SlideShare una empresa de Scribd logo

Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño

R
RenatoBraga34

Palestra no Latin Cacs 2008

Liderazgo y gestión
1 de 79
Descargar para leer sin conexión
1 Sesión # 341 Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño Renato Braga, CISA Tribunal de Cuentas de la Unión - TCU Brasil
2 El participante aprenderá más sobre: • La situación del outsourcing en el Gobierno Federal brasileño • Los desafíos de cumplimiento para las contrataciones de TI en el sector público brasileño • La relación entre outsourcing y gobierno de TI • Evaluación del gobierno de TI en el sector público • Evaluación de outsourcing en el sector público • La importancia del cumplimiento para el sector público brasileño
3 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
4 Misión: asegurar que la gestión de los recursos públicos sea legal, efectiva y en provecho de la sociedad. Tribunal de Cuentas de la Unión (la EFS del Brasil)
5 La actuación del TCU ocurre en dos frentes … • Perfeccionamiento de la Administración Pública Federal. • Combate al desvío de dinero público, a la fraude y a la corrupción.
6 Actuación • ¿Dónde? – ¡Dónde hay dinero federal! • ¿En quién? – Cualquiera que lo emplee o cobre. • ¿Aplicado en qué? – Todo: obras, medicamentos, ..., y TI.
7 Secretaría de Fiscalización de Tecnología de la Información - Sefti Creada en agosto, 2006
8 Referencial Estratégico da Sefti • Negocio: Control Externo del Gobierno de Tecnología de la Información en la Administración Pública Federal. • Misión: Asegurar que la Tecnología de la Información agregue valor al negocio de la Administración Pública Federal en beneficio de la sociedad.
9 Algunos trabajos (2007) • Sistema Infoseg (informaciones criminales de varias provincias de Brasil) – gestión de la seguridad, control de acceso y consistencia de datos. • Contabilización de la recaudación de tributos (varios sistemas) – integridad, consistencia y disponibilidad de datos. • Sistema Siape (módulo de consignaciones) – gestión de la seguridad, control de acceso y fraude. • Este trabajo – evaluación del gobierno de TI y compliance del outsourcing.
10 Proceso decisorio en el TCU Ministro Relator TCU (9 ministros) Sefti Informe de los auditores Informe, Voto y Propuesta de Sentencia (Acórdão) JuzgamientoSentencia (Acórdão)
11 ¿Cómo actuar en tan amplio contexto? • Reconociendo los problemas y actuando en los agentes multiplicadores – SLTI/MP: adquisiciones y gobierno de TI – GSI/PR: seguridad de la información – SOF/MP: presupuesto – SEGES/MP: personal – Enap: capacitación – CGU: riesgos y control – AGU: legalidad – CNJ: todo para el poder judicial – TCE, TCM: replicación para las provincias y municipios – Sepin/MCT, STI/MDIC: política de informática
12 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
13 ¿Cómo empezar trabajos de fiscalización de TI en el sector público sin datos para evaluar el riesgo?
14 Estrategia de Sefti en tres pasos • ¿Cuáles son los requerimientos legales aplicables? – “Acórdão 1.934/2007-TCU-Plenário” • ¿Dónde está el dinero invertido con TI? – “Acórdão 371/2008-TCU-2ªCâmara” • ¿Qué órganos del gobierno tienen poca madurez en gobierno de TI? – “TC 008.380/2007-1”, no juzgado.
15 Paso 1: ¿Cuáles son los requerimientos legales aplicables?
16 ¿Cuál es la importancia del cumplimiento para el sector público brasileño ? Derecho público versus Derecho privado
17 ¿Cuáles son (y dónde se ven) los requerimientos legales aplicables? ME 3.1 Regimento interno Ley 8.666/93 Ley 10.520/05 Ley 123/06 Decreto 2.271/97 Y mucho más, de mucho lugares MS STF 24.548 Enunciado TST 331 Acórdão TCU 786/03 IN 18/97
18 ¿Cómo identificar una base de requerimientos legales, regulatorios y contratuales (ME 3.1)? Iniciativa del TCU: base (inicial)
19 Paso 2: ¿Dónde está el dinero invertido con TI?
20 Relevancia del desembolso • Hoy, no es posible identificar precisamente el gasto con TI en la Administración Pública Federal – Ni el gasto autorizado ni el gasto ejecutado • Hay proyecciones de que fueron cerca de US$ 3 mil millones en 2006 – fuente: Siafi - Sistema Integrado de Informaciones Financieras del Gobierno Federal (considerando 1 US$ = 2 R$)
21 Software de base 0,41% Manutención de equipos 1,78% Locación de software 2,39% Consumibles (cartuchos,...) 5,83% Outsourcing 60,15% Despesas de Teleproc. 7% Equipos 13,59% Software de aplicación 5,55% Manutención de software 3,93% Fuente: TC 007.972/2007-8 Origen de la clasificación: Portaría STN 448/02 Clasificación del desembolso (2006) Comunicación -
22 Paso 3: ¿Qué órganos del gobierno tienen poca madurez en gobierno de TI?
23 Desarrollo del trabajo • Cuestionario electrónico para los 300 principales órganos del gobierno federal. • Las contestaciones fueron declarativas, con solicitación para juntar evidencias.
24 Desarrollo del trabajo • El cuestionario fue compuesto por 39 cuestiones: – Planeamiento estratégico de TI – Estructura de personal de TI – Seguridad de la información – Desarrollo de sistemas – Gestión del SLA – Proceso de contratación de TI – Gestión de contratos de TI – Controle de gastos de TI – Realización de auditorias de TI por los órganos
25 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
26 Relevancia de la información • TI es sector estratégico (también) en la Administración Pública y sus problemas son grandes vulnerabilidades en los órganos. • Las sentencias (“acórdãos”) del TCU indican que muchos órganos públicos están practicando “full outsourcing” sin hacer control.
27 Sentencias del TCU sobre outsourcing de TI 0 50 100 150 200 250 300 350 400 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Ano Númerodedeliberaçõesnoano Fuente: sistema de almacenamiento de sentencias del TCU
28 Algunos ejemplos no tan buenos... • Unisys – “Decisão 1.459/2002-TCU-Plenário” • Datamec (Unysis) – “Acórdão 2.023/2005-TCU-Plenário” • IBM – “Acórdão 355/2006-TCU-Plenário” • Politec – “Acórdão 71/2007-TCU-Plenário” • Sagen/Iafis – “Acórdão 889/2007-TCU-Plenário”
29 El problema no es hacer outsourcing ... • La propia ley (“Decreto-Lei 200/67”) determina que se haga... – Tareas ejecutivas deben ser contratadas cuando la iniciativa privada esté suficientemente desarrollada y capacitada para desempeñarla – Tareas de planeamiento, coordinación, supervisión y control deben ser de responsabilidad de la administración
30 El problema es hacerlo mal... • Es no saber qué, ni cómo hacerlo. • Es no evaluar los riesgos: – ¿Estamos haciendo outsourcing de actividades estratégicas? – ¿Tenemos gente para controlar el outsourcing? – ¿La gente que tenemos está capacitada? • Es no crear controles: – Ahora, ¿cómo crear controles sin procesos de contratación y de gestión contratual? • Es verse completamente dependiente de los terceros: – ¿Tenemos un plan “B”?
31 ¡El problema es hacer outsourcing sin estrategia!
32 Cuando se necesita hacer mucho outsourcing, la estrategia para hacerlo es decisiva para un buen gobierno de TI.
33 Objetivos estratégicos de TI Contractos Instrumento para alcanzar Aliñados Planeamiento estratégico y contrataciones Objetivos estratégicos institucionales Desmembrados Enderezan
34 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
35 Origen • “Acórdão 1.558/2003 - TCU - Plenário” – Las unidades técnicas del TCU deben hacer estudios sobre “los parámetros que se deben evaluar en las contrataciones de servicios técnicos de informática” • “Acórdão 2.094/2004 - TCU – Plenário” – Las unidades técnicas del TCU deben evaluar (otra vez) si las adquisiciones de TI son legales y oportunas
36 Origen • “Acórdão 140/2005 - TCU - Plenário” – Las unidades técnicas del TCU deben evaluar la estructura de recursos humanos de los sectores de informática y verificar si las actividades de planeamiento estratégico de informática, coordinación, fiscalización y control de las acciones del sector de TI son ejecutadas por agentes públicos
37 Objetivo • Evaluar el outsourcing en los sectores de TI de los órganos del gobierno federal seleccionados, en especial la adecuación de la estructura de la unidad y sus procesos de adquisición y gestión de servicios. • Y con eso, inducir que el perfeccionamiento del gobierno de TI en el sector público brasileño ocurra como política de gobierno, y no como iniciativas aisladas.
38 Órganos auditados • 12 unidades – 6 ministerios, – 2 tribunales, – 2 bancos, – 1 universidad, – 1 empresa pública. • Muestreo no estadístico. • Creíamos que la mayor parte de ellos tenía poca madurez en gobierno de TI, pero necesitábamos evidenciar.
39 Criterios de auditoría • Cobit 4.1. • NBR 27002 (basada en ISO 27002). • Parámetros para contrataciones de servicios: – Estudios del “Acórdão 1.558/2003 - TCU – Plenário”
40 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
41 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad Guía de auditoría de conformidad del TCU
42 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Pregunta de auditoría  Información necesaria  Fuentes de información  Técnicas de auditoría  Limitaciones  Probables hallazgos
43 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Pregunta de auditoría  Procedimientos  Procedimientos pormenorizados  Técnicas  Responsable  Periodo  Hallazgo (hecho durante la ejecución)
44 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Descripción  Situación de hecho  Criterios  Evidencias  Causas  Efectos  Camino propuesto  Beneficio del camino propuesto
45 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Hallazgo  Responsable  Periodo  Conducta  Nexo de causalidad  Culpabilidad
46 Automación: Sistema Fiscalis execución
47 FOC • Fiscalización de Orientación Centralizada • Una fiscalización o un conjunto de fiscalizaciones con preparación centralizada, ejecución descentralizada de los trabajos y consolidación de los resultados.
48 Objetivo de una FOC • Evaluar, de forma sistémica, una función, un programa, un proyecto, un área, un tema o una acción del gobierno… • … para construir una visión general de las situaciones verificadas. • Así, se deben identificar los descumplimientos que son relevantes para … • … proponer perfeccionamiento de la sistemática de control, de la legislación o de la forma de conducción del programa o acción
49 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
50 ¿De qué procesos escoger los controles para auditar? • Considerando que fue una evaluación nunca vista en el sector público brasileño, y la ausencia de parámetros de evaluación de riesgo, definimos los criterios a seguir. • En el dominio PO, escogimos aquellos de alta importancia, los asociados a la estructura del sector de TI (atendiendo al “Acórdão 140/2005 - TCU – Plenário”) y lo asociado a presupuesto (que es obligación legal en sector público): – PO1, PO4, PO5, PO7, PO9, PO10
51 ¿De qué procesos escoger los controles para auditar? • En el dominio AI escogimos el proceso considerado de alta importancia (AI6) y aquel ligado al outsourcing (AI5), objeto del “Acórdão 2.094/2004 - TCU – Plenário”. • En el dominio DS escogimos los procesos de alta importancia (DS5 y DS11) y lo que está asociado a la continuidad del negocio (DS4).
52 ¿De qué procesos escoger los controles para auditar? • En el dominio ME solamente dejamos de escoger el proceso ME4 por considerarlo de alta complejidad de implementación. • Una pregunta sobre planeamiento de negocio a largo plazo, del cual depende el alineamiento estratégico, completa la elección.
53 Esta parte de la auditoría tuvo 14 preguntas de auditoría con 32 posibles hallazgos.
54 Recordando … • Los resultados obtenidos se refieren apenas a los 12 órganos auditados. • La selección de los órganos se basó en el conocimiento previo de que tenían poca madurez en gobierno de TI.
55 Principales resultados obtenidos • La cultura de planeamiento a largo plazo es casi nula. • Aunque hay comités de TI establecidos, estos generalmente no operan. • En general, los sectores de TI están posicionados de forma inadecuada en la estructura organizacional. • Casi siempre hay algún rol sensible no definido, sin responsable u ocupado por un tercero.
56 Principales resultados obtenidos • No hay suficiente personal de TI en número y calificación. • En los ministerios, no hay política de personal de TI (carrera específica). • Muchas veces, hay algún proceso dependiente de apenas una única persona. • Casi nunca hay políticas para la seguridad de la información (PSI, PCA, backup), y cuando hay, no son efectivas.
57 Principales resultados obtenidos • Prácticamente no hay cultura de gestión del riesgo, y consecuentemente no hay PCN. • No hay proceso de trabajo formal para las contrataciones de TI (lo que es causa de varios problemas, como veremos adelante). • No hay cultura de monitorear los procesos. • Hay poca cultura de gestión de proyectos.
58 Principales resultados obtenidos ¡Pero, hay buenas prácticas a seguir!
59 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
60 ¿Cuáles son los mayores riesgos? • Aquellos comúnmente vistos en los procesos que pasan por el TCU, en cada fase de una contratación – Planeación de la contratación – Selección del proveedor – Gestión del contrato
61 Esta parte de la auditoría tuvo 11 preguntas de auditoría con 43 posibles hallazgos.
62 Recordando … • Los resultados obtenidos se refieren apenas a los 12 órganos auditados. • La selección de los órganos se basó en el conocimiento previo de que tenían poca madurez en gobierno de TI.
63 Principales resultados obtenidos • No hay estrategia para hacer outsourcing. • Comúnmente se hace “full outsourcing” (contratos paraguas). • Normalmente no se define el SLA y, consecuentemente, casi siempre se contrata por esfuerzo (HH) y no por resultado (favoreciendo el paradigma lucro- incompetencia). • Casi nunca se usa el “pregão” (remate reverso), que deberia ser la regla, lo que disminuye la trasparencia. • Los criterios para seleccionar el proveedor son demasiado restrictivos.
64 Principales resultados obtenidos • Son pobres los mecanismos de gestión previstos en los contratos: – Protocolo de interacción; – Método para evaluar cuantitativamente el servicio; – Método para evaluar cualitativamente el servicio; – Cláusulas de penalidades son demasiadas genéricas (y por lo tanto non son aplicables). • Hay fallas en los métodos para estimar el precio de los servicios. • Hay fallas en los procedimientos de evaluación de las propuestas.
65 Principales resultados obtenidos • Casi nunca hay como rastrear el servicio ejecutado. • Muchas veces no se mantienen las condiciones iniciales de la contratación. • No se tiene hábito de aplicar las penalidades. • Algunas veces no se exige la garantía contractual. • Casi siempre hay fallas en los ajustes contractuales.
66 Principales resultados obtenidos ¡ Pero, hay buenas prácticas a seguir!
67 De los 75 posibles hallazgos, apenas 4 no fueron encontrados.
68 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
69 El escenario descrito es resultado de que el tema perfeccionamiento del Gobierno de TI no había entrado en la agenda del sector público brasileño como política de gobierno, pero había iniciativas aisladas. Y así, es función del TCU inducir esa política.
70 ¡Pero, el gobierno federal brasileño reaccionó rápido!
71 Acciones completadas o en ejecución • Base de requerimientos legales (ME3) • Segregación del presupuesto de TI (PO5) • Proceso formal de contratación de TI para todo el gobierno federal, con gestión de riesgos (AI5, PO9) • Creación de carrera para profesionales de TI en gobierno federal (PO7) • Capacitación en gestión de TI (PO7)
72 Acción necesaria • Desarollo de un framework de gobierno de TI para el sector público (ME4).
73 Mensaje final • 1º - Las personas • 2º - Los procesos
74 El participante aprenderá más sobre: • La situación del outsourcing en el Gobierno Federal brasileño • Los desafíos de cumplimiento para las contrataciones de TI en el sector público brasileño • La relación entre outsourcing y gobierno de TI • Evaluación del gobierno de TI en el sector público • Evaluación de outsourcing en el sector público • La importancia del cumplimiento para el sector público brasileño
75 ¿Preguntas? 2008 Santiago Chile
76 Gracias Renato Braga, CISA Tribunal de Cuentas de la Unión (Brasil) bragacr@tcu.gov.br http://www.tcu.gov.br/fiscalizacaoti sefti@tcu.gov.br
77 Latin CACS 2009 San José de Costa Rica 14 al 16 de Septiembre de 2009 Te esperamos. Pura Vida!
78
79

Recomendados

Enfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasEnfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasRenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 
Transformación digital post-COVID - Carolina Limbatto
Transformación digital post-COVID - Carolina LimbattoTransformación digital post-COVID - Carolina Limbatto
Transformación digital post-COVID - Carolina LimbattoCullen International
 
Gerencia de TI 01
Gerencia de TI 01Gerencia de TI 01
Gerencia de TI 01Héctor Montoya Tobar
 
EBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptx
EBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptxEBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptx
EBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptxEnriqueBentezPalma1
 
Proyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIProyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIAMIPCI
 
Articulo
ArticuloArticulo
ArticuloKeling zamora
 

Recomendados

Enfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasEnfoques y criterios de auditoría de TI en las Entidades Públicas
Enfoques y criterios de auditoría de TI en las Entidades PúblicasRenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...
Unidad especializada de auditoría de TI – experiencia en el sector gobierno d...RenatoBraga34
 
Transformación digital post-COVID - Carolina Limbatto
Transformación digital post-COVID - Carolina LimbattoTransformación digital post-COVID - Carolina Limbatto
Transformación digital post-COVID - Carolina LimbattoCullen International
 
Gerencia de TI 01
Gerencia de TI 01Gerencia de TI 01
Gerencia de TI 01Héctor Montoya Tobar
 
EBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptx
EBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptxEBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptx
EBP ASOCEX 3 Dic 2021 Adm Local nuevas formas de control.pptxEnriqueBentezPalma1
 
Proyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIProyecto para la Homologación Normativa de las TI
Proyecto para la Homologación Normativa de las TIAMIPCI
 
Articulo
ArticuloArticulo
ArticuloKeling zamora
 
Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015willington bejarano
 
Importancia de las tics en la auditoria
Importancia de las tics en la auditoriaImportancia de las tics en la auditoria
Importancia de las tics en la auditoriaroumi2010
 
Liderazgo y gestión del cambio
Liderazgo y gestión del cambioLiderazgo y gestión del cambio
Liderazgo y gestión del cambioVictor Almonacid
 
ISO 27002
ISO 27002ISO 27002
ISO 27002trabajofinal2
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Tic en chile
Tic en chileTic en chile
Tic en chiletamarval
 
Cobit
CobitCobit
CobitREYES contadores
 
07_24092010_0900_Presentacion2
07_24092010_0900_Presentacion207_24092010_0900_Presentacion2
07_24092010_0900_Presentacion2Comite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_PresentacionComite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_PresentacionComite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_PresentacionComite de Informática de la Administración Pública Estatal y Municipal A.C.
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_PresentacionComite de Informática de la Administración Pública Estatal y Municipal A.C.
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaetniesd21
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasWidmanCardona
 
La Inteligencia artificial en las Administraciones Tributarias.pptx
La Inteligencia artificial en las Administraciones Tributarias.pptxLa Inteligencia artificial en las Administraciones Tributarias.pptx
La Inteligencia artificial en las Administraciones Tributarias.pptxJcEstefes
 
Gobiernos electronicos en la administración de justicia
Gobiernos electronicos en la administración de justiciaGobiernos electronicos en la administración de justicia
Gobiernos electronicos en la administración de justiciacruzterrobang
 
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.REDEM
 
Modulo -estructura_de_datos_i
Modulo -estructura_de_datos_iModulo -estructura_de_datos_i
Modulo -estructura_de_datos_iAndres Escobar
 
Metodo de diseno y desarrollo de sistemas de informacion
Metodo de diseno y desarrollo de sistemas de informacionMetodo de diseno y desarrollo de sistemas de informacion
Metodo de diseno y desarrollo de sistemas de informacionNarzimar Sanchez
 
Homologacion Normativas TI
Homologacion Normativas TIHomologacion Normativas TI
Homologacion Normativas TICristian Bailey
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxGiovanny Puente
 
macarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntmacarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntpregonerodejusticia2
 

Más contenido relacionado

Similar a Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño

Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015willington bejarano
 
Importancia de las tics en la auditoria
Importancia de las tics en la auditoriaImportancia de las tics en la auditoria
Importancia de las tics en la auditoriaroumi2010
 
Liderazgo y gestión del cambio
Liderazgo y gestión del cambioLiderazgo y gestión del cambio
Liderazgo y gestión del cambioVictor Almonacid
 
Tic en chile
Tic en chileTic en chile
Tic en chiletamarval
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaetniesd21
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasWidmanCardona
 
La Inteligencia artificial en las Administraciones Tributarias.pptx
La Inteligencia artificial en las Administraciones Tributarias.pptxLa Inteligencia artificial en las Administraciones Tributarias.pptx
La Inteligencia artificial en las Administraciones Tributarias.pptxJcEstefes
 
Gobiernos electronicos en la administración de justicia
Gobiernos electronicos en la administración de justiciaGobiernos electronicos en la administración de justicia
Gobiernos electronicos en la administración de justiciacruzterrobang
 
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.REDEM
 
Modulo -estructura_de_datos_i
Modulo -estructura_de_datos_iModulo -estructura_de_datos_i
Modulo -estructura_de_datos_iAndres Escobar
 
Metodo de diseno y desarrollo de sistemas de informacion
Metodo de diseno y desarrollo de sistemas de informacionMetodo de diseno y desarrollo de sistemas de informacion
Metodo de diseno y desarrollo de sistemas de informacionNarzimar Sanchez
 
Homologacion Normativas TI
Homologacion Normativas TIHomologacion Normativas TI
Homologacion Normativas TICristian Bailey
 

Similar a Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño (20)

Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015Subcomits de-sistemas-de-informacin-municipal-posi-2015
Subcomits de-sistemas-de-informacin-municipal-posi-2015
 
Importancia de las tics en la auditoria
Importancia de las tics en la auditoriaImportancia de las tics en la auditoria
Importancia de las tics en la auditoria
 
Liderazgo y gestión del cambio
Liderazgo y gestión del cambioLiderazgo y gestión del cambio
Liderazgo y gestión del cambio
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
Tic en chile
Tic en chileTic en chile
Tic en chile
 
Cobit
CobitCobit
Cobit
 
07_24092010_0900_Presentacion2
07_24092010_0900_Presentacion207_24092010_0900_Presentacion2
07_24092010_0900_Presentacion2
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
07_24092010_0900_Presentacion
07_24092010_0900_Presentacion07_24092010_0900_Presentacion
07_24092010_0900_Presentacion
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de Sistemas
 
La Inteligencia artificial en las Administraciones Tributarias.pptx
La Inteligencia artificial en las Administraciones Tributarias.pptxLa Inteligencia artificial en las Administraciones Tributarias.pptx
La Inteligencia artificial en las Administraciones Tributarias.pptx
 
Gobiernos electronicos en la administración de justicia
Gobiernos electronicos en la administración de justiciaGobiernos electronicos en la administración de justicia
Gobiernos electronicos en la administración de justicia
 
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
Cómo Gerenciar eficientemente Aspectos Municipales de la I.E.
 
Modulo -estructura_de_datos_i
Modulo -estructura_de_datos_iModulo -estructura_de_datos_i
Modulo -estructura_de_datos_i
 
Metodo de diseno y desarrollo de sistemas de informacion
Metodo de diseno y desarrollo de sistemas de informacionMetodo de diseno y desarrollo de sistemas de informacion
Metodo de diseno y desarrollo de sistemas de informacion
 
Homologacion Normativas TI
Homologacion Normativas TIHomologacion Normativas TI
Homologacion Normativas TI
 

Último

W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxGiovanny Puente
 
macarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntmacarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntpregonerodejusticia2
 
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptINFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptNombre Apellidos
 
Escuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosEscuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosNancyAlvarez77
 
Gerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgoGerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgoFranklin E. Ramírez G.
 
Habitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesHabitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesMartinOrtiz84
 

Último (6)

W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
 
macarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntmacarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del nt
 
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptINFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
 
Escuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosEscuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de Dios
 
Gerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgoGerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgo
 
Habitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesHabitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisiones
 

Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño

  • 1. 1 Sesión # 341 Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño Renato Braga, CISA Tribunal de Cuentas de la Unión - TCU Brasil
  • 2. 2 El participante aprenderá más sobre: • La situación del outsourcing en el Gobierno Federal brasileño • Los desafíos de cumplimiento para las contrataciones de TI en el sector público brasileño • La relación entre outsourcing y gobierno de TI • Evaluación del gobierno de TI en el sector público • Evaluación de outsourcing en el sector público • La importancia del cumplimiento para el sector público brasileño
  • 3. 3 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 4. 4 Misión: asegurar que la gestión de los recursos públicos sea legal, efectiva y en provecho de la sociedad. Tribunal de Cuentas de la Unión (la EFS del Brasil)
  • 5. 5 La actuación del TCU ocurre en dos frentes … • Perfeccionamiento de la Administración Pública Federal. • Combate al desvío de dinero público, a la fraude y a la corrupción.
  • 6. 6 Actuación • ¿Dónde? – ¡Dónde hay dinero federal! • ¿En quién? – Cualquiera que lo emplee o cobre. • ¿Aplicado en qué? – Todo: obras, medicamentos, ..., y TI.
  • 7. 7 Secretaría de Fiscalización de Tecnología de la Información - Sefti Creada en agosto, 2006
  • 8. 8 Referencial Estratégico da Sefti • Negocio: Control Externo del Gobierno de Tecnología de la Información en la Administración Pública Federal. • Misión: Asegurar que la Tecnología de la Información agregue valor al negocio de la Administración Pública Federal en beneficio de la sociedad.
  • 9. 9 Algunos trabajos (2007) • Sistema Infoseg (informaciones criminales de varias provincias de Brasil) – gestión de la seguridad, control de acceso y consistencia de datos. • Contabilización de la recaudación de tributos (varios sistemas) – integridad, consistencia y disponibilidad de datos. • Sistema Siape (módulo de consignaciones) – gestión de la seguridad, control de acceso y fraude. • Este trabajo – evaluación del gobierno de TI y compliance del outsourcing.
  • 10. 10 Proceso decisorio en el TCU Ministro Relator TCU (9 ministros) Sefti Informe de los auditores Informe, Voto y Propuesta de Sentencia (Acórdão) JuzgamientoSentencia (Acórdão)
  • 11. 11 ¿Cómo actuar en tan amplio contexto? • Reconociendo los problemas y actuando en los agentes multiplicadores – SLTI/MP: adquisiciones y gobierno de TI – GSI/PR: seguridad de la información – SOF/MP: presupuesto – SEGES/MP: personal – Enap: capacitación – CGU: riesgos y control – AGU: legalidad – CNJ: todo para el poder judicial – TCE, TCM: replicación para las provincias y municipios – Sepin/MCT, STI/MDIC: política de informática
  • 12. 12 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 13. 13 ¿Cómo empezar trabajos de fiscalización de TI en el sector público sin datos para evaluar el riesgo?
  • 14. 14 Estrategia de Sefti en tres pasos • ¿Cuáles son los requerimientos legales aplicables? – “Acórdão 1.934/2007-TCU-Plenário” • ¿Dónde está el dinero invertido con TI? – “Acórdão 371/2008-TCU-2ªCâmara” • ¿Qué órganos del gobierno tienen poca madurez en gobierno de TI? – “TC 008.380/2007-1”, no juzgado.
  • 15. 15 Paso 1: ¿Cuáles son los requerimientos legales aplicables?
  • 16. 16 ¿Cuál es la importancia del cumplimiento para el sector público brasileño ? Derecho público versus Derecho privado
  • 17. 17 ¿Cuáles son (y dónde se ven) los requerimientos legales aplicables? ME 3.1 Regimento interno Ley 8.666/93 Ley 10.520/05 Ley 123/06 Decreto 2.271/97 Y mucho más, de mucho lugares MS STF 24.548 Enunciado TST 331 Acórdão TCU 786/03 IN 18/97
  • 18. 18 ¿Cómo identificar una base de requerimientos legales, regulatorios y contratuales (ME 3.1)? Iniciativa del TCU: base (inicial)
  • 19. 19 Paso 2: ¿Dónde está el dinero invertido con TI?
  • 20. 20 Relevancia del desembolso • Hoy, no es posible identificar precisamente el gasto con TI en la Administración Pública Federal – Ni el gasto autorizado ni el gasto ejecutado • Hay proyecciones de que fueron cerca de US$ 3 mil millones en 2006 – fuente: Siafi - Sistema Integrado de Informaciones Financieras del Gobierno Federal (considerando 1 US$ = 2 R$)
  • 21. 21 Software de base 0,41% Manutención de equipos 1,78% Locación de software 2,39% Consumibles (cartuchos,...) 5,83% Outsourcing 60,15% Despesas de Teleproc. 7% Equipos 13,59% Software de aplicación 5,55% Manutención de software 3,93% Fuente: TC 007.972/2007-8 Origen de la clasificación: Portaría STN 448/02 Clasificación del desembolso (2006) Comunicación -
  • 22. 22 Paso 3: ¿Qué órganos del gobierno tienen poca madurez en gobierno de TI?
  • 23. 23 Desarrollo del trabajo • Cuestionario electrónico para los 300 principales órganos del gobierno federal. • Las contestaciones fueron declarativas, con solicitación para juntar evidencias.
  • 24. 24 Desarrollo del trabajo • El cuestionario fue compuesto por 39 cuestiones: – Planeamiento estratégico de TI – Estructura de personal de TI – Seguridad de la información – Desarrollo de sistemas – Gestión del SLA – Proceso de contratación de TI – Gestión de contratos de TI – Controle de gastos de TI – Realización de auditorias de TI por los órganos
  • 25. 25 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 26. 26 Relevancia de la información • TI es sector estratégico (también) en la Administración Pública y sus problemas son grandes vulnerabilidades en los órganos. • Las sentencias (“acórdãos”) del TCU indican que muchos órganos públicos están practicando “full outsourcing” sin hacer control.
  • 27. 27 Sentencias del TCU sobre outsourcing de TI 0 50 100 150 200 250 300 350 400 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Ano Númerodedeliberaçõesnoano Fuente: sistema de almacenamiento de sentencias del TCU
  • 28. 28 Algunos ejemplos no tan buenos... • Unisys – “Decisão 1.459/2002-TCU-Plenário” • Datamec (Unysis) – “Acórdão 2.023/2005-TCU-Plenário” • IBM – “Acórdão 355/2006-TCU-Plenário” • Politec – “Acórdão 71/2007-TCU-Plenário” • Sagen/Iafis – “Acórdão 889/2007-TCU-Plenário”
  • 29. 29 El problema no es hacer outsourcing ... • La propia ley (“Decreto-Lei 200/67”) determina que se haga... – Tareas ejecutivas deben ser contratadas cuando la iniciativa privada esté suficientemente desarrollada y capacitada para desempeñarla – Tareas de planeamiento, coordinación, supervisión y control deben ser de responsabilidad de la administración
  • 30. 30 El problema es hacerlo mal... • Es no saber qué, ni cómo hacerlo. • Es no evaluar los riesgos: – ¿Estamos haciendo outsourcing de actividades estratégicas? – ¿Tenemos gente para controlar el outsourcing? – ¿La gente que tenemos está capacitada? • Es no crear controles: – Ahora, ¿cómo crear controles sin procesos de contratación y de gestión contratual? • Es verse completamente dependiente de los terceros: – ¿Tenemos un plan “B”?
  • 31. 31 ¡El problema es hacer outsourcing sin estrategia!
  • 32. 32 Cuando se necesita hacer mucho outsourcing, la estrategia para hacerlo es decisiva para un buen gobierno de TI.
  • 33. 33 Objetivos estratégicos de TI Contractos Instrumento para alcanzar Aliñados Planeamiento estratégico y contrataciones Objetivos estratégicos institucionales Desmembrados Enderezan
  • 34. 34 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 35. 35 Origen • “Acórdão 1.558/2003 - TCU - Plenário” – Las unidades técnicas del TCU deben hacer estudios sobre “los parámetros que se deben evaluar en las contrataciones de servicios técnicos de informática” • “Acórdão 2.094/2004 - TCU – Plenário” – Las unidades técnicas del TCU deben evaluar (otra vez) si las adquisiciones de TI son legales y oportunas
  • 36. 36 Origen • “Acórdão 140/2005 - TCU - Plenário” – Las unidades técnicas del TCU deben evaluar la estructura de recursos humanos de los sectores de informática y verificar si las actividades de planeamiento estratégico de informática, coordinación, fiscalización y control de las acciones del sector de TI son ejecutadas por agentes públicos
  • 37. 37 Objetivo • Evaluar el outsourcing en los sectores de TI de los órganos del gobierno federal seleccionados, en especial la adecuación de la estructura de la unidad y sus procesos de adquisición y gestión de servicios. • Y con eso, inducir que el perfeccionamiento del gobierno de TI en el sector público brasileño ocurra como política de gobierno, y no como iniciativas aisladas.
  • 38. 38 Órganos auditados • 12 unidades – 6 ministerios, – 2 tribunales, – 2 bancos, – 1 universidad, – 1 empresa pública. • Muestreo no estadístico. • Creíamos que la mayor parte de ellos tenía poca madurez en gobierno de TI, pero necesitábamos evidenciar.
  • 39. 39 Criterios de auditoría • Cobit 4.1. • NBR 27002 (basada en ISO 27002). • Parámetros para contrataciones de servicios: – Estudios del “Acórdão 1.558/2003 - TCU – Plenário”
  • 40. 40 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 41. 41 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad Guía de auditoría de conformidad del TCU
  • 42. 42 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Pregunta de auditoría  Información necesaria  Fuentes de información  Técnicas de auditoría  Limitaciones  Probables hallazgos
  • 43. 43 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Pregunta de auditoría  Procedimientos  Procedimientos pormenorizados  Técnicas  Responsable  Periodo  Hallazgo (hecho durante la ejecución)
  • 44. 44 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Descripción  Situación de hecho  Criterios  Evidencias  Causas  Efectos  Camino propuesto  Beneficio del camino propuesto
  • 45. 45 Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Auditoría de conformidad  Hallazgo  Responsable  Periodo  Conducta  Nexo de causalidad  Culpabilidad
  • 47. 47 FOC • Fiscalización de Orientación Centralizada • Una fiscalización o un conjunto de fiscalizaciones con preparación centralizada, ejecución descentralizada de los trabajos y consolidación de los resultados.
  • 48. 48 Objetivo de una FOC • Evaluar, de forma sistémica, una función, un programa, un proyecto, un área, un tema o una acción del gobierno… • … para construir una visión general de las situaciones verificadas. • Así, se deben identificar los descumplimientos que son relevantes para … • … proponer perfeccionamiento de la sistemática de control, de la legislación o de la forma de conducción del programa o acción
  • 49. 49 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 50. 50 ¿De qué procesos escoger los controles para auditar? • Considerando que fue una evaluación nunca vista en el sector público brasileño, y la ausencia de parámetros de evaluación de riesgo, definimos los criterios a seguir. • En el dominio PO, escogimos aquellos de alta importancia, los asociados a la estructura del sector de TI (atendiendo al “Acórdão 140/2005 - TCU – Plenário”) y lo asociado a presupuesto (que es obligación legal en sector público): – PO1, PO4, PO5, PO7, PO9, PO10
  • 51. 51 ¿De qué procesos escoger los controles para auditar? • En el dominio AI escogimos el proceso considerado de alta importancia (AI6) y aquel ligado al outsourcing (AI5), objeto del “Acórdão 2.094/2004 - TCU – Plenário”. • En el dominio DS escogimos los procesos de alta importancia (DS5 y DS11) y lo que está asociado a la continuidad del negocio (DS4).
  • 52. 52 ¿De qué procesos escoger los controles para auditar? • En el dominio ME solamente dejamos de escoger el proceso ME4 por considerarlo de alta complejidad de implementación. • Una pregunta sobre planeamiento de negocio a largo plazo, del cual depende el alineamiento estratégico, completa la elección.
  • 53. 53 Esta parte de la auditoría tuvo 14 preguntas de auditoría con 32 posibles hallazgos.
  • 54. 54 Recordando … • Los resultados obtenidos se refieren apenas a los 12 órganos auditados. • La selección de los órganos se basó en el conocimiento previo de que tenían poca madurez en gobierno de TI.
  • 55. 55 Principales resultados obtenidos • La cultura de planeamiento a largo plazo es casi nula. • Aunque hay comités de TI establecidos, estos generalmente no operan. • En general, los sectores de TI están posicionados de forma inadecuada en la estructura organizacional. • Casi siempre hay algún rol sensible no definido, sin responsable u ocupado por un tercero.
  • 56. 56 Principales resultados obtenidos • No hay suficiente personal de TI en número y calificación. • En los ministerios, no hay política de personal de TI (carrera específica). • Muchas veces, hay algún proceso dependiente de apenas una única persona. • Casi nunca hay políticas para la seguridad de la información (PSI, PCA, backup), y cuando hay, no son efectivas.
  • 57. 57 Principales resultados obtenidos • Prácticamente no hay cultura de gestión del riesgo, y consecuentemente no hay PCN. • No hay proceso de trabajo formal para las contrataciones de TI (lo que es causa de varios problemas, como veremos adelante). • No hay cultura de monitorear los procesos. • Hay poca cultura de gestión de proyectos.
  • 58. 58 Principales resultados obtenidos ¡Pero, hay buenas prácticas a seguir!
  • 59. 59 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 60. 60 ¿Cuáles son los mayores riesgos? • Aquellos comúnmente vistos en los procesos que pasan por el TCU, en cada fase de una contratación – Planeación de la contratación – Selección del proveedor – Gestión del contrato
  • 61. 61 Esta parte de la auditoría tuvo 11 preguntas de auditoría con 43 posibles hallazgos.
  • 62. 62 Recordando … • Los resultados obtenidos se refieren apenas a los 12 órganos auditados. • La selección de los órganos se basó en el conocimiento previo de que tenían poca madurez en gobierno de TI.
  • 63. 63 Principales resultados obtenidos • No hay estrategia para hacer outsourcing. • Comúnmente se hace “full outsourcing” (contratos paraguas). • Normalmente no se define el SLA y, consecuentemente, casi siempre se contrata por esfuerzo (HH) y no por resultado (favoreciendo el paradigma lucro- incompetencia). • Casi nunca se usa el “pregão” (remate reverso), que deberia ser la regla, lo que disminuye la trasparencia. • Los criterios para seleccionar el proveedor son demasiado restrictivos.
  • 64. 64 Principales resultados obtenidos • Son pobres los mecanismos de gestión previstos en los contratos: – Protocolo de interacción; – Método para evaluar cuantitativamente el servicio; – Método para evaluar cualitativamente el servicio; – Cláusulas de penalidades son demasiadas genéricas (y por lo tanto non son aplicables). • Hay fallas en los métodos para estimar el precio de los servicios. • Hay fallas en los procedimientos de evaluación de las propuestas.
  • 65. 65 Principales resultados obtenidos • Casi nunca hay como rastrear el servicio ejecutado. • Muchas veces no se mantienen las condiciones iniciales de la contratación. • No se tiene hábito de aplicar las penalidades. • Algunas veces no se exige la garantía contractual. • Casi siempre hay fallas en los ajustes contractuales.
  • 66. 66 Principales resultados obtenidos ¡ Pero, hay buenas prácticas a seguir!
  • 67. 67 De los 75 posibles hallazgos, apenas 4 no fueron encontrados.
  • 68. 68 Agenda • Conceptualización del TCU • Outsourcing en el Gobierno Federal Brasileño • Relación entre outsourcing y gobierno de TI • Origen, objetivo y criterios de auditoría • El método utilizado • Evaluación de gobierno de TI • Evaluación de outsourcing • Consideraciones finales
  • 69. 69 El escenario descrito es resultado de que el tema perfeccionamiento del Gobierno de TI no había entrado en la agenda del sector público brasileño como política de gobierno, pero había iniciativas aisladas. Y así, es función del TCU inducir esa política.
  • 70. 70 ¡Pero, el gobierno federal brasileño reaccionó rápido!
  • 71. 71 Acciones completadas o en ejecución • Base de requerimientos legales (ME3) • Segregación del presupuesto de TI (PO5) • Proceso formal de contratación de TI para todo el gobierno federal, con gestión de riesgos (AI5, PO9) • Creación de carrera para profesionales de TI en gobierno federal (PO7) • Capacitación en gestión de TI (PO7)
  • 72. 72 Acción necesaria • Desarollo de un framework de gobierno de TI para el sector público (ME4).
  • 73. 73 Mensaje final • 1º - Las personas • 2º - Los procesos
  • 74. 74 El participante aprenderá más sobre: • La situación del outsourcing en el Gobierno Federal brasileño • Los desafíos de cumplimiento para las contrataciones de TI en el sector público brasileño • La relación entre outsourcing y gobierno de TI • Evaluación del gobierno de TI en el sector público • Evaluación de outsourcing en el sector público • La importancia del cumplimiento para el sector público brasileño
  • 76. 76 Gracias Renato Braga, CISA Tribunal de Cuentas de la Unión (Brasil) bragacr@tcu.gov.br http://www.tcu.gov.br/fiscalizacaoti sefti@tcu.gov.br
  • 77. 77 Latin CACS 2009 San José de Costa Rica 14 al 16 de Septiembre de 2009 Te esperamos. Pura Vida!
  • 78. 78
  • 79. 79