1.03k likes | 1.27k Views
Sarbanes Oxley Act for IT Workshop Hagalo simple! Evalue Ud. mismo cómo se encuentra su Organización 2004. AGENDA . POR QUE CUMPLIR CON SOA EN IT Highlights del Acta Impacto en la organizacion Integracion entre IT y las Gerencias del Negocio MARCO NORMATIVO
E N D
Sarbanes Oxley Act for IT Workshop Hagalo simple! Evalue Ud. mismo cómo se encuentra su Organización 2004
AGENDA • POR QUE CUMPLIR CON SOA EN IT • Highlights del Acta • Impacto en la organizacion • Integracion entre IT y las Gerencias del Negocio • MARCO NORMATIVO • Aplicacion de estandares COSO y COBIT para IT • Relación con ITIL e ISO17799 • IMPLEMENTACION PRACTICA DE SOA PARA IT • Que tiene que hacer el responsable de IT? • Metodologia practica • Casos practicos en organizaciones • INICIE UD MISMO SU PROPIA REVISION"SOA COMPLIANCE for IT" • Generacion del Tablero de Control para hacer el Self Assesment • Plan de mejoras
Martín Vila Business Director I -Sec Information Security (desde 2002) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC). Instructor
Tania Cozzi Senior Security Consultant - I -Sec Information Security (2004) Senior / Supervisor IT Security - BDO (2001-2004) Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001) Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – (1998-2000) Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros. Especialistas
CONSULTORIA INTERNACIONAL en PUERTO RICO www.i-sec.org Auditorías y Consultorías en PROTECCIÓN DE LA INFORMACIÓN Y AUDITORIAS DE SISTEMAS COSO COBIT ISO 17799 SARBANES OXLEY ACT HIPAA ITIL
Background de Servicios Combinamos la experiencia y el conocimiento del mercado local con la comprensión y entendimiento del contexto internacional, asegurando la actualización permanente de nuestros profesionales en todas las ramas de la SI. Utilizamos los recursos más actualizados en la prestación de servicios, con la buena predisposición que nos caracteriza para entender la cultura de cada organización en particular.Nos orientamos a clientes que aprecien un alto valor agregado en el trabajo profesional. Trabajamos continuamente para atender los requerimientos de organizaciones de variados tamaños y actividades. Hemos logrado desarrollar una especial aptitud y experiencia para resolver la problemática de las empresas en los aspectos atinentes a la Seguridad de la información, la administración y configuración de los sistemas, la auditoria de seguridad y sistemas y la capacitación de los Recursos Humanos de las Organizaciones.
POR QUE CUMPLIR CON SOA EN IT • Highlights del Acta • Impacto en la organizacion • Integracion entre IT y las Gerencias del Negocio
Un poco de Historia FRAUDES en Compañías y Organismos Reguladores que no CONTROLAN y DETECTAN Las revelaciones de la Corporación ENRON llevaron a que, a comienzos de 1997, un conjunto de oficiales senior de la Compañía , hayan sido descubiertos formando parte de numerosas transacciones excluidas de los balances con empresas multi-propósito, a los efectos de ocultar billones de dólares en deudas. Los ejecutivos de Enron también ocultaron pérdidas económicas, inflaron el flujo de efectivo referente a ciertas garantías y contratos derivados, y disfrazaron ciertos instrumentos deudores como patrimonio neto. A pesar de el abuso creciente de estos mecanismos de financiamiento corporativo durante la segunda mitad de los años 1990, los oficiales de la SEC no han informado aún al público del verdadero impacto de estos fraudes.
Congreso USA: Senador Sarbanes y Representative Oxley - Ley del 30 de Julio de 2002 Un poco de Historia
Un poco de Historia Brindar CONFIANZA a los terceros, inversores, accionistas, usuarios , etc, de la validez y exactitud de los Estados Financieros de las Compañías.
Un poco de Historia El Acta define responsabilidades concretas para: • SEC SECURITY EXCHANGE COMMISION - PCAOB • COMPAÑIAS: GERENCIAS Y COMITÉ DE AUDITORIA • AUDITORES EXTERNOS
Porqué cumplir con SOA en IT Penalidades por Incumplimiento Escape de Prisión 1 a 2 años Secuestro con Rescate 3 a 5 años Falla en mantener papeles de trabajo hasta 10 años Asesinato en 2do. Grado 11 a 14 años Destruccción de documentación hasta 20 años Robo 20 a 25 años Fraude Criminal Accionario hasta 25 años
Porqué cumplir con SOA en IT Ex presidente de ENRON enfrenta 11 cargosJul 8, 2004, 08:30Entre las acusaciones que afronta Kenneth Lay, fundador de la compañía energética, están haber participado en una conspiración para manipular los resultados financieros, realizar declaraciones públicas falsas y engañosas, fraude bancario y estafas con acciones.
Porqué cumplir con SOA en IT U.S. SECURITIES & EXCHANGE COMMISSION Litigation Release No. 18293 / August 18, 2003 Accounting and Auditing Enforcement Release No. 1844 / August 18, 2003 SEC SETTLES SARBANES-OXLEY CERTIFICATION CASE SEC v. Rica Foods et. al., Civil Action No. 03-22191-Civ-King (S. D. Fla) (filed Aug. 15, 2003)
Porqué cumplir con SOA en IT FormerErnst & Young Audit Partner Arrested for Obstruction Charges and Criminal Violations of SOA US Attorney's Office and FBI Announce Guilty Plea of Former E&Y Auditor to Obstruction Charges SEC Charges Former Ernst & Young Employees for Alleged Role in Destruction of Audit Working Papers
Porqué cumplir con SOA en IT Los esfuerzos de la SEC hasta ahora han llevado al juicio de Enron, WorldCom, Adelphia, Arthur Andersen, y otros. • Más de 250 juicios ganados por fraudes corporativos, incluyendo por lo menos 25 ex-CEOs • Juicios a 354 abogados por algún crimen de fraude corporativo, en conexión con 169 casos investigados. • Investigación de más de 320 fraudes corporativos potenciales, involucrando mas de 500 individuos y compañías • Obtenido restitución, pagos y multas por más de $85 millones de dólares desde el comienzo de las revisiones, en conexión con casos de involucraron fraude en bonos, fraudes en commodities, fraudes en inversiones, y esquemas avanzados de pagos mensuales, realizados generalmente como operatorias corporativas mal habidas.
Responsabilidades del Acta SEC • Creación de PCAOB (Junta de Supervisión de Contabilidad de Compañías que cotizan sus Acciones ) • Reforzar el concepto de auditoría integrada de ee.ff. Y control interno sobre informes financieros. • Reconocer que el concepto de control interno y su implementación variará de acuerdo a cada empresa en particular. • Describir • Responsabilidades • Requisitos de documentación de la Gerencia • Describir las responsabilidades y comunicaciones requeridas a los auditores • Establecer criterios para evaluar deficiencias • Describir las responsabilidades del auditor en cuanto a la generación de informes trimestrales de control interno para la gerencia (Sección 302) • Recordar la necesidad de independencia del auditor Gerentes de Organizaciones Auditores
Responsabilidades del Acta • Asumir responsabilidad por la efectividad del control interno de la compañía en cuanto a la generación de ee.ff. • Evaluar la efectividad del control interno de la compañía en cuanto a la generación de informes financieros utilizando criterios de control adecuados (COSO - Cobit) • Respaldar la evaluación efectuada con evidencia suficiente, incluyendo toda documentación anexa necesaria. • Presentar una evaluación escrita sobre la efectividad del control interno de la compañía en lo que respecta a la generación de informes financieros al cierre del ejercicio fiscal más reciente. SEC Gerentes de Organizaciones Auditores
Responsabilidades del Acta SEC • Planear la auditoria • Evaluar los procesos de determinación de alcance llevados adelante por la Gerencia • Comprender el estado de los controles internos en el ámbito de la generación de los informes contables • Evaluar la efectividad del diseño • Probar y evaluar la efectividad de los controles • Evaluar deficiencias y formar una opinión sobre la efectividad de los controles internos existentes sobre los estados financieros • No ofrecer otros servicios además de los de auditoria • Reportar cualquier cambio detectado en la estructura de control interno de la compañía • Rotar el socio de la cuenta Gerentes de Organizaciones Auditores
Impacto en Organizaciones • Las Gerencias deben CERTIFICAR que: • Documentan los Controles Internos de Exposición los Procesos • Evalúan la efectividad de los CI • Guardan evidencias del testeo • Monitorean su vigencia en el tiempo • FIRMAN su conformidad • Quienes firman (OFICIALES CERTIFICANTES) Director General (CEO) Director Financiero (CFO) En discusión: Director de TI (CIO) *** VINCULADO VS COMPROMETIDO ***
Impacto en Organizaciones • Los AUDITORES EXTERNOS deben CERTIFICAR que: • La Gerencia cumplió con sus responsabilidades • Que el sistema de Control Interno es efectivo y cumple con las mejores prácticas (Estándar COSO / COBIT) • FIRMAN su conformidad identificando: • DEFICIENCIAS y/o DEBILIDADES • Pueden llegar a la OPINION ADVERSA
Marco de Madurez de los CI PARA SOA, LOS CONTROLES INTERNOS NO SON SÓLO MEJORES PRACTICAS DESEABLES….SON REQUISITOS FORMALES EN FORMA DE LEY Public Company Accounting Oversight Board Bylaws and Rules – Standards – AS2 As of June 18, 2004 AUDITING STANDARD No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements March 9, 2004 AUDITING AND RELATED PROFESSIONAL PRACTICE STANDARDS Auditing Standard No. 2 – An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements
Marco de Madurez de los CI • Nivel 1 – No Confiable • Ambiente impredecible donde las actividades de control no se han diseñado o no se encuentran implementadas • Nivel 2 – Informal • Las actividades de presentación de la información y los controles han sido diseñados e implementados pero no se encuentran documentadas adecuadamente • Los controles dependen de las personas (vs. la documentación establecida) • No existe capacitación formal o comunicación de las actividades de control • Nivel 3 – Estandarizado • Las actividades de control han sido diseñadas e implementadas • Las actividades de control han sido documentadas y comunicadas a los empleados
Marco de Madurez de los CI • Nivel 4 - Monitoreado • Existen controles estandarizados con testeos periódicos para un diseño efectivo y operación con informes al management • La automatización y las herramientas pueden ser utilizadas de manera limitada para soportar las actividades de control • Nivel 5 – Optimizado • Existe un marco de control interno integrado con monitoreo en tiempo real realizado por el management con mejoras continuas (Manejo del Riesgo Empresario) • La automatización y las herramientas son utilizadas para dar soporte a las actividades de control y permitir a la organización hacer cambios rápidos para controlar las actividades de control según las necesidades puntuales.
Deficiencias de Control Interno • Existe una deficiencia en el diseño cuando • Un control necesario para cumplir con un objetivo de control está ausente • Un control existente no ha sido diseñado adecuadamente de modo que, aunque el control funcione tal como ha sido diseñado, no siempre se cumple el objetivo de control. • Existe una deficiencia en la operación cuando un control adecuadamente diseñado no funciona bien, o cuando la persona que lleva a cabo el control no posee la autoridad o capacidad necesaria para implantar el control en forma efectiva. DEFICIENCIA SIGNIFICATIVA (Errores, no se evaluan riesgos, deficiencias sin resolver, acumulación de deficiencias, etc)
Deficiencias de Control Interno • Debilidad Material • Se trata de una deficiencia significativa que, por sí misma, o en combinación con otras deficiencias significativas, genera mayor probabilidad de que se detectará una aseveración errónea en los estados contables anuales o de períodos intermedios. Debilidad Material = Opinión adversa
Secciones más importantes para SOA Compliance for IT Cuáles son los requerimientos concretos para TI 103 Auditing, quality control, and independence standards and rules (Retención de Registros) 302 Responsabilidad Corporativa por Auditorias Financieras 404 Administración de Evaluaciones de Controles Internos de Negocio
Cuáles son los requerimientos concretos para TI • 404 – Administración de Evaluaciones de Controles Internos de Negocio (Management Assessment of Internal Business Controls) Cada Reporte Financiero Anual debe incluir un “reporte de control interno” que certifique la responsabilidad de la administración de la Compañía por la creación y manteniemiento de los controles internos y procesos para reporte financiero, y que contenga una evaluación de la efectividad de dichos controles y procesos.
Ejemplo de Controles • Estilo de Operación • Políticas de la Compañía • Gobernabiliadad • Colaboración • Formas de compartir la inf. • Ejemplo de Controles • en Aplicaciones • Controles en aplicaciones • de procesos de Negocios –Ej ERP. • Completitud • Exactitud • Validez • Autorización • Segregación de func. Proceso de Negocio 1 Proceso de Negocio 2 Proceso de Negocio 3 Proceso de Negocio 4 • Ejemplo de Controles • Generales • Desarrollo de Programas • Cambios en Programas • Operaciones de comp. • Accesos a programas y • datos Integración de IT y las demás Gerencias de Negocio Management Ejecutivo Servicios de TI
Cuentas Significativas de las Declaraciones Financieras Hoja de Balance Declaración de Ingresos SCFP Notas Otros Procesos de negocios / Clases de Transacciones PROCESO A PROCESO B PROCESO C Controles Aplic Completitud Exactitud Validez Autorización Segregación De funciones Aplicaciones Financieras APLICACIÓN A APLICACIÓN B APLICACIÓN C Controles Grales. Desarrollo de prgs. Cambio de prgs. Acceso a prgs. y datos Control de Ambiente Servicios de Infraestructura de IT Bases de datos Sistemas Operativos Redes Integración entre IT y las Gerencias de Negocio
Integración entre IT y las Gerencias de Negocio • Impacto de RIESGOS de TI: • Confiabilidad: Sistemas que procesan información inexacta • Control de Cambios: Cambios no aprobados sobre los programas o sistemas • Cambios de emergencia: No autorizados o probados adecuadamente • Intervención manual: Accesos de personal no autorizado • Pérdida de información: Error de procesamiento, extracción o modificación La importancia y naturaleza del riesgo de control interno de TI sobre los informes financieros dependen de las características de cada organización.
MARCO NORMATIVO • Aplicación de estándares COSO y COBIT para IT
Marco NormativoConociendo los Estándares • COSO Estándar sugerido por la PCAOB para la implantación del Sistema de Control Interno The Committee of Sponsoring Organizations of the Treadway Commission
Aplicación de Estándares COSO • COSO identifica cinco componentes esenciales (dominios) para un control interno efectivo: • Control del Ambiente • Evaluación de Riesgos • Actividades de Control • Información y comunicación • Monitoreo
Aplicación de Estándares COSO • Control del Ambiente • Integridad, valores éticos y el comportamiento de los ejecutivos clave • Conciencia de control de la gerencia y estilo de operación • Compromiso de ser competente • Participación de la junta directiva y del comité de auditoría en la gestión de gobierno (governance) y supervisión del negocio • Estructura adecuada de la organización y asignación de autoridad y responsabilidades • Políticas y prácticas de recursos humanos
Aplicación de Estándares COSO Evaluación del Riesgo Si se han establecido y comunicado los objetivos a nivel de empresa (a nivel de proceso y de aplicación) Si se ha establecido un proceso de evaluación de riesgos que incluya una estimación de la importancia de los riesgos, evaluación de las probabilidades de que ocurran, y determinación de las acciones necesarias Si se han establecido mecanismos para anticipar, identificar y reaccionar a situaciones que puedan tener un efecto dramáticamente extenso en la empresa. Si existen mecanismos para anticipar, identificar y reaccionar a eventos rutinarios o a actividades que afecten el logro de los objetivos de la entidad o a nivel de proceso/aplicación Si el departamento de contabilidad ha establecido procesos para identificar cambios significativos en los principios de contabilidad generalmente aceptados promulgados por las autoridades pertinentes Si los canales de comunicación están facultados para notificar al departamento de contabilidad los cambios en las prácticas de negocios de la empresa que pueden afectar el método o el proceso de registrar transacciones Si el departamento de contabilidad tiene procesos para identificar cambios importantes en el entorno operativo, incluyendo cambios regulatorios
Aplicación de Estándares COSO Actividades de Control Las actividades de control son políticas y procedimientos que ayudan a asegurar que las instrucciones de la gerencia sean cumplidas.: La existencia de las políticas y los procedimientos que se requieren respecto a cada actividad de la empresa Si los controles se aplican con la extensión que requiere cada política Si la gerencia tiene objetivos claros en términos de presupuesto, utilidades, otras metas financieras y de operación y estos objetivos son expresados con claridad y comunicados a toda la organización, y son monitoreados continuamente La existencia de sistemas establecidos de información y de planeación para identificar variaciones en el desempeño planeado y comunicar tales variaciones a nivel apropiado de gerencia Grado en que las funciones están segregadas entre diferentes personas de tal manera que se reduce el riesgo de fraude o de otros actos impropios
Aplicación de Estándares COSO • Información y Comunicación • La calidad del sistema de comunicación e información de la compañía afecta la habilidad de • la gerencia para tomar las decisiones acertadas para controlar las actividades de la compañía • y preparar reportes financieros confiables: • Si el sistema de información provee a la gerencia los informes necesarios sobre el desempeño de la empresa en relación con los objetivos establecidos, incluyendo información relevante tanto externa como interna • Si la información se provee a las personas adecuadas con suficiente detalle y anticipación para que puedan desempeñar sus responsabilidades eficientemente y con eficacia • Hasta qué grado los sistemas de información son desarrollados o modificados con base en un plan estratégico que está inter-relacionado con el sistema general de información de la empresa, que permita el logro de los objetivos a nivel de empresa y de proceso /aplicación • Si la gerencia de la empresa asigna los recursos humanos y financieros adecuadospara desarrollar los sistemas de información que sean necesarios Cómo asegura y monitorea la gerencia la participación de usuarios en el desarrollo (incluyendo modificaciones) y pruebas de programas. Si se ha establecido un plan de recuperación en caso de desastre para todos los centros principales de datos
Aplicación de Estándares COSO • Monitoreo • Monitoreo es un proceso de evaluación para determinar la calidad del control interno a • través del tiempo, considerando si los controles están operando para lo que fueron • diseñados y asegurando que son modificados apropiadamente por condiciones cambiantes. • Algunas de las tareas que se deben desarrollar en esta etapa son: • Si se llevan a cabo evaluaciones periódicas del control interno • Grado en que el personal, en el desarrollo de sus funciones regulares, obtiene evidencia de que el • sistema de control interno continúa funcionando • Grado en que las comunicaciones de partes externas corroboran la información generada internamente • o indican problemas • Si la gerencia sigue las recomendaciones que le hacen los auditores internos y los auditores • Independientes • Enfoque de la gerencia para corregir oportunamente las condiciones informables conocidas • Enfoque de la gerencia para manejar los reportes y recomendaciones provenientes de autoridades • reguladoras • Existencia de una función de la auditoría interna que la gerencia usa para ayudarse en el monitoreo
Marco NormativoConociendo los Estándares COBIT • COBIT es un modelo de gobierno de IT que provee objetivos tanto a nivel corporativo y de actividad, a los cuales les asocia controles. Utilizando el marco COBIT , una organización puede diseñar un sistema de controles de IT para cumplir con los requerimientos de la Sección 404 de SOA.
Procesos de Negocio COBIT Planificación y Organización MONITOREO Adquisición e Implementación Entrega y Soporte Aplicación de Estándares COBIT
Aplicación de Estándares COBIT Metodologías - COBIT • Information Systems and Audit Control Association - ISACA • Uno de los principales organismos que reúne a los Auditores de Sistemas es el ISACA, que a través de las COBIT AUDIT GUIDELINES (COBIT Control Objectives for Information and Related Technology), define los principales estándares internacionalmente aceptados para la práctica de Auditoría de Sistemas. • Comprenden una serie de Objetivos de Control a cumplir en los distintos aspectos del “gobierno” de IT, dentro de los cuales se encuentran los temas específicos de Seguridad y Control:
Aplicación de Estándares COBIT Metodologías - COBIT Planeación y Organización Plan Estratégico Arquitectura de Información Organización de TI Inversión en TI Administración de Recursos Humanos Evaluación de Riesgos Administración de proyectos y de Calidad Adquisición e Implementación Identificación de Soluciones Adquisición y Mantenimiento de Software y Arquitectura de Tecnología Desarrollo y Mantenimiento de Procedimientos de TI Administración de Cambios
Aplicación de Estándares COBIT Metodologías - COBIT Entrega de Servicios y Soporte Administración de Servicios propios y de Terceros Servicio Continuo Seguridad de Sistemas Educación y Entrenamiento de Usuarios Administración de la Configuración y Datos Manejo de Incidentes Monitoreo Monitoreo del Proceso y del Control Interno Auditoría Independiente
Otras Normativas relacionadas con SARBANES OXLEY ISO 17799 ITIL Information Technology Infrastructure Library