Gerencia segun la Biblia: Principios de gestión y liderazgo
Unidad especializada de auditoría de TI – experiencia en el sector gobierno de Brasil
1. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Renato Braga, CISA
Gerente de Auditoría
Tribunal de Cuentas de la Unión (Brasil)
Lima, 27 de octubre de 2009.
Unidad especializada de auditoría de TI –
experiencia en el sector gobierno de Brasil
1
2. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Sobre el presentador.
Gerente en la Secretaría de Fiscalización de
Tecnología de la Información (Sefti) del
Tribunal de Cuentas de la Unión (TCU – la
EFS de Brasil). Las principales actividades
desarrolladas son la supervisión, la
coordinación y la ejecución de auditorías de
Tecnología de la Información en los órganos
de la Administración Pública Federal del
Brasil. Tuve participación directa (ejecución,
coordinación o supervisión) o indirecta (en
los debates) en todos los trabajos de
estructuración de la Sefti/TCU.
Renato Braga, CISA
Gerente de Auditoría
Tribunal de Cuentas de la Unión
(Brasil)
{Su foto}
2
3. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
El participante aprenderá más sobre:
• Las diferencias entre unidades de auditoría
especializada y general
• Los pasos para estructurar una unidad de auditoría de TI
• Cómo la auditoría de TI puede ser vista así como una
auditoría integrada
• Los diferentes abordajes de auditoría de TI
• Los principales resultados de la nueva unidad
especializada del TCU
3
4. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
4
5. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Misión: asegurar que la gestión de los recursos públicos sea
legal, efectiva y en provecho de la sociedad.
Tribunal de Cuentas de la Unión
(la EFS del Brasil)
5
6. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Actuación
• ¿Dónde?
– ¡Dónde hay dinero federal!
• ¿En quién?
– Cualquiera que lo emplee o cobre.
• ¿Aplicado en qué?
– Todo: obras, medicamentos, personal, ..., y …
– … tecnología de la información.
6
7. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Proceso decisorio en el TCU
Ministro
Relator
TCU
(9 ministros)
Unidad Técnica
(Sefti)
Informe de
los auditores
Informe, Voto y
Propuesta de
Sentencia (“Acórdão”)
JuzgamientoSentencia (“Acórdão”)
7
8. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
8
¿Cómo actuar en tan amplio contexto?
• Reconociendo los problemas y actuando en los agentes
multiplicadores
– SLTI/MP: adquisiciones y gobierno de TI
– GSI/PR: seguridad de la información
– SOF/MP: presupuesto
– SEGES/MP: personal
– Enap: capacitación
– CGU: riesgos y control
– AGU: legalidad
– CNJ: todo para el poder judicial
– TCE, TCM: replicación para las provincias y las municipalidades
– Sepin/MCT, STI/MDIC: política de informática
8
9. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Beneficios de la actuación del TCU
(2008)
1 real
27,8 reales
Se pueden obtener más informaciones en la dirección http://www.tcu.gov.br/
(en los informes de las actividades desarrolladas)
9
10. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Trabajos pioneros en auditoría de TI
• Trabajos iniciales tuvieron buenos resultados (1994-
2006)
– Varias auditorías de TI
– Entrenamientos
– Cartilla sobre buenas prácticas en seguridad de la información
(orientando a los agentes públicos)
• Participación en el comité de auditoría de TIC de la
Organización Internacional de Entidades Fiscalizadoras
Superiores (Intosai, por sus siglas en inglés) desde
1997.
10
10
11. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Sentencias del TCU sobre
contrataciones de TI
0
50
100
150
200
250
300
350
400
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Ano
Númerodedeliberaçõesnoano
Fuente: sistema de almacenamiento de sentencias del TCU
11
12. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil 12
Creación de la Sefti
• En agosto de 2006 (Resolución TCU n.º 193/2006)
– “La Secretaría de Fiscalización de la Tecnología de la
Información (Sefti) tiene por finalidad fiscalizar la gestión y el
uso de los recursos de tecnología de la información por la
Administración Pública Federal” (texto adaptado).
12
13. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Organización matricial
• Algunas unidades del TCU actúan por órganos,
independiente del tema auditado …
• …otras actúan por temas, independiente del órgano
auditado (unidades especializadas):
– Recursos
– Macro evaluación gubernamental
– Personal
– Obras
– Programas del gobierno
– Desestatización
– Tecnología de la Información
• Así, las especializadas tienen dos focos:
– interno y externo
13
14. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
14
15. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Perfil de auditores de TI (Intosai)
• Auditor generalista (de negocio)
• Auditor de TI
• Auditor de TI especialista
• Opción de la Sefti – Auditores de TI, a causa de la
dificultad y del costo de mantener auditores de TI
especialistas.
15
16. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Diferentes abordajes
Gobierno de TI
Seguridad de la información
Sistemas de información
Datos
Infraestructura de TI
Contrataciones
Programas y politicas
Auditorías
operacionales
o de
conformidad
Fuente: Manual de auditoría de TI del TCU (en revisión)
16
17. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Así, combinaciones de los abordajes en
un mismo trabajo lleva al concepto de
auditorías integradas.
17
18. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
18
19. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
En 2007, se planearon 5 trabajos,
pero solo 4 fueron ejecutados
• Los requisitos legales
• Las inversiones
• Las debilidades de los órganos
• El riesgo (hecho este año)
• El benchmarking
19
20. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Paso 1: Identificar los requisitos
normativos aplicables
20
21. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
¿Cuál es la importancia de la conformidad
(compliance) para el sector público de
Brasil?
Derecho público
versus
Derecho privado
21
22. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
¿Cuáles son (y dónde se ven) los
requerimientos legales aplicables?
ME 3.1
Regimiento
interno
Ley 8.666/93
Ley 10.520/05
Ley 123/06
Decreto
2.271/97
Y mucho más,
de mucho lugares
MS
STF 24.548
Sentencia
TST 331
Sentencia
TCU 786/03
IN 04/08
22
23. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Esto hace que la vida sea ...
• Hay previsión en ley
de que se haga una
consolidación de toda
la legislación de Brasil.
• Noticia en el sitio del
Congreso Brasileño
informa que son más
de 177 mil normativos
válidos (de todas las
áreas).
23
24. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
¿Cómo identificar una base
de requerimientos legales,
regulatorios y contractuales
(Cobit 4.1, ME 3.1)?
Iniciativa del TCU:
base (inicial)
24
25. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Paso 2: Identificar dónde ocurren las
inversiones en TI
25
26. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Relevancia del desembolso
• En 2007, no era posible identificar precisamente lo
desembolsado en TI en la Administración Pública
Federal
– Ni lo autorizado ni lo ejecutado
• Hay proyecciones de que fueron cerca de US$ 3 mil
millones en 2006
– fuente: Siafi - Sistema Integrado de Informaciones Financieras
del Gobierno Federal (considerando 1 US$ = 2 R$)
26
27. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
¡Pero esto ya cambió!
• La ley fue alterada a causa de este trabajo y los agentes
públicos deben hacer la previsión y acompañar los
gastos con TI (Cobit 4.1, PO5 – Gerenciar inversiones
en TI).
• Mayor independencia para los sectores de TI, y también
¡más responsabilidad!
27
28. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Software de base
0,41%
Manutención de
equipos
1,78%
Locación de software
2,39%
Consumibles
(cartuchos,...)
5,83%
Outsourcing
60,15%
Despesas de Teleproc.
7%
Equipos
13,59%
Software de aplicación
5,55%
Manutención de
software
3,93%
Fuente: TC 007.972/2007-8
Origen de la clasificación: Portaría STN 448/02
Clasificación del desembolso (2006)
Comunicación
28
Terceirización
29. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Paso 3: Identificar cómo está el gobierno
de TI en los órganos del gobierno federal
29
30. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Algunos datos del trabajo
• Herramienta: cuestionario electrónico
• Respuestas debían tener evidencias en anexo
• 39 preguntas
• Cerca de 250 órganos
• Resultado: heterogeneidad
• Situación preocupante: no había gobierno de TI, había
“desgobierno” de TI.
30
31. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Pero esto está cambiando
muy rápido ...
• A causa de dos trabajos de la Sefti (ese y una
evaluación de outsourcing y gobierno de TI), el gobierno
de TI entró en la agenda del gobierno federal de Brasil y
la situación cambia cada día, con diversas acciones en
andamiento:
– Veremos más adelante
31
32. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Paso 4: Crear la matriz de riesgos para
seleccionar los objetos (órganos,
programas, contractos, ect.) para auditar
No tuvimos gente para hacerlo en 2007, pero
fue hecho este año
(aún no fue juzgado).
32
33. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Paso 5: Informaciones para el referencial
estratégico
33
34. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Algunos datos del trabajo
• Objetivo: Identificar lo que las otras unidades del
TCU esperaban de la nueva unidad y cómo trabajan
las unidades de auditoría de TI de otras
organizaciones
• Técnicas: Entrevistas y encuestas
• 46 unidades del TCU
• 24 organizaciones externas (públicas y privadas)
• 25 Entidades de Fiscalización Superior
• 13 Tribunales de Cuentas del Brasil
34
35. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Productos obtenidos
• Base de datos sobre auditoría de TI
• Propuestas de como la Sefti deberá actuar
• Plan de divulgación permanente de la Sefti
• La forma cómo debe darse el desarrollo profesional para
los auditores de TI
• Oportunidades de actuación en cooperación
• Propuesta de la forma de selección de los nuevos
auditores por concurso público
35
36. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Productos obtenidos
• Modelos y procedimientos de auditoría de otras
unidades del TCU
• Rol de herramientas de apoyo a la auditoría de TI
• Relación de criterios de auditoría de TI
• Rol para control de calidad de las auditorías de la Sefti
• Propuesta de contenido y de estructura del sitio de la
Sefti en Internet
36
37. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
37
38. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Referencial Estratégico de la Sefti
• Negocio: Control Externo del Gobierno
de Tecnología de la Información en la
Administración Pública Federal.
38
39. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Referencial Estratégico de la Sefti
• Misión: Asegurar que la Tecnología de la
Información agregue valor al negocio de
la Administración Pública Federal en
beneficio de la sociedad.
39
40. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Referencial Estratégico de la Sefti
• Visión: Ser unidad de excelencia en el
control y en el perfeccionamiento del
gobierno de Tecnología de la
Información.
40
41. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Macro procesos
Control Externo de TI
Capacitación
Definición de
métodos y
técnicas
Gestión del
conocimiento
Comunicación
Procesos de sustentación
Consultoría
Formal o
Informal
En los diversos
abordajes
41
42. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Se pueden accesar a partir de:
http://www.tcu.gov.br/fiscalizacaoti
Macro proceso - Comunicación
42
43. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
43
44. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Estructura organizacional
Antes (hasta 2008)
• dos subunidades con
atribuciones distintas
• una subunidad más de
apoyo administrativo
Hoy (2009)
• tres subunidades con
atribuciones iguales, a
causa de la tendencia de
hacer auditoría integrada
• una subunidad más de
apoyo administrativo
44
45. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
45
46. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Ejemplos de medidas pontuales
46
47. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Sistema Infoseg
• Informaciones criminales de varias provincias de Brasil
– gestión de la seguridad, control de acceso y consistencia de
datos.
47
48. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Recaudación
• Contabilización de la recaudación de tributos (varios
sistemas)
– integridad, consistencia y disponibilidad de los datos.
Avadas Darf
Darf
Recolhimento
SPB
Siafi Ancora
CIDA,
ITR
Irregularidades
Siafi
Clacon
Tabelas de
Classificação
SIPAG
Darf
Pagamentos
Restituições
Retificações
Compensações
(SRF)
Fita 50
Siafi
Informações
de recolhimento
Darf
Tabelas de
Conversão
Risco 1
Risco 3
Risco 4
Sistemas
da SRF
Risco 2Agentes
da RARF
Informações
de recolhimento
Informações
de recolhimento
48
49. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Sistema Siape
• En el módulo de consignaciones
– gestión de la seguridad, control de acceso y fraude.
49
50. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Ejemplos de medidas estructurantes
50
51. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
En conformidad..
• Base de requerimientos legales (ME3)
– http://www.tcu.gov.br/fiscalizacaoti
– Deberá ser mantenido por el Ministerio del Planeamiento
(“Acórdão 2.471/2008-Plenário”)
51
52. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
En el presupuesto...
• Segregación del presupuesto de TI (PO5)
– “Acórdão 371/2008-Plenário (Relação 14/2008 - Gab. do Min.
Guilherme Palmeira – Plenário)”, en el proceso TC
007.972/2007-8.
– Ley 12.017/2009 (LDO 2009/2010).
52
53. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
En contratación de servicios ...
• Proceso de contratación de TI para todo el gobierno
federal, con gestión de riesgos (AI5, PO9)
– “Acórdão 786/2006-Plenário”
– “Acórdão 1.480/2007-Plenário”
– “Acórdão 1.999/2007-Plenário”
– “IN 04/2008-SLTI”
53
54. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
54
En Gobierno de TI ...
• “Acórdão 1.603/2008-Plenário”
– Resolución CNJ 70/2008 (PO1)
– Aprobación de varios PDTI (PO1)
– Implantación de varios comités de TI (PO4)
55. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
En Gobierno de TI ...
• “Acórdãos” 1.603/2008 y 2.471/2008, del Plenario
(Normas de seguridad de la información - DS5)
– Reglas del Consejo de Defensa Nacional de Brasil para Gestión
de Riesgos de la Seguridad de la Información y Comunicación y
creación de Equipos de Tratamiento y Respuestas a Incidentes
en Redes de Computadoras
55
56. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
En Gobierno de TI ...
• “Acórdão 2.471/2008-Plenário”
– Creación de carrera para profesionales de TI en gobierno
federal (PO7)
– Capacitación en gestión de TI (PO7)
– Creación de un framework de gobierno de TI para el sector
público (ME4) – en estudio
56
57. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
¿Cómo proponer medidas estructurantes?
Normalmente, las proponemos
después de hacer una FOC.
57
58. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
FOC
• Fiscalización de Orientación Centralizada
• Una fiscalización o un conjunto de fiscalizaciones con
preparación centralizada, ejecución descentralizada de
los trabajos y consolidación de los resultados.
58
59. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Objetivo de una FOC
• Evaluar, de forma sistémica, una función, un programa,
un proyecto, un área, un tema o una acción del
gobierno…
• … para construir una visión general de las situaciones
verificadas.
• Así, se deben identificar los descumplimientos que son
relevantes para …
• … proponer perfeccionamiento de la sistemática de
control, de la legislación o de la forma de conducción del
programa o acción.
59
60. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
60
Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
61. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
61
Acciones
• Mantener nuestra posición.
• Completar nuestro referencial estratégico.
• Mayor aproximación con el Congreso Nacional.
• Definir un proceso para elección de los objetos para
auditar.
• Perfeccionamiento de la calidad de los trabajos con
base en las normas internacionales (IIA, Intosai e Isaca),
cuando sean aplicables.
62. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Información de contacto
bragacr@tcu.gov.br
http://www.tcu.gov.br/fiscalizacaoti
62
Renato Braga, CISA
Gerente de Auditoría
Tribunal de Cuentas de la Unión
(Brasil)
63. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Preguntas y Respuestas
63
64. Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
¡Muchas gracias por
su atención!
64