PORTARIA MCID Nº 719, DE 12 DE DEZEMBRO DE 2018.

* Ministério das Cidades - Sistema Nacional de Informações Sobre Saneamento - Serviços de Abastecimento de Água e Esgotamento Sanitário - Metodologia para Auditoria e Certificação de Informações *

Institui metodologia para auditoria e certificação de informações do Sistema Nacional de Informações sobre Saneamento (SNIS), relacionada aos serviços de abastecimento de água e esgotamento sanitário.

O Ministro de Estado das Cidades, no uso de suas atribuições legais, e

Considerando que compete ao Ministério das Cidades, por intermédio da Secretaria Nacional de Saneamento Ambiental, administrar o SNIS e que este será sucedido pelo Sistema Nacional de Informações em Saneamento Básico (SINISA), instituído pelo art. 53 da Lei nº 11.445, de 2007;

Considerando o objetivo do SNIS de coletar e sistematizar dados relativos às condições da prestação dos serviços públicos de saneamento básico;

Considerando a relevância do SNIS para o fortalecimento da sistematização e da publicidade das informações de interesse do setor de saneamento básico;

Considerando a necessidade de aumentar a confiabilidade das informações declaradas pelos prestadores de serviços de abastecimento de água potável e esgotamento sanitário ao SNIS;

Considerando a necessidade de padronizar a metodologia a ser observada pelas entidades reguladoras dos serviços de abastecimento de água e esgotamento sanitário para a auditoria e certificação das informações do SNIS, revolve:

CAPÍTULO I

DAS DISPOSIÇÕES GERAIS

Art. 1º A presente Portaria estabelece metodologia para aplicação dos procedimentos de auditoria e certificação das informações do SNIS sobre os prestadores de serviços de abastecimento de água e esgotamento sanitário, sob responsabilidade das entidades reguladoras.

Parágrafo único. A auditoria e certificação mencionada no caput:

I - deve informar os níveis de confiança e exatidão das informações que compõem o SNIS;

II - aumenta a segurança em relação aos diversos usos das informações relacionadas aos serviços de abastecimento de água e esgotamento sanitário do SNIS;

III - dissemina entre os prestadores as melhores práticas da gestão de informações.

Art. 2º Para os fins desta Portaria consideram-se:

I - Auditoria: processo sistemático, documentado e independente para obter evidências e avaliá-las objetivamente para determinar a extensão na qual os critérios da auditoria são atendidos;

II - Evidências: informações que fundamentam os resultados da auditoria. Devem ser suficientes, fidedignas, relevantes e úteis, de modo a fornecerem base sólida para as conclusões e recomendações;

III - Fator de Risco: situações ou circunstâncias que podem levar ao aumento da probabilidade de ocorrência de um risco;

IV - Nível de Confiança: indica o grau de segurança com que o prestador de serviços é capaz de gerar informações confiáveis;

V - Nível de Exatidão: determina o quanto os números informados refletem com precisão os eventos ocorridos;

VI - Risco: potencial de inconsistência de informações do prestador de serviços causada por um evento ou série de eventos, que pode afetar de forma negativa os indicadores gerados pelo SNIS;

VII - Testes de Controle: visam aferir a segurança dos controles internos estabelecidos pela administração do prestador de serviços que estão em efetivo funcionamento;

VIII - Testes Substantivos: visam à obtenção de evidência quanto à suficiência, exatidão e validade dos dados produzidos pelos sistemas de informações do prestador de serviços.

CAPÍTULO II

DO PLANEJAMENTO DA AUDITORIA

Art. 3º O Planejamento constitui uma etapa crítica para realização do processo de auditoria, e deve:

I - orientar o auditor a dedicar atenção apropriada às áreas importantes da auditoria;

II - apoiar o auditor na organização adequada do trabalho de auditoria para que ele seja realizado de forma eficaz e eficiente;

III - nortear a seleção de uma equipe de trabalho com a qualificação e as competências necessárias.

Art. 4º Para a auditoria e a certificação das informações do SNIS, as seguintes atividades deverão ser realizadas: estabelecimento da estratégia global da auditoria; preparação do plano de auditoria; elaboração do cronograma de atividades; e definição da infraestrutura, materiais, equipamentos e recursos humanos necessários.

CAPÍTULO III

DA EXECUÇÃO DA AUDITORIA

Art. 5º O método desenvolvido para auditar e certificar as informações fornecidas pelos prestadores de serviço de abastecimento de água e esgotamento sanitário ao SNIS é composto por 5 (cinco) etapas:

I - Mapeamento de Processos: realizado para entender os processos de geração das informações do SNIS. Este mapeamento permitirá a identificação dos principais riscos que possam afetar a qualidade da informação. Inclui-se nesta etapa elaboração de fluxogramas de processos, técnica de representação gráfica que utiliza símbolos previamente convencionados, permitindo a descrição clara e precisa do fluxo, ou sequência de um processo, bem como sua análise e redesenho;

II - Identificação de Riscos: subsidiam a definição de controles-chaves que constituirão a base de análise do nível de confiança. Utilizam-se diretrizes do COSO (Committee of Sponsoring Organizations - Enterprise Risk Management 2016), da Norma ISO 27001 - Sistemas de Gestão de Segurança da Informação e do COBIT 5 - Governança de Tecnologia da Informação;

III - Avaliação de Confiança: após a identificação dos riscos e controles relativos ao processo de geração das informações faz-se necessário estruturar procedimentos que possibilitem avaliar se os controles encontram-se implementados e são eficazes. Nesta etapa são aplicados os testes de controle que compõem a Avaliação de Confiança das Informações declaradas ao SNIS pelos prestadores. Cada controle avaliado possui um ou mais atributos que devem ser testados pelas entidades reguladoras;

IV - Avaliação de Exatidão: o nível de exatidão determina o quanto os números informados refletem com precisão os eventos ocorridos. Para tanto, os testes substantivos foram desenvolvidos para avaliar o nível de exatidão dos números declarados pelo prestador para cada informação. A extensão dos procedimentos substantivos depende do nível de confiança avaliado previamente. A classificação de cada informação quanto à exatidão é dada com base no desvio encontrado depois da aplicação dos procedimentos substantivos;

V - Certificação das Informações: é estabelecida a partir da combinação das análises de confiança e de exatidão, a fim de alcançar uma avaliação única, por meio de notas. A partir da certificação deve-se sugerir recomendações e realizar o acompanhamento da implementação das melhorias.

Art. 6º A certificação a que se refere o inciso V do Art. 5º é dada por meio de notas, com as descrições de cada uma indicada a seguir:

I - NC: Não certificado. A informação não passou pelo processo de auditoria e certificação;

II - Nota 1: A informação possui baixo nível de confiança e, portanto, não teve exatidão avaliada;

III - Nota 2: A informação possui um médio nível de confiança e teve sua exatidão avaliada como baixa ou a exatidão não foi avaliada;

IV - Nota 3: A informação possui um alto nível de confiança e teve sua exatidão avaliada como baixa ou a exatidão não foi avaliada;

V - Nota 4: A informação possui níveis médios de confiança e exatidão;

VI - Nota 5: A informação possui um médio nível de exatidão e um alto nível de confiança;

VII - Nota 6: A informação possui um alto nível de exatidão e um médio nível de confiança;

VIII - Nota 7: A informação possui níveis máximos de confiança e exatidão.

Art. 7º Para alocação das informações de sistemas integrados ou de municípios atendidos pelo mesmo prestador, que não podem ser alocadas diretamente por serviço ou por município, deve-se utilizar critérios uniformes de rateio.

CAPÍTULO IV

DO ENCERRAMENTO DA AUDITORIA

Art. 8º Após a execução dos procedimentos de auditoria e certificação das Informações do SNIS, deverão ser gerados dois relatórios:

I - Relatório Final de Auditoria: será encaminhado ao prestador de serviços reportando as constatações encontradas, os aspectos identificados e as evidências coletadas. O mesmo deverá conter toda a documentação associada à execução das atividades, resultados e recomendações, bem como será o instrumento para a validação formal dos pontos levantados;

II - Relatório de Certificação das Informações: depois de efetuados todos os procedimentos da auditoria e apurados os resultados, as informações do SNIS serão certificadas. O Relatório de Certificação terá como objetivo divulgar os resultados da avaliação da qualidade e certificação das informações.

Art. 9º A auditoria é encerrada quando as atividades detalhadas no Plano de Auditoria são finalizadas e o relatório de auditoria é concluído e aprovado.

CAPÍTULO V

DA PUBLICAÇÃO DOS RESULTADOS

Art. 10. A entidade reguladora que aderir a esta certificação, publicará o Relatório de Certificação das Informações do SNIS, disponibilizado em meio eletrônico em sítio próprio e no sítio do SNIS.

§ 1º O Relatório de Certificação é válido apenas para o ano de referência das informações utilizadas.

§ 2º O Relatório de Certificação das Informações do SNIS, depois de disponibilizado em sítio próprio, deverá ser enviado para o e-mail do SNIS (snis.ae@cidades.gov.br).

§ 3º O SNIS somente publicará Relatório de Certificação elaborado nos termos da presente Portaria.

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 11. Fica a entidade reguladora de Serviços de Abastecimento de Água ou de Esgotamento Sanitário, caso adote a metodologia de certificação de informações do SNIS, obrigada a utilizar o "Guia de Auditoria e Certificação das Informações fornecidas pelos prestadores de serviços de saneamento ao SNIS", disponível no sítio eletrônico do SNIS (www.snis.gov.br).

Parágrafo único. As matrizes para aplicação dos Testes de Controle e dos Testes Substantivos, critérios uniformes de rateio de informações e detalhamento das diretrizes apresentadas nesta Portaria, encontram-se no guia mencionado no caput.

Art. 12. Esta Portaria entra em vigor na data de sua publicação.

ALEXANDRE BALDY