SlideShare una empresa de Scribd logo

Enfoques y criterios de auditoría de TI en las Entidades Públicas

R
RenatoBraga34

El documento habla sobre los enfoques y criterios de auditoría de TI que utiliza el Tribunal de Cuentas de la Unión (TCU) en Brasil para auditar la gestión y uso de recursos de tecnología de la información en la administración pública federal brasileña. El TCU emplea diferentes abordajes como auditorías operacionales y de conformidad, y se basa en criterios como buenas prácticas internacionales como COBIT e ISO, así como la legislación brasileña sobre TI y contrataciones públicas. El TCU evalúa aspectos como gobi

1 de 43
Descargar para leer sin conexión
Enfoques y criterios de auditoría de TI en las Entidades Públicas Renato Braga, CISA, CIA, CGAP Gerente de Auditoría Tribunal de Cuentas de la Unión
¡Una inspiración! Edmund Burke, estadista y filósofo británico “La única cosa necesaria para el triunfo del mal es que los hombres de bien no hagan nada.”
• Dado un conjunto de casos de estudio basados en trabajos del TCU, el participante estará en capacidad de reconocer su forma de actuación, hasta el punto en que identifique los abordajes y criterios utilizados por la EFS del Brasil en sus auditorías de Tecnología de la Información (TI). Objetivo de la presentación
• ¿Qué es el TCU? • Abordajes de auditoría de TI • Criterios de auditoría Agenda
Tribunal de Cuentas de la Unión (la EFS del Brasil) Misión: asegurar que la gestión de los recursos públicos sea legal, efectiva y en provecho de la sociedad.
• Perfeccionamiento de la Administración Pública Federal. • Combate al desvío de dinero público, al fraude y a la corrupción. La actuación del TCU ocurre en dos frentes …
• ¿Dónde? – ¡Dónde hay dinero federal! • ¿En quién? – Cualquiera que lo emplee o cobre. • ¿Aplicado en qué? – Todo: obras, medicinas, ..., y TI. Actuación
8 • En agosto de 2006 (“Resolução TCU nº 193/2006”) – “La Secretaría de Fiscalización de la Tecnología de la Información (Sefti) tiene por finalidad fiscalizar la gestión y el uso de los recursos de tecnología de la información por la Administración Pública Federal” (traducción libre). Creación de la Sefti 8
• Negocio: Control Externo del Gobierno de Tecnología de la Información en la Administración Pública Federal. • Misión: Asegurar que la Tecnología de la Información agregue valor al negocio de la Administración Pública Federal en beneficio de la sociedad. Referencial Estratégico de la Sefti 9
1 Proceso decisorio en el TCU Ministro Relator TCU (9 ministros) Sefti Informe de los auditores Informe, Voto y Propuesta de Sentencia ("Ácordão”) JuicioSentencia (“Acórdão”)
Agenda • ¿Qué es el TCU? • Abordajes de auditoría de TI • Criterios de auditoría
Gobierno de TI Seguridad de la información Sistemas de información Datos Infraestructura de TI Contrataciones Programas y políticas Auditorías operacionales o de conformidad Fuente: Manual de auditoría de TI del TCU (en revisión) Diferentes abordajes
Algunos casos de estudio… 13
• Informaciones criminales de varios estados de Brasil – gestión de la seguridad, control de acceso y consistencia de datos. Sistema Infoseg (“Acórdão 71/2007-Plenário”)
• Contabilización de la recaudación de tributos (varios sistemas) – integridad, consistencia y disponibilidad de los datos. Recaudación ("Ácordão n° 2.697/2007-1ª Câmara - Relação nº 26/2007- GP”) 1 5 Avadas Darf Darf Recolhimento SPB Siafi Ancora CIDA, ITR Irregularidades Siafi Clacon Tabelas de Classificação SIPAG Darf Pagamentos Restituições Retificações Compensações (SRF) Fita 50 Siafi Informações de recolhimento Darf Tabelas de Conversão Risco 1 Risco 3 Risco 4 Sistemas da SRF Risco 2 Agentes da RARF Informações de recolhimento Informações de recolhimento $200 2172 05200 = $600$300 5629 $480 05201 $120 05202 153 = $480 100 = $164,60 $100 1070 26500 $24,60 26500 $50 26501 102 $20 26502 $100 7498 $200 $300 $100 $100 $480 $120 $50 = $50 $24,60 $20 Código da Receita (SRF) Código de Destinação Origem (STN) Destinação da Receita (STN) Fonte (SNT/SOF) 2172 2172 2172 2172 5629 7498 1070 DARF 5629 5629 5629 7498 7498 7498 1070 1070 1070 24,6% 50% 20% 20% 80% 112 $5,40 = $5,40 $5,40 26503 = $100 5,4%
• En el módulo de consignaciones – gestión de la seguridad, control de acceso y fraude. Sistema Siape ("Ácordão 1.505/2007-Plenário") 1 6
• Cuestionario electrónico con 39 preguntas para cerca de 250 órganos, y las respuestas debían tener evidencias en anexo. Situación del Gobierno de TI ("Ácordão 1.603/2008-Plenário") Deficiências em Governança de TI 0% 20% 40% 60% 80% 100% Não aloca gastos de TI de acordo com planejamento (51%) Não adota processo de trabalho p/ contratação de TI (46%) Não há transferência de conhecimento (57%) Não há planejamento estratégico em vigor (59%) Não segue metodologia de desenvolvimento sistemas (51%) Não é efetuada gestão de níveis de serviços (74%) Não foi realizada auditoria de TI nos últimos 5 anos (60%) Não há carreiras específicas para TI (57%) Não há política de segurança de informação (64%) Não faz análise de riscos de TI (75%) Não faz classificação da informação (80%) Não há plano de continuidade de negócios (88%)
• Cuestionario en “form PDF” con 30 preguntas (pero 152 ítems) para cerca de 320 órganos, con algunas novedades: – Niveles de madurez para algunos procesos – Mapeo de sistemas a las acciones del gobierno – … Situación del Gobierno de TI ("Ácordão 2.308/2010-Plenário") Índice de governança de TI Inicial Intermediária Aprimorada Governança de TI x Orçamento de TI R$ 100.000 R$ 1.000.000 R$ 10.000.000 R$ 100.000.000 R$ 1.000.000.000 R$ 10.000.000.000 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Índice de governança de TI Inicial Intermediária Aprimorada Governança de TI x Orçamento de TI R$ 100.000 R$ 1.000.000 R$ 10.000.000 R$ 100.000.000 R$ 1.000.000.000 R$ 10.000.000.000 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
• En 12 órganos, pruebas en controles previstos en el Cobit y pruebas sustantivas en contratos de servicios de TI. Evaluación del gobierno de TI y conformidad de las contrataciones ("Ácordão 2.471/2008-Plenário") QUESTÕES ACHADOS Mapa MEC MF MJ MRE MT UFRO BEP Besc Chesf TRF 4ª TRT 13ª 7- É efetuada análise de riscos na área de TI? Análise de riscos de TI – inexistência/falhas x x x x x x x x x x 11- Há um Plan de Continuidade do Negócio - PCN - compatível com as necessidades operacionais do ente? Plan de Continuidade do Negócio – inexistência/falhas x x x x x x x x x x x x 12- Há controles que assegurem a segurança da informação no ente? Segurança da informação - PSI – inexistência/falhas x x x x x x x x x x x Segurança da informação – PCA – inexistência/falhas x x x x x x x x x 13- Há política de cópias de segurança formalmente definida? Política de cópias de segurança – inexistência/falhas x x x x x x x x x x
• Tres evaluaciones: – Coordinación y articulación del programa – Mecanismos de monitoreo y evaluación como medio de perfeccionamiento de la prestación de los servicios electrónicos, – Prestación de servicios públicos electrónicos orientados directamente al ciudadano que tiene acceso a Internet. Programa de gobierno electrónico
Agenda • ¿Qué es el TCU? • Abordajes de auditoría de TI • Criterios de auditoría
• Buenas prácticas nacionales e internacionales (ejemplos) – Cobit – Itil y NBR ISO/IEC 20.000 – Serie NBR ISO/IEC 27.000 • Nuestra legislación (ejemplos) – Instrucción Normativa 04/2008 – SLTI – Instrucción Normativa 01/2008 – GSI – Resolución 90/2009 – CNJ – Resolución 99/2009 – CNJ – Ley 8.666/1993 (ley de licitaciones y contratos públicos) Criterios de auditoría de TI usados por el TCU
¿Ejemplos en nuestra legislación? 23
• Art. 11. El Tribunal debe elaborar y mantener un Plan Estratégico de TIC - PETI, alineado a las directrices estratégicas institucionales y nacionales. – Párrafo único. Deberá ser elaborado, con base en el PETI, el plan director de Tecnología de la Información y Comunicación (PDTI). "Resolução 90/2009-CNJ” (traducción libre) 24
• Art. 12. El Tribunal deberá constituir comité o comisión responsable por orientar las acciones e inversiones en TIC, observado el plan de que trata el artículo anterior. – Párrafo único. Se recomienda que la composición del comité o comisión sea multidisciplinar. "Resolução 90/2009-CNJ” (traducción libre) 25
IN 04/2008-SLTI (traducción libre) • Art. 3º Las contrataciones de que trata esta Instrucción Normativa deberán ser precedidas de planificación, elaborada en armonía con el Plan Director de Tecnología de la Información - PDTI, alineado a la estrategia del órgano o entidad. 26
• Art. 4º ... – Párrafo único. La Estrategia General de Tecnología de la Información deberá contener, por lo menos, los siguientes elementos: – ... – III - modelo para elaboración de los PDTI que contenga, por lo menos, las siguientes áreas: necesidades de información alineada a la estrategia del órgano o entidad, plan de inversiones, contrataciones de servicios, adquisición de equipos, cuantitativo y capacitación de personal, gestión de riesgos; IN 04/2008-SLTI (traducción libre) 27
• Art. 5º A los otros órganos y entidades de la Administración Pública Federal, directa e indirecta, en su ámbito de actuación, compete: – I - coordinar las acciones de seguridad de la información y comunicación; – II - aplicar las acciones correctivas y disciplinares en los casos de quiebra de seguridad; – III - proponer presupuesto específico para las acciones de seguridad de la información y comunicación; – IV – nombrar Gestor de seguridad de la información y comunicación; IN GSI/PR nº 01/2008 (traducción libre) 28
• Art. 5º A los otros órganos y entidades de la Administración Pública Federal, directa e indirecta, en su ámbito de actuación, compete: – V - instituir e implementar equipo de tratamiento y respuesta a incidentes en redes computacionales; – VI - instituir Comité de seguridad de la información y comunicación; – VII - aprobar Política de seguridad de la información y comunicación y otras normas de seguridad de la información y comunicación; – VIII - enviar los resultados consolidados de los trabajos de auditoría de Gestión de seguridad de la información y comunicación para el GSI. IN GSI/PR nº 01/2008 (traducción libre) 29
• Hay varias normas complementares. – Ejemplo: Norma Complementar 04/IN01/DSIC/GSIPR, “Establece directrices para el proceso de gestión riesgos de seguridad de la información y comunicación en los órganos o entidades de la administración pública federal, directa e indirecta – APF” (traducción libre) • Disponibles (inclusive en español) en la dirección http://dsic.gsi.gov.br IN GSI/PR nº 01/2008: ¿Cómo implementar los controles? 30
• Ley 8.666/1993, art. 6º, inciso IX, interpretado por el TCU en casos concretos (e.g., "Ácordão 953/2009- Plenário") conduce al entendimiento de la obligatoriedad de definir un proceso de software anterior a la contratación de servicios de desarrollo o manutención de software (requisito indispensable a la definición del objeto de la licitación) Otro ejemplo de criterio en la legislación
¿Y cómo aparecen los criterios en las sentencias (“Acórdãos”)? 32
• 9.1. determinar [al órgano] que: – 9.1.1. elabore y apruebe un Plan Director de Tecnología de la Información – PDTI, con observación a las directrices constantes de la IN SLTI/MPOG 04/2008, art. 4, III, y de las prácticas contenidas en el Cobit 4.1, proceso PO1 – Planificación Estratégica de TI; “Acórdão 2.476/2010-Plenário” (traducción libre)
• 9.1. determinar [al órgano] que: – … – 9.1.2. implante Comité de Tecnología de la Información que involucre las diversas áreas del [órgano] y que se responsabilice por alinear las inversiones de tecnología de la información con los objetivos institucionales y por apoyar la priorización de proyectos que serán implantados, en atención a la IN SLTI/MPOG 04/2008, art. 4º, IV, y considerando directrices del Cobit 4.1, PO4.2 – Comité estratégico de TI e PO4.3 – Comité director de TI; “Acórdão 2.476/2010-Plenário” (traducción libre)
• 9.1. determinar [al órgano] que: – … – 9.1.4. defina un proceso de software antes de contratar servicios de desarrollo o manutención de software, con vinculación del contracto con el proceso de software, sin el cual el objeto no estará precisamente definido, en atención a Ley 8.666/1993, art. 6º, inc. IX, e à IN SLTI/MPOG 04/2008, art. 12, II; “Acórdão 2.476/2010-Plenário” (traducción libre)
• 9.1. determinar [al órgano] que: – … – 9.1.7. implante Política de Seguridad de la Información y Comunicación, con observación de la Norma Complementar 03/IN01/DSIC/GSIPR, en atención a la IN GSI/PR 01/2008, art. 5º, VII; “Acórdão 2.476/2010-Plenário” (traducción libre)
• 9.1. determinar [al órgano] que: – … – 9.1.9. cree criterios de clasificación de las informaciones, para que puedan recibir tratamiento diferenciado conforme su grado de importancia, criticidad y sensibilidad, con observación del ítem 7.2 da NBR ISO/IEC 27.002, en atención al Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67; “Acórdão 2.476/2010-Plenário” (traducción libre)
• 9.1. determinar [al órgano] que: – … – 9.1.12. planifique las contrataciones de servicios de tecnología de la información con uso del proceso previsto en la IN SLTI/MPOG 04/2008, con observación de la secuencia lógico-temporal de las tareas y ritos de aprobación de los artefactos producidos a lo largo del proceso; “Acórdão 2.476/2010-Plenário” (traducción libre)
• “Acórdão 786/2006-Plenário” • “Acórdão 1.603/2008-Plenário” • “Acórdão 2.471/2008-Plenário” • “Acórdão 2.079/2009-Plenário” ¿Y hubo participación del TCU en el surgimiento de esta legislación? Objetivo estratégico 2 del TCU: Contribuir para el perfeccionamiento de la Administración Pública Federal.
• Dado un conjunto de casos de estudio basados en trabajos del TCU, el participante estará en capacidad de reconocer su forma de actuación, hasta el punto en que identifique los abordajes y criterios utilizados por la EFS de Brasil en sus auditorías de Tecnología de la Información (TI). Objetivo de la presentación
Información de contacto bragacr@tcu.gov.br http://www.tcu.gov.br/fiscalizacaoti Renato Braga, CISA, CIA, CGAP Gerente de Auditoría Tribunal de Cuentas de la Unión (EFS de Brasil)
¡Muchas gracias por su atención!
Preguntas y Respuestas

Recomendados

Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
RenatoBraga34
 
Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015
willington bejarano
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
Miguel A. Amutio
 
UNE 166006
UNE 166006UNE 166006
UNE 166006
Jesus Caceres Tello
 
Implementación ley transparencia
Implementación ley transparenciaImplementación ley transparencia
Implementación ley transparencia
EUROsociAL II
 
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
COIICV
 

Recomendados

Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia ...
RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
RenatoBraga34
 
Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015
willington bejarano
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
Miguel A. Amutio
 
UNE 166006
UNE 166006UNE 166006
UNE 166006
Jesus Caceres Tello
 
Implementación ley transparencia
Implementación ley transparenciaImplementación ley transparencia
Implementación ley transparencia
EUROsociAL II
 
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
J. Benedito. El Esquema Nacional de Seguridad y el cloud computing en la Dipu...
COIICV
 
La modernidad de los Registros Públicos de la Propiedad
La modernidad de los Registros Públicos de la PropiedadLa modernidad de los Registros Públicos de la Propiedad
La modernidad de los Registros Públicos de la Propiedad
Isauro Rios
 
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdfLa Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
firetv7
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion2
07_24092010_0900_Presentacion207_24092010_0900_Presentacion2
07_24092010_0900_Presentacion2
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
Oracle BPM
Oracle BPMOracle BPM
Oracle BPM
Luis Martin Grados Salinas
 
Cobit
CobitCobit
Cobit
Mauricio Gtz
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
JUNJI - Junta Nacional de Jardines Infantiles
 
Cobit
CobitCobit
Cobit
nikifitz
 
Liderazgo y gestión del cambio
Liderazgo y gestión del cambioLiderazgo y gestión del cambio
Liderazgo y gestión del cambio
Victor Almonacid
 
Proyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIProyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TI
AMIPCI
 
SESION_SEIS_SIAF_RP-2020.pdf
SESION_SEIS_SIAF_RP-2020.pdfSESION_SEIS_SIAF_RP-2020.pdf
SESION_SEIS_SIAF_RP-2020.pdf
Walter torres pachas
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
PAÍS DIGITAL
 
sistema informacion gerencial
sistema informacion gerencialsistema informacion gerencial
sistema informacion gerencial
Marlitt Castillo Alfaro
 
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
International Federation of Accountants
 
Gerencia de TI 01
Gerencia de TI 01Gerencia de TI 01
Gerencia de TI 01
Héctor Montoya Tobar
 
Aspectos generales ENTIC.pdf
Aspectos generales ENTIC.pdfAspectos generales ENTIC.pdf
Aspectos generales ENTIC.pdf
AndreamsAcosta
 
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
RedAlerta
 
LEY DE LA SIEMBRA 25.................pdf
LEY DE LA SIEMBRA 25.................pdfLEY DE LA SIEMBRA 25.................pdf
LEY DE LA SIEMBRA 25.................pdf
Santiago Huaca Valdiviezo
 
Innovación para el impacto. La PI como palanca para la innovación.
Innovación para el impacto. La PI como palanca para la innovación.Innovación para el impacto. La PI como palanca para la innovación.
Innovación para el impacto. La PI como palanca para la innovación.
Iñigo Irizar Arcelus
 

Más contenido relacionado

Similar a Enfoques y criterios de auditoría de TI en las Entidades Públicas

La modernidad de los Registros Públicos de la Propiedad
La modernidad de los Registros Públicos de la PropiedadLa modernidad de los Registros Públicos de la Propiedad
La modernidad de los Registros Públicos de la Propiedad
Isauro Rios
 
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdfLa Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
firetv7
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion2
07_24092010_0900_Presentacion207_24092010_0900_Presentacion2
07_24092010_0900_Presentacion2
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
Oracle BPM
Oracle BPMOracle BPM
Oracle BPM
Luis Martin Grados Salinas
 
Cobit
CobitCobit
Cobit
Mauricio Gtz
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
JUNJI - Junta Nacional de Jardines Infantiles
 
Cobit
CobitCobit
Cobit
nikifitz
 
Liderazgo y gestión del cambio
Liderazgo y gestión del cambioLiderazgo y gestión del cambio
Liderazgo y gestión del cambio
Victor Almonacid
 
Proyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIProyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TI
AMIPCI
 
SESION_SEIS_SIAF_RP-2020.pdf
SESION_SEIS_SIAF_RP-2020.pdfSESION_SEIS_SIAF_RP-2020.pdf
SESION_SEIS_SIAF_RP-2020.pdf
Walter torres pachas
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
PAÍS DIGITAL
 
sistema informacion gerencial
sistema informacion gerencialsistema informacion gerencial
sistema informacion gerencial
Marlitt Castillo Alfaro
 
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
International Federation of Accountants
 
Gerencia de TI 01
Gerencia de TI 01Gerencia de TI 01
Gerencia de TI 01
Héctor Montoya Tobar
 
Aspectos generales ENTIC.pdf
Aspectos generales ENTIC.pdfAspectos generales ENTIC.pdf
Aspectos generales ENTIC.pdf
AndreamsAcosta
 
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
RedAlerta
 

Similar a Enfoques y criterios de auditoría de TI en las Entidades Públicas (20)

La modernidad de los Registros Públicos de la Propiedad
La modernidad de los Registros Públicos de la PropiedadLa modernidad de los Registros Públicos de la Propiedad
La modernidad de los Registros Públicos de la Propiedad
 
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdfLa Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
La Norma UNE 166006_2006 Vigilancia Tecnológica.pdf
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
07_24092010_0900_Presentacion2
07_24092010_0900_Presentacion207_24092010_0900_Presentacion2
07_24092010_0900_Presentacion2
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
Oracle BPM
Oracle BPMOracle BPM
Oracle BPM
 
Cobit
CobitCobit
Cobit
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Cobit
CobitCobit
Cobit
 
Liderazgo y gestión del cambio
Liderazgo y gestión del cambioLiderazgo y gestión del cambio
Liderazgo y gestión del cambio
 
Proyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIProyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TI
 
SESION_SEIS_SIAF_RP-2020.pdf
SESION_SEIS_SIAF_RP-2020.pdfSESION_SEIS_SIAF_RP-2020.pdf
SESION_SEIS_SIAF_RP-2020.pdf
 
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
Propuesta programática de Economía Digital de la candidata Beatriz Sánchez: T...
 
sistema informacion gerencial
sistema informacion gerencialsistema informacion gerencial
sistema informacion gerencial
 
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
Aplicación Efectiva de un Sistema de Investigación y Disciplina como Pilar de...
 
Gerencia de TI 01
Gerencia de TI 01Gerencia de TI 01
Gerencia de TI 01
 
Aspectos generales ENTIC.pdf
Aspectos generales ENTIC.pdfAspectos generales ENTIC.pdf
Aspectos generales ENTIC.pdf
 
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
Webinar: Red Alerta, es hora de vigilar en red. La experiencia de sus grupos ...
 

Último

LEY DE LA SIEMBRA 25.................pdf
LEY DE LA SIEMBRA 25.................pdfLEY DE LA SIEMBRA 25.................pdf
LEY DE LA SIEMBRA 25.................pdf
Santiago Huaca Valdiviezo
 
Innovación para el impacto. La PI como palanca para la innovación.
Innovación para el impacto. La PI como palanca para la innovación.Innovación para el impacto. La PI como palanca para la innovación.
Innovación para el impacto. La PI como palanca para la innovación.
Iñigo Irizar Arcelus
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptx
Giovanny Puente
 
Herramientas para las sesiones de coaching
Herramientas para las sesiones de coachingHerramientas para las sesiones de coaching
Herramientas para las sesiones de coaching
Francisco Javier Lozano Sanz
 
PATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADO
PATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADOPATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADO
PATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADO
IsaiBriceno
 
624928621-Maestro-de-La-Conversacion.pdf
624928621-Maestro-de-La-Conversacion.pdf624928621-Maestro-de-La-Conversacion.pdf
624928621-Maestro-de-La-Conversacion.pdf
JasonSilvestre2
 

Último (6)

LEY DE LA SIEMBRA 25.................pdf
LEY DE LA SIEMBRA 25.................pdfLEY DE LA SIEMBRA 25.................pdf
LEY DE LA SIEMBRA 25.................pdf
 
Innovación para el impacto. La PI como palanca para la innovación.
Innovación para el impacto. La PI como palanca para la innovación.Innovación para el impacto. La PI como palanca para la innovación.
Innovación para el impacto. La PI como palanca para la innovación.
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_6.pptx
 
Herramientas para las sesiones de coaching
Herramientas para las sesiones de coachingHerramientas para las sesiones de coaching
Herramientas para las sesiones de coaching
 
PATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADO
PATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADOPATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADO
PATERNIDAD ESPIRITUAL.pdf GUILLERMO MALDONADO
 
624928621-Maestro-de-La-Conversacion.pdf
624928621-Maestro-de-La-Conversacion.pdf624928621-Maestro-de-La-Conversacion.pdf
624928621-Maestro-de-La-Conversacion.pdf
 

Enfoques y criterios de auditoría de TI en las Entidades Públicas

  • 1. Enfoques y criterios de auditoría de TI en las Entidades Públicas Renato Braga, CISA, CIA, CGAP Gerente de Auditoría Tribunal de Cuentas de la Unión
  • 2. ¡Una inspiración! Edmund Burke, estadista y filósofo británico “La única cosa necesaria para el triunfo del mal es que los hombres de bien no hagan nada.”
  • 3. • Dado un conjunto de casos de estudio basados en trabajos del TCU, el participante estará en capacidad de reconocer su forma de actuación, hasta el punto en que identifique los abordajes y criterios utilizados por la EFS del Brasil en sus auditorías de Tecnología de la Información (TI). Objetivo de la presentación
  • 4. • ¿Qué es el TCU? • Abordajes de auditoría de TI • Criterios de auditoría Agenda
  • 5. Tribunal de Cuentas de la Unión (la EFS del Brasil) Misión: asegurar que la gestión de los recursos públicos sea legal, efectiva y en provecho de la sociedad.
  • 6. • Perfeccionamiento de la Administración Pública Federal. • Combate al desvío de dinero público, al fraude y a la corrupción. La actuación del TCU ocurre en dos frentes …
  • 7. • ¿Dónde? – ¡Dónde hay dinero federal! • ¿En quién? – Cualquiera que lo emplee o cobre. • ¿Aplicado en qué? – Todo: obras, medicinas, ..., y TI. Actuación
  • 8. 8 • En agosto de 2006 (“Resolução TCU nº 193/2006”) – “La Secretaría de Fiscalización de la Tecnología de la Información (Sefti) tiene por finalidad fiscalizar la gestión y el uso de los recursos de tecnología de la información por la Administración Pública Federal” (traducción libre). Creación de la Sefti 8
  • 9. • Negocio: Control Externo del Gobierno de Tecnología de la Información en la Administración Pública Federal. • Misión: Asegurar que la Tecnología de la Información agregue valor al negocio de la Administración Pública Federal en beneficio de la sociedad. Referencial Estratégico de la Sefti 9
  • 10. 1 Proceso decisorio en el TCU Ministro Relator TCU (9 ministros) Sefti Informe de los auditores Informe, Voto y Propuesta de Sentencia ("Ácordão”) JuicioSentencia (“Acórdão”)
  • 11. Agenda • ¿Qué es el TCU? • Abordajes de auditoría de TI • Criterios de auditoría
  • 12. Gobierno de TI Seguridad de la información Sistemas de información Datos Infraestructura de TI Contrataciones Programas y políticas Auditorías operacionales o de conformidad Fuente: Manual de auditoría de TI del TCU (en revisión) Diferentes abordajes
  • 14. • Informaciones criminales de varios estados de Brasil – gestión de la seguridad, control de acceso y consistencia de datos. Sistema Infoseg (“Acórdão 71/2007-Plenário”)
  • 15. • Contabilización de la recaudación de tributos (varios sistemas) – integridad, consistencia y disponibilidad de los datos. Recaudación ("Ácordão n° 2.697/2007-1ª Câmara - Relação nº 26/2007- GP”) 1 5 Avadas Darf Darf Recolhimento SPB Siafi Ancora CIDA, ITR Irregularidades Siafi Clacon Tabelas de Classificação SIPAG Darf Pagamentos Restituições Retificações Compensações (SRF) Fita 50 Siafi Informações de recolhimento Darf Tabelas de Conversão Risco 1 Risco 3 Risco 4 Sistemas da SRF Risco 2 Agentes da RARF Informações de recolhimento Informações de recolhimento $200 2172 05200 = $600$300 5629 $480 05201 $120 05202 153 = $480 100 = $164,60 $100 1070 26500 $24,60 26500 $50 26501 102 $20 26502 $100 7498 $200 $300 $100 $100 $480 $120 $50 = $50 $24,60 $20 Código da Receita (SRF) Código de Destinação Origem (STN) Destinação da Receita (STN) Fonte (SNT/SOF) 2172 2172 2172 2172 5629 7498 1070 DARF 5629 5629 5629 7498 7498 7498 1070 1070 1070 24,6% 50% 20% 20% 80% 112 $5,40 = $5,40 $5,40 26503 = $100 5,4%
  • 16. • En el módulo de consignaciones – gestión de la seguridad, control de acceso y fraude. Sistema Siape ("Ácordão 1.505/2007-Plenário") 1 6
  • 17. • Cuestionario electrónico con 39 preguntas para cerca de 250 órganos, y las respuestas debían tener evidencias en anexo. Situación del Gobierno de TI ("Ácordão 1.603/2008-Plenário") Deficiências em Governança de TI 0% 20% 40% 60% 80% 100% Não aloca gastos de TI de acordo com planejamento (51%) Não adota processo de trabalho p/ contratação de TI (46%) Não há transferência de conhecimento (57%) Não há planejamento estratégico em vigor (59%) Não segue metodologia de desenvolvimento sistemas (51%) Não é efetuada gestão de níveis de serviços (74%) Não foi realizada auditoria de TI nos últimos 5 anos (60%) Não há carreiras específicas para TI (57%) Não há política de segurança de informação (64%) Não faz análise de riscos de TI (75%) Não faz classificação da informação (80%) Não há plano de continuidade de negócios (88%)
  • 18. • Cuestionario en “form PDF” con 30 preguntas (pero 152 ítems) para cerca de 320 órganos, con algunas novedades: – Niveles de madurez para algunos procesos – Mapeo de sistemas a las acciones del gobierno – … Situación del Gobierno de TI ("Ácordão 2.308/2010-Plenário") Índice de governança de TI Inicial Intermediária Aprimorada Governança de TI x Orçamento de TI R$ 100.000 R$ 1.000.000 R$ 10.000.000 R$ 100.000.000 R$ 1.000.000.000 R$ 10.000.000.000 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% Índice de governança de TI Inicial Intermediária Aprimorada Governança de TI x Orçamento de TI R$ 100.000 R$ 1.000.000 R$ 10.000.000 R$ 100.000.000 R$ 1.000.000.000 R$ 10.000.000.000 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
  • 19. • En 12 órganos, pruebas en controles previstos en el Cobit y pruebas sustantivas en contratos de servicios de TI. Evaluación del gobierno de TI y conformidad de las contrataciones ("Ácordão 2.471/2008-Plenário") QUESTÕES ACHADOS Mapa MEC MF MJ MRE MT UFRO BEP Besc Chesf TRF 4ª TRT 13ª 7- É efetuada análise de riscos na área de TI? Análise de riscos de TI – inexistência/falhas x x x x x x x x x x 11- Há um Plan de Continuidade do Negócio - PCN - compatível com as necessidades operacionais do ente? Plan de Continuidade do Negócio – inexistência/falhas x x x x x x x x x x x x 12- Há controles que assegurem a segurança da informação no ente? Segurança da informação - PSI – inexistência/falhas x x x x x x x x x x x Segurança da informação – PCA – inexistência/falhas x x x x x x x x x 13- Há política de cópias de segurança formalmente definida? Política de cópias de segurança – inexistência/falhas x x x x x x x x x x
  • 20. • Tres evaluaciones: – Coordinación y articulación del programa – Mecanismos de monitoreo y evaluación como medio de perfeccionamiento de la prestación de los servicios electrónicos, – Prestación de servicios públicos electrónicos orientados directamente al ciudadano que tiene acceso a Internet. Programa de gobierno electrónico
  • 21. Agenda • ¿Qué es el TCU? • Abordajes de auditoría de TI • Criterios de auditoría
  • 22. • Buenas prácticas nacionales e internacionales (ejemplos) – Cobit – Itil y NBR ISO/IEC 20.000 – Serie NBR ISO/IEC 27.000 • Nuestra legislación (ejemplos) – Instrucción Normativa 04/2008 – SLTI – Instrucción Normativa 01/2008 – GSI – Resolución 90/2009 – CNJ – Resolución 99/2009 – CNJ – Ley 8.666/1993 (ley de licitaciones y contratos públicos) Criterios de auditoría de TI usados por el TCU
  • 24. • Art. 11. El Tribunal debe elaborar y mantener un Plan Estratégico de TIC - PETI, alineado a las directrices estratégicas institucionales y nacionales. – Párrafo único. Deberá ser elaborado, con base en el PETI, el plan director de Tecnología de la Información y Comunicación (PDTI). "Resolução 90/2009-CNJ” (traducción libre) 24
  • 25. • Art. 12. El Tribunal deberá constituir comité o comisión responsable por orientar las acciones e inversiones en TIC, observado el plan de que trata el artículo anterior. – Párrafo único. Se recomienda que la composición del comité o comisión sea multidisciplinar. "Resolução 90/2009-CNJ” (traducción libre) 25
  • 26. IN 04/2008-SLTI (traducción libre) • Art. 3º Las contrataciones de que trata esta Instrucción Normativa deberán ser precedidas de planificación, elaborada en armonía con el Plan Director de Tecnología de la Información - PDTI, alineado a la estrategia del órgano o entidad. 26
  • 27. • Art. 4º ... – Párrafo único. La Estrategia General de Tecnología de la Información deberá contener, por lo menos, los siguientes elementos: – ... – III - modelo para elaboración de los PDTI que contenga, por lo menos, las siguientes áreas: necesidades de información alineada a la estrategia del órgano o entidad, plan de inversiones, contrataciones de servicios, adquisición de equipos, cuantitativo y capacitación de personal, gestión de riesgos; IN 04/2008-SLTI (traducción libre) 27
  • 28. • Art. 5º A los otros órganos y entidades de la Administración Pública Federal, directa e indirecta, en su ámbito de actuación, compete: – I - coordinar las acciones de seguridad de la información y comunicación; – II - aplicar las acciones correctivas y disciplinares en los casos de quiebra de seguridad; – III - proponer presupuesto específico para las acciones de seguridad de la información y comunicación; – IV – nombrar Gestor de seguridad de la información y comunicación; IN GSI/PR nº 01/2008 (traducción libre) 28
  • 29. • Art. 5º A los otros órganos y entidades de la Administración Pública Federal, directa e indirecta, en su ámbito de actuación, compete: – V - instituir e implementar equipo de tratamiento y respuesta a incidentes en redes computacionales; – VI - instituir Comité de seguridad de la información y comunicación; – VII - aprobar Política de seguridad de la información y comunicación y otras normas de seguridad de la información y comunicación; – VIII - enviar los resultados consolidados de los trabajos de auditoría de Gestión de seguridad de la información y comunicación para el GSI. IN GSI/PR nº 01/2008 (traducción libre) 29
  • 30. • Hay varias normas complementares. – Ejemplo: Norma Complementar 04/IN01/DSIC/GSIPR, “Establece directrices para el proceso de gestión riesgos de seguridad de la información y comunicación en los órganos o entidades de la administración pública federal, directa e indirecta – APF” (traducción libre) • Disponibles (inclusive en español) en la dirección http://dsic.gsi.gov.br IN GSI/PR nº 01/2008: ¿Cómo implementar los controles? 30
  • 31. • Ley 8.666/1993, art. 6º, inciso IX, interpretado por el TCU en casos concretos (e.g., "Ácordão 953/2009- Plenário") conduce al entendimiento de la obligatoriedad de definir un proceso de software anterior a la contratación de servicios de desarrollo o manutención de software (requisito indispensable a la definición del objeto de la licitación) Otro ejemplo de criterio en la legislación
  • 32. ¿Y cómo aparecen los criterios en las sentencias (“Acórdãos”)? 32
  • 33. • 9.1. determinar [al órgano] que: – 9.1.1. elabore y apruebe un Plan Director de Tecnología de la Información – PDTI, con observación a las directrices constantes de la IN SLTI/MPOG 04/2008, art. 4, III, y de las prácticas contenidas en el Cobit 4.1, proceso PO1 – Planificación Estratégica de TI; “Acórdão 2.476/2010-Plenário” (traducción libre)
  • 34. • 9.1. determinar [al órgano] que: – … – 9.1.2. implante Comité de Tecnología de la Información que involucre las diversas áreas del [órgano] y que se responsabilice por alinear las inversiones de tecnología de la información con los objetivos institucionales y por apoyar la priorización de proyectos que serán implantados, en atención a la IN SLTI/MPOG 04/2008, art. 4º, IV, y considerando directrices del Cobit 4.1, PO4.2 – Comité estratégico de TI e PO4.3 – Comité director de TI; “Acórdão 2.476/2010-Plenário” (traducción libre)
  • 35. • 9.1. determinar [al órgano] que: – … – 9.1.4. defina un proceso de software antes de contratar servicios de desarrollo o manutención de software, con vinculación del contracto con el proceso de software, sin el cual el objeto no estará precisamente definido, en atención a Ley 8.666/1993, art. 6º, inc. IX, e à IN SLTI/MPOG 04/2008, art. 12, II; “Acórdão 2.476/2010-Plenário” (traducción libre)
  • 36. • 9.1. determinar [al órgano] que: – … – 9.1.7. implante Política de Seguridad de la Información y Comunicación, con observación de la Norma Complementar 03/IN01/DSIC/GSIPR, en atención a la IN GSI/PR 01/2008, art. 5º, VII; “Acórdão 2.476/2010-Plenário” (traducción libre)
  • 37. • 9.1. determinar [al órgano] que: – … – 9.1.9. cree criterios de clasificación de las informaciones, para que puedan recibir tratamiento diferenciado conforme su grado de importancia, criticidad y sensibilidad, con observación del ítem 7.2 da NBR ISO/IEC 27.002, en atención al Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67; “Acórdão 2.476/2010-Plenário” (traducción libre)
  • 38. • 9.1. determinar [al órgano] que: – … – 9.1.12. planifique las contrataciones de servicios de tecnología de la información con uso del proceso previsto en la IN SLTI/MPOG 04/2008, con observación de la secuencia lógico-temporal de las tareas y ritos de aprobación de los artefactos producidos a lo largo del proceso; “Acórdão 2.476/2010-Plenário” (traducción libre)
  • 39. • “Acórdão 786/2006-Plenário” • “Acórdão 1.603/2008-Plenário” • “Acórdão 2.471/2008-Plenário” • “Acórdão 2.079/2009-Plenário” ¿Y hubo participación del TCU en el surgimiento de esta legislación? Objetivo estratégico 2 del TCU: Contribuir para el perfeccionamiento de la Administración Pública Federal.
  • 40. • Dado un conjunto de casos de estudio basados en trabajos del TCU, el participante estará en capacidad de reconocer su forma de actuación, hasta el punto en que identifique los abordajes y criterios utilizados por la EFS de Brasil en sus auditorías de Tecnología de la Información (TI). Objetivo de la presentación
  • 41. Información de contacto bragacr@tcu.gov.br http://www.tcu.gov.br/fiscalizacaoti Renato Braga, CISA, CIA, CGAP Gerente de Auditoría Tribunal de Cuentas de la Unión (EFS de Brasil)