Unidad especializada de auditoría de TI – experiencia en el sector gobierno de Brasil

Unidad especializada en auditoría de TI –
experiencia en el sector gobierno de Brasil
Renato Braga, CISA
Gerente de Auditoría
Tribunal de Cuentas de la Unión (Brasil)
Lima, 27 de octubre de 2009.
Unidad especializada de auditoría de TI –
1

Sobre el presentador.
Gerente en la Secretaría de Fiscalización de
Tecnología de la Información (Sefti) del
Tribunal de Cuentas de la Unión (TCU – la
EFS de Brasil). Las principales actividades
desarrolladas son la supervisión, la
coordinación y la ejecución de auditorías de
Tecnología de la Información en los órganos
de la Administración Pública Federal del
Brasil. Tuve participación directa (ejecución,
coordinación o supervisión) o indirecta (en
los debates) en todos los trabajos de
estructuración de la Sefti/TCU.
Renato Braga, CISA
Tribunal de Cuentas de la Unión
(Brasil)
{Su foto}
2

El participante aprenderá más sobre:
• Las diferencias entre unidades de auditoría
especializada y general
• Los pasos para estructurar una unidad de auditoría de TI
• Cómo la auditoría de TI puede ser vista así como una
auditoría integrada
• Los diferentes abordajes de auditoría de TI
• Los principales resultados de la nueva unidad
especializada del TCU
3

Agenda
• ¿Por qué el TCU creó una unidad especializada en
auditoría de TI?
• Abordajes de auditoría de TI
• Pasos para la estructuración de la Sefti
• Referencial estratégico – primera parte
• Evolución de la estructura organizacional
• Principales resultados obtenidos
• Próximos pasos
4

Misión: asegurar que la gestión de los recursos públicos sea legal,
efectiva y en provecho de la sociedad.
(la EFS del Brasil)
5

Actuación
• ¿Dónde?
– ¡Dónde hay dinero federal!
• ¿En quién?
– Cualquiera que lo emplee o cobre.
• ¿Aplicado en qué?
– Todo: obras, medicamentos, personal, ..., y …
– … tecnología de la información.
6

Proceso decisorio en el TCU
7

¿Cómo actuar en tan amplio contexto?
• Reconociendo los problemas y actuando en los agentes
multiplicadores
– SLTI/MP: adquisiciones y gobierno de TI
– GSI/PR: seguridad de la información
– SOF/MP: presupuesto
– SEGES/MP: personal
– Enap: capacitación
– CGU: riesgos y control
– AGU: legalidad
– CNJ: todo para el poder judicial
– TCE, TCM: replicación para las provincias y las municipalidades
– Sepin/MCT, STI/MDIC: política de informática
8

Beneficios de la actuación del TCU
(2008)
1 real
27,8 reales
Se pueden obtener más informaciones en la dirección http://www.tcu.gov.br/
(en los informes de las actividades desarrolladas)
9

Trabajos pioneros en auditoría de TI
• Trabajos iniciales tuvieron buenos resultados (1994-
2006)
– Varias auditorías de TI
– Entrenamientos
– Cartilla sobre buenas prácticas en seguridad de la información
(orientando a los agentes públicos)
• Participación en el comité de auditoría de TIC de la
Organización Internacional de Entidades Fiscalizadoras
Superiores (Intosai, por sus siglas en inglés) desde
1997.
10
10

Sentencias del TCU sobre
contrataciones de TI
0
50
100
150
200
250
300
350
400
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Ano
Númerodedeliberaçõesnoano
Fuente: sistema de almacenamiento de sentencias del TCU
11

experiencia en el sector gobierno de Brasil 12
Creación de la Sefti
• En agosto de 2006 (Resolución TCU n.º 193/2006)
– “La Secretaría de Fiscalización de la Tecnología de la
Información (Sefti) tiene por finalidad fiscalizar la gestión y el
uso de los recursos de tecnología de la información por la
Administración Pública Federal” (texto adaptado).
12

Organización matricial
• Algunas unidades del TCU actúan por órganos,
independiente del tema auditado …
• …otras actúan por temas, independiente del órgano
auditado (unidades especializadas):
– Recursos
– Macro evaluación gubernamental
– Personal
– Obras
– Programas del gobierno
– Desestatización
– Tecnología de la Información
• Así, las especializadas tienen dos focos:
– interno y externo
13

Agenda
auditoría de TI?
• Próximos pasos
14

Perfil de auditores de TI (Intosai)
• Auditor generalista (de negocio)
• Auditor de TI
• Auditor de TI especialista
• Opción de la Sefti – Auditores de TI, a causa de la
dificultad y del costo de mantener auditores de TI
especialistas.
15

Diferentes abordajes
Gobierno de TI
Seguridad de la información
Sistemas de información
Datos
Infraestructura de TI
Contrataciones
Programas y politicas
Auditorías
operacionales
o de
conformidad
Fuente: Manual de auditoría de TI del TCU (en revisión)
16

Así, combinaciones de los abordajes en
un mismo trabajo lleva al concepto de
auditorías integradas.
17

Agenda
auditoría de TI?
• Próximos pasos
18

En 2007, se planearon 5 trabajos,
pero solo 4 fueron ejecutados
• Los requisitos legales
• Las inversiones
• Las debilidades de los órganos
• El riesgo (hecho este año)
• El benchmarking
19

Paso 1: Identificar los requisitos
normativos aplicables
20

¿Cuál es la importancia de la conformidad
(compliance) para el sector público de
Brasil?
Derecho público
versus
Derecho privado
21

¿Cuáles son (y dónde se ven) los
requerimientos legales aplicables?
ME 3.1ME 3.1
Regimiento
interno
Ley 8.666/93
Ley 10.520/05
Ley 123/06
Decreto
2.271/97
Y mucho más,
de mucho lugares
MS
STF 24.548
Sentencia
TST 331
Sentencia
TCU 786/03
IN 04/08
22

Esto hace que la vida sea ...
• Hay previsión en ley
de que se haga una
consolidación de toda
la legislación de Brasil.
• Noticia en el sitio del
Congreso Brasileño
informa que son más
de 177 mil normativos
válidos (de todas las
áreas).
23

¿Cómo identificar una base
de requerimientos legales,
regulatorios y contractuales
(Cobit 4.1, ME 3.1)?
Iniciativa del TCU:
base (inicial)
24

Paso 2: Identificar dónde ocurren las
inversiones en TI
25

Relevancia del desembolso
• En 2007, no era posible identificar precisamente lo
desembolsado en TI en la Administración Pública
Federal
– Ni lo autorizado ni lo ejecutado
• Hay proyecciones de que fueron cerca de US$ 3 mil
millones en 2006
– fuente: Siafi - Sistema Integrado de Informaciones Financieras
del Gobierno Federal (considerando 1 US$ = 2 R$)
26

¡Pero esto ya cambió!
• La ley fue alterada a causa de este trabajo y los agentes
públicos deben hacer la previsión y acompañar los
gastos con TI (Cobit 4.1, PO5 – Gerenciar inversiones
en TI).
• Mayor independencia para los sectores de TI, y también
¡más responsabilidad!
27

Software de base
0,41%
Manutención de
equipos
1,78% Locación de software
2,39%
Consumibles
(cartuchos,...)
5,83%
Outsourcing
60,15%
Despesas de Teleproc.
7%
Equipos
13,59%
Software de aplicación
5,55%
Manutención de
software
3,93%
Fuente: TC 007.972/2007-8
Origen de la clasificación: Portaría STN 448/02
Clasificación del desembolso (2006)
Comunicación
28
Terceirización

Paso 3: Identificar cómo está el gobierno
de TI en los órganos del gobierno federal
29

Algunos datos del trabajo
• Herramienta: cuestionario electrónico
• Respuestas debían tener evidencias en anexo
• 39 preguntas
• Cerca de 250 órganos
• Resultado: heterogeneidad
• Situación preocupante: no había gobierno de TI, había
“desgobierno” de TI.
30

Pero esto está cambiando
muy rápido ...
• A causa de dos trabajos de la Sefti (ese y una
evaluación de outsourcing y gobierno de TI), el gobierno
de TI entró en la agenda del gobierno federal de Brasil y
la situación cambia cada día, con diversas acciones en
andamiento:
– Veremos más adelante
31

Paso 4: Crear la matriz de riesgos para
seleccionar los objetos (órganos,
programas, contractos, ect.) para auditar
No tuvimos gente para hacerlo en 2007, pero
fue hecho este año
(aún no fue juzgado).
32

Paso 5: Informaciones para el referencial
estratégico
33

Algunos datos del trabajo
• Objetivo: Identificar lo que las otras unidades del
TCU esperaban de la nueva unidad y cómo trabajan
las unidades de auditoría de TI de otras
organizaciones
• Técnicas: Entrevistas y encuestas
• 46 unidades del TCU
• 24 organizaciones externas (públicas y privadas)
• 25 Entidades de Fiscalización Superior
• 13 Tribunales de Cuentas del Brasil
34

Productos obtenidos
• Base de datos sobre auditoría de TI
• Propuestas de como la Sefti deberá actuar
• Plan de divulgación permanente de la Sefti
• La forma cómo debe darse el desarrollo profesional para
los auditores de TI
• Oportunidades de actuación en cooperación
• Propuesta de la forma de selección de los nuevos
auditores por concurso público
35

Productos obtenidos
• Modelos y procedimientos de auditoría de otras
unidades del TCU
• Rol de herramientas de apoyo a la auditoría de TI
• Relación de criterios de auditoría de TI
• Rol para control de calidad de las auditorías de la Sefti
• Propuesta de contenido y de estructura del sitio de la
Sefti en Internet
36

Agenda
auditoría de TI?
• Próximos pasos
37

Referencial Estratégico de la Sefti
• Negocio: Control Externo del Gobierno
de Tecnología de la Información en la
Administración Pública Federal.
38

• Misión: Asegurar que la Tecnología de la
Información agregue valor al negocio de
la Administración Pública Federal en
beneficio de la sociedad.
39

• Visión: Ser unidad de excelencia en el
control y en el perfeccionamiento del
gobierno de Tecnología de la
Información.
40

Macro procesos
Control Externo de TI
Capacitación
Definición de
métodos y
técnicas
Gestión del
conocimiento
Comunicación
Procesos de sustentación
Consultoría Formal o
Informal
En los diversos
abordajes
41

Se pueden accesar a partir de:
http://www.tcu.gov.br/fiscalizacaoti
Macro proceso - Comunicación
42

Agenda
auditoría de TI?
• Próximos pasos
43

Estructura organizacional
Antes (hasta 2008)
• dos subunidades con
atribuciones distintas
• una subunidad más de
apoyo administrativo
Hoy (2009)
• tres subunidades con
atribuciones iguales, a
causa de la tendencia de
hacer auditoría integrada
• una subunidad más de
apoyo administrativo
44

Agenda
auditoría de TI?
• Próximos pasos
45

Ejemplos de medidas pontuales
46

Sistema Infoseg
• Informaciones criminales de varias provincias de Brasil
– gestión de la seguridad, control de acceso y consistencia de
datos.
47

Recaudación
• Contabilización de la recaudación de tributos (varios
sistemas)
– integridad, consistencia y disponibilidad de los datos.
Avadas Darf
Darf
Recolhimento
SPB
Siafi Ancora
CIDA,
ITR
Irregularidades
Siafi
Clacon
Tabelas de
Classificação
SIPAG
Darf
Pagamentos
Restituições
Retificações
Compensações
(SRF)
Fita 50
Siafi
Informações
de recolhimento
Darf
Tabelas de
Conversão
Risco 1
Risco 3
Risco 4
Sistemas
da SRF
Risco 2
Agentes
da RARF
Informações
de recolhimento
Informações
de recolhimento
48

Sistema Siape
• En el módulo de consignaciones
– gestión de la seguridad, control de acceso y fraude.
49

Ejemplos de medidas estructurantes
50

En conformidad..
• Base de requerimientos legales (ME3)
– http://www.tcu.gov.br/fiscalizacaoti
– Deberá ser mantenido por el Ministerio del Planeamiento
(“Acórdão 2.471/2008-Plenário”)
51

En el presupuesto...
• Segregación del presupuesto de TI (PO5)
– “Acórdão 371/2008-Plenário (Relação 14/2008 - Gab. do Min.
Guilherme Palmeira – Plenário)”, en el proceso TC
007.972/2007-8.
– Ley 12.017/2009 (LDO 2009/2010).
52

En contratación de servicios ...
• Proceso de contratación de TI para todo el gobierno
federal, con gestión de riesgos (AI5, PO9)
– “Acórdão 786/2006-Plenário”
– “Acórdão 1.480/2007-Plenário”
– “Acórdão 1.999/2007-Plenário”
– “IN 04/2008-SLTI”
53

54
En Gobierno de TI ...
• “Acórdão 1.603/2008-Plenário”
– Resolución CNJ 70/2008 (PO1)
– Aprobación de varios PDTI (PO1)
– Implantación de varios comités de TI (PO4)

• “Acórdãos” 1.603/2008 y 2.471/2008, del Plenario
(Normas de seguridad de la información - DS5)
– Reglas del Consejo de Defensa Nacional de Brasil para Gestión
de Riesgos de la Seguridad de la Información y Comunicación y
creación de Equipos de Tratamiento y Respuestas a Incidentes
en Redes de Computadoras
55

• “Acórdão 2.471/2008-Plenário”
– Creación de carrera para profesionales de TI en gobierno
federal (PO7)
– Capacitación en gestión de TI (PO7)
– Creación de un framework de gobierno de TI para el sector
público (ME4) – en estudio
56

¿Cómo proponer medidas estructurantes?
Normalmente, las proponemos
después de hacer una FOC.
57

FOC
• Fiscalización de Orientación Centralizada
• Una fiscalización o un conjunto de fiscalizaciones con
preparación centralizada, ejecución descentralizada de
los trabajos y consolidación de los resultados.
58

Objetivo de una FOC
• Evaluar, de forma sistémica, una función, un programa,
un proyecto, un área, un tema o una acción del
gobierno…
• … para construir una visión general de las situaciones
verificadas.
• Así, se deben identificar los descumplimientos que son
relevantes para …
• … proponer perfeccionamiento de la sistemática de
control, de la legislación o de la forma de conducción del
programa o acción.
59

60
Agenda
auditoría de TI?
• Próximos pasos

61
Acciones
• Mantener nuestra posición.
• Completar nuestro referencial estratégico.
• Mayor aproximación con el Congreso Nacional.
• Definir un proceso para elección de los objetos para
auditar.
• Perfeccionamiento de la calidad de los trabajos con
base en las normas internacionales (IIA, Intosai e Isaca),
cuando sean aplicables.

Información de contacto
bragacr@tcu.gov.br
http://www.tcu.gov.br/fiscalizacaoti
62
Renato Braga, CISA
(Brasil)

Preguntas y Respuestas
63

¡Muchas gracias por
su atención!
64

Unidad especializada de auditoría de TI – experiencia en el sector gobierno de Brasil

Recommended

Recommended

More Related Content

Similar to Unidad especializada de auditoría de TI – experiencia en el sector gobierno de Brasil

Similar to Unidad especializada de auditoría de TI – experiencia en el sector gobierno de Brasil (20)

Recently uploaded

Recently uploaded (19)

Unidad especializada de auditoría de TI – experiencia en el sector gobierno de Brasil