Professional Documents
Culture Documents
Misin
Mejorar la Administracin Pblica LA AUDITORA
en beneficio de la sociedad por medio
del control externo. COORDINADA SOBRE
Visin
GOBERNANZA DE TI
Ser referencia en la promocin de
una Administracin Pblica efectiva,
tica, gil y responsable.
Responsable por el contenido
Secretara de Relaciones Internacionales (Serint) del TCU
Responsable Editorial
Responsabilidade Editorial
Secretara General de la Presidencia (Segepres) del TCU
Repblica
Repblica Federativa de Brasil
Federativa do Brasil Secretaria-Geral de Controle Externo Secretara de Comunicacin (Secom) del TCU
Secretaria de Macroavaliao Governamental
Tribunal de Contas da Unio Ncleo de Creacin y Edicin (NCE) del TCU
Tribunal de Cuentas de la Unin
Adaptao Final
Ministros
Secretaria-Geral da Presidncia
Ubiratan Aguiar, Presidente Instituto Serzedello Corra
MINISTROS
Benjamin Zymler, Vice-Presidente Centro de Documentao Proyecto Grfico, Diagramacin y Portada
Marcos Vinicios Vilaa Editora do TCU
Aroldo CedrazValmir
de Oliveira
Campelo (Presidente) Ncleo de Creacin y Edicin (NCE) del TCU
Walton Alencar Rodrigues Capa
Raimundo Carreiro (Vicepresidente)
Augusto Nardes Pablo Frioli
Aroldo Cedraz
Augusto Nardes
Raimundo Carreiro
Walton Alencar
Jos JorgeRodrigues Endereo para Contato TRIBUNAL DE CUENTAS DE LA UNIN
Benjamin Zymler
Auditores TRIBUNAL DE CONTAS DA UNIO Secretara de Relaciones Internacionales (Serint)
Jos Mcio Monteiro Secretaria de Macroavaliao Governamental
Augusto Sherman Cavalcanti SAFS Quadra 4 Lote 1 SAFS Qd 4 Lote 1 - Anexo III Sala 110
Ana
Marcos ArraesCosta
Bemquerer Edifcio Anexo II Sala 456
Andr Lus de Carvalho 70.042-900 Braslia - DF
70042900 Braslia - DF
Bruno
Weder de Dantas
Oliveira Fones (61) 3316 7766/7285/5030
Tel.: (61) 61- 3316-7626
Vital do Rgo Fax (61) 3316 7536
Ministrio Pblico serint.sa@tcu.gov.br
Ouvidoria do Tribunal de Contas da Unio
Lucas Rocha Furtado, Procurador-Geral Fone 0800 644 1500
Paulo Soares Bugarin, Subprocurador-Geral
MINISTROS SUSTITUTOS
Maria Alzira Ferreira, Subprocuradora-Geral
Marinus Eduardo de Vries Marsico, Procurador Impresso pela Sesap/Segedam
Augusto
Cristina MachadoSherman Cavalcanti
da Costa e Silva, Procuradora
Reclamos, sugerencias y elogios
Jlio Marcelo de Oliveira, Procurador
Marcos Bemquerer Costa Telfono.: 0800 644 1500
Srgio Ricardo Costa Carib, Procurador
Andr Lus de Carvalho ouvidoria@tcu.gov.br
Weder de Oliveira Impreso por Sesap/Segedam
LA AUDITORA
COORDINADA SOBRE
GOBERNANZA DE TI
Brasilia, 2015
Copyright 2015,
Tribunal de Cuentas de la Unin de Brasil (TCU).
Impreso en Brasil/Printed in Brazil
<www.tcu.gov.br>
20 p.
Estimado lector:
Este tema trata sobre la parte de la gobernanza corporativa que busca asegurar que
el uso de la TI agregue valor al negocio, con riesgos aceptables. Con ese objetivo,
se busca evitar o mitigar deficiencias an comunes en la gestin de una institu-
cin, tales como procesos de planificacin inadecuados, recurrencia de proyectos
sin xito y contrataciones que no alcancen sus objetivos, reflejando una prdida de
calidad y de eficiencia.
En esta oportunidad fue posible evaluar, con el apoyo de los miembros de las enti-
dades fiscalizadoras y el esfuerzo de los equipos tcnicos involucrados, el nivel de
madurez de la gobernanza de TI en instituciones pblicas de los pases participantes.
Para concluir, destaco que las EFS, al promover evaluaciones conjuntas, fomentan
el cumplimiento de los acuerdos internacionales y estimulan el perfeccionamiento
de la gobernanza de TI, hecho que repercutir en los servicios prestados por la
Administracin Pblica y traer beneficios a los pases y sus ciudadanos.
1. Introduccin................................................................................. 5
3. Objetivo ...................................................................................... 6
4. Mtodo utilizado........................................................................ 7
5. Gobernanza de TI...................................................................... 9
6. Hallazgos clave......................................................................... 10
7. Conclusin y desafos..............................................................17
8. Referencias................................................................................20
9. Participantes ............................................................................20
10. Agradecimientos.....................................................................20
1. Introduccin
1.6. En la dcada actual, se puede decir que ocurre la tercera revolucin con el
uso intensivo de equipos mviles, de conexiones a la Internet de banda an-
cha y de procesamiento y almacenamiento en la nube. Con ello, los cambios
originarios de las nuevas tecnologas ocurren ms rpidamente, conllevan
consecuencias cada vez ms profundas y la competencia en la gestin de TI
es factor clave para el xito en cualquier sector de actividad.
5
1.7. Actualmente hay una dependencia profunda de la TI, que est revolucio-
nando el modo como la Administracin Pblica orienta sus negocios. El uso
optimizado de la TI es fundamental para que el sector pblico logre sus
objetivos y cumpla su misin institucional.
2.2. Las EFS involucradas en las auditoras coordinadas pueden compartir los
costos derivados del reclutamiento de consultores, de la elaboracin de estu-
dios preliminares y de la realizacin de paneles de referencia y seminarios.
Las normas internacionales y las mejores prcticas tambin pueden ser di-
vulgadas de forma ms eficaz para cada auditor, por medio de la estrategia
de auditora coordinada. Adems, la existencia de normas internacional-
mente aceptadas sobre gobernanza de TI facilita compartir e intercambiar
experiencias entre los equipos de auditora de los diferentes pases.
3. Objetivo
6
de la OLACEFS, a partir de las auditoras realizadas en instituciones repre-
sentativas de diversos segmentos de la Administracin Pblica de cada pas
participante.
4. Mtodo utilizado
4.2. Entre febrero y mayo de 2014 se capacitaron, por medio de un curso a dis-
tancia, 43 auditores de 15 EFS participantes de la auditora.
7
4.4. Los tres das siguientes se realiz una reunin tcnica para definir la matriz
de planificacin para la realizacin de la auditora. Con el propsito de defi-
nir las reas de la gobernanza de TI a ser auditadas y organizar la ejecucin
de los trabajos, se eligieron cuatro grandes reas de enfoque en los trabajos
de campo: Estructura de Gobernanza de TI, Planificacin de TI, Contrata-
cin de TI y Seguridad de la Informacin. La matriz de planificacin cont
con las siguientes preguntas de auditora:
4.7. El periodo del 24 al 26 de marzo de 2015, en San Jos, Costa Rica, se realiz
una reunin para consolidar los hallazgos de las auditoras realizadas en los
pases participantes y definir el contenido de este informe consolidado de la
Auditora Coordinada sobre Gobernanza de TI.
8
5. Gobernanza de TI
9
6. Hallazgos clave
6.6. Gran parte de las instituciones no est desarrollando acciones que busquen
perfeccionar su nivel de gobernanza en TI. Tal inercia puede comprometer la
necesaria evolucin del nivel de madurez de la gobernanza de TI, as como,
en un ltimo anlisis, puede perjudicar el logro de los objetivos de TI. De esa
manera, se entiende como una oportuna recomendacin que las instituciones
elaboren y aprueben formalmente proceso de perfeccionamiento continuo de
la gobernanza de TI, a ejemplo de las buenas prcticas presentes en el captulo
3 de la gua de referencia de la implementacin del Cobit 5, que contemple,
10
al menos, la definicin de roles y responsabilidades dirigidas especficamente
para la mejora de la gobernanza de TI; realizacin de diagnsticos o autoeva-
luaciones de gobernanza y de gestin de TI; y definicin y seguimiento de me-
tas de gobernanza de TI y de las acciones necesarias para lograrlas, con base en
parmetros de gobernanza, necesidades de negocio y riesgos relevantes.
6.10. Se puede destacar tambin que la existencia de una norma que obligue la
constitucin de un comit de TI en el mbito de las instituciones favorece
su adhesin a las buenas prcticas internacionales de gobernanza de TI.
Proceso de planificacin de TI
11
6.12. Un porcentaje significativo de las instituciones auditadas (un 39%) no tiene
un proceso de planificacin de TI vigente. Ello significa que esas institucio-
nes aunque posean eventualmente algn plan de TI, no tienen la cultura de
planificar estratgicamente sus acciones y, en la mayora de las situaciones,
slo reaccionan a las demandas y a los cambios que ocurren en su mbito de
actuacin, dificultando la planificacin de las acciones de TI.
6.15. Asimismo, la mayor parte de las instituciones que poseen un proceso de pla-
nificacin de TI no producen documentos de planificacin estratgica de TI.
6.16. Casi dos tercios (un 63%) de las instituciones auditadas no realizan plani-
ficacin estratgica de TI. Se debe destacar, una vez ms, la importancia
de la planificacin estratgica para la gobernanza de TI. Dado que para
que la planificacin estratgica de TI sea efectiva y proporcione los resul-
tados esperados, la misma debe estar alineada a la planificacin estratgica
institucional. Por ello, su falta impide la alineacin deseada y dificulta el
establecimiento de directrices para el rea de TI.
12
6.18. La planificacin estratgica de TI debe indicar los proyectos y servicios de
TI que recibirn recursos, adems de los costos, de las fuentes de recursos
y de las metas a lograr. Debe ser una actividad regular y los documentos
resultantes deben ser aprobados por la alta administracin.
6.22. En casi un tercio de las instituciones auditadas (un 29%) se constat que
la alta administracin no monitorea la ejecucin de los planes de TI. En
algunos casos, a pesar de la existencia de los planes, la organizacin no de-
fini formalmente los mecanismos de control del cumplimiento de metas
de gestin y de uso corporativos de TI. En otras situaciones, a pesar que el
PETI contiene la definicin de metas, no constan informaciones acerca de
cmo se miden y se controlan esas metas.
13
6.24. Las EFS deben recomendar a las instituciones que audita que sean esta-
blecidos, formalmente, mecanismos para que la alta administracin siga el
rendimiento de la TI y mecanismos de gestin de los riesgos relacionados a
los objetivos de gestin y de uso corporativos de TI.
6.29. Los objetivos del monitoreo constante del proceso de contratacin son el
perfeccionamiento del proceso; reforzamiento de la alineacin entre el rea
de TI y las reas de negocio; asignacin eficiente de recursos y optimizacin
de los recursos de TI de la organizacin.
14
6.32. Los objetivos del monitoreo constante del proceso de gestin de contratos
son: el perfeccionamiento del proceso; la garanta de la atencin de los re-
cursos de TI necesarios para las diversas reas de negocio; la asignacin efi-
ciente de recursos y la optimizacin de los recursos de TI de la organizacin.
6.36. Es fundamental que la alta administracin establezca una poltica clara, ali-
neada con los objetivos del negocio y demuestre apoyo y compromiso con la
seguridad de la informacin por medio de la publicacin y mantenimiento
de la PSI para toda la organizacin.
15
macin. Debido a la grande y variada gama de actividades relacionadas a la
gestin de la seguridad de la informacin, se hace imperiosa la designacin
formal de personas o unidades para desempear esas tareas.
6.42. Las reglas de control de acceso y derechos para cada usuario o grupos de
usuarios deben estar contenidas expresamente en la PCA, considerando los
controles de acceso lgico y fsico de forma conjunta, de acuerdo con los
requisitos de negocio a ser atendidos.
6.43. Las EFS deben recomendar a las instituciones que auditan a elaborar y
aprobar formalmente una poltica de control de acceso a informaciones y
recursos de TI, con base en los requisitos de negocio y de seguridad de la in-
formacin de la organizacin, de forma similar a las orientaciones presentes
en la seccin 9.1.1 de la norma ISO/IEC 27002:2013.
6.45. Las EFS deben recomendar a las instituciones que auditan que definan e im-
plementen un proceso de gestin de riesgos de seguridad de la informacin, de
forma similar a las orientaciones presentes en la norma ISO/IEC 27005:2008.
16
6.46. Otro aspecto en negligencia en una parte significativa de las instituciones
auditadas es la gestin de la continuidad de los servicios de TI. Se constat
que en un 54% de las instituciones auditadas no se implement un proce-
so de gestin de continuidad de servicios de TI. El proceso de gestin de
continuidad de los servicios de TI busca proteger los servicios de TI no per-
mitiendo la interrupcin de las actividades de la organizacin y haciendo
posible que las informaciones ms crticas estn disponibles de acuerdo con
el nivel de servicio requerido.
6.47. Las EFS deben recomendar a las instituciones que auditan, elaborar y eje-
cutar un proceso de gestin de continuidad de los servicios de TI, de forma
similar a las orientaciones presentes en el proceso DSS04 Gestionar Con-
tinuidad del Cobit 5.
6.49. Las EFS deben recomendar a las instituciones que auditan, elaborar e im-
plantar el Plan de Continuidad de Negocios, de forma similar a las orienta-
ciones presentes en el proceso DSS04 Gestionar Continuidad del Cobit 5.
7. Conclusin y desafos
17
7.3. Sobre las estructuras de gobernanza de TI, se observ que a pesar de que
existen los mecanismos y las estructuras implementados en casi dos tercios
(un 66%) de las instituciones auditadas, todava existen muchas deficien-
cias. De las instituciones auditadas, en un 46% los mecanismos se presenta-
ban fallas, en un 44% no exista un comit de TI y un 7% de los participan-
tes del comit no posea el perfil adecuado al rendimiento de las actividades.
Del anlisis de estas tendencias, se concluye que existen problemas en la
mayora de las instituciones, lo cual exige un perfeccionamiento de las es-
tructuras de gobernanza de TI.
18
lo que refuerza an ms la necesidad de darle atencin a la seguridad de la
informacin. Se verific la ausencia de un proceso de gestin de riesgos en
un 49% de las entidades auditadas, de un proceso de inventario de activos
en un 46%, de un comit de seguridad de la informacin en un 46%, de
Poltica de Seguridad de la Informacin en un 46% y de Poltica de Control
de Acceso, totalizando un 44% del total de instituciones evaluadas.
7.8. En ese punto, el mayor desafo para las EFS es concientizar a las institucio-
nes auditadas sobre la importancia de la gobernanza de TI y los beneficios
que podrn obtener con la mejora en su grado de madurez. Se hace muy
importante e, incluso, urgente la inversin de recursos para la implantacin
o perfeccionamiento del comit de TI (un 44%); del proceso de planifica-
cin de TI (un 39%); de la planificacin estratgica de TI (un 63%); del
monitoreo sobre el proceso de contratacin de TI (un 39%); del plano de
continuidad de negocios (un 59%); del proceso de continuidad de servicios
de TI (un 54%); de la designacin de responsables (rea o personas) de la
gestin de seguridad de la informacin (un 51%); del proceso de gestin de
riesgos (un 49%); del proceso de inventario de activos (un 46%); del comit
de seguridad de la informacin (un 46%); de la Poltica de Seguridad de la
Informacin (46%) y de la Poltica de Control de Acceso (un 44%).
7.9. Para finalizar, se observ que las EFS pueden y deben actuar como inductores
del proceso de perfeccionamiento de la gobernanza de TI, dado que existe un
enorme campo para su actuacin en la gobernanza de TI de la Administra-
cin Pblica de los pases miembros de la OLACEFS. Es por ello que, si esa
actuacin se realiza de forma consistente y permanente, los resultados sern
prometedores, teniendo en cuenta que podr haber mejoras generalizadas en
todos sus aspectos. Hecho que repercutir en los servicios prestados por la
Administracin Pblica y conllevar beneficios a los pases y sus ciudadanos.
19
8. Referencias
9. Participantes
9.1. La organizacin de los trabajos ha sido realizada por auditores del TCU de
Brasil. Las 41 auditoras han sido realizadas por 52 auditores de las once
diferentes Entidades Fiscalizadoras Superiores:
- Contralora General del Estado Plurinacional de Bolivia;
- Tribunal de Cuentas de la Unin de Brasil;
- Contralora General de la Repblica de Chile;
- Contralora General de la Repblica de Costa Rica;
- Contralora General del Estado de la Repblica del Ecuador;
- Corte de Cuentas de la Repblica de El Salvador;
- Contralora General de Cuentas de la Repblica de Guatemala;
- Tribunal Superior de Cuentas de la Repblica de Honduras;
- Contralora General de la Repblica de Panam;
- Contralora General de la Repblica de Paraguay;
- Contralora General de la Repblica de Per.
10. Agradecimientos
10.1. A la Secretara de Relaciones Internacionales del TCU por todo el apoyo, pro-
fesionalismo y calidad de las actividades desarrolladas a lo largo del proceso.
10.3. A las reas Internacionales de las dems EFS que han apoyado las activida-
des de esta auditora coordinada de TI.
20
Responsable por el contenido
Secretara de Relaciones Internacionales (Serint) del TCU
Responsable Editorial
Responsabilidade Editorial
Secretara General de la Presidencia (Segepres) del TCU
Repblica
Repblica Federativa de Brasil
Federativa do Brasil Secretaria-Geral de Controle Externo Secretara de Comunicacin (Secom) del TCU
Secretaria de Macroavaliao Governamental
Tribunal de Contas da Unio Ncleo de Creacin y Edicin (NCE) del TCU
Tribunal de Cuentas de la Unin
Adaptao Final
Ministros
Secretaria-Geral da Presidncia
Ubiratan Aguiar, Presidente Instituto Serzedello Corra
MINISTROS
Benjamin Zymler, Vice-Presidente Centro de Documentao Proyecto Grfico, Diagramacin y Portada
Marcos Vinicios Vilaa Editora do TCU
Aroldo CedrazValmir
de Oliveira
Campelo (Presidente) Ncleo de Creacin y Edicin (NCE) del TCU
Walton Alencar Rodrigues Capa
Raimundo Carreiro (Vicepresidente)
Augusto Nardes Pablo Frioli
Aroldo Cedraz
Augusto Nardes
Raimundo Carreiro
Walton Alencar
Jos JorgeRodrigues Endereo para Contato TRIBUNAL DE CUENTAS DE LA UNIN
Benjamin Zymler
Auditores TRIBUNAL DE CONTAS DA UNIO Secretara de Relaciones Internacionales (Serint)
Jos Mcio Monteiro Secretaria de Macroavaliao Governamental
Augusto Sherman Cavalcanti SAFS Quadra 4 Lote 1 SAFS Qd 4 Lote 1 - Anexo III Sala 110
Ana
Marcos ArraesCosta
Bemquerer Edifcio Anexo II Sala 456
Andr Lus de Carvalho 70.042-900 Braslia - DF
70042900 Braslia - DF
Bruno
Weder de Dantas
Oliveira Fones (61) 3316 7766/7285/5030
Tel.: (61) 61- 3316-7626
Vital do Rgo Fax (61) 3316 7536
Ministrio Pblico serint.sa@tcu.gov.br
Ouvidoria do Tribunal de Contas da Unio
Lucas Rocha Furtado, Procurador-Geral Fone 0800 644 1500
Paulo Soares Bugarin, Subprocurador-Geral
MINISTROS SUSTITUTOS
Maria Alzira Ferreira, Subprocuradora-Geral
Marinus Eduardo de Vries Marsico, Procurador Impresso pela Sesap/Segedam
Augusto
Cristina MachadoSherman Cavalcanti
da Costa e Silva, Procuradora
Reclamos, sugerencias y elogios
Jlio Marcelo de Oliveira, Procurador
Marcos Bemquerer Costa Telfono.: 0800 644 1500
Srgio Ricardo Costa Carib, Procurador
Andr Lus de Carvalho ouvidoria@tcu.gov.br
Weder de Oliveira Impreso por Sesap/Segedam
Misin
Mejorar la Administracin Pblica LA AUDITORA
en beneficio de la sociedad por medio
del control externo. COORDINADA SOBRE
Visin
GOBERNANZA DE TI
Ser referencia en la promocin de
una Administracin Pblica efectiva,
tica, gil y responsable.