RESOLUÇÃO CGE Nº 13, 15 DE ABRIL DE 2021.
Altera a
Resolução CGE nº 01/2021, que dispõe sobre a atividade de Auditoria Contínua no âmbito da Auditoria-Geral e constitui comissão permanente para sua implementação, execução, disseminação e institucionalização.
O CONTROLADOR-GERAL DO ESTADO, no uso de sua atribuição prevista no inciso III, § 1º, do art. 93 da Constituição do Estado; no art. 49 da Lei nº 23.304, de 30 de maio de 2019; bem como no Decreto nº 47.774, de 03 de dezembro de 2019;
RESOLVE:
Art. 1º - Fica acrescentado ao art. 1º da
Resolução CGE Nº 1, de 06 de janeiro de 2021, o § 3°, passando o art. 1º a vigorar com a redação que se segue:
“Art. 1º - (...)
§ 3º - A Auditoria Contínua se dará em rede, composta pela Comissão de Auditoria Contínua e as unidades de auditoria da Controladoria Setorial da Secretaria de Estado de Infraestrutura e Mobilidade, da Secretaria de Estado de Desenvolvimento Econômico, da Secretaria de Estado de Planejamento e Gestão, da Secretaria de Estado de Governo e da Secretaria de Estado de Fazenda.”.
Art. 2º - A Resolução CGE Nº 1, de 2021, fica acrescida do art. 4º-A:
“Art. 4º-A - Para solicitação, recebimento e utilização de dados e base de dados obtidos no âmbito dos órgãos e entidades do Poder Executivo Estadual, o auditor que compõe a rede de Auditoria Contínua deverá adotar o modelo de Solicitação estabelecido no Anexo I desta Resolução e assinar o termo de responsabilidade e de compromisso de manutenção de sigilo, conforme modelos constantes dos Anexos II e III desta Resolução.
§ 1º - O auditor que compõe a rede de Auditoria Contínua, na forma do caput, compromete-se a utilizar os dados disponibilizados, exclusivamente, para as necessidades do trabalho de Auditoria Contínua, ficando estabelecida a obrigatoriedade da guarda do sigilo das informações e vedada qualquer outra forma de utilização ou cessão a terceiros, exceto se houver autorização expressa do órgão fornecedor da base de dados para cessão a terceiros, e a plena observância às disposições da Lei Geral de Proteção de Dados, Lei Nº 13.709 de 14 de agosto de 2018, com o objetivo de garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles.
§ 2º - A Comissão de Auditoria Contínua manterá controle das solicitações de acesso a dados/banco de dados, dos termos de responsabilidade e dos termos de compromissos a que se refere o caput, bem como ficha técnica sobre a base de dados, conforme modelo do Anexo IV desta Resolução.”.
Art. 3º - A Resolução CGE Nº 1, de 2021, passa a vigorar com os Anexos I, II, III e IV constantes nesta Resolução.
Art. 4º - Esta resolução entra em vigor a partir da data de sua publicação.
Belo Horizonte, 15 de abril de 2021.
Rodrigo Fontenelle de Araújo Miranda
Controlador-Geral do Estado
ANEXO I
MODELO DE SOLICITAÇÃO DA BASE DE DADOS
A [especificar a Unidade de Auditoria e órgão], em trabalho conjunto com a Comissão de Auditoria Contínua, instituída pela Resolução CGE n. 01/2021, está realizando testes de auditoria utilizando bases de dados informatizadas, mediante ferramentas de extração, análise e mineração de dados, com o objetivo estratégico de:
.otimizar o uso das informações governamentais para realização de auditorias internas;
.acelerar o reporte em apoio à tomada de decisões mais rápidas e à melhoria da gestão;
.detectar exceções em tempo real, para permitir respostas em tempo real;
.reduzir e minimizar os custos contínuos de conformidade;
.substituir controles manuais de prevenção por controles automatizados de detecção;
.estabelecer um ambiente de controle mais automatizado e com base em riscos;
.otimizar o tempo (reduzir o ciclo de auditoria) e os recursos de auditoria interna;
.aumentar a qualidade das entregas de auditoria interna;
.aumentar a cobertura da auditoria interna;
.aumentar o valor gerado pelas funções de auditoria interna; e
.otimizar os trabalhos em rede interna e externa ao Poder Executivo Estadual.
Assim sendo, e considerando [a materialidade do Programa/Projeto/Atividade/Operação Especial ou outra perspectiva que justifique a relevância da ação] , solicitamos a disponibilização do(s) banco de dado(s) [especificar] para análise desta [especificar Unidade de Auditoria e órgão].
Para tanto, os auditores [especificar nome completo e masp, e-mail e telefone de contato] entrarão em contato com o senhor ou com quem for designado, para conhecerem o(s) sistema(s) e indicarem os dados que serão coletados. Será muito útil se os dados forem disponibilizados até [especificar data-limite].
No caso de deferimento desta solicitação, solicitamos:
a. documentações sobre o [especificar o sistema/banco de dados] como: manual do usuário, especificações de regras de negócio, diagramas de modelo de dados e dicionário de dados;
b. que os artefatos sejam encaminhados à medida que forem providenciados pelas áreas responsáveis. Em caso de indisponibilidade ou inexistência de alguma informação, pedimos comunicar formalmente à equipe de auditoria acima especificada, por meio dos e-mails, bem como pelos telefones;
c. ampla divulgação desta ação às áreas afins da instituição, informando os telefones supracitados para quaisquer informações ou esclarecimentos sobre o trabalho, de forma a tornar transparente a atuação desta [especificar a unidade de auditoria e órgão];
d. informação sobre a classificação do grau de restrição de acesso às informações do banco de dados do [especificar o sistema/banco de dados], consoante a Lei de Acesso à Informação (Lei 12.527/2011), caso contrário será tratada como pública pela [especificar a unidade de auditoria e órgão], como:
d.1. grau de confidencialidade (público, reservado, secreto, ultrassecreto, pessoal ou sigiloso);
d.2. grupo de pessoas que pode acessar a informação;
d.3. assunto sobre o qual versa a informação;
d.4. justificativa e fundamento legal da classificação;
d.5. data de término da restrição de acesso ou evento que defina o termo final alternativo, se for o caso;
d.6. responsável pela classificação;
d.7. possibilidade de compartilhar a base com [especificar, se for o caso, a Comissão de Auditoria Contínua - Resolução CGE nº 01/2021; e ou, por exemplo, com o Tribunal de Contas do Estado, que fará o trabalho em conjunto com esta Unidade de Auditoria].
e. Indicação de melhor meio de importação da base de dados.
Contando com a atenção e colaboração de V.Sª., agradecemos e colocamo-nos à disposição para eventuais esclarecimentos que se fizerem necessários.
Atenciosamente,
Assinatura do responsável pela Unidade de Auditoria/Órgão
ANEXO II
TERMO DE RESPONSABILIDADE
Termo de Responsabilidade pela utilização de dados identificados do [especificar o sistema/banco de dados]
A [especificar a unidade de auditoria responsável e Órgão], com sede estabelecida na [endereço completo], doravante chamado(a) de SIGNATÁRIO(A), neste ato representada por [especificar o nome completo do chefe da unidade administrativa de auditoria], [nacionalidade], inscrito(a) no RG nº [especificar] expedido pela [especificar], e CPF nº [especificar], firma o presente TERMO DE RESPONSABILIDADE, que disciplina a utilização [dos dados ou da base de dados do sistema/banco de dados] mediante as cláusulas e condições descritas a seguir.
CLÁUSULA PRIMEIRA
DO OBJETO
O presente termo estabelece as regras que regulam a utilização dos dados identificados do [especificar o sistema/banco de dados], pelo(a) SIGNATÁRIO(A), sem prejuízo dos parâmetros legais vigentes.
CLÁUSULA SEGUNDA
DAS OBRIGAÇÕES DO(A) SIGNATÁRIO(A)
O(A) SIGNATÁRIO(A) compromete-se, por meio do presente Termo, a utilizar os dados identificados do [especificar o sistema/banco de dados] exclusivamente para a identificação e [especificar], bem como para sua gestão, e a guardar sigilo sobre o conteúdo solicitado.
O(A) SIGNATÁRIO(A) poderá permitir o acesso aos dados disponibilizados, mediante assinatura de Termo de Compromisso de Manutenção de Sigilo, somente aos servidores e técnicos assim identificados:
[especificar o nome completo, MASP, RG e CPF dos servidores que terão acesso aos dados/banco de dados].
O(A) SIGNATÁRIO(A) compromete-se a não disponibilizar e/ou ceder os dados a terceiros que não sejam legalmente responsáveis pela implementação e operacionalização do [especificar o Programa/Ação ou Projeto Atividade vinculado aos dados/ banco de dados], exceto quando houver a autorização expressa do órgão fornecedor do sistema/base de dados.
CLAÚSULA TERCEIRA
DAS PENALIDADES
O(A) SIGNATÁRIO(A), responderá administrativamente, civil e criminalmente pela utilização dos dados [especificar o sistema/banco de dados] para fins diversos do previsto na Cláusula Segunda deste Termo, e por quaisquer danos causados pela divulgação inadequada de informações contidas no [especificar o sistema/banco de dados].
Belo Horizonte, [dia] de [mês] de [ano].
Assinatura/CPF
ANEXO III
TERMO DE COMPROMISSO DE MANUTENÇÃO DE SIGILO
Eu, [nome completo], [cargo], [MASP.], lotado(a) na [especificar a Unidade Administrativa e Órgão/Entidade], inscrita sob nº CPF [especificar], declaro estar ciente da habilitação que me foi conferida para manuseio de dados identificados do [especificar o sistema/banco de dados].
No tocante às atribuições a mim conferidas, no âmbito do Termo de Responsabilidade assinado pelo [especificar o nome completo do chefe da unidade administrativa de auditoria], em [especificar a data de assinatura do termo de responsabilidade], comprometo-me a:
a) manusear as bases de dados identificados do [especificar o sistema/banco de dados] apenas por necessidade de serviço, ou em caso de determinação expressa, desde que legal, de superior hierárquico;
b) manter a absoluta cautela quando da exibição de dados em tela, impressora, ou, ainda, na gravação em meios eletrônicos, a fim de evitar que deles venham a tomar ciência pessoas não autorizadas;
c) não me ausentar do computador ou terminal sem encerrar a sessão de uso das bases, garantindo assim a impossibilidade de acesso indevido por pessoas não autorizadas;
d) manter sigilo dos dados ou informações sigilosas obtidas por força de minhas atribuições, abstendo-me de revelá-los ou divulgá-los, sob pena de incorrer nas sanções administrativas, civis e penais decorrentes de eventual divulgação; e,
e) observar às disposições da Lei Geral de Proteção de Dados, Lei Nº 13.709, de 14 de agosto de 2018.
Belo Horizonte, [dia] de [mês] de [ano].
Assinatura/CPF
ANEXO IV
INFORMAÇÕES ESTÁTICAS DE BASE DE DADOS
Nome da base na origem:
Sugestão de nome da base a ser criada:
Descrição da base:
Nome da(s) tabela(s):
Órgão de origem:
Contato no órgão de origem:
Nível de acesso*:
Classificação das informações de acordo com a LAI:
Periodicidade prevista de recebimento (eventual, mensal, anual etc.):
Forma de recebimento (FTP, QWARE, CD, disco virtual etc.):
Tipo do banco/arquivo (Oracle, MySQL etc.):
Versão do banco:
Tipo de importação realizada (se Oracle):
Se há modelo/dicionário de dados:
Forma de obtenção da base - instrumento (convênio, acordo de cooperação, contrato, requisição etc.): Se convênio, acordo de cooperação, contrato, informar número, órgão/entidade e prazo de expiração:
Justificativa da necessidade da carga da base (auditoria, levantamento, etc,.):