Título: Auditoria aponta riscos de fraude em software do Dnit
Autor: Borges, André
Fonte: Valor Econômico, 31/10/2011, Brasil, p. A6

O principal programa de computação do Departamento Nacional de Infraestrutura de Transportes (Dnit), usado para gerenciar R$ 25 bilhões em contratos de obras em andamento pelo país, é um software contaminado por uma infinidade de falhas e riscos banais de tecnologia, situação que coloca em xeque a segurança das informações e abre as portas da autarquia para todo tipo de fraude.

A precariedade tecnológica do Sistema de Acompanhamentos de Contratos (Siac), como é conhecido o software do Dnit, consta de relatório que acaba de ser concluído por auditores do Tribunal de Contas da União (TCU). Os problemas encontrados durante a varredura incluem erros básicos, como a ausência absoluta de regras de perfil de usuário para acessar e realizar transações no software, que, segundo o departamento, é vital para o seu funcionamento.

Os auditores encontraram indícios de que 52 funcionários desligados da autarquia ainda estavam com seus perfis ativos no sistema, com liberdade para realizar uma série de operações. A falha também ocorre com empregados terceirizados, que já não prestam mais serviços à autarquia.

Há situações como a da servidora Isa de Oliveira Lima, aposentada desde fevereiro de 2010. O acesso dela ao sistema permaneceu ativo, mesmo após cinco meses do fim do vínculo funcional. Os privilégios de acesso mantidos para a ex-funcionária incluíam as principais operações do sistema, como inclusão e alteração de contratos e termos aditivos, lançamento de medições e aprovação de pagamentos, entre outras funções.

Não foram encontrados apenas riscos de fraude. Os auditores do TCU registraram que foram realizadas operações por usuários já dispensados pelo departamento. Houve lançamento, aprovação de medições e de pagamentos, realizados por um usuário que já não trabalhava mais para o órgão.

O problema com o acesso de usuários ao sistema não está limitado a um pequeno grupo. As verificações apontaram erros de segregação de funções em 453 perfis de um total de 1.163 usuários ativos, o que significa que 39% das pessoas têm acesso indevido. Entre esses perfis inadequados estão situações críticas, como a de 137 usuários que, embora não devessem, podem aprovar processos de pagamento. Algumas dessas operações podem ser feitas até por pessoas de fora.

A investigação aponta que 18 funcionários, que não trabalham em "unidades pagadoras" do Dnit, têm total permissão para aprovar pagamentos. Entre os casos citados pela auditoria, está o do servidor André Luis Ramos. Ele é funcionário do Serviço Federal de Processamento de Dados (Serpro), não fica dentro do Dnit, mas tem autorização para liberar processos de pagamento.

O pente-fino do TCU constatou que houve emissão ou alteração de 744 ofícios eletrônicos por usuários que não trabalham nas unidades pagadoras dos respectivos contratos. O volume equivale a 5,5% de um total de 13,2 mil registros checados.

"O sistema apresenta graves problemas relacionados à segurança da informação e à desconformidade na implementação de importantes regras de negócio e falhas decorrentes da baixa maturidade de governança de TI (tecnologia da informação)", diz o ministro do TCU Aroldo Cedraz, relator da auditoria.

As falhas digitais do Dnit também incluem problemas com a tabela de preços que a autarquia utiliza para pagar pelos serviços contratados. Os valores dessa tabela - que são atualizados mensalmente com base em dados da Fundação Getulio Vargas (FGV) - balizam o cálculo de reajuste de cada item contratado. O TCU realizou um total de 1.428 comparações entre os dados da FGV e aqueles aplicados ao sistema do Dnit e encontrou três registros com valores divergentes.

Em um desses casos, o valor cadastrado pela autarquia é 5,51% superior ao calculado pela FGV. Apesar de haver apenas três índices divergentes, os auditores chamam a atenção para o fato de que cada um deles é usado para reajuste de qualquer contrato fechado pelo Dnit, ou seja, o erro em um único índice pode causar um belo estrago aos cofres públicos.

A banalidade no processo de cadastramento de itens do sistema de contratos do Dnit expõe problemas grosseiros, como o registro de itens de serviço com nomes atribuídos aleatoriamente, como ";;;" ou "AAAAAAA", conforme levantamento feito pelos auditores do TCU.

A averiguação das tabelas revelou serviços cadastrados em multiplicidade. No total, encontraram-se 1.073 itens de serviço com múltiplos registros nas bases de dados analisadas, totalizando 2.536 registros. Esse volume representa cerca de 10% do total de 25.165 itens de serviço cadastrados no sistema.

O TCU formulou uma lista com dezenas de recomendações e determinações para que o departamento elimine as falhas eletrônicas. Em 180 dias, o órgão voltará à autarquia para monitorar o cumprimento das orientações. A varredura do TCU se baseou em dados extraídos do Dnit entre junho de 2009 e maio de 2010. O Sistema de Acompanhamentos de Contratos, que teve a implantação concluída em junho de 2009, foi desenvolvido pelo Serpro, que também responde pela manutenção do programa.