Contingência e Continuidade de Serviços da Dataprev, a ser submetido ao CTINF para aprovação.
Devemos atentar para que o PDTI contemple tais medidas e que o Plano sugerido pela Dataprev seja estendido à toda a Previdência, devendo este Tribunal acompanhar sua implementação.
11.1.4 Controles de acesso – 140011.1.4.1 Classificação dos recursos de informação1401 – não existem políticas e procedimentos documentados para a classificação dos recursos de informação
pelos critérios de importância e vulnerabilidade dos dados.1402 – os proprietários dos recursos não estão cientes dos critérios de classificação estabelecidos e não efetuaram
a classificação dos principais recursos sob sua responsabilidade.1403 – a classificação dos recursos não foi baseada em avaliações de risco, documentada e aprovada pela alta
administração e pelos proprietários dos recursos.
Verificado o descumprimento da Norma ISO/IEC 17799 nº 5.2, que trata de classificação da informação.Desde a edição da Portaria MPAS nº 4.494, de 15 de junho de 1998, determinou-se, de forma equivocada a nosso
ver, nos termos de seu artigo 3o:
‘Os Sistemas Informatizados deverão ser classificados pelos Gestores de Sistemas em função do nível de exigência quanto à:
I – proteção de dados e informações contra o uso não autorizado;II – classificação de informações para restrição de acesso, obedecendo, em função da confidencialidade, aos
critérios de confidencial, privada e pública;III – preservação de registros das operações realizadas, com prazo de retenção definido, contemplando a
identificação do usuário, local, data e horário de acesso.’A Portaria MPAS nº 862, de 23 de março de 2001, que revogou a anterior, mantém o mesmo tipo de
classificação, mas obriga que tal ação seja efetuada pelos gestores em até 20 dias após a publicação daquela Portaria. O prazo final seria em 16/04/2001, mas até o final desses trabalhos não haviam sido tomadas tais medidas.
Não obstante, de acordo com as normas internacionais citadas e adotadas pelas entidades em análise, a classificação deve sempre ser efetuada com base em informações, utilizando-se um processo que determine sua importância, sua prioridade e seu nível de proteção. Quando não se dispõe de um método que estabeleça as normas para se classificar a informação, não é uma Portaria que determinará seu correto tratamento e o alcance do objetivo, qual seja, o de garantir que os ativos da informação recebam um nível adequado de proteção. Salientamos, além disso, que a classificação não deve ser efetuada com referência a ‘sistemas’, e sim, a ‘informações’.
A nosso ver, a Portaria citada deve sofrer uma avaliação para se adequar aos ditames das normas internacionais e das boas práticas de segurança de informação, estabelecendo-se políticas e procedimentos para classificação, rotulação e tratamento da informação.
11.1.4.2 Lista de autorização e níveis de acesso1413 – não há documento formal, aprovado pelo proprietário do recurso computacional, que justifique a
necessidade do usuário (e a devida autorização) para acessar recursos computacionais específicos;1415 – são ineficientes os procedimentos utilizados para:c) adicionar indivíduos à lista de pessoas autorizadas a ter acesso aos recursos computacionais;d) alterar seus níveis de acesso;e) retirá-los desta lista;
1416 – não há procedimentos escritos que definam os tipos de acessos emergenciais ou temporários que serão aceitos pela organização e de que forma serão efetuados;
1417 – a rotina de autorização de acesso on-line não permite a limitação de funções (visualização, adição, alteração e deleção de dados) e/ou não restringe o acesso do usuário apenas aos dados ou transações necessários;
1418 – a gerência de segurança não revisa, valida ou questiona, periodicamente, junto ao proprietário do recurso, os níveis de acesso providos aos usuários;
11.1.4.3 Controles lógicos sobre software de segurança1454 – não existem, ou não são seguidos na prática, procedimentos que definam os recursos computacionais
(arquivos de dados, programas aplicativos, sistema operacional e comandos) que poderão ser acessados e os tipos de transações que poderão ser executadas por cada usuário autorizado;
As falhas apontadas pelos itens 11.1.4.2 e 11.1.4.3 serão analisadas em conjunto.Por se tratar de assunto altamente sensível, merecendo destaque em todos os produtos e normas existentes no
mercado, a equipe, como já citado, ofereceu especial atenção ao controle de acesso aos sistemas da Previdência, em particular aos sistemas residentes em grande porte. Assim, passamos a relatar os procedimentos realizados, os problemas levantados, as conclusões e sugestões já postas em termo.
Em primeiro lugar, efetuamos a averiguação quanto ao cumprimento das determinações da Decisão 1.049/2000-Plenário, fruto da auditoria de 1999, quais sejam as referentes aos itens de nos. 8.2.1, 8.3.6.b, 8.3.6.c. As respostas, conforme visto no item 10.2, foram no sentido de cumprimento integral das determinações.
Constatamos, porém, que nenhuma das medidas foi integralmente implementada:a) os ditames da Portaria MPAS 4.494/1998, substituídos pela Portaria MPAS 862/2001, nunca foram
cumpridos;b) o processo de conformidade de operadores proposto, semelhante ao do SIAFI, não foi implementado;c) dos Produtos do Projeto DAP-12, apenas os que dizem respeito à parametrização da ferramenta SAFE
SECURE estão sendo seguidos.O passo que se seguiu foi uma análise profunda no modelo de concessão de acesso ao ambiente UNISYS,
utilizado pela Empresa. Procedemos um pedido de extração de dados, conforme itens 1, 2, 3 e 5, do ofício nº 030200/2001-1/003, de 25/04/2001, da equipe de auditoria, destinado à Dataprev, fl. 18. Tal solicitação foi atendida nos temos do ofício CE/CGAU.P nº 004/01, de 18/05/2001, fl. 18 do Volume 1.
Como resultado dessa análise, exaramos o ofício nº 030200/2001-1/005, fls. 20 a 22, com alguns questionamentos sobre o controle de acesso, o qual nos foi respondido pelo memorando DIAR.O nº 065/2001, de 23/05/2001, fls. 117 a 158 do Volume 1, que nos levaram às conclusões a seguir explanadas.
A implementação dos sistemas de controle de acesso ao ambiente UNISYS da Dataprev se baseia, conforme já detalhado no relatório de auditoria de 1999, em dois produtos: o GCA e o SCA, apresentados a seguir.
O GCA administra a geração de usercodes, accesscodes e passwords, utilizando as ferramentas oferecidas pela UNISYS (Makeuser e Safe). De sua análise, verificamos que:
a) o sistema não possui nenhum tipo de registro de operações efetuadas (exceto aquele exigido pelo sistema operacional – SUMLOG), sendo que a recuperação de dados históricos é demorada, cara e incompleta;
b) não é efetuada nenhuma consulta às bases de dados de recursos humanos (possibilitando registro de qualquer código de acesso, pertencente a qualquer pessoa);
c) existência de accesscodes com nomes fora de padrões, não permitindo a identificação de seu detentor. A Dataprev está efetuando consulta à empresa fornecedora do software (UNISYS) para averiguar as causas para tais ocorrências;
O SCA gerencia a concessão de perfis de usuários, delegando autorizações para execução de funções sob seu controle. Após análise constatamos que:
a) o sistema não executa nenhuma consulta à base de dados do GCA, permitindo que usuários que não tenham acesso ao ambiente de grande porte possam ser detentores de autorização de execução de funções. Essa sistemática é necessária, segundo técnicos da empresa, tendo em vista a utilização de simulação de funções on-line (exigindo código de acesso com permissão), para rotinas batch de concessão de benefícios;
b) as bases de dados utilizadas nos 3 servidores de grande porte (hosts, ambientes CV1, CV2 e MV2) são completamente distintas, inclusive o cadastro para consultas de servidores existentes;
c) até 1998, não era utilizada nenhuma sistemática de verificação de existência de funcionário em cadastro, nem impedimento de existência de mais de um código de acesso por usuário ou usuários detentores do mesmo código de acesso. Qualquer consulta a logs de sistemas, que mostrem operações realizadas em datas anteriores a esta, não podem ser consideradas como corretas, em primeira análise;
d) existência de alguns usuários cadastrados após 1998 que não estão em nenhum cadastro de servidores. A Dataprev pediu um prazo de 20 dias para averiguações mais detalhadas.
No entendimento dessa equipe de auditoria, em concordância com a equipe da Dataprev, o modelo de controle de acesso ao ambiente Unisys da Empresa necessita de urgentes modificações. Tais alterações foram discutidas com a supervisão de segurança e a equipe de auditoria da Dataprev, chegando-se ao consenso de se propor alterações profundas, que vão ao encontro, inclusive, do cumprimento da Portaria MPAS nº 862, já citada:
a) unificação dos sistemas de controle de acesso em todas as plataformas computacionais utilizadas pela Previdência (Unisys, Oracle, Unix, Windows, Netware, Pick);
b) implantação de cadastro de servidores (MPAS, INSS, Dataprev e externos) único, mantido pelas áreas de recursos humanos e controlado pelo gestor de controle de acesso do INSS;
c) unificação das ferramentas de concessão de acesso e de autorização em um só sistema;d) obrigatoriedade de utilização do cadastro de servidores nas concessões de acesso, não somente para concessão
de autorização;e) impedimento de concessão de autorização sem a devida existência de permissão para acesso;f) automatização de procedimento de cancelamento de acessos e autorizações, no caso de mudança de situação
do servidor;g) impedimento de exibição na tela de transações ou funções às quais o usuário não tenha autorização;h) implementação da rotina de conformidade de operadores, nos moldes do SIAFI, conforme já determinado por
este Tribunal;i) manutenção de logs de concessão de acesso e de autorização, permitindo consultas rápidas;j) alteração daquela Portaria ou a sua complementação, no sentido de que se inclua a obrigatoriedade de
cumprimento dos itens acima descritos.Tais observações não foram contempladas pelos estudos do PDTI. Algumas dessas medidas são de rápida
implementação, outras necessitam de transformações profundas, demandando um estudo mais demorado. Devemos propor que a Dataprev elabore um planejamento que contenha todas as medidas citadas, descrevendo formas de efetuá-las e previsão de prazos e custos para implementação.
11.1.4.4 Controles lógicos e físicos – medidas preventivas1442 – procedimentos que assegurem que a senha não será apresentada na tela do computador ou terminal
durante o processo de iniciação do sistema são insuficientes;
Foi constatado que a senha do usuário, quando acontece erro no procedimento de troca de senha, é gravada sem criptografia no arquivo SUMLOG. Apesar de não ser a senha correta do usuário, é possível que se descubra, observando o padrão que o mesmo utiliza para sua senha.
A Dataprev se comprometeu a alterar a geração do arquivo de registro para que não mais seja mostrada a senha digitado pelo usuário, mesmo que errada.
11.1.4.5 Controles lógicos e físicos – medidas corretivas1476 – violações de segurança e atividades suspeitas, tais como tentativas frustradas de entrada no sistema, não
são relatadas para a gerência e investigadas.1478 – os gerentes de segurança não investigam as violações de segurança e não relatam os resultados para a
administração superior.1480 – as políticas de controle de acesso não são modificadas quando violações de segurança são detectadas.
11.1.4.6 Uso supervisionado1517 – os registros de acesso ao software de sistema e aos seus utilitários não são periodicamente examinados
pela gerência de informática, e atividades suspeitas ou não usuais não são investigadas.1518 – não são efetuadas revisões gerenciais para determinar se as técnicas de supervisão do uso do software de
sistema estão funcionando como previsto e mantendo os riscos dentro de níveis aceitáveis (avaliações periódicas do risco).
Verificado o descumprimento da Norma ISO/IEC 17799, itens:a) 6.3.1 – notificação dos incidentes de segurança;
b) 6.3.2 – notificando falhas na segurança;c) 6.3.5 – processo disciplinar.Os gestores dos sistemas teriam a obrigação de determinar quais os procedimentos deveriam ser relatados e quais
as atitudes deveriam ser tomadas em caso de alguma violação de sistemas. Além disso, como já citado, não são utilizados os relatórios do Produto 9 do Projeto DAP-12, que permitiriam a averiguação de violações. Como também, não existe um processo formal de averiguação de responsabilidades por violações ocorridas,
Devemos atentar para que a proposta de solução da KPMG contemple tal situação e que as soluções sejam implementadas.
11.2. Controles de Aplicativos – 200011.2.1 – Análise do planejamento, desenvolvimento e implementação dos novos projetosa) ARRECADAÇÃO – Novo Projeto
Equipe constituída por servidores do INSS e funcionários da Dataprev reuniu-se no período de 22 a 26 de novembro de 1999 para elaborar o Anteprojeto de Modernização do Sistema de Arrecadação do INSS, cujo objetivo principal seria reformular substancialmente a gestão da arrecadação da Previdência Social, com ênfase na simplificação dos procedimentos, no controle da receita, redução dos custos operacionais e na interação com o contribuinte.
Com base nesse trabalho, o Ministério da Previdência e Assistência Social realizou licitação (Concorrência Pública Internacional n° 341/00, edital de 31.08.2000) para contratação de empresa que desenvolvesse o Novo Modelo de Gestão da Arrecadação. O consórcio vencedor deveria realizar dois trabalhos distintos: um de consultoria que propusesse uma nova forma de trabalho e organização da área de Arrecadação da Previdência Social, com base em estudo preliminar feito pelo INSS, e um outro que seria o desenvolvimento de um sistema informatizado que oferecesse suporte a essa nova organização. Ressalte-se que o processo em questão tinha por objetivo a obtenção dos resultados previstos no Projeto BRA/00/016 – Projeto de Apoio à Modernização do Setor Previdenciário Brasileiro (PROPREV), assinado entre o MPAS, o PNUD e a Agência Brasileira da Cooperação (ABC). Cabe destacar, ainda, que os recursos necessários para a contratação decorrente seriam provenientes do Governo Brasileiro, que firmaria acordo de empréstimo com o Banco Interamericano de Desenvolvimento – BID.
Participaram da licitação três consórcios, que tiveram percepções diferentes dos trabalhos a serem realizados. Um deles entendeu que o nível de mudanças nos processos de trabalho existentes não seria significante, sendo o ponto principal a modernização tecnológica dos sistemas atuais. Outro, entendeu que as mudanças nos processos de trabalho poderiam ser tão profundas que estaríamos construindo uma organização completamente diferente da atual e que os sistemas seriam parte menor do problema. O terceiro, compreendeu a situação como um meio termo das visões dos demais concorrentes. O entendimento diferente do objeto da licitação por parte dos licitantes levou à apresentação de propostas com valores completamente díspares.
Após a análise da documentação apresentada pelas licitantes, foram considerados habilitados os seguintes consórcios: Integris/Delloite/TBA, Oracle/Price Waterhouse Coopers e UNITE. Procedida a avaliação das propostas técnicas, de acordo com os critérios de técnica e preço, o Comitê de Avaliação recomendou a adjudicação do consórcio ORACLE/PwC, que obteve a maior pontuação. Impende ressaltar que o valor da proposta comercial do consórcio vencedor foi de R$ 16.742.500,00, enquanto que o segundo colocado (UNITE) apresentou uma proposta no valor de R$ 7.988.678,00.
Não obstante todo o anteriormente explanado, o processo licitatório em questão encontra-se paralisado, sem qualquer justificativa por parte do MPAS. No nosso entendimento, a descontinuidade, injustificada, no desenvolvimento do projeto é falha grave.
b) COMPREV – Projeto de Compensação Previdenciária
Quanto às informações relativas à implementação do Sistema COMPREV, a Dataprev esclareceu que encontram-se em funcionamento os seguintes módulos:
a) RGPS ORIGEM – permite a operacionalização da compensação encaminhada pelos Regimes Próprios de Previdência ao RGPS;
b) Sistema de Levantamento de Candidatos do RGPS – regime instituidor para futura cobrança junto aos Regimes Próprios de Previdência;
c) Módulo de Digitalização de Documentos – permite o tratamento das imagens relativas aos documentos exigidos por lei para que se possa processar as compensações previdenciárias;
d) Módulo de Transmissão de requerimentos através de Arquivo magnético – permite aos entes federativos que possuem cadastro completo enviar requerimentos sem a necessidade de digitar individualmente cada caso, formando lotes de requerimentos e facilitando sua recepção pelo COMPREV.
Ademais, encontram-se, segundo informações da Dataprev, em fase de desenvolvimento os módulos a seguir arrolados:
a) Revisão e atualização de Compensações Previdenciárias;b) Ajuste de Compensação Previdenciária;c) Consultas Gerenciais;d) Transmissão de imagens por CD-ROM.
c) RETPREF – Sistema de Retenção de FPE
No concernente ao sistema em tela, a Diretoria de Negócios e Arrecadação da Dataprev encaminhou a documentação referente ao início dos levantamentos efetuados para elaboração de um novo Sistema RETPREF, ressaltando que não houve continuidade dos trabalhos.
Forçoso é convir, pois, que tal fato vem corroborar uma descontinuidade crônica no desenvolvimento dos projetos da Previdência Social.
d) REFIS – Programa de Recuperação Fiscal
O Programa de Recuperação Fiscal – REFIS foi lançado pela Medida Provisória n° 1.923/99, convertida na Lei n° 9.964/00, tendo como objetivo promover a regularização de débitos fiscais e previdenciários da pessoa jurídica com a Receita Federal e o INSS. Foi encaminhada pela Dataprev documentação que traça um histórico do andamento do programa desde o exercício de 2000. Segundo informações obtidas, 34,6 % dos créditos previdenciários encontram-se vinculados ao REFIS, sendo que 36,3 % de créditos que não estavam em parcelamento passaram ao REFIS, ou seja, tiveram suas dívidas confessadas, fato que demonstra a importância do programa.
e) SIRH – Sistema de Recursos Humanos
O sistema sob enfoque tinha como objetivo apoiar a gestão dos recursos humanos do INSS, tendo sido construído originalmente para funcionar nas antigas Superintendências Executivas do INSS. Segundo informações prestadas pelo Gerente do Departamento de Negócios e Serviços Corporativos da Dataprev, com a reforma organizacional do INSS o sistema foi adaptado para funcionar nas Gerências Executivas do INSS e disponibilizado para uso das mesmas. Devido, porém, à sua plataforma tecnológica ultrapassada, que não permite evoluir o sistema com facilidade, a Dataprev apresentou, em janeiro de 1999, uma proposta técnico-comercial para o desenvolvimento de uma nova aplicação, com prazo previsto de doze meses para construção e implantação. Essa proposta foi rejeitada pelo INSS, que considerou os prazos apresentados excessivos frente às suas necessidades emergenciais, decidindo por buscar alternativas prontas no mercado.
Diante dos fatos arrolados, constatamos, mais uma vez, a descontinuidade crônica na execução de projetos da Previdência Social.
f) PDIPS – Projeto de Disseminação de Informações da Previdência Social
Tinha como objetivo construir dois projetos pilotos de disseminação de informações da Previdência Social com o fulcro de conhecer, apresentar ao INSS e avaliar novas ferramentas de tratamento e disseminação de informações. Em que pese as empresas IBM, UNISYS, ORACLE e Dataprev terem construído os pilotos e elaborado os relatórios demonstrativos, o projeto foi paralisado. Atualmente, os relatórios encontram-se na Secretaria Executiva do MPAS.
Novamente podemos ver caracterizada a falta de planejamento na execução de projetos da Previdência Social, gerando sua descontinuidade.
g) Substituição de NB por NIT
A Dataprev informou, quanto ao Projeto de Recadastramento (PROPREV) que a sua primeira atividade será a realização de um batimento com o Cadastro Nacional de Informações Sociais – CNIS, envolvendo todos os benefícios existentes no Sistema Único de Benefícios – SUB, com o objetivo maior de atribuir NIT para o titular, representante legal e segurado instituidor, atualizando ainda outros documentos que porventura ainda existam no CNIS e estejam sem informação no SUB. Após a conclusão deste batimento, teria início o processo de recadastramento pelo INSS, tratando, numa primeira etapa, os benefícios ativos e suspensos, ficando os cessados para uma segunda fase.
h) Codificação das Unidades do INSS
Com relação à codificação das Unidades Organizacionais do INSS, a Gerência do Departamento de Negócios e Tratamento de Informação da Dataprev informou que, na realidade, não houve um projeto oficial para esta ação, sendo, no entanto, as atividades relativas à implantação da nova codificação realizadas e concluídas com êxito em novembro de 2000.
11.2.2 – Evolução, problemas enfrentados e novas implementações dos Sistemas desde a auditoria efetuada por este Tribunal no exercício de 1999
a) PIAF/GIRAFA/SICAD/SICOB/DIVIDA – Arrecadação
Quanto aos sistemas sob enfoque, o Secretário-Executivo do MPAS, Sr José Cechin, informou que no desenvolvimento dos sistemas ‘SICAD e SICOB’ foram despendidos recursos da ordem de R$12 milhões de reais, de acordo com estimativa apresentada ao CTINF, acrescentando que, após três anos de desenvolvimento, os sistemas não estão funcionando de acordo com as necessidades operacionais da Autarquia. Prossegue o Secretário afirmando que durante boa parte desse tempo o INSS manteve junto à Dataprev equipes de servidores custeados pelo Instituto com a tarefa de assessorar, acompanhar o desenvolvimento e homologar os projetos, e ainda assim não foram detectados os problemas que ocorriam.
Diante de tais fatos, o Sr José Cechin, em novembro de 1999, determinou à Presidência do INSS que apurasse responsabilidades ocorridas com o desenvolvimento dos sistemas informatizados identificados como SICAD/SICOB/DÍVIDA. O feito foi instaurado, em 23.04.2001, e encaminhado à Corregedoria do INSS para abertura imediata dos procedimentos administrativos disciplinares pertinentes.
Foi efetuada Auditoria Especial para levantamento de informações do projeto DAP-01, pela Dataprev, concluindo-se pela ocorrência de várias falhas na sistemática de planejamento e acompanhamento de projetos, conforme documento às fls. 39 a 41 do Volume 1. Não foi possível, também, estabelecer o total despendido com o projeto, mas, somente para a consultoria contratada, foram direcionados R$ 2.373.779,62. Não houve controle do
Comitê de Gestão de Projetos e da Gerência de Coordenação de Planejamento e Avaliação. E, ainda, o treinamento de multiplicadores do sistema não foi acompanhado pela Dataprev.
Segundo informações fornecidas pelo INSS, o processo administrativo já se encontra em andamento na Auditoria Geral daquele órgão, Processo nº 35000.004221/00-41, conforme documentos às fls. 30 a 32 do Volume 1.
Ante o breve resumo aqui oferecido, constata-se, mais uma vez, a falta de planejamento na execução de projetos da Previdência Social. Enviaremos os documentos recebidos para acompanhamento da 4ª Secretaria de Controle Externo, onde tramita o processo TC 013.403/2000-1, que trata deste assunto.
b) SUB/PRISMA – Sistema Único de Benefício
Com relação ao PRISMA/SUB, o Gerente do Departamento de Negócios e Benefícios da Dataprev informou que, conforme acordado com a Diretoria de Benefícios do INSS, todas as novas aplicações estão sendo desenvolvidas na Plataforma Oracle e centralizadas no Sistema Único de Benefícios – SUB, acrescentando que no PRISMA/SUB somente estão sendo realizadas manutenções corretivas e alterações de legislação. A Dataprev alega, ainda, que no tocante às implementações disponibilizadas por meio da Versão 6.3 dos aplicativos PRISMA/SUB, datada de fevereiro de 2000, as dificuldades encontradas estão atreladas ao fato de o sistema ser complexo e muito amplo, envolvendo uma grande estrutura de programas.
c) GFIP – Guia de Recolhimento do FGTS e de Informações à Previdência Social
A Guia de Recolhimento do FGTS e de Informações à Previdência Social – GFIP é o instrumento que o Governo Federal instituiu para montar um cadastro eficiente de vínculos e remunerações dos segurados da Previdência Social, nos termos da Lei n° 9.528/97 e normativos posteriores.
Quanto ao sistema em comento, a Diretoria de Arrecadação do INSS limitou-se a encaminhar ofício no qual autoriza a utilização do sistema da Dataprev no batimento dos valores declarados na GFIP com aqueles efetivamente recolhidos ou levantados, disponibilizando essa informação por meio do sistema AGUIA. Esse batimento, em suma, é o encontro de contas entre o valor devido, apurado de acordo com as informações da GFIP, e os valores de créditos já levantados, de deduções, de compensações e de recolhimentos efetuados em GRPS e/ou em GPS.
d) SISOBI – Sistema Informatizado de Controle de Óbito
O SISOBI é administrado pela Previdência Social, que mantém banco de dados atualizado com mais de 2,5 milhões de óbitos registrados desde 1994, com base nas informações geradas pelos Serviços de Registro Civil das Pessoas Naturais (Cartórios de Registro Civil). Foi criado em 1993 com o objetivo de agilizar procedimentos de cessação de benefícios previdenciários e a suspensão de pagamentos indevidos, cujos óbitos tenham sido comunicados pelos Cartórios.
A nova formatação do SISOBI foi definida pela Portaria Interministerial MPAS n° 847, de 19 de março de 2001, tendo sido desenvolvido um aplicativo que será distribuído em CD ROM para todas os sete mil cartórios cadastrados. Ademais, segundo o MPAS, a partir de maio de 2001 as informações de óbitos prestadas pelos Serviços de Registro Civil podem também ser entregues via Internet.
e) SCF – Sistema de Controle Financeiro
O SCF tem por finalidade efetuar o batimento físico-financeiro dos valores e dados arrecadados e pagos, repassados ao INSS pelos bancos. A divisão de Negócios e Controle Financeiro da Dataprev informou terem sido implementados no SCF, desde outubro de 1999, os seguintes itens:
a) alterações em virtude de alteração contratual com a FEBRABAN;
b) inclusão de tratamento para quitações por meio de débito em conta corrente;c) alterações nos módulos de provisão dos bancos;d) novas funcionalidades nos módulos de acompanhamento diário da arrecadação;e) novas funcionalidades nos módulos de acompanhamento de benefício;f) inclusão dos novos tipos de serviços LOAS e EPU;g) alteração da periodicidade do arquivo para batimento físico financeiro.
f) Central de Concessões
Por ocasião da auditoria de 1999, a equipe conheceu tal projeto, que resolveria alguns problemas nas concessões de benefícios da Previdência Social, principalmente, quanto à eliminação de represamento de solicitações não atendidas e a inibição de irregularidades.
Conforme consta de documento da própria entidade, fls. 77 a 89 do Volume 1, tratou-se de um esforço comum, entre INSS e Dataprev, para criar um modelo padrão de concessão de benefícios. Foi desenvolvido um projeto específico para sua criação, utilizando-se técnicas modernas e, até então, inexistentes nos sistemas da Previdência, como: processamento de benefícios em fases, digitalização de documentos e identificação positiva. O documento continua exaltando os resultados obtidos pelo novo processo.
Estranhamente, evidenciamos que, por decisão do CTINF, as centrais de concessão foram desativadas, apesar de protesto do então Presidente do INSS, conforme consta da Ata de reunião do Comitê, à fl. 23 do Volume 3.
Em resposta ao questionamento feito pela equipe, indagando o motivo da finalização do produtivo processo, o Coordenador-Geral de Benefícios, Carlos José do Carmo, em memorando DIRBEN nº 178/2001, fl. 90 do Volume 1, nos responde que ‘as centrais de concessão nada mais eram do que grupos de trabalho para solução momentânea do represamento de benefícios, apesar de algumas contarem com codificação própria e contratação de servidores terceirizados’. Justifica, ainda, que a nova estrutura do INSS, implantada a partir de 1999, dificultava a criação de uma central a ser administrada por duas ou mais agências. E que ‘o atendimento integrado, proposto pelo PMA (Programa de Melhoria de Atendimento) dava às agências a obrigação de resolver todos os problemas do segurado, sem encaminhá-lo para outro lugar, o que também inviabilizaria a central de concessão’.
As duas justificativas se mostram inadequadas. A primeira, porque já existiam centrais de concessão que atendiam a vários postos (equivalente às agências da nova estrutura) e, a segunda, porque as centrais de concessão não exigem deslocamentos dos beneficiários, tratando-se de um procedimento interno.
A nosso ver, essa desativação das centrais se caracteriza, mais uma vez, em uma ingerência no tocante aos projetos em tecnologia da informação existentes na Previdência Social. Foram despendidos recursos com equipamentos, desenvolvimento de sistemas, contratação e treinamento de pessoal e o projeto, sem justificativa plausível, foi descontinuado.
11.2.3 CNIS
O Cadastro Nacional de Informações Sociais – CNIS, ocupa um grande destaque no universo de tecnologia de informação da Previdência Social, sendo esse um dos motivos de incursões mais detalhadas por parte dessa equipe de auditoria. Os atuais dados do Sistema são atualizados a partir de dados fornecidos por um consórcio, que abrange fontes de dados de RAIS, CAGED, FGTS, GFIP, CI, CEI, CGC, PIS e PASEP. A falha ou inadimplência na alimentação dessas informações pode penalizar injustamente um trabalhador.
O Sistema ocupa cerca de 40% da capacidade de processamento da Dataprev (incluindo-se equipamentos, memória, tempo de processamento e pessoal). Além disso, tem-se como objetivo sua transformação em base de informações para processamento de benefícios. Hoje, está inserido como subsídio na fase de habilitação/concessão em vários processos: PRISMA (on-line), concessão de benefícios (batch), SABI (benefícios por incapacidade on-line), Salário-maternidade (web), CAT (acidente de trabalho – web), COMPREV (batch/on-line). Além disso, está em
andamento o projeto de Administração da Vida Laborativa do Trabalhador no CNIS, que irá automatizar a concessão de benefícios, isentando o trabalhador de fornecer as informações necessárias ao cumprimento dos requisitos para obtenção de um benefício previdenciário, ou seja, a inversão do ônus da prova. Para tal, um projeto de lei está em tramitação no Congresso Nacional, com expectativa de aprovação para este semestre.
A Dataprev informou, fls. 171 a 173 do Volume 1, que estão sendo construídos aplicativos que permitam a confirmação e o ajuste das informações por parte dos trabalhadores. Havendo divergências, serão preservadas as informações oriundas das fontes, acrescentando-se dados da Previdência Social. Quanto à situação da disponibilização destes aplicativos de acerto, a entidade menciona: Cadastro de Contribuinte Individual (construído e homologado), Vínculos e Remunerações (em homologação), Cadastro de Trabalhadores e Recolhimento do Contribuinte Individual (ambos em construção).
Por meio do Projeto BRA/99/008, fls. 55 a 98 do Volume 5, foi contratada a consultoria da empresa Boucinhas & Campos, para Avaliação da Qualidade dos Dados do CNIS. Os detalhes do Projeto podem ser obtidos nas folhas citadas, mas pode ser assim resumido:
a)definição dos campos mais importantes dentro da base (só com relação a vínculos e remunerações foram escolhidos cerca de 200 campos);
b)determinação de consistências necessárias e elaboração de programas para sua verificação;c)extração de amostras de dados e aplicação dos programas sobre esse universo;d)elaboração de relatórios conclusivos sobre percentual de confiabilidade de dados.
Como resultado da Avaliação, serão gerados:
a)relatório sobre qualidade de dados e necessidades de correções;b)base de dados de programas utilizados nas pesquisas;c)batimento de dados de vínculos entre CNIS e SUB;d)incorporação de inteligência na concessão de benefícios, utilizando-se as críticas que se mostrarem necessárias
para melhoria da qualidade;e)estratégia para retificação de informações que se mostrarem divergentes (com o SUB ou com documentos
apresentados por trabalhadores).O prazo final, previsto em contrato de maio/2001, foi prorrogado para agosto/2001.
Devemos salientar que os dados do CNIS não serão, inicialmente, corrigidos. Será efetuada, sim, uma complementação do Sistema de Benefícios, indicando quais são as informações originais do Sistema e quais foram as novas inserções, quando houver divergências.
A nosso ver, dada à larga utilização que se pretende dos dados do CNIS, o TCU deve acompanhar todo o processo de Avaliação, bem como as ações preventivas e corretivas adotadas a partir de então.
11.2.4 AEB
A Atualização Especial de Benefício é uma transação do Sistema Único de Benefícios, designada no ambiente de mainframe como SUB/ONL. Foi criada para alteração, eventual e emergencial, de dados de benefícios que exigiam ação imediata, como ações judiciais, concessão a ex-combatentes e estatutários e provimento a recursos.
A transação possui algumas características muito peculiares, que nos levaram a dar maior importância ao levantamento de sua utilização:
a)altera informações diretamente na base de dados de benefícios, sem qualquer crítica posterior;b)não é utilizada pelas agências, que são responsáveis pela manutenção de benefícios – autorização para uso
deveria ser restrita a servidores das Gerências Executivas;c)não existe um processo de reversão ou cancelamento das alterações efetuadas;
d)pode alterar, em processo on-line, várias informações de benefícios existentes, desde agência pagadora até valor de benefício;
e)não está interligada com nenhum outro sistema, não permitindo verificação automática da exatidão das informações.
Trata-se, então, de uma transação que, além de ser uma ferramenta com poder enorme em relação a valores de benefícios a serem pagos, foge completamente do processo padrão de manutenção e atualização dos mesmos.
Após análise das extrações de dados dos logs e entrevistas com os responsáveis pela área de benefícios do INSS, constatamos alguns agravantes à utilização da AEB:
a)não há conferência da validade da identificação dos responsáveis pelas informações digitadas (emissor e conferente informados podem assumir qualquer valor);
b)as informações sobre o processo judicial não são conferidas, podendo ser, inclusive, fictícias;c)a informação de digitador, que identifica o responsável pela utilização da transação, é gravada com erro no log,
dificultando ou impossibilitando a sua identificação;d)foram efetuadas inclusões de transações AEB por processamento de lotes de transações, fugindo ainda mais do
processamento normal dos sistemas;e)a Coordenação de Benefícios do INSS não efetua acompanhamento devido da utilização da transação,
desconhecendo, inclusive, o erro na identificação do digitador;f)não foi efetuado nenhum tipo de trabalho de auditoria em sua base de dados ou nos benefícios alterados pela
transação.Enviamos, nos termos do ofício nº 030200/2001-1/005, fls. 20 a 22, alguns questionamentos sobre a utilização da
transação, o qual nos foi respondido pela Dataprev pelo ofício DEBF.N 064/2001, fls. 115 e 116 do Volume 1. Realizamos, ainda, uma reunião com o Departamento de Negócios Benefícios daquela Empresa, corroborando as impressões por nós levantadas.
Constatamos, assim, a completa falta de controle na utilização de uma ferramenta extremamente poderosa e sensível. A nosso ver não persiste a necessidade de existência da transação, pois hoje existem outras alternativas para pagamentos emergenciais. No caso de manutenção da transação, deveria haver uma completa reformulação em seu funcionamento e controle, incluindo-se consultas às bases de dados existentes, para confirmação dos dados inseridos. Esta opinião é compartilhada pelos técnicos da Dataprev.
A Empresa enviou cópia do memorando DNG nº 060/2001, fls. 211 e 212 do Volume 1, que trata de seus acertos com o INSS para a solução das falhas encontradas e auditoria da base de dados da transação.
11.2.5 Falhas quanto ao andamento de projetos11.2.5.1 Planejamento e Metodologias – 31003101 – a organização não possui uma estratégia de desenvolvimento de sistemas de informação e não elaborou
um plano operacional consistente com essa estratégia, estabelecendo a prioridade dos sistemas a serem desenvolvidos de acordo com sua importância para o cumprimento da missão institucional.
11.2.5.2 Plano de desenvolvimento e estudo de viabilidade – 32003209 – não existem, ou não são satisfatórios, relatórios de análise de riscos e de custos da implantação de novos
sistemas ou da modificação em sistemas já existentes;
A Previdência Social não elabora plano formal de desenvolvimento e de atualização de seus sistemas, o que ocasiona os vários problemas citados.
O Comitê de TI destinava-se a promover maior integração e, apesar de ter apresentado algum progresso, não existe processo ou fórum, de acordo com os quais, os planos para as três entidades possam ser discutidos e integrados, as questões resolvidas e as etapas realizadas, para assegurar que as exigências do negócio de Previdência Social, como um todo, estejam sendo consideradas. Em suma não foi observado uma efetiva ação executiva da Coordenação-Geral
do Comitê, que seria responsável por essas funções, limitando-o a um órgão político-decisório, conforme discutido na falha 1217, item 11.1.2.2.
O resultado mais alarmante é a descontinuidade de projetos. Vários projetos importantes e tidos como solução para vários problemas da Previdência foram descontinuados, abortados ou não finalizados. Podemos citar alguns:
a)SICAD/SICOB/DIVIDA: com abertura processo administrativo, para apreciação de responsabilidades – (item 10.2 – o);
b)DAP-12: política de segurança não implementada – (itens 10.2 – h, i, k e 10.3 – b)c)Centrais de Concessão: desativadas – (item 11.2.2 – f);d)MCP/MIP: falta disseminação e treinamento – (item 10.1 – d)e)PDIPS: sem avaliação do trabalho – (item 11.2.1 – f);f)Radar: cancelado – (item 10.2 – m);g)Documentação de sistemas (DAP-35 e DAP-37): cancelados – (item 10.2 – l);h)Apuração nas bases de dados de benefício: esperando PDTI – (item 10.1 – g).Outrossim, podemos citar outro problema relacionado à falta de planejamento na execução de projetos, qual seja,
a exacerbação de valores orçamentários e de prazos de conclusão de projetos. A maioria das correções e novos desenvolvimentos ultrapassam os prazos e valores inicialmente cotados.
O aprimoramento da função executiva do CTINF foi objeto de discussão em suas reuniões ordinárias de 12/2000 e 02/2001, fls. 69 a 72 e fls. 77 a 80 do Volume 3. Ainda, segundo o gerente do projeto PDTI, existe a previsão de se incluir no seu plano de implementação a proposta de criação dessa função.
Devemos acompanhar as medidas sugeridas pelo PDTI e sua implementação.
12. ANÁLISE DA ADEQUAÇÃO DOS SISTEMAS AOS PADRÕES INTERNACIONAIS
12.1 ORANGE BOOK (fls. 66 a 191 do Volume 4)
Este documento, cujo nome original é Trusted Computer System Evaluation Criteria TCSEC (Critério Para Avaliação de Sistemas Computadorizados Confiáveis), foi produzido pelo Departamento de Defesa Norte-Americano – DoD, se propondo a:
a) estabelecer um padrão para desenvolvedores de soluções em tecnologia da informação;b) prover o DoD de um instrumento para medir o grau de confiabilidade de sistemas que processam informações
sensíveis;c) disponibilizar uma base para especificação de requerimentos de segurança de sistemas.Nesse sentido estabelece alguns requerimentos essenciais, que passamos a analisar e a comparar com a situação
encontrada nos dados da Previdência Social, destacando os itens do relatório que discutiram tais requisitos e a avaliação da equipe.
a) política de segurança:falhas – 11.1.1.1, 11.1.2.1, 11.1.2.3;avaliação – não cumprido;b) classificação das informações:falhas – 11.1.4.1, 11.1.2.5;avaliação – não cumprido;c) identificação de usuários:falhas – 11.1.4.3, 11.1.4.4;avaliação – insuficiente;d) possibilidade de auditoria nas informações de segurança:falhas – 11.1.4.3, 11.1.4.5;
avaliação – insuficiente;e) independência do sistema de segurança:falhas – não avaliado;avaliação – não avaliado;f) proteção contínua:falhas – 11.1.3.1;avaliação – insuficiente;g) documentação:falhas – 11.1.4.2;avaliação – não cumprido;O próximo passo proposto pelo critério é a classificação dos sistemas, segundo uma escala de adequação a cada
um dos requisitos. São propostos quatro níveis: Proteção Verificada (A), Proteção Obrigatória (B), Proteção Discreta (C) e Proteção Mínima (D). Dentro desses níveis existem sub-níveis e a lógica de classificação segue uma definição básica: um sistema para ser classificado em um determinado nível deve atender a todas as exigências e requisitos do nível. Além disso, as exigências e requisitos são cumulativos, ou seja, o nível C compreende o nível D mais algumas exigências, o nível B compreende o nível C e o nível A compreende o nível B. Esta regra também vale para os sub-níveis. O quadro abaixo resume os diversos níveis e subísseis:
Níveis Sub-níveis DescriçãoA Proteção VerificadaB Proteção Obrigatória
B3 Domínios SegurosB2 Proteção EstruturadaB1 Proteção de Segurança Rotulada
C Proteção DiscretaC2 Proteção de Acesso ControladoC1 Proteção de Segurança Discreta
D Proteção Mínima
Por todos os pontos levantados, os sistemas que processam os dados da Previdência Social devem ser classificados no mais baixo nível, pois alguns itens, como a documentação das informações que são classificadas, considerados essenciais até para o nível C1, não existem. E, conforme preceitua o padrão, qualquer ponto não cumprido classifica o sistema na classe imediatamente anterior. Nesse caso: classe D – Proteção Mínima. A classe desejável para os sistemas da Previdência Social seria, no mínimo, B2 – Proteção Estruturada.
12.2 ISO/IEC 17799:2000
O padrão ISO/IEC 17799:2000, que está sendo traduzido e adotado como Norma pela ABNT, se propõe a ser mais rigoroso que o Orange Book. A diferença fundamental é que não contempla classificação por níveis de aceitação. Qualquer descumprimento de algum item impede a concessão do certificado.
Nem todos os aspectos foram analisados, assim, citaremos os itens descumpridos, conforme já detalhado nos pontos específicos do relatório:
Itens da Norma Área3.1.13.1.2
Política de Segurança da Informação
4.1.14.1.24.1.34.1.7
Segurança Organizacional
5.2 Classificação das Informações6.1.36.1.4
Segurança nos recursos e na definição de trabalho
6.3.16.3.26.3.5
Respondendo aos incidentes de segurança
11.1.3 Aspectos da gestão da continuidade dos negócios
Avaliamos, assim, que os sistemas da Previdência Social não se coadunam com os princípios da Norma ISO/IEC 17799/2000.
13.CONCLUSÃOConforme o objetivo inicial da auditoria, qual seja, a verificação do grau de confiabilidade dos dados da
Previdência Social, devemos classificar a estrutura do órgão em um padrão baixo e insuficiente, comparando-se com os padrões existentes no mercado. Há várias falhas na condução da sistemática de tecnologia da informação da Previdência que deixam suas informações vulneráveis a ataques de origens diversas. Haja visto a avaliação efetuada nos sistemas de segurança com base no Orange Book (TCSEC) e na Norma ISO/IEC 17799:2000, conforme visto no item 12.2, que se mostrou completamente destoante do patamar desejado.
Ainda a respeito dos objetivos iniciais, podemos responder a alguns questionamentos efetuados na matriz de planejamento, fls. 216 a 220 do Volume 1:
a)as questões levantadas pelo TCU em auditorias anteriores foram tratadas em parte, conforme item 10.4;b)a Dataprev vem efetuando auditorias em sistemas informatizados, alcançando bons resultados, conforme item
9.1;c)existem trabalhos de auditoria e levantamento de situação, conforme item 9.3;d)há inoperância da auditoria do INSS na área de sistemas, conforme item 9.2;e)o desenvolvimento de sistemas novos e antigos é comprometido pela existência de uma estrutura
organizacional deficiente, conforme item 11.2.5;f)os sistemas de controle de acesso não se mostram adequados aos requisitos de segurança;g)as funções de uso restrito (AEB) não são devidamente controladas.
Os pontos levantados oferecem uma visão preocupante, mostrando problemas em três níveis de gestão:
Estrutural
a)inexistência de ação efetiva da gestão de segurança (falha 1217 – item 11.1.2.2);b)falta de organização de estruturas funcionais responsáveis por funções intermediárias de gestão de segurança
na Dataprev (falha 1242 – item 11.1.2.4);c)falta de função de controle da segurança na Previdência Social – auditoria (falhas 1201, 1202, 1203, 1204 –
item 11.1.2.5);
Funcional
d)inexistência de plano diretor de tecnologia da informação (falha 1101 – item 11.1.1.1);e)inexistência de programa geral de segurança (falha 1212 – item 11.1.2.1);f)falta de procedimentos padronizados de controle e supervisão de segurança (falhas 1476, 1478, 1480, 1517,
1518 – itens 11.1.4.5 e 11.1.4.6);g)inadequação do Plano de Contingência (falha 1362 – item 11.1.3.1);h)falta de sistemática de acompanhamento de transações sensíveis ou críticas (item 11.2.4);
Operacionais
i)não-classificação dos recursos de informação (falhas 1401, 1402, 1403 – item 11.1.4.1);
j)ineficiência dos sistemas de controle de acesso (falhas 1413, 1415, 1416, 1417, 1418, 1454 – itens 11.1.4.2 e 11.1.4.3);
k)gravação incorreta de logs (falha 1442 – item 11.1.4.4 e alínea ‘c’ do item 11.2.4);l)desobediência aos normativos e metodologia de planejamento e condução de projetos (falhas 3101, 3209 – itens
11.2.5.1 e 11.2.5.2).
Os problemas gerados para a área de tecnologia da informação podem ser assim resumidos:
a)deficiência no planejamento, gestão e controle de ações;b)falta de padronização na condução de projetos;c)dificuldades em ações de controle;d)descontinuidade de projetos;e)descumprimento de previsões orçamentárias;f)dificuldades em identificação e responsabilização de fraudadores;g)possibilidade de acessos indevidos, com abertura do sistema a fraudes e ações evasivas;h)possibilidade de perda de informações e gastos desnecessários (descontinuidade de negócio);i)proteção indevida a informações, devido a sua falta de classificação.
Algumas atitudes já vêm sendo tomadas pelos órgãos, como:
a)elaboração do PDTI;b)avaliação de dados do CNIS;c)formação da Força Tarefa para apuração de crimes contra a Previdência;d)apuração das bases de benefício;e)publicação de normativos na área de segurança (Dataprev);f)auditorias em sistemas informatizados (Dataprev);g)elaboração de Plano de Contingência (Dataprev).
Todas as ações a serem implementadas merecem atenção especial deste Tribunal, principalmente quanto à implementação das ações propostas pelo PDTI. Além disso, devemos efetuar ações no sentido de verificar a ocorrência de fraudes nas bases de benefício e arrecadação, tendo em vistas as fragilidades detectadas.
14.PROPOSTA DE ENCAMINHAMENTO
Diante do exposto, submetemos os autos à consideração superior, propondo a juntada do presente relatório de fiscalização às contas do Instituto Nacional do Seguro Social – INSS relativas ao exercício de 2001, para análise em conjunto e em confronto, nos termos do art. 43, inciso I, da Lei nº 8.443/92 c/c o art. 194, inciso II e § 1º, do Regimento Interno/TCU, sem prejuízo de se determinar aos responsáveis pelas entidades a adoção das seguintes medidas:
1)que o Comitê de Tecnologia e Informação do INSS (CTINF) envie ao Tribunal:a)no prazo de 10 dias, a contar da aprovação do documento:a.1) cópias de suas atas de reuniões;a.2) relatórios da KPMG, referentes ao PDTI;a.3) relatórios do projeto de avaliação dos dados do CNIS;b)relatórios bimestrais para o acompanhamento de desenvolvimento de projetos, contendo informações sobre
valores orçados e pagos, fases concluídas, justificativas para eventuais interrupções, ações previstas e data de término;
2)que a Dataprev elabore e envie ao Tribunal, no prazo de 30 dias após esta Decisão, proposta de alteração dos sistemas de controle de acesso contendo as ações a serem tomadas, os prazo de conclusão de cada atividade e o custo das alterações, contemplando:
a)unificação dos sistemas de controle de acesso em todas as plataformas computacionais utilizadas pela Previdência (Unisys, Oracle, Unix, Windows, Netware, Pick);
b)implantação de cadastro de servidores (MPAS, INSS, Dataprev, externos) único, mantido pelas áreas de recursos humanos e controlado pelo gestor de controle de acesso do INSS;
c)unificação das ferramentas de concessão de acesso e de autorização em um só sistema;d)obrigatoriedade de utilização do cadastro de servidores nas concessões de acesso, não somente para concessão
de autorização;e)impedimento de concessão de autorização sem a devida existência de permissão para acesso;f)automatização de procedimento de cancelamento de acessos e autorizações, no caso de mudança de situação do
servidor;g)impedimento de exibição na tela de transações ou funções às quais o usuário não tenha autorização;h)implementação da rotina de conformidade de operadores, nos moldes da existente no Sistema SIAFI, conforme
já determinado por este Tribunal;i)manutenção de logs de concessão de acesso e de autorização, permitindo consultas rápidas;
3)que o CTINF coordene a elaboração de metodologia para classificação das informações, nos termos do item 5.2 da Norma ISO/IEC 17799:2000 e promova estudo para alteração ou complementação da Portaria MPAS nº 862, de 23 de março de 2001, contemplando os subitens ‘a’ a ‘i’ do item 2 anterior;
4)que o INSS envie os resultados do trabalho de melhoria do controle e das funcionalidades da transação AEB (SUB/ONL), desativando-a em caso de impossibilidade de correção, no prazo de 60 dias, a contar da Decisão;
5)que a Secretaria Adjunta de Fiscalização realize Acompanhamento, por meio do Projeto de Auditoria da Tecnologia da Informação, a partir do 1º semestre de 2002, objetivando avaliar o desenvolvimento dos sistemas da Previdência Social e a implantação das ações previstas no Plano Diretor de Tecnologia da Informação da Previdência Social;
6)que seja incluída no Plano de Auditorias do 2º semestre de 2002, a realização de Auditoria da Tecnologia da Informação, sob coordenação da Secretaria Adjunta de Fiscalização, objetivando avaliar a ocorrência de fraudes nas bases de dados de benefício e arrecadação da Previdência Social;
7)que o inteiro teor deste documento, bem como, a Decisão proferida sejam enviados, para as devidas providências e acompanhamento da implementação das soluções ao Ministro da Previdência e Assistência Social, ao Presidente do Comitê de Tecnologia e Informação do INSS, ao Diretor-Presidente do INSS, ao Presidente da Dataprev e à Coordenação da Força-Tarefa, constituída para apuração de fraudes contra a Previdência Social;
8)que as informações levantadas por esta equipe de auditoria referentes aos problemas no desenvolvimento dos Sistemas SICAD/SICOB/DIVIDA sejam remetidas à 4ª SECEX para subsidiar a instrução do processo TC 013.403/2001-1.”
O Ministério Público apresentou Parecer da lavra do Ilustre Procurador-Geral, Dr. Lucas Rocha Furtado que, ao concordar com a conclusão produzida no trabalho de auditoria, teceu comentários que serviram de reforço às proposições lançadas pela Equipe Técnica do TCU, a saber:
a) destaque para a constante descontinuidade dos projetos da Previdência, com conseqüente perdas de investimentos, fruto da ausência de um planejamento estratégico formalizado num Plano Diretor de Tecnologia da Informação;
b) sugestão de que, no prosseguimento dos trabalhos, a Equipe de Auditoria verifique junto às entidades auditadas a viabilidade de participação de representantes dos beneficiários no Comitê de Tecnologia da Informação, de forma que as decisões do colegiado possam agregar as contribuições e avaliações dos cidadãos que efetivamente utilizam os serviços prestados;
c) a importância de que esta Corte de Contas continue investindo na área de auditoria de tecnologia da informação, tendo em vista a crescente informatização de todas as atividades da Administração Pública e o aumento das possibilidades de desvio de recursos públicos por meio das fraudes e crimes eletrônicos, que exigem dos auditores conhecimento cada vez mais especializado.
É o Relatório.
V O T O
Inicialmente quero registrar a competência e o zelo da Secretaria Adjunta de Fiscalização – Adfis, quando da realização do presente trabalho de auditoria junto à Dataprev, cumprimentando em especial toda a Equipe de Auditoria, que executou este trabalho, tendo contado, também, com as prestimosas participações de Analistas da 4ª Secex e Secretaria de Controle Externo do Rio de Janeiro.
No trabalho de fiscalização desenvolvido por esta Corte registrou-se o baixo padrão de confiabilidade dos dados da Previdência Social, tendo em vista os parâmetros usualmente aceitos pelo mercado, causando maior preocupação a vulnerabilidade dos sistemas de informação a ataques de diversas origens.
Como prova do que afirmou a Equipe de Auditoria deste Tribunal, as avaliações efetuadas nos sistemas de segurança com base em critérios internacionalmente aceitos mostrou-se totalmente aquém dos resultados almejados.
De se destacar, então, os pontos que merecem uma atenção especial por parte dos gestores da Dataprev e do INSS, que resumidamente transcrevo:
a) inoperância da auditoria do INSS na área de sistemas;b) existência de uma estrutura organizacional deficiente, que compromete o desenvolvimento de sistemas novos
e antigos;c) os sistemas de controle de acesso não se mostraram adequados aos requisitos de segurança; ed) falta de controle adequado das funções de uso restrito.Restou clara, portanto, a existência de falhas extremamente preocupantes do ponto de vista estrutural, funcional e
operacional dentro da organização, que merecem uma atenção especial desta Corte de Contas, como também, e principalmente, das autoridades gestoras da Previdência Social.
De outra parte, vale destacar, como levantado pela Equipe do TCU, o esforço da Dataprev no que tange à realização de auditorias em sistemas informatizados, que alcançaram bons resultados, conforme avaliação da mesma Equipe, com execução de auditorias, levantamentos de situação e propostas de soluções de longo prazo.
No que concerne aos levantamentos de situação, importa informar acerca da contratação de empresa de consultoria para o desenvolvimento de um Plano Diretor da Tecnologia da Informação – PDTI, cujo objetivo maior é a de dotar o sistema público de previdência de um instrumento com diretrizes claras, projetos e investimentos na área da Tecnologia da Informação.
De se salientar, também, que muitas das conclusões e recomendações verificadas nos Relatórios do Projeto relativo ao PDTI da Previdência se coadunam com o escopo da Auditoria ora em análise, já tendo sido, inclusive, objeto de determinações desta Corte em outras oportunidades, a realização desse tipo de trabalho estratégico.
Importa que se dê ênfase, ainda, à necessidade de que esta Corte acompanhe, por intermédio da Adfis e no âmbito do Projeto de Auditoria da Tecnologia da Informação, o desenvolvimento junto à Previdência Social das ações que têm sido levadas a efeito por essa importante área de governo, com a finalidade de avaliar o desenvolvimento dos sistemas na área de Tecnologia da Informação e a implantação das ações previstas no Planto Diretor de Tecnologia da Informação da Previdência Social.
Por fim, louvo a observação feita pelo Ilustre Procurador-Geral do Ministério Público junto a esta Corte, Dr. Lucas Rocha Furtado, no sentido de que o Tribunal de Contas deve continuar investindo na área de auditoria de tecnologia da informação, tendo em vista a crescente informatização de todas as atividades da Administração Pública e o aumento das possibilidades de desvio de recursos públicos por meio das fraudes e crimes eletrônicos, que exigem dos auditores conhecimento cada vez mais especializado.
Permito-me ir além da proposta do Nobre Representante do Parquet especializado, vislumbrando a imprescindível parceria desta Corte, por intermédio de convênios, com especialistas da área de tecnologia da informação junto ao Departamento de Polícia Federal, Ministério Público Federal e Banco Central do Brasil.
Em face do exposto, Voto por que o Tribunal adote a Decisão que ora submeto à deliberação deste Plenário.
T.C.U., Sala das Sessões, em 28 de agosto de 2002.
ADYLSON MOTTAMinistro-Relator
DECISÃO Nº 1098/2002 TCU – Plenário
l.Processo TC 003.501/2001-72.Classe de Assunto: V – Relatório de Auditoria3.Responsáveis: Francisco Fernando Fontana e Ramon Eduardo Barros Barreto.4.Entidade: Instituto Nacional do Seguro Social – INSS e Empresa de Processamento de Dados da Previdência
Social – Dataprev5.Relator: Ministro Adylson Motta6.Representante do Ministério Público: Dr. Lucas Rocha Furtado.7.Unidade Técnica: Adfis8.Decisão: O Tribunal Pleno, diante das razões expostas pelo Relator, DECIDE:8.1. determinar ao Comitê de Tecnologia e Informação do INSS (CTINF) que envie ao Tribunal de Contas da
União:8.1.1 no prazo de 10 (dez) dias a contar da aprovação do respectivo documento de:8.1.1.1 cópias de suas atas de reuniões;8.1.1.2 relatórios da KPMG, referentes ao PDTI; e8.1.1.3 relatórios do projeto de avaliação dos dados do CNIS;8.1.2 relatórios bimestrais para o acompanhamento de desenvolvimento de projetos, contendo informações sobre
valores orçados e pagos, fases concluídas, justificativas para eventuais interrupções, ações previstas e data de término;8.2 determinar à Dataprev que elabore e envie ao Tribunal de Contas da União, no prazo de 30 dias após esta
Decisão, proposta de alteração dos sistemas de controle de acesso contendo as ações a serem tomadas, os prazo de conclusão de cada atividade e o custo das alterações, contemplando, ainda:
8.2.1 unificação dos sistemas de controle de acesso em todas as plataformas computacionais utilizadas pela Previdência (Unisys, Oracle, Unix, Windows, Netware, e Pick);
8.2.2 implantação de cadastro único de servidores (MPAS, INSS, Dataprev, externos), mantido pelas áreas de recursos humanos e controlado pelo gestor de controle de acesso do INSS;
8.2.3 unificação das ferramentas de concessão de acesso e de autorização em um só sistema;
8.2.4 obrigatoriedade de utilização do cadastro de servidores nas concessões de acesso, não somente para concessão de autorização;
8.2.5 impedimento de concessão de autorização sem a devida existência de permissão para acesso;8.2.6 automatização de procedimento de cancelamento de acessos e autorizações, no caso de mudança de
situação do servidor;8.2.7 impedimento de exibição na tela de transações ou funções às quais o usuário não tenha autorização;8.2.8 implementação da rotina de conformidade de operadores, nos moldes da existente no Sistema SIAFI,
conforme já determinado por este Tribunal;8.2.9 manutenção de logs de concessão de acesso e de autorização, permitindo consultas rápidas;8.3 determinar ao Comitê de Tecnologia e Informação do INSS (CTINF) que coordene a elaboração de
metodologia para classificação das informações, nos termos do item 5.2 da Norma ISO/IEC 17799:2000 e promova estudo para alteração ou complementação da Portaria MPAS nº. 862, de 23 de março de 2001, contemplando os subitens “a” a “i” do item 8.2 acima;
8.4 determinar ao INSS que envie os resultados do trabalho de melhoria do controle e das funcionalidades da transação AEB (SUB/ONL), desativando-a em caso de impossibilidade de correção, no prazo de 60 dias, a contar desta Decisão;
8.5 determinar à Secretaria Adjunta de Fiscalização – Adfis que realize Acompanhamento, por meio do Projeto de Auditoria da Tecnologia da Informação, ainda no 2º semestre de 2002, objetivando avaliar o desenvolvimento dos sistemas da Previdência Social e a implantação das ações previstas no Plano Diretor de Tecnologia da Informação da Previdência Social;
8.6 determinar à Secretaria-Geral de Controle Externo – Segecex – que inclua no Plano de Auditorias do 1º semestre de 2003, a realização de Auditoria da Tecnologia da Informação, sob coordenação da Secretaria Adjunta de Fiscalização, objetivando avaliar a ocorrência de fraudes nas bases de dados de benefício e arrecadação da Previdência Social;
8.7 enviar cópia desta Decisão, bem assim do Relatório e Voto que a fundamentam para as providências cabíveis e acompanhamento da implementação das soluções ao Exmo Sr. Ministro de Estado da Previdência e Assistência Social, ao Sr. Presidente do Comitê de Tecnologia e Informação do INSS, ao Sr. Diretor-Presidente do INSS, ao Sr. Presidente da Dataprev e à Coordenação da Força-Tarefa constituída para apuração de fraudes contra a Previdência Social;
8.8 determinar o envio das informações levantadas pela Equipe de Auditoria que atuou nos presentes autos, referentes aos problemas no desenvolvimento dos Sistemas SICAD/SICOB/DIVIDA, à 4ª SECEX para subsidiar a instrução do processo TC 013.403/2001-1.
09.Ata nº 31/2002 – Plenário
10.Data da Sessão: 28/08/2002 – Ordinária11.Especificação de quorum:11.1. Ministros presentes: Valmir Campelo (na Presidência), Marcos Vinicios Vilaça, Adylson Motta (Relator),
Walton Alencar Rodrigues, Guilherme Palmeira, Ubiratan Aguiar, Benjamin Zymler e o Ministro-Substituto Augusto Sherman Cavalcanti.
11.2. Auditor presente: Marcos Bemquerer Costa.
VALMIR CAMPELOna Presidência
ADYLSON MOTTAMinistro-Relator
I - RELATÓRIO
