Habitos_atomicos_ como cambiar de vida tomando decisiones
Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño
1. 1
Sesión # 341
Evaluación de outsourcing y gobierno de
TI en el sector público: experiencia del
Gobierno Brasileño
Renato Braga, CISA
Tribunal de Cuentas de la Unión - TCU
Brasil
2. 2
El participante aprenderá más
sobre:
• La situación del outsourcing en el Gobierno
Federal brasileño
• Los desafíos de cumplimiento para las
contrataciones de TI en el sector público brasileño
• La relación entre outsourcing y gobierno de TI
• Evaluación del gobierno de TI en el sector público
• Evaluación de outsourcing en el sector público
• La importancia del cumplimiento para el sector
público brasileño
3. 3
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
4. 4
Misión: asegurar que la gestión de los recursos públicos sea
legal, efectiva y en provecho de la sociedad.
Tribunal de Cuentas de la Unión
(la EFS del Brasil)
5. 5
La actuación del TCU ocurre en
dos frentes …
• Perfeccionamiento de la Administración
Pública Federal.
• Combate al desvío de dinero público, a la
fraude y a la corrupción.
6. 6
Actuación
• ¿Dónde?
– ¡Dónde hay dinero federal!
• ¿En quién?
– Cualquiera que lo emplee o cobre.
• ¿Aplicado en qué?
– Todo: obras, medicamentos, ..., y TI.
8. 8
Referencial Estratégico da Sefti
• Negocio: Control Externo del Gobierno de
Tecnología de la Información en la
Administración Pública Federal.
• Misión: Asegurar que la Tecnología de la
Información agregue valor al negocio de la
Administración Pública Federal en
beneficio de la sociedad.
9. 9
Algunos trabajos (2007)
• Sistema Infoseg (informaciones criminales de
varias provincias de Brasil)
– gestión de la seguridad, control de acceso y
consistencia de datos.
• Contabilización de la recaudación de tributos
(varios sistemas)
– integridad, consistencia y disponibilidad de datos.
• Sistema Siape (módulo de consignaciones)
– gestión de la seguridad, control de acceso y fraude.
• Este trabajo
– evaluación del gobierno de TI y compliance del
outsourcing.
10. 10
Proceso decisorio en el TCU
Ministro
Relator
TCU
(9 ministros)
Sefti
Informe de
los auditores
Informe, Voto y
Propuesta de Sentencia (Acórdão)
JuzgamientoSentencia (Acórdão)
11. 11
¿Cómo actuar en tan amplio
contexto?
• Reconociendo los problemas y actuando
en los agentes multiplicadores
– SLTI/MP: adquisiciones y gobierno de TI
– GSI/PR: seguridad de la información
– SOF/MP: presupuesto
– SEGES/MP: personal
– Enap: capacitación
– CGU: riesgos y control
– AGU: legalidad
– CNJ: todo para el poder judicial
– TCE, TCM: replicación para las provincias y municipios
– Sepin/MCT, STI/MDIC: política de informática
12. 12
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
13. 13
¿Cómo empezar trabajos de
fiscalización de TI en el sector
público sin datos para evaluar el
riesgo?
14. 14
Estrategia de Sefti en tres pasos
• ¿Cuáles son los requerimientos legales
aplicables?
– “Acórdão 1.934/2007-TCU-Plenário”
• ¿Dónde está el dinero invertido con TI?
– “Acórdão 371/2008-TCU-2ªCâmara”
• ¿Qué órganos del gobierno tienen poca
madurez en gobierno de TI?
– “TC 008.380/2007-1”, no juzgado.
16. 16
¿Cuál es la importancia del
cumplimiento para el sector público
brasileño ?
Derecho público
versus
Derecho privado
17. 17
¿Cuáles son (y dónde se ven) los
requerimientos legales aplicables?
ME 3.1
Regimento
interno
Ley 8.666/93
Ley 10.520/05
Ley 123/06
Decreto
2.271/97
Y mucho más,
de mucho lugares
MS
STF 24.548
Enunciado
TST 331
Acórdão
TCU 786/03
IN 18/97
18. 18
¿Cómo identificar una
base de requerimientos
legales, regulatorios y
contratuales (ME 3.1)?
Iniciativa del TCU:
base (inicial)
20. 20
Relevancia del desembolso
• Hoy, no es posible identificar
precisamente el gasto con TI en la
Administración Pública Federal
– Ni el gasto autorizado ni el gasto ejecutado
• Hay proyecciones de que fueron cerca de
US$ 3 mil millones en 2006
– fuente: Siafi - Sistema Integrado de
Informaciones Financieras del Gobierno
Federal (considerando 1 US$ = 2 R$)
21. 21
Software de base
0,41%
Manutención de
equipos
1,78%
Locación de software
2,39%
Consumibles
(cartuchos,...)
5,83%
Outsourcing
60,15%
Despesas de Teleproc.
7%
Equipos
13,59%
Software de aplicación
5,55%
Manutención de
software
3,93%
Fuente: TC 007.972/2007-8
Origen de la clasificación: Portaría STN 448/02
Clasificación del desembolso (2006)
Comunicación
-
23. 23
Desarrollo del trabajo
• Cuestionario electrónico para los 300
principales órganos del gobierno federal.
• Las contestaciones fueron declarativas,
con solicitación para juntar evidencias.
24. 24
Desarrollo del trabajo
• El cuestionario fue compuesto por 39 cuestiones:
– Planeamiento estratégico de TI
– Estructura de personal de TI
– Seguridad de la información
– Desarrollo de sistemas
– Gestión del SLA
– Proceso de contratación de TI
– Gestión de contratos de TI
– Controle de gastos de TI
– Realización de auditorias de TI por los órganos
25. 25
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
26. 26
Relevancia de la información
• TI es sector estratégico (también) en la
Administración Pública y sus problemas
son grandes vulnerabilidades en los
órganos.
• Las sentencias (“acórdãos”) del TCU
indican que muchos órganos públicos
están practicando “full outsourcing” sin
hacer control.
27. 27
Sentencias del TCU sobre
outsourcing de TI
0
50
100
150
200
250
300
350
400
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Ano
Númerodedeliberaçõesnoano
Fuente: sistema de almacenamiento de sentencias del TCU
28. 28
Algunos ejemplos no tan buenos...
• Unisys
– “Decisão 1.459/2002-TCU-Plenário”
• Datamec (Unysis)
– “Acórdão 2.023/2005-TCU-Plenário”
• IBM
– “Acórdão 355/2006-TCU-Plenário”
• Politec
– “Acórdão 71/2007-TCU-Plenário”
• Sagen/Iafis
– “Acórdão 889/2007-TCU-Plenário”
29. 29
El problema no es hacer
outsourcing ...
• La propia ley (“Decreto-Lei 200/67”)
determina que se haga...
– Tareas ejecutivas deben ser contratadas
cuando la iniciativa privada esté
suficientemente desarrollada y capacitada
para desempeñarla
– Tareas de planeamiento, coordinación,
supervisión y control deben ser de
responsabilidad de la administración
30. 30
El problema es hacerlo mal...
• Es no saber qué, ni cómo hacerlo.
• Es no evaluar los riesgos:
– ¿Estamos haciendo outsourcing de actividades
estratégicas?
– ¿Tenemos gente para controlar el outsourcing?
– ¿La gente que tenemos está capacitada?
• Es no crear controles:
– Ahora, ¿cómo crear controles sin procesos de
contratación y de gestión contratual?
• Es verse completamente dependiente de los
terceros:
– ¿Tenemos un plan “B”?
34. 34
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
35. 35
Origen
• “Acórdão 1.558/2003 - TCU - Plenário”
– Las unidades técnicas del TCU deben hacer
estudios sobre “los parámetros que se deben
evaluar en las contrataciones de servicios
técnicos de informática”
• “Acórdão 2.094/2004 - TCU – Plenário”
– Las unidades técnicas del TCU deben evaluar
(otra vez) si las adquisiciones de TI son
legales y oportunas
36. 36
Origen
• “Acórdão 140/2005 - TCU - Plenário”
– Las unidades técnicas del TCU deben evaluar
la estructura de recursos humanos de los
sectores de informática y verificar si las
actividades de planeamiento estratégico de
informática, coordinación, fiscalización y
control de las acciones del sector de TI son
ejecutadas por agentes públicos
37. 37
Objetivo
• Evaluar el outsourcing en los sectores de TI de
los órganos del gobierno federal seleccionados,
en especial la adecuación de la estructura de la
unidad y sus procesos de adquisición y gestión
de servicios.
• Y con eso, inducir que el perfeccionamiento del
gobierno de TI en el sector público brasileño
ocurra como política de gobierno, y no como
iniciativas aisladas.
38. 38
Órganos auditados
• 12 unidades
– 6 ministerios,
– 2 tribunales,
– 2 bancos,
– 1 universidad,
– 1 empresa pública.
• Muestreo no estadístico.
• Creíamos que la mayor parte de ellos tenía
poca madurez en gobierno de TI, pero
necesitábamos evidenciar.
39. 39
Criterios de auditoría
• Cobit 4.1.
• NBR 27002 (basada en ISO 27002).
• Parámetros para contrataciones de
servicios:
– Estudios del “Acórdão 1.558/2003 - TCU –
Plenário”
40. 40
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
42. 42
Matriz de
Planeamiento
Matriz de
Procedimientos
Matriz de
Hallazgos
Matriz de
Responsabilidad
Auditoría de conformidad
Pregunta de auditoría
Información necesaria
Fuentes de información
Técnicas de auditoría
Limitaciones
Probables hallazgos
43. 43
Matriz de
Planeamiento
Matriz de
Procedimientos
Matriz de
Hallazgos
Matriz de
Responsabilidad
Auditoría de conformidad
Pregunta de auditoría
Procedimientos
Procedimientos pormenorizados
Técnicas
Responsable
Periodo
Hallazgo (hecho durante la ejecución)
44. 44
Matriz de
Planeamiento
Matriz de
Procedimientos
Matriz de
Hallazgos
Matriz de
Responsabilidad
Auditoría de conformidad
Descripción
Situación de hecho
Criterios
Evidencias
Causas
Efectos
Camino propuesto
Beneficio del camino propuesto
47. 47
FOC
• Fiscalización de Orientación Centralizada
• Una fiscalización o un conjunto de
fiscalizaciones con preparación
centralizada, ejecución descentralizada de
los trabajos y consolidación de los
resultados.
48. 48
Objetivo de una FOC
• Evaluar, de forma sistémica, una función, un
programa, un proyecto, un área, un tema o una
acción del gobierno…
• … para construir una visión general de las
situaciones verificadas.
• Así, se deben identificar los descumplimientos
que son relevantes para …
• … proponer perfeccionamiento de la sistemática
de control, de la legislación o de la forma de
conducción del programa o acción
49. 49
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
50. 50
¿De qué procesos escoger los
controles para auditar?
• Considerando que fue una evaluación nunca
vista en el sector público brasileño, y la
ausencia de parámetros de evaluación de
riesgo, definimos los criterios a seguir.
• En el dominio PO, escogimos aquellos de alta
importancia, los asociados a la estructura del
sector de TI (atendiendo al “Acórdão 140/2005 -
TCU – Plenário”) y lo asociado a presupuesto
(que es obligación legal en sector público):
– PO1, PO4, PO5, PO7, PO9, PO10
51. 51
¿De qué procesos escoger los
controles para auditar?
• En el dominio AI escogimos el proceso
considerado de alta importancia (AI6) y
aquel ligado al outsourcing (AI5), objeto
del “Acórdão 2.094/2004 - TCU –
Plenário”.
• En el dominio DS escogimos los procesos
de alta importancia (DS5 y DS11) y lo que
está asociado a la continuidad del negocio
(DS4).
52. 52
¿De qué procesos escoger los
controles para auditar?
• En el dominio ME solamente dejamos de
escoger el proceso ME4 por considerarlo
de alta complejidad de implementación.
• Una pregunta sobre planeamiento de
negocio a largo plazo, del cual depende el
alineamiento estratégico, completa la
elección.
53. 53
Esta parte de la auditoría
tuvo 14 preguntas de auditoría
con 32 posibles hallazgos.
54. 54
Recordando …
• Los resultados obtenidos se refieren
apenas a los 12 órganos auditados.
• La selección de los órganos se basó en el
conocimiento previo de que tenían poca
madurez en gobierno de TI.
55. 55
Principales resultados obtenidos
• La cultura de planeamiento a largo plazo es casi
nula.
• Aunque hay comités de TI establecidos, estos
generalmente no operan.
• En general, los sectores de TI están
posicionados de forma inadecuada en la
estructura organizacional.
• Casi siempre hay algún rol sensible no definido,
sin responsable u ocupado por un tercero.
56. 56
Principales resultados obtenidos
• No hay suficiente personal de TI en
número y calificación.
• En los ministerios, no hay política de
personal de TI (carrera específica).
• Muchas veces, hay algún proceso
dependiente de apenas una única
persona.
• Casi nunca hay políticas para la seguridad
de la información (PSI, PCA, backup), y
cuando hay, no son efectivas.
57. 57
Principales resultados obtenidos
• Prácticamente no hay cultura de gestión del
riesgo, y consecuentemente no hay PCN.
• No hay proceso de trabajo formal para las
contrataciones de TI (lo que es causa de varios
problemas, como veremos adelante).
• No hay cultura de monitorear los procesos.
• Hay poca cultura de gestión de proyectos.
59. 59
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
60. 60
¿Cuáles son los mayores riesgos?
• Aquellos comúnmente vistos en los
procesos que pasan por el TCU, en cada
fase de una contratación
– Planeación de la contratación
– Selección del proveedor
– Gestión del contrato
61. 61
Esta parte de la auditoría
tuvo 11 preguntas de auditoría
con 43 posibles hallazgos.
62. 62
Recordando …
• Los resultados obtenidos se refieren
apenas a los 12 órganos auditados.
• La selección de los órganos se basó en el
conocimiento previo de que tenían poca
madurez en gobierno de TI.
63. 63
Principales resultados obtenidos
• No hay estrategia para hacer outsourcing.
• Comúnmente se hace “full outsourcing” (contratos
paraguas).
• Normalmente no se define el SLA y, consecuentemente,
casi siempre se contrata por esfuerzo (HH) y no por
resultado (favoreciendo el paradigma lucro-
incompetencia).
• Casi nunca se usa el “pregão” (remate reverso), que
deberia ser la regla, lo que disminuye la trasparencia.
• Los criterios para seleccionar el proveedor son
demasiado restrictivos.
64. 64
Principales resultados obtenidos
• Son pobres los mecanismos de gestión
previstos en los contratos:
– Protocolo de interacción;
– Método para evaluar cuantitativamente el servicio;
– Método para evaluar cualitativamente el servicio;
– Cláusulas de penalidades son demasiadas genéricas
(y por lo tanto non son aplicables).
• Hay fallas en los métodos para estimar el precio
de los servicios.
• Hay fallas en los procedimientos de evaluación
de las propuestas.
65. 65
Principales resultados obtenidos
• Casi nunca hay como rastrear el servicio
ejecutado.
• Muchas veces no se mantienen las condiciones
iniciales de la contratación.
• No se tiene hábito de aplicar las penalidades.
• Algunas veces no se exige la garantía
contractual.
• Casi siempre hay fallas en los ajustes
contractuales.
67. 67
De los 75 posibles hallazgos,
apenas 4
no fueron encontrados.
68. 68
Agenda
• Conceptualización del TCU
• Outsourcing en el Gobierno Federal Brasileño
• Relación entre outsourcing y gobierno de TI
• Origen, objetivo y criterios de auditoría
• El método utilizado
• Evaluación de gobierno de TI
• Evaluación de outsourcing
• Consideraciones finales
69. 69
El escenario descrito es resultado de
que el tema perfeccionamiento del
Gobierno de TI no había entrado en
la agenda del sector público
brasileño como política de
gobierno, pero había iniciativas
aisladas.
Y así, es función del TCU inducir
esa política.
71. 71
Acciones completadas o en
ejecución
• Base de requerimientos legales (ME3)
• Segregación del presupuesto de TI (PO5)
• Proceso formal de contratación de TI para
todo el gobierno federal, con gestión de
riesgos (AI5, PO9)
• Creación de carrera para profesionales de
TI en gobierno federal (PO7)
• Capacitación en gestión de TI (PO7)
74. 74
El participante aprenderá más
sobre:
• La situación del outsourcing en el Gobierno
Federal brasileño
• Los desafíos de cumplimiento para las
contrataciones de TI en el sector público brasileño
• La relación entre outsourcing y gobierno de TI
• Evaluación del gobierno de TI en el sector público
• Evaluación de outsourcing en el sector público
• La importancia del cumplimiento para el sector
público brasileño