Sesión # 341. Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño

Transcripción

1 Sesión # 341 Evaluación de outsourcing y gobierno de TI en el sector público: experiencia del Gobierno Brasileño Renato Braga, CISA Tribunal de Cuentas de la Unión - TCU Brasil 1

2 El participante aprenderá más sobre: La situación del outsourcing en el Gobierno Federal brasileño Los desafíos de cumplimiento para las contrataciones de TI en el sector público brasileño La relación entre outsourcing y gobierno de TI Evaluación del gobierno de TI en el sector público Evaluación de outsourcing en el sector público La importancia del cumplimiento para el sector público brasileño 2

3 Agenda Conceptualización del TCU Outsourcing en el Gobierno Federal Brasileño Relación entre outsourcing y gobierno de TI Origen, objetivo y criterios de auditoría El método utilizado Evaluación de gobierno de TI Evaluación de outsourcing Consideraciones finales 3

4 Tribunal de Cuentas de la Unión (la EFS del Brasil) Misión: asegurar que la gestión de los recursos públicos sea legal, efectiva y en provecho de la sociedad. 4

5 La actuación del TCU ocurre en dos frentes Perfeccionamiento de la Administración Pública Federal. Combate al desvío de dinero público, a la fraude y a la corrupción. 5

6 Actuación Dónde? Dónde hay dinero federal! En quién? Cualquiera que lo emplee o cobre. Aplicado en qué? Todo: obras, medicamentos,..., y TI. 6

7 Secretaría de Fiscalización de Tecnología de la Información - Sefti Creada en agosto,

8 Referencial Estratégico da Sefti Negocio: Control Externo del Gobierno de Tecnología de la Información en la Administración Pública Federal. Misión: Asegurar que la Tecnología de la Información agregue valor al negocio de la Administración Pública Federal en beneficio de la sociedad. 8

9 Algunos trabajos (2007) Sistema Infoseg (informaciones criminales de varias provincias de Brasil) gestión de la seguridad, control de acceso y consistencia de datos. Contabilización de la recaudación de tributos (varios sistemas) integridad, consistencia y disponibilidad de datos. Sistema Siape (módulo de consignaciones) gestión de la seguridad, control de acceso y fraude. Este trabajo evaluación del gobierno de TI y compliance del outsourcing. 9

10 Proceso decisorio en el TCU Sefti Informe de los auditores Ministro Relator Informe, Voto y Propuesta de Sentencia (Acórdão) Sentencia (Acórdão) Juzgamiento TCU (9 ministros) 10

11 Cómo actuar en tan amplio contexto? Reconociendo los problemas y actuando en los agentes multiplicadores SLTI/MP: adquisiciones y gobierno de TI GSI/PR: seguridad de la información SOF/MP: presupuesto SEGES/MP: personal Enap: capacitación CGU: riesgos y control AGU: legalidad CNJ: todo para el poder judicial TCE, TCM: replicación para las provincias y municipios Sepin/MCT, STI/MDIC: política de informática 11

13 Cómo empezar trabajos de fiscalización de TI en el sector público sin datos para evaluar el riesgo? 13

14 Estrategia de Sefti en tres pasos Cuáles son los requerimientos legales aplicables? Acórdão 1.934/2007-TCU-Plenário Dónde está el dinero invertido con TI? Acórdão 371/2008-TCU-2ªCâmara Qué órganos del gobierno tienen poca madurez en gobierno de TI? TC /2007-1, no juzgado. 14

15 Paso 1: Cuáles son los requerimientos legales aplicables? 15

16 Cuál es la importancia del cumplimiento para el sector público brasileño? Derecho público versus Derecho privado 16

17 Cuáles son (y dónde se ven) los requerimientos legales aplicables? Regimento interno IN 18/97 Ley 8.666/93 Ley /05 ME 3.1 Acórdão TCU 786/03 Enunciado TST 331 Ley 123/06 MS STF Decreto 2.271/97 Y mucho más, de mucho lugares 17

18 Cómo identificar una base de requerimientos legales, regulatorios y contratuales (ME 3.1)? Iniciativa del TCU: base (inicial) 18

19 Paso 2: Dónde está el dinero invertido con TI? 19

20 Relevancia del desembolso Hoy, no es posible identificar precisamente el gasto con TI en la Administración Pública Federal Ni el gasto autorizado ni el gasto ejecutado Hay proyecciones de que fueron cerca de US$ 3 mil millones en 2006 fuente: Siafi - Sistema Integrado de Informaciones Financieras del Gobierno Federal (considerando 1 US$ = 2 R$) 20

21 Clasificación del desembolso (2006) Outsourcing 60,15% Equipos 13,59% Despesas Comunicación de Teleproc. 7% Software de base 0,41% - Consumibles (cartuchos,...) 5,83% Software de aplicación 5,55% Manutención de equipos 1,78% Fuente: TC / Origen de la clasificación: Portaría STN 448/02 Locación de software 2,39% Manutención de software 3,93% 21

22 Paso 3: Qué órganos del gobierno tienen poca madurez en gobierno de TI? 22

23 Desarrollo del trabajo Cuestionario electrónico para los 300 principales órganos del gobierno federal. Las contestaciones fueron declarativas, con solicitación para juntar evidencias. 23

24 Desarrollo del trabajo El cuestionario fue compuesto por 39 cuestiones: Planeamiento estratégico de TI Estructura de personal de TI Seguridad de la información Desarrollo de sistemas Gestión del SLA Proceso de contratación de TI Gestión de contratos de TI Controle de gastos de TI Realización de auditorias de TI por los órganos 24

26 Relevancia de la información TI es sector estratégico (también) en la Administración Pública y sus problemas son grandes vulnerabilidades en los órganos. Las sentencias ( acórdãos ) del TCU indican que muchos órganos públicos están practicando full outsourcing sin hacer control. 26

27 Número de deliberações no ano Sentencias del TCU sobre outsourcing de TI Fuente: sistema de almacenamiento de sentencias del TCU Ano 27

28 Algunos ejemplos no tan buenos... Unisys Decisão 1.459/2002-TCU-Plenário Datamec (Unysis) Acórdão 2.023/2005-TCU-Plenário IBM Acórdão 355/2006-TCU-Plenário Politec Acórdão 71/2007-TCU-Plenário Sagen/Iafis Acórdão 889/2007-TCU-Plenário 28

29 El problema no es hacer outsourcing... La propia ley ( Decreto-Lei 200/67 ) determina que se haga... Tareas ejecutivas deben ser contratadas cuando la iniciativa privada esté suficientemente desarrollada y capacitada para desempeñarla Tareas de planeamiento, coordinación, supervisión y control deben ser de responsabilidad de la administración 29

30 El problema es hacerlo mal... Es no saber qué, ni cómo hacerlo. Es no evaluar los riesgos: Estamos haciendo outsourcing de actividades estratégicas? Tenemos gente para controlar el outsourcing? La gente que tenemos está capacitada? Es no crear controles: Ahora, cómo crear controles sin procesos de contratación y de gestión contratual? Es verse completamente dependiente de los terceros: Tenemos un plan B? 30

31 31 El problema es hacer outsourcing sin estrategia!

32 32 Cuando se necesita hacer mucho outsourcing, la estrategia para hacerlo es decisiva para un buen gobierno de TI.

33 Planeamiento estratégico y contrataciones Objetivos estratégicos institucionales Desmembrados Aliñados Objetivos estratégicos de TI Enderezan Instrumento para alcanzar Contractos 33

35 Origen Acórdão 1.558/ TCU - Plenário Las unidades técnicas del TCU deben hacer estudios sobre los parámetros que se deben evaluar en las contrataciones de servicios técnicos de informática Acórdão 2.094/ TCU Plenário Las unidades técnicas del TCU deben evaluar (otra vez) si las adquisiciones de TI son legales y oportunas 35

36 Origen Acórdão 140/ TCU - Plenário Las unidades técnicas del TCU deben evaluar la estructura de recursos humanos de los sectores de informática y verificar si las actividades de planeamiento estratégico de informática, coordinación, fiscalización y control de las acciones del sector de TI son ejecutadas por agentes públicos 36

37 Objetivo Evaluar el outsourcing en los sectores de TI de los órganos del gobierno federal seleccionados, en especial la adecuación de la estructura de la unidad y sus procesos de adquisición y gestión de servicios. Y con eso, inducir que el perfeccionamiento del gobierno de TI en el sector público brasileño ocurra como política de gobierno, y no como iniciativas aisladas. 37

38 Órganos auditados 12 unidades 6 ministerios, 2 tribunales, 2 bancos, 1 universidad, 1 empresa pública. Muestreo no estadístico. Creíamos que la mayor parte de ellos tenía poca madurez en gobierno de TI, pero necesitábamos evidenciar. 38

39 Cobit 4.1. Criterios de auditoría NBR (basada en ISO 27002). Parámetros para contrataciones de servicios: Estudios del Acórdão 1.558/ TCU Plenário 39

41 Auditoría de conformidad Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Guía de auditoría de conformidad del TCU 41

42 Auditoría de conformidad Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Pregunta de auditoría Información necesaria Fuentes de información Técnicas de auditoría Limitaciones Probables hallazgos 42

43 Auditoría de conformidad Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Pregunta de auditoría Procedimientos Procedimientos pormenorizados Técnicas Responsable Periodo Hallazgo (hecho durante la ejecución) 43

44 Auditoría de conformidad Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Descripción Situación de hecho Criterios Evidencias Causas Efectos Camino propuesto 44 Beneficio del camino propuesto

45 Auditoría de conformidad Matriz de Planeamiento Matriz de Procedimientos Matriz de Hallazgos Matriz de Responsabilidad Hallazgo Responsable Periodo Conducta Nexo de causalidad Culpabilidad 45

46 Automación: Sistema Fiscalis execución 46

47 FOC Fiscalización de Orientación Centralizada Una fiscalización o un conjunto de fiscalizaciones con preparación centralizada, ejecución descentralizada de los trabajos y consolidación de los resultados. 47

48 Objetivo de una FOC Evaluar, de forma sistémica, una función, un programa, un proyecto, un área, un tema o una acción del gobierno para construir una visión general de las situaciones verificadas. Así, se deben identificar los descumplimientos que son relevantes para proponer perfeccionamiento de la sistemática de control, de la legislación o de la forma de conducción del programa o acción 48

50 De qué procesos escoger los controles para auditar? Considerando que fue una evaluación nunca vista en el sector público brasileño, y la ausencia de parámetros de evaluación de riesgo, definimos los criterios a seguir. En el dominio PO, escogimos aquellos de alta importancia, los asociados a la estructura del sector de TI (atendiendo al Acórdão 140/ TCU Plenário ) y lo asociado a presupuesto (que es obligación legal en sector público): PO1, PO4, PO5, PO7, PO9, PO10 50

51 De qué procesos escoger los controles para auditar? En el dominio AI escogimos el proceso considerado de alta importancia (AI6) y aquel ligado al outsourcing (AI5), objeto del Acórdão 2.094/ TCU Plenário. En el dominio DS escogimos los procesos de alta importancia (DS5 y DS11) y lo que está asociado a la continuidad del negocio (DS4). 51

52 De qué procesos escoger los controles para auditar? En el dominio ME solamente dejamos de escoger el proceso ME4 por considerarlo de alta complejidad de implementación. Una pregunta sobre planeamiento de negocio a largo plazo, del cual depende el alineamiento estratégico, completa la elección. 52

53 53 Esta parte de la auditoría tuvo 14 preguntas de auditoría con 32 posibles hallazgos.

54 Recordando Los resultados obtenidos se refieren apenas a los 12 órganos auditados. La selección de los órganos se basó en el conocimiento previo de que tenían poca madurez en gobierno de TI. 54

55 Principales resultados obtenidos La cultura de planeamiento a largo plazo es casi nula. Aunque hay comités de TI establecidos, estos generalmente no operan. En general, los sectores de TI están posicionados de forma inadecuada en la estructura organizacional. Casi siempre hay algún rol sensible no definido, sin responsable u ocupado por un tercero. 55

56 Principales resultados obtenidos No hay suficiente personal de TI en número y calificación. En los ministerios, no hay política de personal de TI (carrera específica). Muchas veces, hay algún proceso dependiente de apenas una única persona. Casi nunca hay políticas para la seguridad de la información (PSI, PCA, backup), y cuando hay, no son efectivas. 56

57 Principales resultados obtenidos Prácticamente no hay cultura de gestión del riesgo, y consecuentemente no hay PCN. No hay proceso de trabajo formal para las contrataciones de TI (lo que es causa de varios problemas, como veremos adelante). No hay cultura de monitorear los procesos. Hay poca cultura de gestión de proyectos. 57

58 Principales resultados obtenidos Pero, hay buenas prácticas a seguir! 58

60 Cuáles son los mayores riesgos? Aquellos comúnmente vistos en los procesos que pasan por el TCU, en cada fase de una contratación Planeación de la contratación Selección del proveedor Gestión del contrato 60

61 61 Esta parte de la auditoría tuvo 11 preguntas de auditoría con 43 posibles hallazgos.

62 Recordando Los resultados obtenidos se refieren apenas a los 12 órganos auditados. La selección de los órganos se basó en el conocimiento previo de que tenían poca madurez en gobierno de TI. 62

63 Principales resultados obtenidos No hay estrategia para hacer outsourcing. Comúnmente se hace full outsourcing (contratos paraguas). Normalmente no se define el SLA y, consecuentemente, casi siempre se contrata por esfuerzo (HH) y no por resultado (favoreciendo el paradigma lucroincompetencia). Casi nunca se usa el pregão (remate reverso), que deberia ser la regla, lo que disminuye la trasparencia. Los criterios para seleccionar el proveedor son demasiado restrictivos. 63

64 Principales resultados obtenidos Son pobres los mecanismos de gestión previstos en los contratos: Protocolo de interacción; Método para evaluar cuantitativamente el servicio; Método para evaluar cualitativamente el servicio; Cláusulas de penalidades son demasiadas genéricas (y por lo tanto non son aplicables). Hay fallas en los métodos para estimar el precio de los servicios. Hay fallas en los procedimientos de evaluación de las propuestas. 64

65 Principales resultados obtenidos Casi nunca hay como rastrear el servicio ejecutado. Muchas veces no se mantienen las condiciones iniciales de la contratación. No se tiene hábito de aplicar las penalidades. Algunas veces no se exige la garantía contractual. Casi siempre hay fallas en los ajustes contractuales. 65

66 Principales resultados obtenidos Pero, hay buenas prácticas a seguir! 66

67 67 De los 75 posibles hallazgos, apenas 4 no fueron encontrados.

69 El escenario descrito es resultado de que el tema perfeccionamiento del Gobierno de TI no había entrado en la agenda del sector público brasileño como política de gobierno, pero había iniciativas aisladas. Y así, es función del TCU inducir esa política. 69

70 70 Pero, el gobierno federal brasileño reaccionó rápido!

71 Acciones completadas o en ejecución Base de requerimientos legales (ME3) Segregación del presupuesto de TI (PO5) Proceso formal de contratación de TI para todo el gobierno federal, con gestión de riesgos (AI5, PO9) Creación de carrera para profesionales de TI en gobierno federal (PO7) Capacitación en gestión de TI (PO7) 71

72 Acción necesaria Desarollo de un framework de gobierno de TI para el sector público (ME4). 72

73 1º - Las personas Mensaje final 2º - Los procesos 73

74 El participante aprenderá más sobre: La situación del outsourcing en el Gobierno Federal brasileño Los desafíos de cumplimiento para las contrataciones de TI en el sector público brasileño La relación entre outsourcing y gobierno de TI Evaluación del gobierno de TI en el sector público Evaluación de outsourcing en el sector público La importancia del cumplimiento para el sector público brasileño 74

75 Preguntas? 2008 Santiago Chile 75

76 Gracias Renato Braga, CISA Tribunal de Cuentas de la Unión (Brasil) 76

77 Latin CACS 2009 San José de Costa Rica 14 al 16 de Septiembre de 2009 Te esperamos. Pura Vida! 77