1 / 59

122 - Cómo Implementar Auditoría de TI que Agregue Valor a la Organización

122 - Cómo Implementar Auditoría de TI que Agregue Valor a la Organización. Luis Gustavo Rojas CPA, CISA Banco Popular, Costa Rica. AGENDA. Concepto de valor Evolución de la tecnología y la auditoría Elementos necesarios para implementar una auditoría de TI que agregue valor

cruz
Download Presentation

122 - Cómo Implementar Auditoría de TI que Agregue Valor a la Organización

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 122 - Cómo Implementar Auditoría de TI que Agregue Valor a la Organización Luis Gustavo Rojas CPA, CISA Banco Popular, Costa Rica

  2. AGENDA • Concepto de valor • Evolución de la tecnología y la auditoría • Elementos necesarios para implementar una auditoría de TI que agregue valor • Cambio de enfoque • Evaluación de riesgos • Mejores prácticas en auditoría de TI • Condiciones para crear la auditoría de TI • Interna versus outsourcing • Perfil del auditor de TI • Funciones • Herramientas • Auditoría continua • Planeación del desarrollo profesional

  3. Concepto de valor Configuración Planificación Entrega Toma de Decisiones Soporte “Grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”

  4. Concepto de valor Evaluación del Riesgo Configuración Planificación Toma de Decisiones Entrega Soporte Objetivos de Control

  5. Evolución de la Tecnología 90 hasta hoy Internet E-Commerce Rápida difusión de la información Rompe paradigmas Nuevo estándar Internet compatible Pérdida de intimidad Seguridad la mayor preocupación

  6. Los negocios de hoy Fuente: International Data Corporation IDC

  7. Los negocios de hoy Fuente: International Data Corporation IDC

  8. Evolución del enfoque de auditoría Finanzas y Contabilidad Tecnología de Información Alineación con la visión y misión empresarial Económia, Eficiencia y Eficacia de las operaciones Operación Valor hacia el negocio Financiera Enfoque en administración de riesgos

  9. Auditoría de Sistemas o Auditoría de Tecnología de Información

  10. Un elemento crítico para el éxito y supervivencia de las organizaciones es la administración efectiva de la información y de la Tecnología de Información TI relacionada. En esta sociedad global donde la información viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta criticidad emerge de: • La creciente dependencia en información y en los sistemas que proporcionan dicha información • La creciente vulnerabilidad y el amplio espectro de amenazas, tales como la “ciberamenazas” y la guerra de información • La escala y el costo de las inversiones actuales y futuras en tecnología de información, y • El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas del negocio, crear nuevas oportunidades y reducir costos COBIT

  11. 1. Cambio del enfoque tradicional 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos ¿Cómo implementar auditoría de TI que agregue valor a la organización? 3. Auditoría que aplique las mejores prácticas de la industria

  12. 1. Cambio del enfoque tradicional 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos ¿Cómo implementar auditoría de TI que agregue valor a la organización? 3. Auditoría que aplique las mejores prácticas de la industria

  13. Auditoría Tradicional Entrada Proceso Salida

  14. Auditoría Tradicional Salida

  15. Auditoría Proactiva Entrada Proceso Salida Negocio Riesgos

  16. 1. Cambio del enfoque tradicional 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos ¿Cómo implementar auditoría de TI que agregue valor a la organización? 3. Auditoría que aplique las mejores prácticas de la industria

  17. Riesgo “La amenaza de que un evento, acción ó falta de acción afecte adversamente la habilidad de una organización para lograr sus objetivos y ejecutar sus estrategias exitósamente”

  18. Dependencia del negocio RIESGOS Nivel de dependencia Nivel de utilización de TI

  19. Principal riesgo en TI Tecnología Gerencia Carecer de una estrategia común Auditoría Contabilidad

  20. Riesgos de la tecnología de información • Información errónea o inoportuna • Tiempo laboral perdido por mal uso del e-mail e Internet • Alteración de datos • Insatisfacción del usuario • Acceso no autorizado • Ineficiente uso de los recursos tecnológicos • Robo de información

  21. Presupuesto en crecimiento

  22. Prioridades de TI

  23. 1. Cambio del enfoque tradicional 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos ¿Cómo implementar auditoría de TI que agregue valor a la organización? 3. Auditoría que aplique las mejores prácticas de la industria

  24. Mejores prácticas de la industria COBIT Control Objectives for Information and related Technology www.isaca.org/cobit.htm (Guías de Auditoría solo para miembros) Standards www.isaca.org/standards Code of Practice for Information Security Management (ISO17799) www.bspsl.com/secure/iso17799software/cvm.cfm Generally Accepted Principles and Practices for Securing Information Technology Systems (NIST) http://csrc.nist.gov/publications/nistpubs/ Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009) www.ifac.org

  25. Interna o Outsourcing • Pérfil del auditor o el equipo • Funciones • Herramientas para agregar valor • Auditoría Continua • Planeación del desarrollo profesional ¿Creando la función de Auditoría de Tecnología de Información en la organización?

  26. 1. Auditoría Interna versus Outsourcing Interna Amplio conocimiento del negocio Integración con otras disciplinas de la Auditoría Interna Las brechas de seguridad y control no salen de la empresa Mejor aprovechamiento del recurso humano capacitado La experiencia adquirida queda en la organización Outsourcing Disponibilidad de diferentes habilidades y profesionales Economías de escala en la adquisición de herramientas y capacitación Relación contractual puede causar costos ocultos Requiere dar privilegios a personal externo Outsourcing no es sólo una decisión de costo, es también una decisión estratégica que tiene implicaciones de control para la gerencia. (Manual de preparación examen CISA)

  27. 2. Perfil del auditor de T I Visión de riesgos Lenguaje de negocios Proactivo y preventivo Entendimiento del entorno Conocimiento de metodologías y herramientas

  28. 2. Perfil del auditor de T I Contador Público Autorizado o Ingeniero en Informática

  29. Aprender algún lenguaje de programación y técnicas de análisis y diseño Entender los riesgos tecnológicos Conocimiento de DBMS Entender los riesgos de los sistemas operativos Contar con un conocimiento general de infraestructura de telecomunicaciones Dominio de los objetivos de control para la información y la tecnología relacionada 2. Perfil del auditor de T I C P A

  30. Comprender los conceptos de riesgo de auditoría, riesgo de detección Entender los riesgos del negocio y riesgos operativos Aprender sobre las normas internacionales de auditoría Formarse en administración, contaduría y finanzas Contar con conocimiento sobre la metodología para llevar a cabo una auditoría Dominio de los objetivos de control para la información y la tecnología relacionada 2. Perfil del auditor de T I Sistemas

  31. Misión de la Auditoría de TI 3. Funciones Brecha inaceptable Visión y Misión del negocio Tecnología de Información

  32. 3. Funciones • Evaluar si los recursos tecnológicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio • Verificar que en TI se cumpla con las políticas corporativas y con las regulaciones y normas • Evaluar la información de la organización (Integridad, Confidencialidad, Disponibilidad y Completitud) • Evaluar la fortaleza de los controles preventivos, detectivos y correctivos en TI

  33. 3. Funciones • Verificar la salvaguarda de los activos de TI (tangibles e intangibles) • Evaluar si las vulnerabilidades más conocidas en Internet son adecuadamente mitigadas en la organización • Participar activamente en el ciclo de vida del desarrollo de sistemas • Evaluar los planes de recuperación de desastres y continuidad del negocio

  34. 3. Funciones • Evaluar la seguridad física y lógica a los activos de TI • Verificar la seguridad y suficiencia de los controles en la infraestructura de red y en las telecomunicaciones • Evaluar el proceso de adquisiciones de recursos de TI • Participar en auditorías integrales y facilitar la integración de la auditoría de TI con otras especialidades de la auditoría

  35. 4. Herramientas 4.1 Para determinar los riesgos que más podrían afectar a la organización UNIVERSO AUDITABLE

  36. 4. Herramientas 4.2 Herramientas que multiplican el alcance de la Auditoría de T I Software de Análisis de Datos Software para monitoreo de red Software para monitoreo de cambios en las bases de datos (Alarmas) Software para la detección de intrusos IDS Software para evaluar logs EAM Embedded Audit Modules

  37. 4. Herramientas 4.3 Herramientas para el soporte metodológico de la Auditoría de T I Planeación anual y presupuesto Calendarización de trabajos y control de tiempo Desarrollo del programa de auditoría (Interacción con COBIT) Papeles de trabajo y plantillas Seguimiento de recomendaciones y repuestas de la administración

  38. 4. Herramientas 4.4 Reportes a la Gerencia en términos concisos y de valor • No entendemos ni hablamos su lenguaje • Informes de resultados demasiado técnicos • Preocupados por costos y gastos • Esperan el retorno de su inversión • Presentar razones y/o hechos • Considerar que algunos directivos son más conscientes que otros • Necesitan entender la información sobre riesgos y controles

  39. WWW y Auditoría • AuditNet www.auditnet.org • ASAP (Auditors Sharing Audit Programs) • Programas financieros y operativos • Programas IT • Lista de recursos de Auditoría • Directorio de Programas de Auditoría • AuditZine: compendio de artículos • ACNIA: Foro de discusión para Auditores Internos (AuditBest, AuditTrain, AuditBooks, AuditJobs, etc)

  40. Otras fuentes de información www.anao.gov www.isaca.org www.theiia.org www.itaudit.org www.gao.gov www.ignet.gov www.cert.org www.intosai.org www.isaudit.com

  41. 5. Auditoría Continua COSO COBIT Monitoreo Universo Auditable > Recursos de Auditoría

  42. 5. Auditoría Continua PRECONDICIONES • Un sistema con características apropiadas • Un sistema de información confiable que incluya controles primarios y un sistema de recolección de datos • Una auditoría o control secundario que esté altamente automatizado • Auditores hábiles en tecnología de información • Control sobre el proceso de reporte de la auditoría

  43. 5. Auditoría Continua EAM Embedded Audit Modules (Módulos de Auditoría Integrados) “Son módulos puestos en determinados puntos para obtener información acerca de las transacciones o eventos en los sistemas que los auditores pueden considerar materiales” Weber (1999) Se implementan en los ambientes de DBMS como triggers o procedimientos almacenados

  44. 6. Planeación del desarrollo profesional International Federation of Accountants IFAC emitió desde el año 1993 el documento: “Minimum Skill Levels in Information Technology for Professional Accountants”

  45. 6. Planeación del desarrollo profesional • Es un camino para crecer y actualizarse en el nivel de servicio • Incluye capacitación formal e informal (auto estudio) • Define el conocimiento y las habilidades necesarias • Define los métodos para el aseguramiento del desarrollo • Establece los métodos para la actualización y retroalimentación

  46. 6. Planeación del desarrollo profesional Un estrategia que garantiza el adecuado enfoque de educación continua y desarrollo profesional es la Certificación CISA

  47. Índice de madurez de la Auditoría de Tecnología de Información Calidad Total Estandarizada Clase Mundial Establecida Indefinido Cambiar

  48. Índice de madurez Indefinido: En su mayoría los procesos claves no están definidos o posiblemente no existen, la capacidad de realizar auditoría de TI no existe o esta basada solamente en la experiencia individual por lo que se dificulta su administración

  49. Índice de madurez • Establecida:Este ambiente incluye: • Una infraestructura estable y soportada en TI • Mediciones del desempeño efectivo de los sistemas son desarrolladas, permitiéndole a la Auditoría Interna tener entendimiento del impacto de la tecnología • El resultado de las auditoría de TI se aplica exitosamente y está sustentado en normas de auditoría • Se realizan auditorías por Outsourcing

  50. Índice de madurez Estandarizada: La auditoría se realiza en concordancia con los procesos estándares documentados. Existe un proceso de auditoría integrado que es aplicado y administrado consistentemente (AC). Hay programas de aseguramiento de la calidad de los sistemas Existen programas de desarrollo profesional establecidos

More Related