Auditoria de Tecnología Basada en Riesgos 160813 [ESTUDIANTES]x

March 10, 2018 | Author: Byron Tipanluisa | Category: Cobit, Planning, Decision Making, Quality (Business), Financial Audit
Share Embed Donate


Short Description

Descripción: au...

Description

AUDITORÍA DE TECNOLOGÍA BASADA EN RIESGOS Agosto, 2013

Copyright © 2013 Ing. Raúl González Carrión All rights reserved.

Auditoría de Tecnología Basada en Riesgos CONTENIDO Inicio: Conceptos básicos 1. Fundamentos de la gestión de riesgos corporativos 1.1. Antecedentes: Metodologías de Control Interno 1.2. Marcos metodológicos de gestión de riesgos 1.3. Definición, objetivos y componentes de la gestión de riesgos 1.4. Riesgo y Control

2. Gestión de riesgos de TI 2.1. Algunos conceptos de Riesgos Tecnológicos 2.2. Principales marcos para la Administración de Riesgos de TI 2.3. Riesgo Operativo 2.4. The Risk intelligence Map 2.5. Revisión marco COBIT 4.1

1

Auditoría de Tecnología Basada en Riesgos CONTENIDO 2.6. Metodología para realizar un análisis de riesgos de Confidencialidad, Integridad y Disponibilidad 2.7. Continuidad del Negocio como parte de la evaluación de riesgos 2.8. Norma PCI 2.9. Introducción a ISO ISO/IEC 38500:2008

3. Estándar internacional de auditoría 3.1. Norma ISA 315 – Identificación y evaluación del riesgo de error material a través del conocimiento y la compresión de la entidad y de su entorno 3.2. Controles Generales Relacionados con la Tecnología 3.3. Controles de Aplicación 3.4. Riesgos & Controles en Procesos de Negocios

2

Auditoría de Tecnología Basada en Riesgos CONTENIDO 4. Metodología Auditoría de Tecnologías basada en riesgos

3

Conceptos básicos • Auditoría: Es un examen objetivo, sistemático y profesional practicado con posterioridad a la ejecución de las operaciones o transacciones con el objeto de emitir un informe o diagnóstico que derive comentarios, conclusiones y recomendaciones.

• Auditoría de Tecnología: Proceso de recolección y evaluación de evidencia para determinar si los SI y los recursos relacionados: • Salvaguardan adecuadamente los activos, • Mantienen la integridad de los datos y del sistema, • Proveen información relevante y confiable, • Alcanzan efectivamente los objetivos organizacionales, • Utilizan los recursos eficientemente, y • Cuentan con controles internos que provean una seguridad razonable de que los objetivos operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o detectados y corregidos de manera oportuna. Fuente: ISACA.ORG 4

Conceptos básicos • Riesgo: • • • • • • • •

Es “el efecto de la incertidumbre en la consecución de los objetivos” [ISO 31000:2009] Combinación de la probabilidad (posibilidad) de un evento y su consecuencia (Risk Management: Vocabulary Guide 73 ISO) La posibilidad que algo suceda y que tenga impacto en el logro de los objetivos (Australian/New Zealand Standard - 1999) Posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia. (NTC 5254 Gestión del Riesgo) Combinación de la probabilidad y la(s) consecuencia(s) que ocurra un evento peligroso específico.( NTC OHSAS 18001 ) Riesgo es la posibilidad que algún evento ocurra y afecte adversamente el logro de los objetivos (COSO ERM - 2004) Posibilidad de que ocurra un evento o acto que podría tener un efecto adverso en la organización y sus sistemas de información [ISACA] Riesgo Probabilidad de que un evento o acción pueda afectar adversamente la organización o actividad auditada [IIA]

Riesgo Es la exposición potencial a situaciones que pueden afectar el logro de los objetivos de una organización, generar pérdidas o mermar potenciales utilidades.[Deloitte]

5

FUNDAMENTOS DE LA GESTIÓN DE RIESGOS CORPORATIVOS 1.1. Antecedentes: Metodologías de Control Interno

6

La actualidad • La incertidumbre implica riesgos y oportunidades. • La administración de riesgos corporativos permite a la

dirección tratar efectivamente a la incertidumbre y sus riesgos y oportunidades asociadas, mejorando así la capacidad de generar valor.

7

Contexto • En el contexto actual existen dos tendencias

sumamente acentuadas: • Globalización • Tecnología

• Si bien ambas tendencias favorecen el crecimiento

económico y las inversiones, también implican mayores riesgos, principalmente por la acción de las diferentes variables que interactúan.

8

1.1.1. Control Interno: Evaluación y Evolución • ¿Qué es el control interno?:

Es un proceso realizado por la Junta Directiva, Administradores y demás personal de la entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos de la organización en estas Promover la efectividad y eficiencia en las operaciones categorías: (incluyendo la salvaguarda de activos).

Soportar el cumplimiento con las leyes y regulaciones aplicables

Asegurar la razonabilidad de los reportes financieros

9

Evolución reciente del control interno

COSO 2013

10

1.1.2. Control interno efectivo: Referentes internacionales COSO I

IIA

COSO II (ERM)

SOX

Basilea

Cobit

11

1.1.3. Generación del Control Interno • Un esquema comprensivo que nos genera: –

Una definición común de “Controles internos”



Discusión de responsabilidades



Estándares para evaluar el sistema de control interno



Un modelo general de control interno

* Internal Control – Integrated Framework, Committee of Sponsoring Organizations (COSO) of the Treadway Commission

12

1.1.3. Generación del Control Interno • El control interno ayuda a una entidad a llegar a donde quiere llegar, evitar

trampas y sorpresas que pueden ocurrir en el transcurso.

Proceso continuo. Es un medio no un fin en sí mismo.

Proporciona seguridad razonable. Ejecutado por personas. No son solo políticas y manuales.

13

Control Interno • El control interno no es un evento o una circunstancia, es Proceso

una serie de acciones. • Constituye un medio para un fin, es administrado mediante la planeación, ejecución y monitoreo. • Está entrelazado con las actividades de operación de una entidad y ES PARTE DE LA ESENCIA DE UNA COMPAÑÍA.

• Es Personal

ejecutado por la Junta Directiva, Administradores, y demás personal de la entidad. • La gente debe conocer sus responsabilidades y sus límites de autoridad.

14

Control Interno Seguridad Razonable

Existen limitaciones inherentes a todos los sistemas de control interno (juicios humanos en toma de decisiones, fallas humanas-errores y equivocaciones, colusión de dos o más personas, entre otros).

Objetivos

Misión, objetivos y estrategias de la Compañía para alcanzarlos

15

1.1.4. Responsabilidades frente al sistema de control interno Riesgos Sistema de Control Interno Organización

Presidencia Vicepresidencias Gerencias Áreas de Soporte Dueños de Proceso Todo el personal de la organización

Asamblea de Accionistas

Junta Directiva

Comité de Auditoría

Auditoría Interna

Revisoría Fiscal

Responsables del sistema de control interno

16

Responsabilidad de monitorear el sistema de control interno 16

Control Interno Resumiendo:

Es un proceso que hace parte de los demás sistemas y procesos de la empresa

Proporciona una seguridad razonable, más que absoluta, de que se lograrán los objetivos definidos.

Es concebido y ejecutado por personas de todos los niveles de la organización a través de sus acciones y palabras.

Orientado a objetivos es un medio, no un fin en sí mismo. 17

1.1.5. Evaluación del Control Interno: Método COSO • Commitee of Sponsoring Organizations of the Treadway Commission en 1992

estableció el COSO I (The Internal Control Integrated Framework) • Asociación Contable Estadounidense • Instituto Estadounidense de CPA • Instituto de Ejecutivos Financieros • Instituto de Auditores Internos • Instituto de Contadores Gerenciales

COSO •C comitte (comité) •O of (de) •S sponsorig (auspiciantes) •O organizations (organizaciones) 18

1.1.6. COSO I– Referente para otras metodologías de Implementación y evaluación de CI. Otros organismos profesionales de los países industrializados han definido su enfoque sobre el control interno, basados en los criterios definidos en el Informe COSO, como los siguientes: • Criteria of Control (COCO), del Instituto Canadiense de Contadores Certificados

(CICA de las siglas del inglés); • Cadbury del Instituto de Contadores del Reino Unido; • King del Instituto de Contadores de Australia; • Vienot de Francia; Entre los más difundidos. Adicionalmente existen regionalmente estos documentos: • MICIL – Marco Integrado de Control Interno para Latinoamérica (síntesis y adaptación de COSO I). • CORRE – Control de los Recursos y los Riesgos en Ecuador (síntesis de: COSO I, COSO II (ERM), MICIL). 19

1.1.7. COSO I – Definición de Control Interno • El control interno se define como un proceso, efectuado por el

consejo de administración, la dirección y el resto de personal de una entidad (todos), diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: • El control interno consta de cinco componentes interrelacionados,

que se derivan de como la administración maneja el ente, y están integrados a los procesos administrativos. • El control interno, no consiste en un proceso secuencia. Es un

proceso multidireccional repetitivo y permanente. • El control interno difiere por ente y tamaño y por sus culturas y

filosofías de administración. 20

1.1.8. COSO I – Marco Integrado de Control (Framework)

Actividades de Control

Actividad 1

Proceso 1

Información & Comunicación

Unidad B

Monitoreo

Unidad A

Cinco Componentes

Tres categorías de objetivos

Evaluación de Riesgos

Ambiente de Control

NIVELES DE LA ORGANIZACIÓN Unidades-Actividades-Procesos

21

COSO I: Ambiente de Control

Actividades de Control

Actividad 1

Proceso 1

Información & Comunicación

Unidad B

Integridad y Valores Éticos. Estructura Organizativa Autoridad Asignada y Responsabilidad Asumida. Administración de los Recursos Humanos. Competencia Profesional y Evaluación del Desempeño Individual. Filosofía y Estilo de la Dirección. Consejo de Administración y Comités. Rendición de Cuentas y Transparencia.

Monitoreo

Unidad A

El Ambiente de Control da el tono de una organización influenciando la conciencia de control de sus empleados, proporcionando disciplina y estructura. Es el fundamento de los demás componentes del control interno.

Evaluación de Riesgos

Ambiente de Control

22

COSO I: Evaluación de Riesgos

Actividades de Control

Actividad 1

Proceso 1

Información & Comunicación

Unidad B

Monitoreo

Unidad A

La Valoración de Riesgos es la identificación y el análisis de los riesgos relevantes que puedan afectar la consecución de los objetivos. Los continuos cambios de la economía, la industria, las regulaciones y las condiciones de operación, requieren mecanismos para identificar, tratar y administrar los riesgos asociados al negocio.

Evaluación de Riesgos

Ambiente de Control

23

COSO I: Actividades de Control

Actividades de Control

Actividad 1

Proceso 1

Información & Comunicación

Unidad B

Monitoreo

Unidad A

Las Actividades de Control ayudan a asegurar que se están llevando a cabo las directrices administrativas y tomando las acciones necesarias para manejar los riesgos hacia la consecución de los objetivos de la Entidad. Las actividades de control se dan a todo lo largo y ancho de la Entidad, en todos los niveles y en todas la funciones.

Evaluación de Riesgos

Ambiente de Control

24

COSO I: Información & Comunicación

Actividades de Control

Actividad 1

Proceso 1

Información & Comunicación

Unidad B

Monitoreo

Unidad A

Los sistemas de Información producen reportes, contienen información operacional, financiera y relacionada con el cumplimiento, que hace posible operar y controlar el negocio, adicionalmente soportar la toma de decisiones. La Comunicación efectiva debe fluir en un sentido amplio, hacia abajo, a lo largo y hacia arriba de la organización, igualmente con las partes externas como clientes, proveedores, reguladores y accionistas, entre otros.

Evaluación de Riesgos

Ambiente de Control

25

COSO I: Monitoreo

Actividades de Control

Actividad 1

Proceso 1

Información & Comunicación

Unidad B

Monitoreo

Unidad A

El Monitoreo ongoing (ocurre en el curso de las operaciones), las evaluaciones separadas (supervisión o ejecución de trabajos de Auditoría) o combinaciones de ambas, deben efectuarse sobre el sistema de control interno, puesto que el monitoreo es un proceso que valora la calidad del desempeño del sistema de control interno en el tiempo.

Evaluación de Riesgos

Ambiente de Control

26

COSO I

27

COSO – Una frase para recordar

Un buen control interno NO garantiza el éxito ... PERO ... Un mal control interno SI garantiza el fracaso.

28

FUNDAMENTOS DE LA GESTIÓN DE RIESGOS CORPORATIVOS 1.2. Marcos metodológicos de gestión de riesgos

29 29

1.2.1. Marcos metodológicos de Gestión de Riesgos A continuación se lista los principales marcos metodológicos sobre gestión de riesgos: Gestión de riesgos corporativos. • • • • • • •

Estándar AS NZS 4360:1999 de Gestión de Riesgos (Australiano Neozelandés – 1999) Estándar AS NZS 4360:2004 de Gestión de Riesgos (Australiano Neozelandés – 2004) COSO – ERM /Enterprise Risk Management (2004) Basilea II – Gestión de Riesgos en Entidades Financieras (2004) ISO 31000:2009 Gestión de Riesgos – Principios y Directrices (2009) ISO 73:2009, el vocabulario de gestión de riesgos ISO/IEC 31010:2009 Risk management -- Risk assessment techniques

Gestión de riesgos de Tecnología de la Información TI. • • • • • • •

COBIT – Control Objectives for Information and related Technology (ISACA) IT Risk (ISACA) ISO 27005 Gestión del Riesgo en la Seguridad de la Información MAGERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Gobierno de España) OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluación de Amenazas y Vulnerabilidades de Recursos Críticos Operacionales (Carnegie Mellon University) NIST – National Institute of Standards and Technology; Risk Management Guide for Information Technology Systems.

30

1.2.2. COSO II - ERM A raíz de los grandes problemas en varias organizaciones empresariales se establecieron nuevas metodologías para lograr mayor compromiso de parte de toda la organización desde su junta directiva, administración y demás personal. [Gobierno Corporativo] Se cambiaron las reglas de planeación y evaluaciones de controles internos por la necesidad primaria de lograr una administración de riesgos habiéndose completado el COSO I por el ahora llamado COSO II (ERM) El COSO II (ERM), es reconocido como el estándar para cumplir con la sección 404 de la ley Sarbanes-Oxley. Sección 404: Exige al CEO y CFO, anualmente, declarar su responsabilidad de establecer, mantener y evaluar la estructura de control interno (modelo tipo COSO) y procedimientos de reporte financiero. Exige al Auditor Externo probar la validez de la declaración de la Gerencia.

31

1.2.2.1 COSO II – ERM : Fecha de publicación • En septiembre de 2004 se publicó la versión en inglés del COSO – ERM (Enterprise

Risk Management – Integrated Framework. • La traducción al español del COSO – ERM fue realizada por la firma auditora

PricewaterhouseCoopers PWC y la Federación Latinoamericana de Auditores Internos FLAI, y fue publicada en diciembre de 2005

32

1.2.2.2 COSO II – ERM : Antecedentes ¿CÓMO SE INICIÓ ERM? ERM comenzó en las empresas de servicios financieros, seguros, servicios públicos, petróleo, gas, e industrias manufactureras químicas ¿Por qué ahí? • En estas industrias los riesgos están bien documentados y medidos. • Comúnmente se utilizan sofisticados modelos estadísticos. • Existe entendimiento y supervisión sobre la sensibilidad del mercado y riesgos

33

FUNDAMENTOS DE LA GESTIÓN DE RIESGOS CORPORATIVOS 1.3. Definición, objetivos y componentes de la gestión de riesgos

34 34

1.3.1. COSO ERM – Definición • “La Gestión de Riesgos Corporativos es un proceso efectuado por la Junta

Directiva, administración y demás personal, aplicable a la definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización, administrar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos. “ 1. 2. 3. 4.

ESTRATEGICO (esta categoría no incluía COSO I). Eficiencia y efectividad de las Operaciones (OPERACIONES). Confiabilidad de la Información (REPORTES). Cumplimiento (CUMPLIMIENTO).

35

1.3.2. COSO ERM – Conceptos Fundamentales Conceptos fundamentales:

Un proceso, es un medio para un fin, no un fin en si mismo.

Efectuado por gente – no es solamente política, estudio y forma, sino que involucra gente en cada nivel de una organización.

Aplicado en la definición de la estrategia

Aplicado a través de la administración en cada nivel y unidad (incluye asumir el punto de vista de portafolio de los riesgos a nivel de la entidad)

Diseñado para identificar los eventos que potencialmente afectan la entidad y para administrar los riesgos dentro del apetito por los riesgos.

Provee seguridad razonable para la administración y para la junta de una entidad

Orientado al logro de los objetivos en una o más categorías separadas pero al mismo tiempo se sobreponen unas con otras. 36

1.3.3. COSO ERM – Componentes El COSO - ERM está integrado por ocho componentes: 1. Ambiente Interno. 2. Establecimiento de Objetivos. 3. Identificación de Eventos. 4. Evaluación de Riesgos. 5. Respuesta al Riesgo. 6. Actividades de Control. 7. Información y Comunicación. 8. Supervisión (Monitoreo).

37

1.3.4. COSO I vs COSO II (ERM) COSO (Internal Control ) Framework

Vs

COSO ERM (Enterprise Risk Management) Framework

Actividades de Control

Actividad 1

Proceso 1

Unidad B

Información & Comunicación

Unidad A

Monitoreo

Evaluación de Riesgos

Ambiente de Control

Se pasó de tener 5 a tener 8 componentes 38

1.3.4. COSO I vs COSO II (ERM) Control Interno COSO Control interno es un proceso ejecutado por el consejo directo, la administración y otro personal de una entidad, designado para proporcionada seguridad razonable referente al logro de objetivos en las categorías:

2. 3.

Efectividad y eficacia de operaciones Confiabilidad en reportes financieros Cumplimiento con las leyes y reglamentos aplicables Monitoreo Información & Comunicación Actividades de Control

La administración de riesgos empresariales un proceso, ejecutado por el consejo directivo, la administración y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su apetito de riesgo, proporcionar seguridad razonable referente al logro de objetivos.

Unidad A Unidad B Proceso 1 Actividad 1

1.

Administración de Riesgos Empresariales ERM

Evaluación de Riesgos

Ambiente de Control

39

1.3.5. COSO II – ERM : Componentes Estableciendo el Tono de la organización, para influenciar la conciencia de control de su gente Factores que afectan el ambiente interno:

AMBIENTE INTERNO

Asignación de autoridad y responsabilidad

Integridad y valores éticos

Estructura Organizacional

Junta Directiva – Comité de Auditoría

Políticas y prácticas de recurso humano

Estilo y filosofía de la administración

Compromiso hacia la competencia (habilidades y conocimientos)

40

1.3.5. COSO II – ERM : Componentes Principales consideraciones con relación a TI: AMBIENTE INTERNO

• TI se ve como una organización separada y por ende tiene un ambiente de control diferente • La complejidad de TI también afecta el control interno – Mayor énfasis • La Tecnología puede introducir nuevos riesgos o aumentar algunos lo cual puede requerir nuevas actividades de control • Se requiere conocimiento especializado. • Confianza en proveedores críticos • La propiedad de los Controles de TI puede no ser clara

41

1.3.5. COSO II – ERM : Componentes Corresponde a un proceso para definir objetivos y que estos apoyen y estén de acuerdo con la misión de la entidad y sean consistentes con su interés por los riesgos. FORMULACION DE OBJETIVOS

•Objetivos estratégicos •Objetivos relacionados •Objetivos seleccionados •Riesgo aceptado •Tolerancia al riesgo El establecimiento de objetivos es un requisito previo para el control interno Efectivo.

42

1.3.5. COSO II – ERM : Componentes Eventos con impacto negativo tanto internos como externos que afectan el logro de los objetivos, distinguiendo entre riesgos y oportunidades:

•Factores de influencia estrategia y objetivos IDENTIFICACION DE EVENTOS

•Metodologías y técnicas •Acontecimientos independientes •Categorías de acontecimientos •Riesgos y Oportunidades Se tienen eventos a nivel : 1. A nivel de la entidad 2. A nivel de actividad

Evento: Incidente o suceso generado por una fuente interna o externa, que afecta a la aplicación de una estrategia o el alcance de cualquier objetivo. 43

1.3.5. COSO II – ERM : Componentes Incluye todas las actividades desarrolladas por la administración relacionadas con la evaluación y aseguramiento de los procesos y riesgos financieros. Administrando los riesgos de la organización:



Establecimiento de metas y objetivos - Factores críticos de éxito - Plan estratégico

EVALUACION DEL RIESGO

- Análisis de competitividad



Identificación y análisis de riesgos - Nivel entidad: Penetrantes - Nivel de actividad (proceso) - Análisis y cuantificación de riesgos

44

1.3.5. COSO II – ERM : Componentes Corresponde a la selección más apropiada para cubrir los riesgos desarrollando un conjunto de acciones para alinear los riesgos con las tolerancias de riesgos de la entidad y el interés o apetito por los mismos

• Evaluación de posibles respuestas (mitigar, transferir, aceptar, evitar) RESPUESTA AL RIESGO • Selección de respuesta • Manejo del cambio

45

1.3.5. COSO II – ERM : Componentes

RESPUESTA AL RIESGO

Mitigar

Transferir

•Implementar controles (mitigar/reducir)

•Compartir, asociación con alguien.

•Por ejemplo. Definir, implementar controles apropiados para reducir la probabilidad o el impacto del riesgo

•Por ejemplo, compartir el riesgo con socios o transferirlo mediante cobertura de seguro, acuerdo contractual u otros medios.

Aceptar

Evitar

•Monitorear

•Eliminar

•Reconocer formalmente la existencia del riesgo y monitorearlo.

•Por ejemplo, donde sea factible, escoger no implementar ciertas actividades o procesos que generen un riesgo (es decir, eliminar el riesgo al eliminar la causa)

46

1.3.5. COSO II – ERM : Componentes

RESPUESTA AL RIESGO

Alta I M P A C T O Baja

Riesgo (Alto)

Riesgo (medio)

Transferir

Evitar

Bajo (Riesgo)

Aceptar

Riesgo (Medio)

Mitigar

PROBABILIDAD

Alta 47

1.3.5. COSO II – ERM : Componentes Principales consideraciones con relación a TI: • Los riesgos de TI son penetrantes a toda la organización, cuentas y procesos. A nivel de entidad: RESPUESTA AL RIESGO

• Un sub-comité de planeación de TI el cual debería responder por el plan de implementación de controles de TI, su seguimiento e integración con el plan global de la organización. • Evaluación de los riesgos de TI A nivel de actividades : • Evaluación de riesgos como parte de metodologías de desarrollo, y control de cambios en Infraestructura y operaciones. 48

1.3.5. COSO II – ERM : Componentes •

Las Actividades de Control son las políticas y los procedimientos que ayudan a asegurar que se están llevando a cabo las directivas administrativas necesarias para manejar los riesgos.



Las actividades de control deben estar incorporadas en las operaciones del negocio.



Las actividades de control están ligadas a la evaluación de riesgos, ya que éstas sirven como medio para que el riesgo sea administrado apropiadamente.



Enfocadas a corrección.

ACTIVIDADES DE CONTROL la

prevención,

detección

y

49

1.3.5. COSO II – ERM : Componentes ACTIVIDADES DE CONTROL

Principales consideraciones con relación a TI: • La información confiable es la base de la generación de Estados Financieros • Existen dos grandes grupos de actividades de control:

Controles generales relacionados con la tecnología

Controles de Aplicación

• Aplican a la mayoría o todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operación adecuada.

• Incluyen pasos computarizados con la aplicación de software y manuales de procedimientos relacionados para controlar el procesamiento de varios tipos de transacciones.

50

Controles generales relacionados con la tecnología Marco de referencia COBIT 1. 2. 3. 4.

CobiT

Seguimiento de los procesos Evaluar lo adecuado del control Interno Obtener aseguramiento independiente Proveer una auditoría independiente

Seguimiento

1.Definición del nivel de servicio 2.Admistración del servicio de terceros 3.Adm. de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Admistración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones

Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad

Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano

Prestación de Servicio y Soporte Tomar en consideración que ahora se tiene COBIT 5

Planeación y Organización

1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad

Adquisición e Implementación

1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios 51

Controles de aplicación •

Son los controles embebidos en los programas para prevenir o detectar transacciones no autorizadas.



Combinadas con controles manuales contribuyen al aseguramiento de la integridad, validez y registro adecuado de la información.

Algunos Ejemplos: • Balanceo de transacciones (reconciliaciones detectando errores en la entrada de datos) • Dígitos de chequeo • Listas predefinidas (Precios, Materiales, Proveedores) • Limites de rangos o de valores.

52

Relación : Controles Generales Relacionados con la Tecnología y Controles de aplicación La relación entre los controles de aplicación y los controles generales relacionados con la tecnología es tal que los Controles Generales son normalmente necesarios para soportar el funcionamiento de los controles de aplicación, y ambos son normalmente necesarios para asegurar el procesamiento completo y preciso de información.

• Cambios en los programas.

• Centro de datos y operaciones de red.

• Seguridad de accesos. • Adquisición, desarrollo y mantenimiento de programas (sistemas)

• Adquisición, cambios y mantenimiento de aplicaciones.

53

1.3.5. COSO II – ERM : Componentes Información y Comunicación representa el proceso por medio del cual se asegura que la información relevante es identificada y comunicada de manera adecuada y oportuna a todo el personal de la entidad.

INFORMACION Y COMUNICACION

54

1.3.5. COSO II – ERM : Componentes El Monitoreo es el proceso que evalúa la calidad del desarrollo del Control Interno en el tiempo, mediante una evaluación continua de los controles, tomando las acciones correctivas necesarias. •

Monitoreo Ongoing – Actividades regulares de la administración – Corroboración de información (interna vs externa) – Estructura organizacional apropiada – Actividades de supervisión de las funciones de control – Verificación de información – Información de auditores (externos e internos) – Reuniones periódicas – Auto control



Evaluaciones Separadas – Efectividad del Sistema de Control Interno – Efectividad de los procedimientos ongoing



Información de deficiencias

MONITOREO

Ongoing: término técnico que significa estar actualmente en proceso, en continuo movimiento, hacia delante

55

Beneficios COSO ERM •

Permite a la Dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.



Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. Toma de decisiones más segura, facilitando la asignación del capital.



Alinea los objetivos del Grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.



Permite dar soporte a las actividades de planificación estratégica y control interno.



Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de Gobierno Corporativo.



Fomenta que la gestión de riesgos pase a formar parte de la cultura del Grupo.

56

Beneficios COSO ERM •

Reducir sorpresas y pérdidas operativas



Proveer respuestas integradas a riesgos múltiples.



Aprovechar las oportunidades



La gestión de riesgos proporciona rigor para identificar los riesgos y seleccionar entre las posibles alternativas de respuestas a ellos: mitigar, transferir, aceptar o evitar.

57

Limitaciones de COSO ERM •

COSO ERM no garantiza que la entidad será exitosa y logrará todos sus objetivos



Limitaciones: •

Cambios en políticas o programas del Gobierno



Competencia



Condiciones económicas



Malas decisiones



Errores y equivocaciones



Gerentes incompetentes



Omisión o debilitamiento de control interno, colusión, ignorar el ERM



ERM no refleja una adecuada relación costo-beneficio.



Transgregación Gerencial: Un gerente puede eludir intencionalmente las prácticas establecidas debido a fines inadecuados (inobservancia gerencial a las políticas o procedimientos prescritos).



Colusión: Dos o más personas pueden colaborar para quebrar controles (confabulación). 58

Mitos sobre COSO ERM •

Es un cúralo-todo con el que se pueden tomar decisiones basados en información 100% confiable y basada en información sin margen de error.



Sólo sirve para catalogar o tomar un inventario de todos los riesgos que afectan a una organización.



Con él, las auditorías serán infalibles.



ERS es sobre seguros



Es un proceso independiente y aislado del resto de la organización



Cuesta demasiado implementarlo

59

1.3.6. Nuevo marco de Control Interno COSO 2013 •

El paso 14 de mayo del 2013, se publicó la actualización de COSO I.



No ha sido una labor breve, El Committe ha efectuado las siguientes etapas:





2010. Evaluación y encuestas a las partes interesadas.



2011. Diseño y estructura marco actualizado



2012. Exposición pública, evaluación y mejoras



2013. Finalización.

De los 5 componentes de Control Interno no varían con respecto al Marco Original publicado en el 1992, sin embargo, los principios y puntos de enfoque han sufridos cambios claves en cada uno de los componentes, esto a fin de mejorar y facilitar la implantación y mantenimiento. A continuación se detallan los cambios: •

Se aplica un enfoque basado en 17 principios



Aclara la necesidad de establecer los objetivos estratégicos como condición previa a la fijación de los objetivos de Control Interno.



Refleja la relevancia incrementada de la Tecnología de Información.



Fortalece los conceptos de Gobierno Corporativo.



Amplía el objetivo de reporte financiero, pasando a ser reporte en general.



Fortalece la consideración de las expectativas contra el fraude



Considera los diferentes modelos de negocio y estructuras organizacionales. 60 Raúl González Carrión CISA , IA ISO27001 , ABCP , COBIT , MASIE

1.3.6. Nuevo marco de Control Interno COSO 2013 •

A continuación se detalla los 17 principios con los que se implementa un adecuado Control Interno, relacionándolos con sus correspondientes elementos:



Entorno de Control 1.

La Organización ha de demostrar su compromiso con la integridad y los valores éticos.

2.

El Consejo de Administración debe demostrar independencia en la gestión y ejercer la supervisión del desarrollo y ejecución del control interno.

3.

La alta dirección debe establecer, con la supervisión del Consejo de Administración: la estructura, líneas de reporting, autoridad y responsabilidad en la consecución de objetivos.

4.

En sinfonía con los objetivos, la Organización debe demostrar su compromiso para atraer, desarrollar, y retener personas competentes.

5.

En la consecución de los objetivos, la Organización debe disponer de personas responsables para atender sus responsabilidades de Control Interno.

61 Raúl González Carrión CISA , IA ISO27001 , ABCP , COBIT , MASIE

1.3.6. Nuevo marco de Control Interno COSO 2013 •



Evaluación de Riesgos 6.

La Organización ha de especificar los objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionados.

7.

La Organización debe identificar y evaluar sus riesgos.

8.

La Organización gestionará el riesgo de fraude.

9.

La Organización debe identificar y evaluar los cambios importantes que podrían impactar en el Sistema de Control Interno.

Actividades de Control 10.

La Organización ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigación de los riesgos para el logro de sus objetivos.

11.

La Organización seleccionará y desarrollará Controles Generales sobre la Tecnología de la Información.

12.

La Organización implementa sus actividades de control a través de políticas y procedimientos adecuados.

62 Raúl González Carrión CISA , IA ISO27001 , ABCP , COBIT , MASIE

1.3.6. Nuevo marco de Control Interno COSO 2013 •

Información y Comunicación 13. La Organización ha de generar la información relevante para respaldar el funcionamiento de los otros

componentes del Control Interno. 14. La Organización compartirá internamente la información, incluyendo los objetivos y responsabilidades

para el control interno, necesaria para respaldar el funcionamiento de los otros componentes del Control Interno. 15. La Organización comunicará externamente las materias que afecten al funcionamiento de los otros

componentes de Control Interno.



Actividad de Monitoreo 15.

La Organización llevará a cabo evaluaciones continuas e individuales, con el fin de comprobar si los componentes del control interno están presentes y están funcionando.

16.

La Organización evalúa y comunica las deficiencias del control interno.

63 Raúl González Carrión CISA , IA ISO27001 , ABCP , COBIT , MASIE

1.3.6. Nuevo marco de Control Interno COSO 2013 •

Se destaca que para la evaluación de riesgos se ha incluido los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos: •

Velocidad del riesgo: rapidez con la que impacta un riesgo en la organización una vez se ha materializado , es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.



Persistencia de un riesgo: duración del impacto después de que el riesgo se ha materializado.



Modificación de Roles y Responsabilidades de los participantes del proceso (CEO , CFO, tipos de Comités por Campos de Acción, Otros participantes a parte de los Auditores Externos – Medio Ambiente, Comercio Justo, Seguridad Laboral, Proveedores Externos).



El nuevo COSO no nos obligará a introducir cambios inesperados en los procedimientos de Control Interno aplicables en las Organizaciones, pues lo que esta nueva edición representa la materialización formal de los cambios que evolutivamente se habían observado necesarios introducir para hacer eficientes el Control Interno de nuestras empresas, sin olvidar la inter-relación que existe entre el denominado COSO II (ERM) y el COSO I, que ahora se ve explícitamente reconocida. 64 Raúl González Carrión CISA , IA ISO27001 , ABCP , COBIT , MASIE

FUNDAMENTOS DE LA GESTIÓN DE RIESGOS CORPORATIVOS 1.4. Riesgo y Control

65

1.4.1. Riesgo

“Cualquier asunto que podría evitar alcanzar los objetivos”

66

1.4.1. Riesgo (cont) En el sentido más amplio significa: • Exposición a la adversidad • frente a un resultado esperado o deseado

67

1.4.1. Riesgo (cont) Según Glosario: Riesgo – Es la posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en términos de consecuencias y probabilidad. Riesgo Residual – Son los riesgos que permanecen después de que la Dirección haya realizado sus acciones para reducir el impacto y la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en respuesta de un riesgo. Interpretación académica Es una medida de incertidumbre que involucra el logro de los objetivos institucionales, lo que incluye las consecuencias y probabilidad de que un evento negativo ocurra.

68

1.4.1. Riesgo (cont) Según diccionario. Es la posibilidad o proximidad de un peligro o contratiempo // cada uno de los hechos desafortunados que puede cubrir un seguro // conjunto de circunstancias que pueden disminuir el beneficio empresarial…// estar expuesto a que se frustre el resultado deseado o a padecer alguna desgracia.

El riesgo es por si mismo una condición de la existencia, es inherente a cualquier recurso o actividad; por ello el riesgo no se crea ni se destruye; solo se transforma

69

1.4.1. Riesgo (cont) El problema como contingencia del riesgo La gama de riesgos que se enfrentan en una entidad depende, entre otros, de los siguientes factores: • El volumen de los recursos. • La complejidad de las actividades. • Estructura organizativa. • Magnitud de recursos y productos. • Giro de la empresa. • Nivel de tecnificación alcanzado. • Lapso y momento evolutivo de la entidad. • Marco competitivo nacional e internacional. • La velocidad con que se desenvuelve la entidad.

70

1.4.1. Riesgo (cont) DIFERENCIAS ENTRE PROBLEMAS Y RIESGOS Características Problema Riesgos Latencia en el tiempo Temporal Permanente Controles insuficientemente aplicados Detectivos y correctivos Preventivos Posibilidad de medición Existencia Elemento generador

Más cuantificable Real Agentes externos e internos

Menos cuantificable Posible Por naturaleza

Asignación de prioridad a su estudio y De acuerdo a tratamiento emergencia

Según experiencia e intuición

Posibilidad de análisis para identificación de causas y repercusiones

Mayor

Menor

Evidencia Momento de aparición

Existente Presente

Inexistente Futuro 71

1.4.1. Riesgo (cont) RIESGOS AGRUPADOS POR NIVEL JERÁRQUICO Hechos / Causas

Riesgos / Efectos Directivo

Indecisión Desconocimiento del entorno Desconocimiento de la entidad Imprecisión organizativa

Estancamiento de la entidad Sanciones legales Inaplicabilidad de directrices Conflicto interfuncional Gerencial

Descoordinación Desvaloración Irresponsabilidad Desinformación económica Desactualización Desestandarización Descalificación Desorientación Incompetencia Desacato Desconocimiento Deshosnetidad Desinterés Desobligación

Ineficiencia Desmotivación Fuga de recursos Incosteabilidad Especialista Inaplicabilidad Discontinuidad Inoperabilidad Incompatibilidad Incosteabilidad Operativo Conflicto operativo Errores Fraude Merma Accidentes

72

1.4.2. Riesgo – Algunos conceptos • APETITO DE RIESGO: nivel de riesgo que una organización está

preparada para aceptar, tolerar o soportar en un momento determinado de tiempo (cuantitativo o cualitativo).

• EVALUACIÓN DE RIESGOS: actividades para determinar el nivel

de exposición de un proceso frente a sus riesgos. Esto con el propósito de desarrollar estrategias de mitigación, a través de la instauración y fortalecimiento de controles. Los riesgos pueden ser operacionales, estratégicos, de reporte, regulatorios o cumplimiento y de gobierno.

73

1.4.2. Riesgo – Algunos conceptos • ADMINISTRACIÓN

DEL RIESGO: La cultura, procesos y estructuras para administrar efectivamente eventos potencialmente negativos. (Como no es posible eliminarlos totalmente, el objetivo es reducirlos a un nivel aceptable).

74

1.4.3. Riesgo – Tipos • RIESGO INHERENTE: nivel de riesgo propio de la actividad,

sin tener en cuenta el efecto de los controles. Fallas

Efecto en los recursos

Riesgo Inherente

75

1.4.3. Riesgo – Tipos • RIESGO RESIDUAL: nivel resultante del riesgo después de

aplicar los controles. Riesgo Inherente

Controles

Riesgo Residual

76

1.4.4. Control • CONTROL: mecanismo que permite atenuar el riesgo

inherente, con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que dicho riesgo se materialice. Características de los controles:

• Están embebidos en las operaciones del negocio. • Están enfocadas en prevención, detección o corrección. • Pueden ser manuales o automáticos. Ejemplos: backups, mecanismos de seguridad, planes de evacuación.

77

1.4.5. Control - Tipos Se diseñan para cumplir varias funciones: Preventivos: Anticipan eventos no deseados antes de que sucedan. Detectivos: Identifican los eventos en el momento en que se presentan. Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado.

78

1.4.5.1 Control - Preventivo Son más rentables Deben quedar incorporados en los sistemas Evitan costos de corrección o reproceso

79

1.4.5.2 Control - Detectivo Son más costosos que los preventivos Miden la efectividad de los preventivos Algunos errores no pueden ser evitados en la etapa preventiva Incluyen revisiones y comparaciones (registro de desempeño) Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones, técnicas automatizadas, Límites de transacciones, passwords, edición de reportes y auditoría interna. 80

1.4.5.3 Control - Correctivo Acciones y procedimientos de corrección (la recurrencia) Documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregidos o solucionados

81

1.4.6. Control: Manual | Automático • Manuales: Controles que son efectuados fuera de

cualquier aplicativo de TI (ej.: Control manual de acceso al centro de cómputo) • Automáticos: Controles automáticos encontrados en

todos los tipos de ambientes, sin tener en cuenta la plataforma tecnológica, el aplicativo o sistema que está siendo usado (ej.: validaciones, cálculo, interfaz entre aplicaciones, reportes, accesos).

82

1.4.7. Riesgo y Control – Visión del Riesgo Pasado • El monitoreo de riesgo es un función

exclusiva de los auditores internos. • El riesgo es un factor negativo a ser

controlado • Los riesgos son administrador en forma

aislada.

Presente y futuro • El monitoreo de riesgo es responsabilidad

de todos. • El riesgo puede considerarse también como

una oportunidad. • Los riesgos son administrados a través de

un proceso integrado.

• La medición de riesgos es subjetiva

• El riesgo es casi siempre cuantificado.

• Las funciones de administración de riesgos

• La administración de riesgos es

no están estructuradas y son divergentes.

• La revisión de riesgos se realiza

periódicamente por auditoría interna.

implementada dentro de una estructura integrada. • La revisión de riesgos acontece a través de

auto evaluación constante. 83

1.4.8. Riesgo y Control – Metodología de Gestión de Riesgos

Fuente: COSO ERM

84

1.4.9. Derivados del Proceso de Administración de Riesgos 1.

Mapa de Procesos (vinculado con los objetivos corporativos)

2.

Inventario de Riesgos (general y detallado por procesos).

3.

Análisis sobre Impacto – Probabilidad (votación).

4.

Mapa de Riesgos.

5.

Matriz de Administración de Riesgos (controles a implementarse para: evitar, reducir, compartir o aceptar el riesgo)

85

1.4.10. Mapa de Procesos – Ejemplo de una compañía que lleva una red de pagos

Fuente: Deloitte.

86

1.4.11. Mapa de Procesos – Ejemplo de una compañía comercial

Fuente: Deloitte.

87

1.4.12. Mapa de Procesos – Ejemplo de una compañía minera Procesos estrategico Procesos CORE

Procesos de gerenciami ento y soporte

Planeación estrategica -

Adquisición de Productos y Servicios

Producción y explotación de minas

Administración de inventarios y control de producción

Logística y fletes

Ventas y facturación

Recursos humanos Contabilidad y reportes financieros Tesorería Tecnología Jurídica fiscal y tributaria Medio ambiente salud y seguridad industrial Activos fijos e inversiones Fuente: Deloitte.

88

1.4.13. Mapa de Procesos – Ejemplo de una empresa de microfinanzas

89

1.4.14. Inventario de Riesgos – Ejemplo de una compañía que lleva una red de pagos

Fuente: Deloitte.

90

1.4.15. Inventario de Riesgos – Ejemplo de una empresa de microfinanzas

91

1.4.16. Modelo de Riesgos: Fuente Protiviti.

92

1.4.17. Modelo de Riesgos: The Risk Map Deloitte & Touche

Fuente: Deloitte.

93

1.4.18. Categorías de Riesgos del IIA.

Fuente: IIA

94

1.4.18. Categorías de Riesgos del IIA.

Fuente: IIA

95

1.4.19. Categorías de Riesgos: Fuente Deloitte & Touche

Fuente: Deloitte.

96

1.4.20. Procesos de votación - Probabilidad Ejemplo de criterios para definir la PROBABILIDAD de ocurrencia Criterio 5. Esperado 4. Muy Probable

3. Probable

Descripción En la ausencia de cualquier control puede ocurrir desfalco o errores severos en el año o periodo. En la ausencia de cualquier control, es muy probable que ocurra desfalco o errores por lo menos una vez al año o periodo. En la ausencia de cualquier control, es probable que ocurra desfalco o errores por lo menos una vez al año o periodo

2. No Probable

En la ausencia de cualquier control, es baja la probabilidad de que el desfalco o errores ocurran por lo menos una vez al año o periodo.

1. Leve

En la ausencia de cualquier control, no se espera el desfalco o los errores en los próximos 1-2 años o periodo.

Fuente: Deloitte.

97

1.4.21. Procesos de votación - Impacto Ejemplo de criterios para determinar el IMPACTO Criterio 5. Crítico

Duración Impacto potencialmente irreparable

4. Significativo Recuperable a largo plazo

3. Alto

Recuperable a corto plazo

2. Moderado Temporal

1. Bajo

Regulaciones y requerimientos estatutarios

Fraude

Inhabilitado para cumplir con las El fraude a nivel ejecutivo tiene un impacto material regulaciones y requisitos estatutarios. directo a la organización y también al declive del Pérdida de concesión y/o pérdida del precio accionario, el deterioro de la reputación, el negocio. impacto legal y regulatorio, etc. Significativos esfuerzos son El fraude por lo empleados, agentes, vendedores u necesarios para cumplir con otras personas tiene un impacto directo a la regulaciones y requisitos estatutarios. organización o a las unidades comerciales Las multas son materiales y acarrean deteriorando la reputación, impacto legal y regulatorio, el deterioro de la reputación. etc. Muchos recursos son necesarios para cumplir regulaciones y requisitos No es potencialmente susceptible al fraude estatutarios. Gran distracción para la organización. Algunos recursos son necesarios para cumplir regulaciones y requisitos No es potencialmente susceptible al fraude estatutarios. Gran distracción para la organización.

Impacto limitado

No es potencialmente susceptible al fraude

Fuente: Deloitte.

98

1.4.22. Procesos de votación - Evaluación Evaluación

A B C D E

Probabilidad de ocurrencia Esperado 5 Muy Probable 4 Probable 3 No Probable 2 Leve 1

BxF AxH CxI Dx J DxF CxF

Actividad 1 2 3 4 5 6

Impacto F G H I J

Crítico Significativo Alto Moderado Bajo

5 4 3 2 1

Calificación 20 15 6 2 10 15 http://www.sivagroup.co/ 99

1.4.22. Procesos de votación - Evaluación 1. Tormenta de ideas sobre riesgos y oportunidades 2. Identificar de raíz las causas y las correlaciones 3. La mejor forma es tener sesiones de facilitación 4. Calcular el impacto del riesgo usando la misma medida de los objetivos 5. Calcular los escenarios mínimo, máximo y probable 6. Preparar un programa de riesgo 7. Priorizar riesgos y oportunidades basados en su valor ponderado 8. Identificar los riesgos clave que requieren atención estratégica

Tormenta de ideas

Peso/Cálculo

Priorizar

Fuente: Deloitte.

100

1.4.23. Mapa de riesgos Alta

I M P A C T O

Alto impacto

Alto impacto Baja probabilidad

Alta probabilidad

Bajo (Riesgo)

Bajo impacto Baja probabilidad

Baja

Riesgo (Alto)

Riesgo (medio)

Riesgo (Medio)

Bajo impacto Alta probabilidad

PROBABILIDAD

Alta

101

1.4.23. Mapa de riesgos Posibilidad de que la magnitud del Riesgo afecte el cumplimiento de los objetivos o la eficacia de las estrategias de la compañía

5 Riesgos clave

Impacto

4 3

Nivel de exposición para que un riesgo se materialice, considerando la estructura de control actual de la compañía

2 1 1

2

3

4

5

Riesgos no aceptables

Probabilidad 102

1.4.24. Matriz de riesgos – Ejemplo de una empresa de microfinanzas

103

1.4.25. Matriz de riesgos – Ejemplo de una empresa de comercial

Fuente: Deloitte.

104

1.4.26. Matriz de riesgos – Ejemplo de una compañía que lleva una red de pagos

Fuente: Deloitte.

105

1.4.27. Mapa de riesgos – Ejemplo de un mapa de riesgos IIA

Fuente: IIA 106

1.4.27. Mapa de riesgos – Ejemplo de un mapa de riesgos IIA

Fuente: IIA 107

1.4.27. Mapa de riesgos – Ejemplo de un mapa de riesgos de seguridad de la información

Fuente: Deloitte.

108

1.4.27. Mapa de riesgos – Ejemplo de un mapa de riesgos corporativos

Fuente: Deloitte.

109

1.4.27. Mapa de riesgos – Ejemplo de un mapa de riesgos de continuidad

Fuente: Deloitte.

110

2. GESTIÓN DE RIESGOS DE TI 2.1. Algunos conceptos de Riesgos Tecnológicos

111

2.1.1. Riesgos Tecnológicos - Antecedentes Riesgo tecnológico: Su medición como prioridad para el aseguramiento del negocio • El empleo de la tecnología es una de las decisiones más comunes en la elección de

estrategias, incrementando la dependencia al uso de información electrónica dentro de las organizaciones. • La tecnología deja de ser un miembro pasivo y se convierte en un elemento

importante para la operación de los negocios.

112

2.1.2 Relación de la tecnología con los procesos de negocio • Para tener mayor claridad la relación

del riesgo tecnológico con el negocio, se observa el flujo existente en la figura, en la que se detallan los vínculos directos entre los componentes de la tecnología, los procesos, el logro de objetivos, el cumplimiento de metas y hasta la satisfacción de los stakeholders.

Fuente: Gustavo A. Solís Montes, (CobiT User Convention-CobiT y la 113 administración de riesgos).

2.1.3. Riesgos Tecnológicos • La tecnología se vuelve parte de la operación y su funcionamiento no puede

aislarse de los demás elementos del proceso. • Todos los integrantes en conjunto tienen un solo objetivo. • Sin embargo, como en todo proceso, existe el factor llamado “riesgo” • El riesgo está presente en la tecnología y como se puede observar en la siguiente

figura 2, está inmerso dentro de la operación del negocio.

114

2.1.4. Distribución de los riesgos – Riesgo Tecnológicos

Fuente: Gustavo A. Solís Montes, (CobiT User Convention-CobiT y la 115 administración de riesgos).

2.1.5. Riesgo tecnológico – Definición Riesgo tecnológico: es aquella posibilidad de que ocurra un evento relacionado con la tecnología y que afecte adversamente el logro de los objetivos del negocio.

Existen algunas guías o bases que se pueden utilizar sobre los riesgos tecnológicos, como la que proporciona el ITGI (Information Technology Governance Institute). Aunque:

• • •

Depende de las características de cada una de las compañías, El tipo de tecnología que esté utilizando. Procesos a los que ésta esté relacionada dentro de la operación.

(sin ser éstos los únicos existentes, ya que dependen de la operación de cada empresa y de la constante innovación tecnológica que existe).

116

2.1.6. Afectación de la tecnología con el ambiente de control

Controles automáticos

Controles Generales Relacionados con la Tecnología

Fuente: Deloitte & Touche 117

2.1.8 Tipo de eventos de riesgos con los aspectos de tecnología relacionados (ejemplos) Tipo de evento

Aspecto de TI

Fraude Interno

Manipulación deliberada de los programas Uso no autorizado de funciones para modificación de programas. Manipulación deliberada de las instrucciones del sistema Manipulación deliberada del hardware Cambios deliberados a los sistemas y aplicaciones por medio de accesos internos no autorizados. Uso indebido de software no autorizado o sin licencia Evasión interna de los privilegios de acceso

118

2.1.8 Tipo de eventos de riesgos con los aspectos de tecnología relacionados (ejemplos) Tipo de evento

Aspecto de TI

Fraude externo

Cambios deliberados a los sistemas y aplicaciones mediante accesos externos no autorizados Obtención de acceso por parte de intrusos hacia documentos físicos o electrónicos Evasión externa de los privilegios de acceso Intercepción de los canales de comunicación Contraseñas comprometidas Virus

Contratación y lugar de trabajo

Divulgación de información sensitiva hacia terceros por parte de los empleados Administración de proveedores 119

2.1.8 Tipo de eventos de riesgos con los aspectos de tecnología relacionados (ejemplos) Tipo de evento

Aspecto de TI

Daño a activos físicos

Daños intencionales o accidentales a la infraestructura física de tecnología de información

Interrupción del negocio y fallas en los sistemas

Mal funcionamiento de hardware o software Fallas en las comunicaciones Sabotaje de los empleados Pérdida de personal clave de tecnología Destrucción de archivos de datos o software Robo de software o información sensitiva Virus computacionales Fallas en los respaldos de información Ataques para denegar el servicio Errores en la configuración 120

2.1.8 Tipo de eventos de riesgos con los aspectos de tecnología relacionados (ejemplos) Tipo de evento

Aspecto de TI

Administración de procesos, ejecución y entrega

Errores en la manipulación de datos electrónicos Estaciones de trabajo sin atención Errores al realizar cambios Entradas de datos incompletas a las transacciones del sistema Errores de entrada o salida de datos Errores de programación o de pruebas Errores de operación Errores de procesamiento manual

Fuente: ISACA, The IT Dimension of Basel II

121

2.1.9. Administración de riesgos La decisión de incorporar tecnología en los procesos del negocio, trae consigo la decisión de administrar el riesgo tecnológico correspondiente

“quien no arriesga, no gana”

122

2.1.9. Administración de riesgos • Existen dos factores que no deben pasarse por alto al hablar de riesgo: • impacto (efectos que pueda tener para el negocio); y, • probabilidad (posibilidad de que ocurra el evento);

• La combinación de estos factores proporcionarán un panorama sobre las

consecuencias que pudiera llegar a sufrir el negocio. Análisis de riesgos. Es la etapa en la que se recopila la información acerca de la exposición de la operación al riesgo tecnológico, con el fin de tomar decisiones y administrar los riesgos de forma apropiada.

123

2.1.10. Proceso de administración de riesgo

Fuente: Gustavo A. Solís Montes, (CobiT User Convention-CobiT y la 124 administración de riesgos).

2.1.11. Tratamiento de riesgo

125

2.1.12. Efecto esperado de las acciones de tratamiento

Fuente: Gustavo A. Solís Montes, (CobiT User Convention-CobiT y la 126 administración de riesgos).

2.1.13. Medición de un riesgo tecnológico • Para medir un riesgo tecnológico es importante: • Cualitativo: magnitud de las consecuencias relacionadas con el riesgo • Cuantitativo: cantidad de ocurrencias relacionadas con el riesgo • Con cada una se puede hacer la medición y determinar los valores que

proporcionen la severidad del impacto y la probabilidad de ocurrencia. • Con la administración del riesgo se podrá dar un tratamiento a cada uno de los

casos que se presenten, con base en su impacto y probabilidad. Sin embargo, hay que preguntar: • ¿quién va a medir los riesgos tecnológicos? Y ¿de quién es la responsabilidad?

127

2.1.13. Medición de un riesgo tecnológico ¿La participación de los stakeholders dentro de la medición del riesgo tecnológico debe ser una prioridad para el negocio? Quizá la respuesta sería, si se trata de riesgos de tecnología, que la responsabilidad es de las áreas de Tecnologías de Información (TI); aunque, surge otra pregunta ¿cómo va a determinar el personal de TI la magnitud del impacto al proceso de negocio y a los objetivos de la empresa?, porque a pesar de formar parte de la operación, no conforma todo el proceso. • Por eso la participación de los stakeholders dentro de la medición del riesgo

tecnológico debe ser una prioridad para el negocio, con la finalidad de identificar con claridad los riesgos, las consecuencias, las actividades requeridas para su administración, así como medir y determinar la pérdida (en números), en caso de que se materialice el riesgo.

128

2.1.13. Medición de un riesgo tecnológico Importancia de la participación de los stakeholders: • Encuesta realizada por el ITGI a 200 profesionales de TI, en 14 países

(incluyendo el continente americano), de la totalidad de encuestados:

Sólo en 37% de las compañías, los stakeholders de las unidades de negocio participan en el proceso de administración de riesgos tecnológicos.

129

2. GESTIÓN DE RIESGOS DE TI 2.2. Principales marcos para la Administración de Riesgos de TI

130

2.2. Principales marcos para la Administración de Riesgos de TI • COBIT – Control Objectives for Information and related Technology (ISACA). • ISO 27005 Gestión del Riesgo en la Seguridad de la Información. • AS/NZS 4360 [Australia/Estándares Nueva Zelanda] • IT Risk (ISACA). • MAGERIT - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

(Gobierno de España). • OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluación de

Amenazasy Vulnerabilidades de Recursos Críticos Operacionales (Carnegie Mellon University). • NIST– National Institute of Standards and Technology; Risk Management Guide for Information

Technology Systems. 131

2. GESTIÓN DE RIESGOS DE TI 2.3. Riesgo Operativo

132

2.3. Riesgo Operativo ¿Qué es? •El riesgo operativo es la posibilidad de ocurrencia de pérdidas financieras

por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnología de información y por eventos externos. •El riesgo operativo incluye el riesgo legal en los términos establecidos en la

norma. (fallas o deficiencias en el cumplimiento de las disposiciones legales) •El riesgo operativo no trata sobre la posibilidad de pérdidas originadas en

cambios inesperados en el entorno político, económico y social.

133

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo •Con el propósito de que se minimice la probabilidad de incurrir en pérdidas

financieras atribuibles al riesgo operativo, deben ser adecuadamente administrados los siguientes aspectos, los cuales se interrelacionan entre sí:

Factores de Riesgo Definir criterios

Procesos

Identificar riesgos

Analizar riesgos

Evaluar riesgos

Monitorear y Revisar

Eventos Externos

Comunicar y Consultar

Tecnología de Información

Personas

Etapas de la Administración del Riesgo Operativo

Mitigar riesgos

134

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Procesos] •Con el objeto de garantizar la optimización de los recursos y la estandarización de

las actividades, las instituciones controladas deben contar con procesos definidos de conformidad con la estrategia y las políticas adoptadas, que deberán ser agrupados de la siguiente manera: •Procesos gobernantes o estratégicos. •Procesos productivos, fundamentales u operativos. •Procesos habilitantes, de soporte o apoyo.

135

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Procesos] Ejemplo de una compañía comercial

136

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Procesos] Ejemplo de una compañía comercial

137

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Procesos] Ejemplo de una compañía minera Procesos estrategico Procesos CORE

Procesos de gerencia miento y soporte

Planeación estrategica -

Adquisición de Productos y Servicios

Producción y explotación de minas

Administración de inventarios y control de producción

Logística y fletes

Ventas y facturación

Recursos humanos Contabilidad y reportes financieros Tesorería Tecnología Jurídica fiscal y tributaria Medio ambiente salud y seguridad industrial Activos fijos e inversiones

138

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Procesos] •

Las políticas deben referirse por lo menos a:

información: • tipo de proceso (gobernante, productivo y de

1. diseño claro de los procesos. 2. descripción en secuencia lógica y ordenada



de las actividades, tareas, y controles; 3. determinación de los responsables de los procesos. 4. difusión y comunicación de los procesos. 5. actualización y mejora continua.

• • • • • •



apoyo), nombre del proceso, responsable, productos y servicios que genera el proceso, clientes internos y externos, fecha de aprobación, fecha de actualización, además de señalar si se trata de un proceso crítico.

Las instituciones controladas deberán mantener inventarios actualizados de los procesos existentes, que cuenten, como mínimo con la siguiente 139

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Personas] •Identificar apropiadamente las fallas o insuficiencias asociadas al factor “personas”,

tales como: •falta de personal adecuado, •negligencia, •error humano, •nepotismo de conformidad con las disposiciones legales vigentes, •inapropiadas relaciones interpersonales y ambiente laboral desfavorable, •falta de especificaciones claras en los términos de contratación del personal, •entre otros.

•Se deberá definir formalmente políticas, procesos y procedimientos que contemplen: •Procesos de incorporación •Procesos de permanencia •Procesos de desvinculación

140

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Tecnología de Información] •Contar con la tecnología de información que garantice la captura, procesamiento,

almacenamiento y transmisión de la información de manera oportuna y confiable; •Evitar interrupciones del negocio; y, •Lograr que la información, inclusive aquella bajo la modalidad de servicios provistos

por terceros, sea íntegra, confidencial y esté disponible para una apropiada toma de decisiones.

141

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Tecnología de Información] •Se debe definir formalmente políticas, procesos y procedimientos que aseguren la

adecuada planificación y administración de la tecnología de información, se debe considerar al menos lo siguiente: •Soporte adecuadamente los requerimientos de operación actuales y futuros de la entidad. •Satisfagan los requerimientos de la entidad. •Que el sistema de administración de seguridad satisfaga las necesidades de la entidad para salvaguardar

la información contra el uso, revelación y modificación no autorizados, así como daños y pérdidas. •Garantizar la continuidad de las operaciones. •Garantizar que el proceso de adquisición, desarrollo, implementación y mantenimiento de las aplicaciones satisfagan los objetivos del negocio. •Garantizar que la infraestructura tecnológica que soporta las operaciones, sea administrada, monitoreada y documentada de forma adecuada. •Seguridad en canales electrónicos •Cajeros automáticos •Puntos de venta •Banca electrónica •Banca móvil •Sistemas de audito respuestas •Corresponsales no bancarios 142

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Eventos Externos] •En la administración del riesgo operativo, las instituciones controladas deben

considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como: •fallas en los servicios públicos, •ocurrencia de desastres naturales, •atentados y •otros actos delictivos,

Los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.

143

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Factores del Riesgo Operativo [Resumen] Internos

Eventos Externos

•Inversión en Tecnología •Desarrollo de sistemas

•Proveedores

•Seguridad en los sistemas •Capacidad/Fallas

•Desastres naturales •Atentados

Procesos

Tecnología de información

•Tasas o plazos

•Procesamiento de transacciones

•Documentación •Fraude de empleados

•Leyes laborales •Falta de personal clave

Personas 144

Resolución No JB-2005-834 de 20 de octubre del 2005

2.3. Riesgo Operativo Administración del riesgo operativo •El diseño del proceso de administración de riesgo operativo deberá permitir

Identificar

Medir

Controlar

Monitorear

Exposiciones

145

Resolución No JB-2005-834 de 20 de octubre del 2005

2. GESTIÓN DE RIESGOS DE TI 2.4. The Risk intelligence Map

146

2.4. The Risk intelligence Map

El Risk Intelligence Map es una recopilación de situaciones (QUE) que pueden existir en una organización, pueden existir más. La estructura del Risk intelligence Map se deriva de COSO ERM.

Fuente: Deloitte. 147

2.4. The Risk intelligence Map

Fuente: Deloitte. 148

2.4. The Risk intelligence Map

Fuente: Deloitte. 149

2. GESTIÓN DE RIESGOS DE TI 2.5. Revisión marco COBIT 4.1

150

Evolución

Fuente: ISACA.ORG

151

Relación entre marcos y normas

Fuente: ISACA.ORG

152

¿Dónde encaja COBIT?

Fuente: ISACA.ORG

153

Procesos de Tecnología de la Información COBIT • COBIT establece los procesos de gestión de la Tecnología de la Información. • Estos procesos permiten realizar todas las actividades necesarias para lograr

efectividad y eficiencia en las operaciones de Tecnología de la Información. • Adicionalmente, provee un modelo de madurez para identificar la situación de la

Gestión de Tecnología de la Información.

154

Marco de Trabajo COBIT • El Marco de Trabajo COBIT fue creado con las siguientes características

principales: • Enfocado al Negocio • Orientado a Procesos • Basado en Controles • Dirigido por Mediciones COBIT es el acrónimo de Control Objectives for Information and related Technology.

155

COBIT: Premisa • El marco de trabajo COBIT está basado en la premisa que la tecnología de la

información debe entregar la información que la empresa requiera, para alcanzar sus objetivos.

• El Marco de Trabajo COBIT ayuda a alinear la tecnología de la información con el

negocio, enfocándose en los requerimientos de información del negocio y organizando los recursos de TI. COBIT provee el marco de referencia y la guía para implementar el gobierno de TI

Fuente: ISACA.ORG

156

COBIT: Principio • El Principio del Marco de Trabajo COBIT; es unir las expectativas que la alta

dirección tiene de tecnología con las responsabilidades administrativas. El objetivo, es facilitar el Gobierno de TI para entregar valor mientras se administran sus riesgos tecnológicos.

Fuente: ISACA.ORG

157

Marco de Trabajo COBIT 4.1 • Como Marco de referencia de control y gobierno para TI, COBIT se enfoca en dos

áreas claves: • Proveyendo la información requerida para soportar los objetivos y requerimientos de la organización. • Tratando la información como resultado de la aplicación combinada de recursos relacionados con TI que necesitan ser administrados por procesos De TI. Criterios de información Efectividad Eficiencia Procesos de TI

Confidencialidad Integridad

Requerimientos de la organización

Disponibilidad

Enfoque de control

Confiabilidad

Conformidad

Consideraciones

Fuente: ISACA.ORG

158

Cubo COBIT 4.1 • COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios: • Planear y Organizar • Adquirir e Implementar • Entrega y Soporte • Monitorear y Evaluar • Procesos son series de actividades con límites de control naturales. Existen 34

procesos a través de cuatro dominios. Estos procesos especifican lo que el negocio necesita para cumplir sus objetivos. La entrega de información es controlada por los 34 procesos de TI. • Actividades son acciones que son requeridas para alcanzar resultados medibles. Incluso, las actividades tienen ciclos de vida e incluyen muchas tareas discretas.

Fuente: ISACA.ORG

159

COBIT 4.1

Fuente: ISACA.ORG

160

Cubo COBIT 4.1: Dominios de TI Planear y Organizar(PO) • Objetivos: • Formular estrategias y tácticas • Identificar como la TI puede contribuir a alcanzar los objetivos de la organización. • Planear, comunicar y administrar la realización de la visión estratégica. • Implementar la infraestructura organizacional y tecnológica. • Enfoque: • Están la TI y la organización estratégicamente alineados? • ¿Está logrando la organización un óptimo uso de sus recursos? • ¿Todo mundo en la organización entiende los objetivos de TI? • ¿Los riesgos de TI están siendo entendidos y administrados? • ¿ La calidad de los sistemas de TI es apropiada para las necesidades de la organización? 161

Cubo COBIT 4.1: Dominios de TI Adquirir e Implementar (AI) • Objetivos: • Identificar, desarrollar o adquirir, implementar e integrar las soluciones de

TI. • Cambios y mantenimiento de los sistemas existentes.

• Enfoque: • ¿Los nuevos proyectos entregarán soluciones que satisfagan las necesidades de negocio? • ¿Los nuevos proyectos se entregarán a tiempo y dentro del presupuesto? • ¿Funcionarán los nuevos sistemas apropiadamente cuando se implementen? • ¿Los cambios serán hechos sin afectar las actuales operaciones de negocios? 162

Cubo COBIT 4.1: Dominios de TI Entrega y Soporte (DS) • Objetivos: • El proceso de entrega de los servicios requeridos. • La administración de la Seguridad, continuidad, datos e instalaciones

operativas. • Servicio de soporte para usuarios.

• Enfoque: • ¿Los servicios de TI son entregados de acuerdo a las prioridades institucionales? • ¿Los costos de TI están optimizados? • ¿La fuerza laboral es capaz de utilizar los sistemas TI de forma productiva y segura? • ¿Son adecuadas la confidencialidad, integridad y disponibilidad de los sistemas? 163

Cubo COBIT 4.1: Dominios de TI Monitorear and Evaluar (ME) • Objetivos: • Administración del Desempeño • Monitoreo del Control Interno • Garantizar el cumplimiento regulatorio • Proveer gobierno de TI

• Enfoque: • ¿El desempeño de TI es medido para detectar problemas antes que sea demasiado tarde? • ¿La administración asegura que los controles sean efectivos y eficientes? • ¿Puede vincularse el desempeño de TI a las metas de negocio? • ¿Los riesgos, controles, incumplimientos y desempeño son medidos y reportados? 164

Modelo de Madurez de COBIT

Nivel de Efectividad y Cumplimiento

Grado de Supervisión de la Gerencia Nivel de Confianza en los Controles Sofisticación de las Actividades de Monitoreo Estado empresarial actual Estándar internacional Mejor práctica en la industria Estrategia empresarial

• • •

Nivel de Documentación y Concientización

• • •

0 – El proceso no es realizado. 1 – El proceso es realizado sin planificación. 2 – El proceso se realiza siguiendo un patrón regular. 3 – El proceso está documentado y comunicado. 4 – El proceso es monitoreado y medido. 5 – Las prácticas líderes son seguidas y automatizadas. 165

COBIT 5

Fuente: ISACA.ORG

166

Principales diferencias entre COBIT 4.1 y COBIT 5 Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el antiguo proceso ME4 de COBIT 4. La cantidad de procesos se ha incrementado de 34 a 37 Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes: • PO10 – Administrar los proyectos, pasó al Dominio BAI. • AI5 – Procurar recursos de IT, pasó al Dominio APO. • DS1 – Definir y Administrar los niveles de servicio, pasó al Dominio APO. • DS2 – Administrar los servicios de Terceros, pasó al Dominio APO. • DS3 – Administrar el desempeño y la capacidad, pasó al Dominio BAI. • DS6 – Identificar y asignar costos, pasó al Dominio APO. • DS7 – Educar y Entrenar a los usuarios, pasó al Dominio APO. En el dominio APO – Administrar, Planear y Organizar, se observa mayor reorganización interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5. El proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 – Gestionar los Servicios de Seguridad Existen nuevos procesos cuyo contenido es en su mayoría producto de COBIT 5, como mencionamos • EDM1 – Definir el Framework para el Gobierno • APO1 – Definir el Framework para el Administración • APO4 – Gestionar Innovación • APO13 – Gestionar Seguridad (también hay un Proceso DSS05 Gestionar los Servicios de Seguridad)



BAI8 – Gestión del Conocimiento Fuente: ISACA.ORG

167

COBIT 5: Principios •



COBIT 5 permite que la información y la tecnología relacionada pueda ser gobernada y administrada de manera integral para toda la empresa, teniendo en cuenta los intereses relacionados con TI de las partes interesadas internas y externas. Los 5 principios de COBIT y los facilitadores son de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público.

Fuente: ISACA.ORG

168

2. GESTIÓN DE RIESGOS DE TI 2.6. Metodología para realizar un análisis de riesgos de Confidencialidad, Integridad y Disponibilidad

169

Objetivos Brindar los conceptos básicos relacionados con el análisis de riesgos de los activos de información electrónica Presentar la Metodología de Análisis de Riesgos

170

La seguridad informática no es un esfuerzo de una sola vez IT Governance Institute, 2005

171

2.6.1. Conceptos básicos • Activo de información : en medio electrónico, magnético, óptico, papel u otro que

almacena o procesa información

172

2.6.1. Conceptos básicos Inventario de activos de información electrónica: • Existen diferentes enfoques para obtener un inventario de activos de información • Específicamente nos interesa un inventario que permita relacionar: • Proceso de la compañía • Activo de la información • Tipo de activo • Dueño • Nivel de impacto por pérdida de:

• Confidencialidad • Integridad • Disponibilidad

173

2.6.2. Metodología de Análisis de Riesgos Enfoque normativo Las actividades a realizar se han definido con base en el estándar ISO27001:2005 ¿Porqué basarse en este estándar? •

Conocer el nivel de seguridad existente en la información de la compañía



Tener suficientes elementos para abordar inversiones futuras siguiendo no sólo criterios de capacidad sino también de seguridad.



Provee un modelo para establecer y administrar un sistema de gestión de la seguridad de la información (ISMS) efectivo

174

2.6.2. Metodología de Análisis de Riesgos Enfoque normativo

PHVA PDCA 175

2.6.2. Metodología de Análisis de Riesgos Enfoque normativo PLAN: Establecer el ISMS: – Definir el alcance del ISMS – Definir una política de ISMS – Definir un enfoque de análisis de riesgos – Identificar los riesgos – Analizar y evaluar los riesgos – Identificar y evaluar las opciones de tratamiento de riesgos – Seleccionar los objetivos de control y los controles para el tratamiento de riesgos – Obtener la aprobación del riesgo residual – Autorizar la implementación y operación del ISMS – Preparar una declaración de aplicabilidad

Actividades de Análisis de Riesgos que permiten identificar los requerimientos de seguridad de la información del negocio

ISMS: Information Security Management System

176

2.6.2. Metodología de Análisis de Riesgos La metodología • La metodología de evaluación de riesgos es la siguiente:

FASE III: FASE I: Identificar y calificar los activos de información

FASE II: Identificar y evaluar los riesgos

Identificar y seleccionar alternativas de tratamiento de los riesgos

Fuente: Deloitte.

177

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información Esta fase se realiza por procesos de negocio de la compañía. Mediante la realización de entrevistas con los dueños de la información se ejecutan las siguientes actividades: • Obtener entendimiento de los procesos • Identificar la información necesaria para el desarrollo de los procesos y la información generada por las actividades que componen los procesos. • Identificar los activos de información que almacenan o procesan la información identificada. • Determinar el nivel cualitativo (o cuantitativo) de impacto asociado a la Confidencialidad, Integridad y Disponibilidad para cada activo.

178

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información • Se califica el nivel de impacto por pérdida de confidencialidad, integridad y

disponibilidad para cada uno de los criterios:

Financiero pérdidas económicas para la compañía.

Eficiencia del proceso Reejecución o ejecución lenta de los procesos de negocio.

Servicio al cliente Afectación de la imagen o de la calidad del servicio a los clientes de la compañía.

179

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información • Los dueños de la información califican el nivel de impacto en una escala de 1 a 5,

siendo: • 5 la calificación más alta (mayor impacto) • 1 la calificación más baja (menor impacto) • Las calificaciones se promedian y se obtiene una calificación única por activo Nivel de Impacto (1-5) Activo

Confidencialidad promedio

Integridad promedio

Disponibilidad Calificación promedio promedio

Activo 1

4.33

1.33

3

2.89

Activo 2

2.33

4

4

3.11









3.33

5

3.67

4.00

… Activo n

180

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información

Fuente: Deloitte.

181

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información La calificación numérica se convierte a una escala de Alto, Medio y Bajo Las calificaciones de los activos de información electrónica puede asimilarse como un fenómeno que sigue un modelo normal de distribución de probabilidad.

182

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información Con base en este hecho se clasifican los activos:

Clasificación

Calificación de impacto

Alto

Mayor o igual a µ + σ

Medio

Mayor a µ – σ Menor a µ + σ

Bajo

Menor o igual a µ - σ

µ: Media σ: Desviación estándar Para cada uno de los activos que obtienen una clasificación de impacto “Alto” se ejecutan las Fases II y III de la metodología que se definen en láminas siguientes.

183

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información Cuestionario identificación de activos

Fuente: Deloitte.

184

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información Cuestionario identificación de activos

Fuente: Deloitte.

185

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información Cuestionario identificación de activos

Fuente: Deloitte.

186

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información Cuestionario identificación de activos

Fuente: Deloitte.

187

2.6.2. Metodología de Análisis de Riesgos FASE I: Identificar y calificar activos de información • Formulario 1 - Inventario de Activos de información por proceso con clasificación

188

2.6.2. Metodología de Análisis de Riesgos La metodología • La siguiente fase es Identificar y evaluar los riesgos:

FASE III: FASE I: Identificar y calificar los activos de información

FASE II: Identificar y evaluar los riesgos

Identificar y seleccionar alternativas de tratamiento de los riesgos

189

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos •

El primer objetivo de esta etapa es la identificación de vulnerabilidades que pueden ser explotadas por una fuente de amenaza para cada uno de los activos de información.



Para la identificación de vulnerabilidades del sistema se define y aplica de una lista de chequeo de requerimientos de seguridad.



El tipo de vulnerabilidad varia dependiendo de la naturaleza del activo.

190

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos Lista de Chequeo de Controles: Contiene los estándares básicos de seguridad y se utiliza para evaluar e identificar sistemáticamente las vulnerabilidades asociadas a los activos. Son controles relacionados con: – Seguridad administrativa – Seguridad operativa – Seguridad técnica

Es esencial mantener actualizadas las listas de chequeo para reflejar cambios en el ambiente de control de una organización.

191

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • La valoración del impacto de una vulnerabilidad se realiza utilizando la siguiente

clasificación: Nivel

Definición

Alto

La explotación de la vulnerabilidad (1) puede causar una pérdida, de alto costo, de importantes activos y/o recursos tangibles (2) puede violar, dañar o impedir significativamente la misión, la reputación o los intereses de la organización (3) puede causar muerte de personas o lesiones severas.

Medio

(1) puede causar la pérdida costosa de los activos y/o recursos tangibles (2) puede violar, dañar o impedir la misión, su reputación o los intereses de la organización (3) puede causar lesiones en personas.

Bajo

(1) puede causar la pérdida costosa de algunos activos y/o recursos tangibles (2) puede afectar perceptiblemente la misión, su reputación o los intereses de la organización. 192

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos •

Se deben identificar las amenazas y sus fuentes



Una amenaza es una posible acción que se ejecute para explotar exitosamente una vulnerabilidad de un activo.



Dicha acción puede ser ejecutada de forma accidental o intencional por un ente denominado “fuente de amenaza”



Se debe considerar toda amenaza que en determinado momento podría causar daño a la información electrónica y a su ambiente de procesamiento

193

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • Amenazas y fuentes de amenazas humanas comunes: Fuente

Motivación

Amenaza

Hacker, cracker

Reto, ego, rebelión

Hacking, ingeniería social, intrusión de sistemas.

Criminales de la computadora

Destrucción de información, interés monetario, alteración no autorizada de datos.

Crimen informático, acción fraudulenta, soborno, spoofing.

Terroristas

Blackmail, destrucción, explotación, venganza.

Bomba, guerra industrial, ataque a los sistemas, penetración del sistema.

Espionaje industrial

Ventaja competitiva, espionaje económico

Robo de información, ingeniería social, intrusión de la privacidad personal.

Infiltrados (empleados deshonestos o despedidos)

Curiosidad, ego, inteligencia, interés monetario, venganza.

Abuso de computadoras, fraude, robo, ingreso de información falsificada, código dañino, venta de información. 194

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos •

Para establecer la probabilidad de amenaza que indique el nivel de aprovechamiento de una vulnerabilidad se consideran los siguientes aspectos: – Motivación y capacidad de la fuente de amenaza. – Existencia y efectividad de los controles existentes. – Naturaleza de la vulnerabilidad a explotar.

195

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos Existencia de controles Área de Seguridad

Criterios de Seguridad

Seguridad Administrativa

•Segregación de funciones •Continuidad •Capacidad de respuesta a incidentes •Investigaciones del personal y sus referencias •Evaluación de Riesgos •Capacitación técnica y de seguridad •Asignación de funciones •Plan de seguridad de aplicación o sistema

Seguridad Operativa

•Control de contaminantes aerotransportados •Controles de suministro eléctrico •Acceso y disponibilidad de los medios de datos •Distribución y etiquetado externos de los datos •Protección de instalaciones •Controles ambientales •Estaciones de trabajo, portátiles y computadores personales

Seguridad Técnica

•Comunicaciones •Criptografía •Control de acceso discrecional •Identificación y autenticación •Detección de intrusos •Reutilización de Objetos •Auditoría de Sistemas

196

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • La clasificación de la probabilidad de la amenaza se realiza de acuerdo con la

siguiente clasificación:

Nivel Alta

Condiciones La fuente de amenaza está altamente motivada y es suficientemente capaz Los controles para prevenir que la vulnerabilidad sea explotada son inefectivos.

Media La fuente de amenaza está motivada y tiene la capacidad Los controles son adecuados y pueden impedir el éxito en la explotación de la vulnerabilidad. Baja

La fuente de amenaza tiene una escasa motivación y capacidad Los controles son adecuados para prevenir, o al menos impedir significativamente, que la vulnerabilidad sea explotada

197

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos •

El riesgo se puede expresar en función de: – La magnitud de impacto producido si una fuente de amenaza explota con éxito la vulnerabilidad – La probabilidad de que una fuente de amenaza procure aprovechar una vulnerabilidad identificada



La aceptabilidad del riesgo consiste en establecer los riesgos para los que deben ejecutarse acciones de tratamiento.



Para cada uno de los riesgos que obtienen una clasificación “Inaceptable” se ejecuta la fase final de la metodología

198

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • La clasificación de los niveles de riesgo se realiza de acuerdo con la siguiente

clasificación:

Impacto Probabilidad

Bajo 10

Medio 50

Alto 100

Alta 1.0

Bajo 10

Medio 50

Alto 100

Media 0.5

Bajo 5

Medio 25

Medio 50

Baja 0.1

Bajo 1

Bajo 5

Bajo 10

Bajo: 1 a 10

Medio: 11 a 50

Alto: 51 a 100 Fuente: Deloitte.

199

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • La ejecución de acciones de tratamiento y su oportunidad dependen del nivel de

riesgo:

Nivel

Acciones Necesarias

Alto

Hay una necesidad fuerte de tomar acciones de tratamiento. Se debe ejecutar un plan de acción a corto plazo. Medio Las acciones de tratamiento son necesarias y se debe desarrollar un plan para incorporar estas acciones dentro de un período de tiempo razonable Bajo Debe determinarse si las acciones de tratamiento son requeridas o se acepta el riesgo.

Fuente: Deloitte.

200

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • La aceptabilidad de un riesgo se define en función del nivel de riesgo también.

Aceptabilidad

Criterio

Acción

Riesgo no aceptable

Nivel de riesgo mayor a 50 (Riesgo Alto)

Se deben aplicar opciones de tratamiento del riesgo

Riesgo aceptable

Nivel de riesgo menor o igual a 50 (Riesgo Medio o Bajo)

No se deben aplicar opciones de tratamiento del riesgo

Fuente: Deloitte.

201

2.6.2. Metodología de Análisis de Riesgos FASE II: Identificar y evaluar los riesgos • Formulario 2 - Matriz de Amenazas - Vulnerabilidades - Riesgo

Fuente: Deloitte.

202

2.6.2. Metodología de Análisis de Riesgos La metodología • La fase final es identificar y seleccionar alternativas de tratamiento de los riesgos:

Identificar y calificar los activos de información

Identificar y evaluar los riesgos

Identificar y seleccionar alternativas de tratamiento de los riesgos

203

2.6.2. Metodología de Análisis de Riesgos FASE III: Selección de opciones de tratamiento de riesgos •

Identificación de opciones de tratamiento de riesgos para cada uno de los riesgos considerados como inaceptables.



Se analizan la viabilidad y la eficacia de las opciones de tratamiento de riesgo a aplicar



Seleccionar la opción más apropiada para la reducción del riesgo a un nivel tolerable.

204

2.6.2. Metodología de Análisis de Riesgos FASE III: Selección de opciones de tratamiento de riesgos •

Opciones de mitigación del riesgo

Mitigar

Transferir

• Implementar controles (mitigar/reducir)

• Compartir, asociación con alguien.

• Por ejemplo. Definir, implementar controles apropiados para reducir la probabilidad o el impacto del riesgo

• Por ejemplo, compartir el riesgo con socios o transferirlo mediante cobertura de seguro, acuerdo contractual u otros medios.

Aceptar

Evitar

• Monitorear

• Eliminar

• Reconocer formalmente la existencia del riesgo y monitorearlo.

• Por ejemplo, donde sea factible, escoger no implementar ciertas actividades o procesos que generen un riesgo (es decir, eliminar el riesgo al eliminar la causa) 205

2.6.2. Metodología de Análisis de Riesgos FASE III: Selección de opciones de tratamiento de riesgos • Identificación y selección de controles • Definir los controles a implementar que podrían mitigar los

riesgos identificados como inaceptables. • Consultar en la norma ISO27001 el inventario de los

posibles controles a implementar. • Seleccionar los controles a implementar en conjunto con los

dueños de la información de la compañía.

206

2.6.2. Metodología de Análisis de Riesgos FASE III: Selección de opciones de tratamiento de riesgos • Factores a considerar al seleccionar los controles

207

2.6.2. Metodología de Análisis de Riesgos FASE III: Selección de opciones de tratamiento de riesgos • El inventario de los posibles controles a implementar se

encuentra definido en la norma ISO27001. • La actividad de selección de los controles requiere la

participación activa de los dueños de la información de la compañía. • Se seleccionan controles: • Preventivos y detectivos • Técnicos y Operacionales • Siguiente paso: priorizar e implementar los controles

seleccionados

208

2.6.2. Metodología de Análisis de Riesgos FASE III: Selección de opciones de tratamiento de riesgos • Formulario 3 - Tratamiento de riesgos de nivel inaceptable

Fuente: Deloitte.

209

2.7. Continuidad del Negocio como parte de la evaluación de riesgos Plan de recuperación ante desastres – PRD (DRP - Disaster Recovery Planning): Es un plan enfocado a TI diseñado para restablecer la operabilidad de un sistema objetivo, aplicación o facilidades de cómputo en un sitio alterno después de una emergencia. Aplica a eventos mayores, usualmente catastróficos que evitan el acceso a las instalaciones principales por un periodo extendido de tiempo. Fuente: Contingency Planning Guide for Information Technology System National Institute of Standards and Technology (NIST) Planeación de la continuidad del negocio (PCN – BCP) (I) Tiene como objetivo proteger personas, activos y operaciones del negocio. (II) Busca garantizar la supervivencia de las actividades críticas de la compañía ante un escenario de desastre.

PROCESO

Fuente: Disaster Recovery Institute International - DRII Fuente: Deloitte.

210

2.7. Continuidad del Negocio como parte de la evaluación de riesgos Continuidad de negocio es más que tecnología La no disponibilidad de un proceso de negocio se genera por la pérdida total o parcial de uno o más de los siguientes elementos:

Personas

PROCESO Servicios Terceros

Tecnología

Información Física Infraestructura

Fuente: Deloitte.

211

2.7. Continuidad del Negocio como parte de la evaluación de riesgos Escenarios que pueden afectar un proceso Dependencia de personal clave para el desarrollo del proceso

No acceso a las aplicaciones / sistemas de información centrales que son clave para desarrollar el proceso. No disponibilidad de plataforma tecnológica local crítica para el desarrollo del proceso.

Personas

PROCESO No disponibilidad de proveedores críticos para el proceso No disponibilidad de clientes críticos para temas de tecnología

Servicios Terceros

Información Física Pérdida o destrucción de información física relevante para la ejecución del proceso.

Tecnología

Infraestructura

Pérdida y destrucc ión de las instalaciones donde se lleva a cabo el proceso No ac ceso a las instalaciones principales donde se ejec uta el proc eso.

Fuente: Deloitte.

212

2.7. Continuidad del Negocio como parte de la evaluación de riesgos • Aunque continuidad hace parte de la evaluación de riesgo operativo, es necesario

identificar el riego operativos y el riesgo de continuidad:

Evento

Riesgo de Continuidad

Interrupción de las comunicaciones de la oficina



Imposibilidad de acceder a las instalaciones físicas del banco



Virus masivo en el personal (pandemia)



Caída del autorizador central



Destrucción del centro de cómputo



Riesgo Operativo

Error en el Registro de operaciones en el sistema



Fraude



Operaciones inusuales o sospechosas



Sanciones legales o de regulación



Fuente: Deloitte.

213

2.7. Continuidad del Negocio como parte de la evaluación de Período riesgos en Contingencia Operación Normal del Negocio 10 : 01....

7:30 - 10:00

Desarrollo del PCN

Pruebas

Interrupción de la Operación De sistemas

PRTI y PRPs

Ultimo backup

Operación Movilización / Restauración funciones y sistemas críticos

Punto objetivo de Recuperación (RPO)

Restablecimiento de la Operación De Sistemas y Funciones del Negocio

Tiempo objetivo de Recuperación (RTO)

Fuente: Deloitte.

214

Manejo de Crisis

Recuperación de TI Administración Conocimiento Administración de la Calidad Salvaguarda y Salud Administración de Suministros

Fuente: Deloitte.

2.7. Continuidad del Negocio como parte de la evaluación de riesgos

Respuesta a la Emergencia

Gestión de la Continuidad del Negocio

Recuperación de procesos

Visión integral de la Gestión de la Continuidad del Negocio:

Administración de Riesgos

215

2.7. Continuidad del Negocio como parte de la evaluación de riesgos Ciclo de vida de la GCN, según el BCI:

La Guía de Buenas Prácticas GBP2010 todavía abarca las seis fases del ciclo de vida de la GCN pero ahora los interrelaciona más directamente a lo que se ha definido como Prácticas Profesionales (PP). Las seis PPs están subdivididas en dos Prácticas de Gestión y cuatro Prácticas Técnicas: Prácticas de Gestión • Política y Gestión del Programa • Integración de la GCN en la Cultura Organizacional Prácticas Técnicas • Entendimiento de la organización • Determinación de la Estrategia GCN • Desarrollo e Implementación de la Respuesta GCN • Ejercicios, Mantenimiento y Revisión

Fuente: Guía de Buenas Prácticas. BCI 216

2.7. Continuidad del Negocio como parte de la evaluación de riesgos ISO 22301:2012

• •

Es el nuevo estándar internacional para sistemas de gestión de continuidad de negocio (BCMS) BS 25999 se creó para establecer un punto de referencia uniforme en buenas prácticas, satisfacción de las necesidades de los clientes, gobierno, reguladores y otras partes interesadas. BS 25999 ha sido aceptada en todo el mundo y ha sido la base de muchos otras normas, y ha sido el material de partida para la creación de la ISO 22301.

ISO 22301 especifica los requisitos para planificar, establecer, implementar, operar, supervisar, revisar, mantener y mejorar continuamente un sistema de gestión documentado para prepararse, responder y recuperarse de los eventos no esperados que puedan surgir. ISO 22301 establece lo siguiente: • Mayor énfasis en la definición de objetivos, seguimiento, rendimiento y métricas; • Expectativas claras sobre la gestión de continuidad; • Cuidadosa planificación y preparación de los recursos necesarios para garantizar la continuidad del negocio;

217

2.7. Continuidad del Negocio como parte de la evaluación de riesgos Norma de referencia – Continuidad del Negocio:

218

2.8. Norma PCI – Introducción Payment Card Industry (PCI) •

Tras una serie de violaciones de seguridad de alto perfil al utilizar tarjetas de pago por los consumidores, estos se encuentran cada vez más preocupados por la seguridad de sus datos personales y financieros, y por ende del riesgo de fraude.



Impulsado por la necesidad de tranquilizar a los titulares de tarjetas, la industria ha desarrollado la norma de seguridad de datos (PCI DSS), como una norma mínima para todas las organizaciones que procesan, almacenan o transmiten datos de las tarjetas.



En el mercado se ofrecen un conjunto completo de servicios para brindar la seguridad necesaria y los procesos de gestión de fraude necesarios para su cumplimiento, así como cubrir las necesidades actuales que pueden limitar el impacto de la aplicación versus los requisitos de la norma.

219

2.8. Norma PCI - ¿Por qué? •

Demostrar a los clientes que la administración está tomando seriamente la seguridad de la información, se tienen controles implementados y efectivos en la transacciones que se generan por tarjetas de crédito y débito.



Reflejar confianza para atraer futuros clientes, brindando una imagen robusta y competitiva a nivel corporativo.



Demostrar que los controles operativos son correctamente controlados.



Ofrecer exención de penalidades, tarifas o multas que puedan surgir luego de un incidente de seguridad, proveyendo los controles adecuados donde corresponda y las acciones apropiadas consecuentes.



Incrementar la conciencia de seguridad dentro de las organizaciones.



Aumentar la eficiencia y el ahorro en los potenciales costos de TI debido a los requerimientos del DSS (ej. a través del incremento de refuerzos administrativos, controles de anti-virus, administración de seguridad de usuario,etc.)

220

2.8. Norma PCI – Haciendo una realidad •

www.pcisecuritystandards.org



Visa proporciona las siguientes guías:





Guías para miembros, locatarios y proveedores de servicios



Procedimientos de Auditoría de Seguridad



Glosarios



Cuestionarios de Auto evaluaciones



Procedimientos de escaneos de seguridad

Visa recomienda un enfoque que: –

Realice un análisis de flujo de datos



Realice un extensivo análisis de brechas



Defina a detalle un plan de remediación

¿Como se relaciona el PCI?

Análisis de Flujo de datos

Gap Analysis

Plan de Remediación

Implementación

Validación de cumplimiento 221

2.8. Norma PCI – Cómo cumplir •

PCI DSS es un estándar de seguridad que comprende doce requisitos de alto nivel y se divide en las siguientes categorías: Crear y mantener una red segura Proteger la información del titular de la tarjeta Mantener un programa de administración de la vulnerabilidades Implementar medidas robustas de control de acceso Supervisar periódicamente y realizar pruebas en las redes donde viaja la información Mantener una política de seguridad de la información



PCI DSS demanda a través de una variedad de áreas y como cualquier programa de remediación refiere: personas, procesos, tecnología y controles de gobierno.

222

2.8. Norma PCI – Enfoque Metodológico Definición de alcance Validar requerimientos

Analizar flujo de información

Seleccionar QSA & evaluar proveedores

Análisis de Cumplimiento

Programa de remedicación

Auditoría

Evaluar controles existentes

Realizar el programa

Escanear la red

Realizar el análisis de nivel de cumplimiento

Implementar mejoras de seguridad

Completar la Auditoría de Pre-certificación

Definir un programa para cumplir con lo que falte

Validar mejoras

Apoyar en la ejeución de la Auditoría

Administración del programa y Control de Calidad

Fuente: Deloitte.

223

2.8. Norma PCI – Enfoque Metodológico •

Los objetivos y requerimientos de control se basan en las Mejores Prácticas de seguridad de la información - pero son de amplio alcance: Seguridad en Redes

Protección de datos de tarjetas

Administración Control de de Acceso vulnerabilidades

Monitoreo de la red

Políticas de seguridad

Gente:

Concientización y entrenamiento de seguridad, uso de políticas aceptables, seguridad física, etc.

Procesos:

Admon del cambio, admon de cuentas de usuarios, desarollo aplicativo seguro, admon de incidentes, admon de llaves. etc.

Tecnología:

Firewalls, encripción de dase de datos, IDS, parches de S.O. configuración de servidores, etc.

Gobierno:

políticas y estándares, cumplimiento de terceras partes, monitoreo de vulnerabilidades, etc.



El patrocinio no siempre es fácil, dada la variedad de actores involucrados



Algunas habilidades pueden ser necesarios para definir el programa de trabajo la traducción de las deficiencias de control en los proyectos prioridad a los proyectos



Realizar el programa puede exigir un participación activa de todos los involucrados

Fuente: Deloitte.

224

2.8. Norma PCI – Barreras habituales en la implementación del programa 1.

Inadecuado o insuficiente patrocinio ejecutivo

2.

Gobierno “pobre” / falta de rendición de cuentas

3.

Alcances no logrables

4.

Falta de interés de los interesados

5.

Centrados en la TI con vistas hacia las personas / elementos del proceso

6.

Débil administración de dependencias de programas internos y externos

7.

Inadecuada planeación y diseño

8.

Insuficiente habilidades del equipo

9.

Competencia por los recursos

10.

Falta de gestión de riesgo

11.

Mantenerse al día en los cambios de PCI DSS

12.

Cambios dinámicos en el uso de la TI en la Institución

13.

Interpretación de requerimientos

14.

Subestimar la remediación requerida / plazos no realísticos Fuente: Deloitte.

225

2.9. Introducción a ISO ISO/IEC 38500:2008 La norma ISO/IEC 38500:2008 se publicó en junio de 2008, basándose en la norma australiana AS8015:2005. Es la primera de una serie sobre el Gobierno de TI. Su objetivo es proporcionar un marco de principios para que la dirección de las organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologías de la información (TI's).

226

2.9. Introducción a ISO ISO/IEC 38500:2008 Alcance, aplicación y objetivos • La norma se aplica al gobierno de los procesos de gestión de la TI en todo tipo de organizaciones que utilicen tecnología de información, facilitando unas bases para la evaluación objetiva del gobierno de TI. Dentro de los beneficios de un buen gobierno de TI estaría la conformidad de la organización con: • los estándares de seguridad • legislación de privacidad • legislación sobre el spam • legislación sobre prácticas comerciales • derechos de propiedad intelectual, incluyendo acuerdos de licencia de software • regulación medioambiental • normativa de seguridad y salud laboral • legislación sobre accesibilidad • estándares de responsabilidad social 227

2.9. Introducción a ISO ISO/IEC 38500:2008 También la búsqueda de un buen rendimiento de la TI mediante: • apropiada implementación y operación de los activos de TI • clarificación de las responsabilidades y rendición de cuentas en lograr los objetivos • • • • • • •

de la organización continuidad y sostenibilidad del negocio alineamiento de las TI's con las necesidades del negocio asignación eficiente de los recursos innovación en servicios, mercados y negocios buenas prácticas en las relaciones con los interesados (stakeholders) reducción de costes materialización efectiva de los beneficios esperados de cada inversión en TI

228

2.9. Introducción a ISO ISO/IEC 38500:2008 Principios La norma define seis principios de un buen gobierno corporativo de TI: • Responsabilidad • Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI. • Estrategia • La estrategia de negocio de la organización tiene en cuenta las capacidades actuales y futuras de la TI.









Los planes estratégicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia de negocio. Adquisición • Las adquisiciones de TI se hacen por razones válidas, basándose en un análisis apropiado y continuo, con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades, costes y riesgos tanto a corto como a largo plazo. Rendimiento • La TI está dimensionada para dar soporte a la organización, proporcionando los servicios con la calidad adecuada para cumplir con las necesidades actuales y futuras. Conformidad • La función de TI cumple todas las legislaciones y normas aplicables. Las políticas y prácticas al respecto están claramente definidas, implementadas y exigidas. Conducta humana • Las políticas de TI, prácticas y decisiones demuestran respecto por la conducta humana, incluyendo las necesidades actuales y emergentes de toda la gente involucrada. 229

2.9. Introducción a ISO ISO/IEC 38500:2008 Modelo La dirección debe gobernar la TI mediante tres tareas principales: • Evaluar • Examinar y juzgar el uso actual y futuro de la TI, incluyendo estrategias, propuestas y acuerdos de aprovisionamiento (internos y externos). • Dirigir • Dirigir la preparación y ejecución de los planes y políticas, asignando las responsabilidades al efecto. • Asegurar la transición correcta de los proyectos a la producción, considerando los impactos en la operación, el negocio y la infraestructura. Impulsar una cultura de buen gobierno de IT en la organización. • Monitorizar • Mediante sistemas de medición, vigilar el rendimiento de la TI, asegurando que se ajusta a lo planificado.

230

2.9. Introducción a ISO ISO/IEC 38500:2008 Objetivos de la implantación de la ISO 38500: •

Garantizar la excelencia en los procesos de negocio y/o servicio como factor esencial del desarrollo de la actividad empresarial, mediante el empleo de administradores y trabajadores Idóneos y debidamente calificados.



Garantizar la elaboración y puesta en práctica de las políticas de gobernabilidad de la empresa.



Diagnosticar los cambios organizativos y estructurales que se requieran en la empresa y contribuir a perfeccionar los métodos y estilos de administración en función de propiciar una mayor participación, compromiso, espíritu creativo e innovador y motivación de todos los dirigentes y trabajadores para la formación de una cultura organizativa propia de la empresa.



Preparar a la empresa para que sea capaz de reaccionar con rapidez y eficiencia ante los cambios del entorno y las demandas cuantitativas y cualitativas.



Cumplir con las leyes y regulaciones de la actividad en que se desempeñe.



Gestionar los riesgos de forma eficiente.

231

3. ESTÁNDAR INTERNACIONAL DE AUDITORÍA 3.1. Norma ISA 315 – Identificación y evaluación del riesgo de error material a través del conocimiento y la compresión de la entidad y de su entorno

232

Norma ISA 315 • Norma ISA 315 ó NIA 315– Identificación y evaluación del

riesgo de error material a través del conocimiento y la compresión de la entidad y de su entorno

Qué Podría Salir Mal?

233

Norma ISA 315 (revisión de la norma) OBJETIVO A LOGRAR



Qué debe entender (evaluar) el Auditor?



La Entidad y su Entorno:

• • • • •



Factores relevantes Naturaleza de la Entidad Selección y Aplicación Políticas Objetivos y Estrategias y los Riesgos de Negocios Relacionados Medición y Revisión del Desempeño Financiero

Control Interno (Componentes)

234

Norma ISA 315 (revisión de la norma) REQUERIMIENTOS: A. Procedimientos de evaluación de riesgos. • El propósito es proveer una adecuada base (evidencia) para la identificación y evaluación de riesgos. (Se deben de enmarcar dentro del resto de procedimientos de auditoría). •

Los procedimientos para la evaluación de riesgos son: • Preguntas a la Dirección y a otro personal de la entidad (efectividad del control interno, proceso de transacciones, políticas contables, litigios, garantías, estrategias, etc.) orientadas a identificar riesgos. • Procedimientos de revisión analítica (a nivel de compañía, de más detalle o de ratios). • Observación e inspección (lecturas de informes, visitas o centros, trazar transacciones, inspeccionar registros, etc).

• Los procedimientos se llevan a cabo mientras se obtiene el conocimiento del negocio. Otros procedimientos

también pueden ser útiles: preguntas a asesores legales y expertos y obtención de información externa (informes analistas, prensa, reguladores, etc.) • El auditor debe considerar la información obtenida en el proceso de aceptación o continuidad del cliente, o

en el desarrollo de servicios anteriores. • La información obtenida de años anteriores debe ser verificada para determinar posibles cambios. 235

Norma ISA 315 (revisión de la norma) B. El conocimiento de la entidad y su entorno, incluido su control interno. ■ El conocimiento de la entidad y su entorno consiste en los aspectos siguientes: a) b) c) d) e)

Sector o industria, regulación y otros factores incluido el plan de contabilidad aplicable. Naturaleza de la entidad (dirección, propietarios, planes, estructura financiera, etc.) La selección y aplicación de políticas contables, incluyendo las razones en sus cambios e idoneidad y consistencia. Objetivos, estrategias y riesgos relacionados con el negocio. Medida y revisión de la actuación de la entidad, ya sean internas (control presupuestario) o externas (analistas).

■ Con respecto al conocimiento del control interno la norma establece: a) b) c) d)

El auditor debe obtener conocimiento del CI relevante a su auditoría. Los controles relevantes son lo que solos o en combinación pueden prevenir, detectar o corregir errores que afecten a las compañías. El conocimiento requerido del CI abarca su diseño y grado de implantación. Para ello no es suficiente con preguntas sino que hemos de hacer procedimientos para ver que los controles relevantes estén implantados (se usan). El auditor debe obtener un conocimiento de los componentes del CI: del ambiente de control, procesos de identificación y evaluación de riesgos, del sistema de información y de comunicación, de las actividades de control y de supervisión.

236

Norma ISA 315 (revisión de la norma) C. Identificación y evaluación del riesgo de manifestaciones erróneas significativas • La identificación y evaluación de riesgos ha de ser a nivel de estados financieros (riesgos inherentes) y a

nivel de manifestación (transacciones, saldos de cuentas y revelaciones). Es necesario considerar tanto la magnitud del riesgo como la probabilidad de provocar un efecto en las compañías. • Identificación: Conocimiento del negocio (incluido control interno) y su entorno, de los controles relacionados

a los riesgos y considerando las clases de transacciones, saldos de cuentas y revelaciones en las compañías. • Si el auditor no ha identificado riesgos no significa que no existen (significa que están mitigados por la

seguridad de la entidad). En estos casos hay que responde igualmente al riesgo de auditoría.

237

Norma ISA 315 (revisión de la norma) Riesgos que requieren consideración especial: a)

El auditor como parte de su evaluación debe determinar, según su juicio, que riesgos requieren especial consideración (se llaman significativos)

b)

Transacciones rutinarias o poco complejas son menos probables de causar un riesgo significativo ya que tienen menor riesgo inherente. Por otro lado los riesgos del negocio son más probables de causar un riesgo significativo

c)

El auditor ha de considerar: fraude, riesgos económicos, de legislación, complejidad de transacciones, partes relacionadas, subjetividad en estimaciones o incertidumbres, transacciones inusuales o fuera de su normal actividad.

d)

El auditor debe evaluar el control interno relacionado con los riesgos especiales y ver si los controles implantados están operando

“El auditor debe responder a los riesgos de carácter especial”

238

Norma ISA 315 (revisión de la norma) • Hay riesgos para los cuales los procedimientos substantivos no proporcionan una base suficiente de

evidencia (principalmente en procesos muy informatizados de compras, ventas, cobros y pagos, o en compañías que ofrecen servicios o productos vía internet). “Para estos casos el auditor debe evaluar el diseño y grado de implantación y efectividad de los controles de la entidad” • La evaluación de riesgos ha de revisarse durante todo el transcurso de la auditoría (ej. desarrollando

pruebas sobre los controles puede detectarse que no operan efectivamente, también en pruebas substantivas podemos detectar más errores que los previstos en nuestra evaluación inicial). En estos casos se debe modificar la estrategia de auditoría. D. Comunicación • El auditor debe comunicar a la Dirección los riesgos significativos identificados para los cuales no hay controles o estos son inadecuados y las debilidades de control interno.

239

Norma ISA 315 (revisión de la norma) E. Documentación El auditor debe documentar: a) Las conversaciones con el equipo de auditoría relativas a la identificación y evaluación de riesgos. b)

El conocimiento del negocio obtenido para evaluar los riesgos, las fuentes de información utilizadas y los procedimientos de evaluación aplicados.

c)

Los resultados de la identificación y evaluación.

d)

Los riesgos identificables, los controles relacionados a riesgos especiales o donde los procedimientos sustantivos no son suficientes para la obtención de la evidencia requerida.

240

Norma ISA 315 (revisión de la norma) FACTORES INDICATIVOS DE RIESGO SIGNIFICATIVO • • • • • • • • • • • • • • • • • • • •

Operaciones en regiones económicamente inestables. Operaciones expuestas a mercados volátiles. Alto grado de regulación compleja. Problemas de liquidez, incluyendo pérdidas de clientes importantes. Problemas en la disponibilidad de capital y crédito. Cambios en la industria o en la cadena de suministros. Expansión en nuevas localidades o en nuevas líneas de negocio. Cambios en la entidad por reorganizaciones o adquisiciones. Entidades o segmentos de negocio que probablemente se venderán. Alianzas complejas y joint ventures. Transacciones fuera de balance, propuestas especiales y otros complejos contratos financieros. Transacciones significativas con partes relacionadas. Carencia de personal cualificado. Cambios en personal clave incluyendo personal ejecutivo. Debilidades en el control interno, especialmente directivos. Instalación de nuevos sistemas de información. Investigaciones en las operaciones de la entidad por los reguladores. Historia de errores y de ajustes de finales de periodo. Gran número de transacciones no rutinarias (intercompañías) y grandes ingresos a final de año. Procedimientos de medición complejos, con estimaciones e incertidumbres. 241

Norma ISA 315 (revisión de la norma) Generalmente, TI beneficia el Control Interno de la Entidad al habilitar a una Entidad para: Aplicar consistentemente reglas de negocios predefinidas y realizar cálculos complejos en el procesamiento de grandes volúmenes de transacciones o datos. Mejorar la oportunidad, disponibilidad, y exactitud de la información. Facilitar el análisis adicional de la información. Mejorar la habilidad de monitorear el desempeño de las actividades de la Entidad y sus políticas y procedimientos. Reducir el riesgo de violación de los Controles. Mejorar la habilidad de lograr una segregación de funciones eficaz al implementar controles de seguridad en las aplicaciones, bases de datos, y sistemas operativos [ISA 315.A55] 242

Norma ISA 315 (revisión de la norma) La tecnología de información plantea también riesgos específicos para el Control Interno de la entidad, por ejemplo: • Otorgar confianza a sistemas o programas que procesan erróneamente datos o procesan datos incorrectos, o ambas cosas. • Acceder a los datos sin que se esté autorizado para ello, lo que puede provocar la destrucción de información o hacer movimientos en la información que no sean apropiados o no están autorizados, incluyendo la incorporación de información de transacciones no autorizadas o inexistentes. Existe un riesgo en particular, y que puede ser de trascendencia, cuando varios usuarios pueden acceder a una base de datos común. • Contar con privilegios de acceso más allá de los necesarios para realizar las funciones que tengan asignadas el personal de tecnología de información, con el riesgo de afectar la segregación de funciones. • Cambiar los datos almacenados en archivos maestros, sin que se cuente con la autorización correspondiente. • Hacer cambios no autorizados a los sistemas o a los programas. • Generar fallas por no hacer los cambios necesarios en los sistemas o programas. • Intervenir manualmente, de manera inapropiada, los sistemas. • Perder, potencialmente, información o no poder acceder a los datos. [ISA 315.A56] 243

Norma ISA 315 - International Standards onAuditing Los elementos manuales en el Control Interno pueden ser más adecuados cuando se requiere juicio y discreción como en las siguientes circunstancias: Transacciones grandes, inusuales o no recurrentes Circunstancias donde los Errores son difíciles de definir, anticipar o pronosticar En circunstancias cambiantes que requieren una respuesta de control fuera del alcance de un Control automatizado existente Al monitorear la efectividad de los Controles automatizados. [ISA 315.A57]

244

Norma ISA 315 - International Standards onAuditing Los elementos manuales en el Control Interno pueden ser menos confiables que los elementos automatizados porque pueden ser violados o ignorados, y también son más propensos a Errores y equivocaciones simples. Por lo tanto, no puede asumirse la consistencia de aplicación de un elemento de Control manual. Los elementos de Control manual pueden ser menos adecuados para las circunstancias siguientes: Transacciones de alto volumen o recurrentes o en situaciones donde los Errores que pueden anticiparse o pronosticarse pueden prevenirse, o detectarse y corregirse, por los parámetros de Control que son automatizados Actividades de Control donde pueden diseñarse y automatizarse adecuadamente las maneras específicas de realizar el Control. [ISA 315.A58]

245

Norma ISA 315 - International Standards onAuditing El alcance y naturaleza de los riesgos para el Control Interno varían dependiendo de la naturaleza y características del sistema de información de la Entidad. La Entidad responde a los riesgos que surgen del uso de TI o del uso de elementos manuales en el Control Interno al establecer Controles eficaces a la luz de las características del sistema de información* de la Entidad. [ISA 315.A59]

* Un sistema de información tiene una infraestructura (componentes físicos y equipos informáticos), programas informáticos, personal, procedimientos y datos. Muchos sistemas de información hacen uso extenso de la tecnología de información.

246

Norma ISA 315 (revisión de la norma) Controles Generales Relacionados con la Tecnología y Controles de Aplicación Los dos grupos amplios de las Actividades de Control de los sistemas de información son: Los Controles Generales Relacionados con la Tecnología, los cuales son políticas y procedimientos que se relacionan con muchas aplicaciones y sustenten el funcionamiento eficaz de los Controles de Aplicación ayudando a asegurar la operación correcta continuada de los sistemas de información, los CG que mantienen la integridad de la información y seguridad de la misma comúnmente incluyen controles sobre lo siguiente: • Centro de datos y operaciones de red • Adquisición, cambio y mantenimiento del software de sistemas • Cambio en el programa • Seguridad de acceso • Adquisición, desarrollo y mantenimiento del sistema de aplicación. Los Controles de Aplicación, los cuales se aplican al procesamiento de las aplicaciones individuales, generalmente operan a nivel de un proceso de negocios Estos Controles ayudan a asegurar que las transacciones ocurrieron, se autorizaron se registraron y procesaron de manera completa y exacta.

[ISA 315.A96] [ISA 315.A97]

247

La relación entre los controles de aplicación y los controles generales relacionados con la tecnología es tal que los Controles Generales de la Tecnología son normalmente necesarios para soportar el funcionamiento de los controles de aplicación, y ambos son normalmente necesarios para asegurar el procesamiento completo y preciso de información.

• Cambios en los programas.

• Centro de datos y operaciones de red.

• Seguridad de accesos. • Adquisición, desarrollo y mantenimiento de programas (sistemas)

• Adquisición, cambios y mantenimiento de aplicaciones.

248

Participación de los Especialistas de TI en una auditoría enfocada en riesgos • Las áreas donde un especialista en Tecnología de Información puede ser

involucrado incluyen las siguientes: • • • • • • •

Obtener una comprensión del sistema de información, incluyendo evaluar el diseño de los Controles y determinar si se han implementado. Identificar y evaluar los riesgos, incluyendo aquellos relacionados con el procesamiento computarizado. Diseñar el plan para las Pruebas de Controles. Diseñar las Pruebas de Controles. Realizar las Pruebas de Controles. Diseñar, desarrollar y usar el Análisis Exploratorio de Datos. Otros aspectos técnicos de la computadora del Compromiso de Auditoría.

Fuente: Deloitte.

249

3. ESTÁNDAR INTERNACIONAL DE AUDITORÍA 3.2. Controles Generales Relacionados con la Tecnología

250

Controles Generales Relacionados con la Tecnología • Los Controles Generales Relacionados con la Tecnología se definen como las políticas y

procedimientos que se relacionan con muchas aplicaciones y soportan el funcionamiento efectivo de los controles de aplicación ayudando a asegurar la operación apropiada continua de los sistemas de información. • Los Controles Generales Relacionados con la Tecnología comúnmente incluyen los controles

sobre: • Centro de datos y operaciones de red; • Adquisición, cambio y mantenimiento del software de sistemas; • Cambio en el programa; • Seguridad de acceso; y, • Adquisición, desarrollo y mantenimiento del sistema de aplicación.

251

Controles Generales Relacionados con la Tecnología • Centro de datos y operaciones de red: Consideraciones: • ¿Actualizan los trabajos por lotes (batch jobs) la información producida por la entidad usando TI utilizada dentro de los controles relevantes? • ¿Hay aplicaciones web / con interfase web en las que los usuarios tienen acceso para actualizar las transacciones financieras relacionadas con cuentas/revelaciones materiales? • Si una persona tiene acceso físico a la consola, ¿pueden circunscribirse controles de acceso lógico para obtener acceso? Factores de revisión: • Planeamiento de ejecución de procesos (incluido los respaldos) • Ejecución y control de procesos (día a día). • Hardware y Software utilizados (schedulers, consolas de monitoreo, medios de almacenamiento, etc.) • Recursos que se encuentran en el centro de cómputos. • Respaldos de Información. • Control de acceso físico. • Controles ambientales (detección y eliminación de humo/fuego, fuentes alternas de poder , etc.).

252

Controles Generales Relacionados con la Tecnología • Adquisición, cambio y mantenimiento del software de sistemas: Consideraciones: • ¿Qué tan frecuentes son las actualizaciones de seguridad liberadas por el proveedor? • ¿Hay aplicaciones relevantes administradas por el usuario (por ejemplo, Excel) almacenadas en los servidores? Factores de revisión: • Planificación, instalación, prueba y monitoreo de todos los cambios realizados sobre la plataforma (hardware y software de base) • Instalación de Parches • Mantenimiento y Soporte • Monitoreo y evaluación de performance, disponibilidad y fiabilidad de la plataforma

253

Controles Generales Relacionados con la Tecnología • Cambio en el programa y adquisición, desarrollo y mantenimiento del

sistema de aplicación: Consideraciones: • ¿Tiene la entidad la habilidad para modificar el código de la aplicación, incluyendo el código que genera los informes? • ¿Está planeando la entidad alguna liberación significativa antes del cierre del año fiscal? • ¿Usa la entidad alguna forma de software de administración de bibliotecas/librerías? Factores de revisión: Cambios en el programa • Metodología de cambios en las aplicaciones • Control de ambientes de pruebas y producción • Disponibilidad de documentación técnica y de usuario.

Adquisición, desarrollo y mantenimiento del sistema de aplicación • Implementación de aplicaciones adquiridas • Cambios en aplicaciones adquiridas • Disponibilidad de la documentación técnica

254

Controles Generales Relacionados con la Tecnología • Seguridad de acceso: Consideraciones: • ¿Se autentican los usuarios y administradores directamente en la aplicación? • ¿Tienen la capacidad los usuarios de acceder directamente a la base de datos fuera de la aplicación? Factores de revisión: • Normas, Políticas y Procedimientos de seguridad (Red, SO, Aplicaciones y BD) • Seguridad Lógica • Control de acceso a plataformas tecnológicas • Administración de usuarios • Respuestas ante incidentes de seguridad (virus, hacking)

255

Controles Generales Relacionados con la Tecnología Área de los Controles Generales Relacionados con la Tecnología

Seguridad de Acceso

Problemas / Riesgos que Surgen de TI

Elementos de Tecnología (sólo

Ejemplo de Controles

para fines ilustrativos)

Los usuarios inapropiadamente crean, eliminan o modifican las transacciones o datos financieros dando como resultado información producida por la entidad inválida, incompleta o incorrecta usando TI.

Aplicación

La administración aprueba la naturaleza y alcance de los privilegios de acceso de los usuarios para los accesos de los usuarios nuevos y modificados. Y/O La administración aprueba los cambios a los privilegios de acceso asignados a los perfiles/funciones estándar de aplicación. Y/O Los usuarios con acceso para ejecutar y aprobar las transacciones críticas de información financiera tienen autorización y son apropiados. Y/O Se realiza un examen de accesos para detectar y corregir los conflictos de Segregación de Funciones.

256

Controles Generales Relacionados con la Tecnología Área de los Controles Generales Relacionados con la Tecnología

Seguridad de Acceso

Problemas / Riesgos que Surgen de TI

Elementos de Tecnología (sólo

Ejemplo de Controles

para fines ilustrativos)

Los usuarios hacen modificaciones inapropiadas a las configuraciones, algoritmos y programas del sistema afectando la confiabilidad de la información producida por la entidad usando TI y/o de los controles automatizados.

Aplicación, Base de Datos, Sistema de Operación, y Red

El acceso es autenticado a través de IDs y passwords únicos de los usuarios u otros métodos como un mecanismo para validar que los usuarios tengan la autorización para obtener acceso al sistema. Los parámetros de los passwords cumplen con las políticas y estándares profesionales y/o de la compañía (por ejemplo, longitud y complejidad mínima del password, caducidad y bloqueo de la cuenta). Y/O El acceso de nivel privilegiado (por ejemplo, administradores del sistema, administradores de la seguridad, acceso de emergencia, súper usuarios) está autorizado y restringido de manera apropiada. Y/O El acceso para los usuarios despedidos se elimina de manera oportuna de acuerdo con la política documentada de la compañía. Revisión de perfiles, implementación de atributos y aprobación, cambio de usuarios con revisión y aprobación.

257

Controles Generales Relacionados con la Tecnología Área de los Controles Generales Relacionados con la Tecnología

Problemas / Riesgos que Surgen de TI

Elementos de Tecnología (sólo

Ejemplo de Controles

para fines ilustrativos)

Seguridad de Acceso

La administración no detecta las modificaciones inapropiadas a los programas, algoritmos, configuraciones, transacciones financieras y los datos que subyacen la información producida por la entidad usando TI y/o los controles automatizados.

Aplicación, Base de Datos, Sistema de Operación, y Red

El registro (logeo) está dentro del sistema y los registros (logs) son monitoreados o auditados regularmente para detectar actividades no autorizadas o inapropiadas.

Seguridad de Acceso

Los usuarios obtienen acceso no autorizado directamente a los datos a través de la base de datos o el sistema operativo para cambiar intencionalmente, o sin intención, los datos o informes que subyacen la información producida por la entidad usando TI y/o los controles automatizados.

Base de Datos, Sistema de Operación, y Red

El acceso a los objetos/tablas/datos de la base de datos y a los archivos/directorios sensibles del sistema operativo está limitado al personal autorizado, con base en sus responsabilidades del trabajo / función asignada, y es aprobado por la administración. Y/O El acceso de nivel privilegiado (por ejemplo, administradores del sistema, administradores de la seguridad, acceso de emergencia, súper usuarios) está autorizado y restringido de manera apropiada.

258

Controles Generales Relacionados con la Tecnología Área de los Controles Generales Relacionados con la Tecnología

Problemas / Riesgos que Surgen de TI

Elementos de Tecnología (sólo

Aplicación, Base de Datos, Sistema de Operación, y Red

Seguridad de Acceso

Los mecanismos de seguridad son inadecuados, inefectivos o inconsistentes debido a la falta de políticas y estándares de seguridad establecidos. Esto incrementa el riesgo de acceso no autorizado afectando los datos que subyacen la información producida por la entidad usando TI y/o los controles automatizados.

Seguridad de Acceso

El personal (interno y externo) obtiene Red acceso no autorizado a la aplicación o a los datos a través de la red e intencionalmente, o sin intención, cambia los datos, programas o informes que subyacen la información producida por la entidad usando TI y/o los controles automatizados.

Centro de Datos y Operaciones de Red

Ejemplo de Controles

para fines ilustrativos)

Las políticas y estándares de seguridad de la información están documentadas, se revisan y actualizan de manera periódica y contienen los requerimientos apropiados de acuerdo con las normas profesionales.

La red está configurada para segmentar las redes internas y externas y para limitar el acceso a las aplicaciones de internet. Y/O El servidor de las aplicaciones web está configurado para validar de manera segura las sesiones de los usuarios.

259

Controles Generales Relacionados con la Tecnología Área de los Controles Generales Relacionados con la Tecnología

Adquisición, Desarrollo y Mantenimiento del Sistema de Aplicación

Cambio en el Programa

Adquisición, Desarrollo y Mantenimiento del Sistema de Aplicación

Cambio en el Programa

Problemas / Riesgos que Surgen de TI

Elementos de Tecnología (sólo

Ejemplo de Controles

para fines ilustrativos)

Los cambios en la aplicación y en la base de datos no están debidamente autorizados y probados, y la implementación de dichos cambios impacta en la confiabilidad de los controles automatizados y/o en la confiabilidad de los datos usados para emitir la información producida por la entidad usando TI.

Aplicación y Base de Datos

Los cambios en la aplicación (incluyendo la interface y la base de datos) son aprobados y probados de manera apropiada antes de que se muevan al ambiente de producción.

Los programadores u otros usuarios promueven cambios inválidos o inapropiados en el ambiente de producción sin el conocimiento de la administración. Esto da como resultado modificaciones inapropiadas en los programas, aplicaciones, algoritmos, configuraciones del sistema y los datos que subyacen la información producida por la entidad usando TI y/o los controles automatizados.

Aplicación y Base de Datos

El acceso para implementar los cambios (incluyendo los cambios en la interface y en la base de datos) en el ambiente de producción de la aplicación está apropiadamente restringido y segregado del ambiente de desarrollo. Y/O La administración genera un reporte del sistema sobre los cambios en la producción y revisa los cambios regularmente para averiguar que sean apropiados y aprobados por la administración.

260

3. ESTÁNDAR INTERNACIONAL DE AUDITORÍA 3.3. Controles de aplicación

261

3.3.1. Ejemplos de controles de aplicación Se aplican al procesamiento de las aplicaciones individuales, generalmente operan a nivel de un proceso de negocios. Estos Controles ayudan a asegurar que las transacciones ocurrieron, se autorizaron se registraron y procesaron de manera completa y exacta. • Lista de datos predefinida: el usuario solo puede seleccionar de una lista de

datos aceptables. Por ejemplo: lista de códigos de producto con inventario disponible. • Pruebas de lógica: control basado en rangos de datos o en pruebas

alfanuméricas. Por ejemplo: edades negativas o muy altas, cantidad de dígitos de la tarjeta de crédito.

262

3.3.1. Ejemplos de controles de aplicación • Cálculos: una rutina del sistema realiza procesamiento matemático de los datos

con base en una configuración. Por ejemplo, cálculo de depreciación, cálculo de intereses. • Controles manuales basados en tecnología(CGI): controles híbridos donde la

tecnología provee parte del control y el control se completa con una actividad manual, tales como los reportes generados por el sistema de información que deben ser revisados manualmente por un usuario para identificar excepciones o desviaciones de razonabilidad. Por ejemplo: reporte de la edad de la cartera, reporte de ventas por regional y por agente comercial.

263

3.3.1. Ejemplos de controles de aplicación Controles automáticos en la aplicación • Restricciones de acceso lógico (a través de identificación y password)

• Validaciones de campos (de consistencia, que se impida ingresar números

negativos, validaciones contra campos predefinidos –p.ej. que se completan automáticamente sin intervención del usuario, campos de opción múltiple –p.ej. limitación a determinados tipos de documento- o contra archivos maestros –p.ej. Clientes válidos, proveedores válidos, etc.-)

264

3.3.1. Ejemplos de controles de aplicación Controles automáticos en la aplicación • Validaciones (balanceos de totales o entre debe y haber, integridad en el

completamiento de la información – que no se omitan campos clave)

• Requerimientos de aprobación de un tercero y no poder avanzar en el proceso sin

dicha aprobación, requerimientos de aprobación complejos según condiciones como monto o a través de sistemas de workflow o estrategias de liberación.

265

3.3.1. Ejemplos de controles de aplicación Controles automáticos en la aplicación • Validaciones y cálculos contra otros archivos (p.ej. No permitir el procesamiento de

un pedido de ventas si el monto del mismo supera el límite de crédito asignado a dicho cliente)

266

3.3.2. Procesos del Negocio Secuencia de actividades desarrolladas por una organización para procesar o tramitar transacciones que permiten la ejecución de una función propia del negocio.

Proceso 1 Insumos

Processamento

Produto

Proceso 2 Insumos

Processamento

Produto

267

3.3.2. Procesos del Negocio • Agrupar las actividades semejantes

• Los procesos no se limita a un área o departamento. Un proceso puede

pasar por mas de un área

Área A

Área B

Área C

Área D

PROCESO

268

3.3.2. Procesos del Negocio • Los procesos de negocio es un conjunto

de: • Transacciones • Controles • Una serie de pasos, acciones o tareas a seguir para lograr un cierto objetivo del negocio. • Una secuencia de actividades realizadas por una entidad para procesar las clases de transacciones relacionadas entre sí.

Contabilidad Financiera

Ingresos (RE) Gastos (EX) Inventario (IM) Activo Fijo (FA) Nómina y Personal (PR) Tesorería (TR)

269

3.3.3. Pruebas en los procesos del negocio • Nuestro entendimiento de los procesos de negocio de cada uno de los

procesos debe incluir: • • • • •



Políticas y procedimientos Aplicaciones y controles significativos Entradas, procesos y salidas Procedimientos para manejar excepciones Controles organizacionales y sistemáticos para asegurar un nivel apropiado de segregación de funciones Reportes usados o creados durante el proceso

270

3.3.4. ¿Cómo identificar controles? • En la mayoría de las ocasiones tenemos que ir más allá de la simple definición

del control, y no perder de vista cuales son los riesgos que queremos minimizar. • Tenemos que entender qué hay detrás de ese control, puede ser un control

de accesos, un control que está programado en el sistema (puede estar ligado a políticas de la empresa) y por lo tanto tiene una dependencia directa al control de cambios de dicho sistema. Además se podrían tener controles manuales como aprobaciones y demás

271

3.3.5. Documentar pruebas de control Al DOCUMENTAR una prueba de Procesos de Negocio • No se trata de acumular “impresiones de pantalla” (print screen) de las aplicaciones de los clientes. • Sólo hay que obtener soporte de aquella documentación que realmente nos corrobora la existencia de un control. • En la mayoría de los casos, deberá de describirse el proceso y control que ha sido probado, indicando: • Lo que se revisó • Cómo y con quién se revisó • Los resultados de la revisión • La documentación soporte • Conclusión de la prueba de control

272

3.3.6. Enfoque de arriba hacia abajo Enfoque de Arriba Hacia Abajo (“top-down”) : Un enfoque eficiente para identificar los Controles Relevantes. Primero, buscamos los Controles de Alto Nivel que utiliza la alta Administración, después los Controles Detallados utilizados por los niveles más bajos de la Administración y por otros, según sea apropiado.

Beneficios del Enfoque de Arriba Hacia Abajo (“top-down”) : Se identifican los controles de más alto nivel, que creemos serán eficientes para proporcionar Seguridad Razonable y lograr uno o más Objetivos de Control. Normalmente reduce el número de Controles a identificarse, evaluarse y probarse. Se realizan indagaciones con los niveles ejecutivos de la administración. Si los Controles de Alto Nivel no son eficaces para los propósitos de la auditoría, se identifican los controles del siguiente nivel de la Administración en los cuales ellos confían. 273

3.3.6. Enfoque de arriba hacia abajo Número de Objetivos de Control cubiertos

Controles Más datos, menos detalles

- Alto Nivel

- Supervisión

- Operativos

Conjunto distinto de datos, mayor detalle

Controles detallados transacciones especificas

3.3.7. Controles relevantes Son aquellos controles identificados, para los Objetivos de Control relevantes, en los cuales pretendemos confiar, si estamos planeando: 1. Obtener Seguridad de Control o 2. Probar la eficacia operativa de los Controles.

275

3. ESTÁNDAR INTERNACIONAL DE AUDITORÍA 3.4. Riesgos & Controles en Procesos de Negocios

276

Proceso de Negocio : Ingresos Administración de Maestro de clientes

Calculo de precio de las ordenes de venta Requerimiento del cliente

Administración de crédito de clientes

Desarrollo de la solución para el cliente

Procesamiento de ordenes y Contratos

Entrega del bien o servicio

Recolección, empaque y despacho de ordenes

Maestro de clientes

Generación de la orden de venta

Maestro de bienes o serv

Desarrollo de la solución para el cliente

Entrega del bien o servicio

Facturación

Maestro de precios

Riesgos clave 1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

3

Registros duplicados en el sistema.

4

Inadecuada segregación de funciones.

5

Recaudo y cartera

Verificación que lo vendido, sea lo entregado y lo que se factura y recauda.

Consideraciones de controles automáticos clave 1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

2

Administración de maestros claves del ciclo: clientes, bienes o servicios, precios

2

Valdiación de entrada en campos mandatorios en el registro de las ordenes de venta, en la remisión de despacho y en la factura.

Facturación

Proceso de recibo del pago

Administración del recaudo

277

Ingresos

Procesamiento de la Cobranza

Cliente

Administración del Inventario

Administración y Procesamiento de Pedidos

Facturación, Devoluciones sobre Ventas y Ajustes

Mayor General

Mantenimiento Archivo Maestro de Clientes

278

Ingresos

Pruebas principales Validar los usuarios con acceso a las opciones críticas de ingresos. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Validar los controles automáticos establecidos en el flujo de transacciones de ingresos, tales como: • Validar los controles de retención de pedidos debido a morosidad o límite en el cupo de crédito. • Verificar los controles en la liberación de las órdenes de venta retenidas. • Verificar los controles sobre la modificación de las listas de precios. • Verificar que los precios son cargados a la factura automáticamente. • Verificar que no es posible ingresar precios manualmente en los pedidos. • Validar los controles en la asignación de porcentajes de descuento. • Validar que las facturas son alimentadas con la información del pedido. • Validar que el valor de los descuentos es calculado automáticamente. • Verificar que la información de precios no pueda ser modificada directamente en la factura. • Verificar controles en devoluciones. • Verificar controles en la emisión de notas crédito y débito. • Validar que el sistema calcula automáticamente el valor de la factura. • Validar los controles en la contabilización de facturas. • Verificar que al ingresar el pago al sistema se actualiza automáticamente la cartera del cliente. • Validar los controles de la interfaz de ingresos. Cruzar los pedidos con las entregas y las facturas de venta, con el fin de identificar discrepancias entre estos. Validar la integridad de datos en la maestra de clientes. 279

Ingresos

Pruebas principales Verificar si existen saltos o duplicados en los documentos que intervienen en el flujo de transacciones de ingresos. Realizar el re cálculo del reporte de cartera por edades.

280

Proceso de Negocio : Gastos Requerimiento de la persona en la cía.

Administración de los proveedores

Pago Generación de la orden de compra

Creación y Mantenimiento de ordenes

Verificación / registro de La factura

Pago

Registro de la factura del proveedor

Compra de materiales y servicios

Recepción del material o servicio

Recepción del bien o servicio

Maestro de proveedores

Maestro de materiales

Transferencia electrónica de fondos

Riesgos clave

Consideraciones de controles automáticos clave

1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

Registros duplicados en el sistema.

2

Administración de maestros claves del ciclo: proveedores y materiales

3 4 5

Inadecuada segregación de funciones. Inexistencia aprobación/libreración de orden de compra, de la entrada al almacen, de la factura para pago y del pago

3

Valdiación de entrada en campos mandatorios en el registro de las ordenes de compra, entrada del bien o servicio, factura del proveedor

Pagos sin que el bien se haya recibido.

4

Autorizadores en la banca electrónica

4

Libreación de ordenes de compra, entrada a almacen, recepción del servicio, facutra para pago y pago

6

281

Gastos

Mayor General

Proveedor

Mantenimiento Archivo Maestro de Proveedores

Compras

Activos Fijos

Administración del Inventario

Processing Procesamiento Accounts de Cuentas Payable por Pagar

Procesamiento de Gastos

Tesorería

282

Gastos

Pruebas principales Validar los usuarios con acceso a las opciones críticas de gastos. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Verificar los controles automáticos establecidos en el flujo de transacciones de gastos, tales como: • Validar que no es posible realizar ordenes de compra a proveedores inactivos. • Revisión de controles presupuestales que impidan compras que superen el presupuesto establecido. • Validar que la orden de compra se genera a partir de una requisición aprobada. • Validar la existencia de flujos de aprobación de ordenes de compra a través del sistema. • Validación de controles sobre la modificación de órdenes de compra ya aprobadas. • Verificación de los controles para el recibo de mercancías y órdenes de compra como tolerancias en cantidades, concordancia en el proveedor, entre otros. • Validar que no es posible modificar campos críticos desde la orden de compra autorizadas hasta la generación de la cuenta por pagar. • Validar que no es posible radicar dos veces la misma factura. • Validar que no es posible borrar una factura ya pagada. • Verificar si automáticamente el sistema al cierre realiza una provisión de las órdenes de compra sin recibo y sin factura. • Validar que una vez se realiza el pago la factura queda cancelada en el sistema. • Verificar que no es posible realizar el pago de una misma factura más de una vez. • Validar los controles de la interfaz de gastos. • Verificar los controles en el proceso de transferencia electrónica de fondos.

283

Gastos

Pruebas principales Cruzar las órdenes de compra cumplidas con las entradas de almacén y las cuentas por pagar generadas, con el fin de identificar posibles diferencias. Verificar si existen saltos o duplicados en los documentos que intervienen en el flujo de transacciones de gastos. Validar si los proveedores que no han sido utilizados por un periodo de tiempo se revisan e inactivan. Verificar la integridad de datos de la maestra de proveedores.

284

Proceso de Negocio – Activos Fijos General ledger

Aprobación del Capex (presupuesto) Adquisición del activo

Creación de la orden interna Activo en construccion, o proyecto

1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

3

Proceso de depreciación

Mejoras del activo, adiciones, dada de baja

Maestro de Activos fijos

Riesgos clave

Depreciación de activo fijo

Disposición del activo fijo

Adquisición del activo

Registro del activo fijo

Registros duplicados en el sistema.

4

Inadecuada segregación de funciones.

5

Proceso de depreciación configurado pero no se revisan sus resultados

Consideraciones de controles automáticos clave

1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

2

Administración de maestro de activos fijos

3

Configuración de variables para el proceso de depreciación

6

Activos dados de baja administrativamente pero no registrado este hecho en el sistema

285

Activos Fijos

Proveedor

Depreciación de Activos Fijos

Bajas de Activos Fijos

Comprador

Tesorería

Adquisición de Activos Fijos

Mantenimiento del Registro de Activos Fijos

Mayor General

Administración de Activos Fijos

286

Activos Fijos

Pruebas principales Validar el cálculo de la depreciación para una muestra de activos. Verificar la parametrización de las vidas útiles de los activos. Verificar que los activos totalmente depreciados o paralizados no se siguen depreciando. Validar los usuarios con acceso a las opciones críticas de activos fijos. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Validar los controles de la interfaz de activos.

287

Proceso de Negocio – Inventarios Mantenimiento del Maestro de materiales

Maestro de materiales

Planeación de la producción

Administración del inventario (salidas, entradas, dadas de baja, Desperdicios)

Empaque y entrega

Planeación de la producción

Riesgos clave

Administración del inventario

Empaque y entrega

1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

3

Registros duplicados en el sistema.

4

Consideraciones de controles automáticos clave

1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

2

Administración de maestro de materiales

Inadecuada segregación de funciones.

288

Administración del Inventario

Proveedor

Recepción y Almacenamiento de Materias Primas Gastos

Requisición de Materiales

Mantenimiento Archivo Maestro del Inventarioz

Administración del Inventario

Produción del Inventario

Manejo de Productos Terminados

Mayor General

Cliente

Embarque de Productos Terminados

Ingresos

289

Administración del Inventario

Pruebas principales Validar los usuarios con acceso a las opciones críticas de inventarios. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Validar los controles automáticos establecidos en el flujo de transacciones de inventarios, tales como: • Validar la existencia de monitoreo sobre los niveles mínimos de inventario. • Verificar los controles que impidan los cambios en cantidades y/o precios después de recibida la mercancía y registrada en el aplicativo. • Validar que la orden de compra se genera a partir de una requisición aprobada. • Verificar el control que exija que toda entrada de almacén tenga asociada una orden de compra. • Validar los controles entre la recepción de mercancías y la orden de compra. • Validar el adecuado uso de las tolerancias. • Validar los controles en la creación de productos (cantidad de materias primas utilizadas, cantidad de horas de mano de obra, cantidad de horas máquina). • Revisar la contabilización de la orden de producción y la adecuada parametrización de las cuentas contables que afecta. • Validar los controles en el registro de devoluciones de producto. • Verificar los controles en el registro de productos terminados. • Validar los controles establecido para la salida de mercancía de las bodegas de producto terminado. • Validar los controles automáticos en el proceso de ordenes de venta y embarque. • Validar los controles existentes en la interfaz de inventarios. • Validar como registran donaciones o muestras (costo cero) y como afecta el inventario y el costo promedio del inventario. • Validar que todas las salidas de almacén tengan asociada una requisición.

290

Administración del Inventario

Pruebas principales Verificar si existen saltos o duplicados en los documentos que intervienen en el flujo de transacciones de inventarios. Verificar la correspondencia entre las ordenes de trabajo y las ordenes de producción. Obtener los informes de ventas e informes de embarques con el fin de verificar si podría existir pérdida por embarques no facturados. Identificar los cambios realizados en el maestro de inventarios, identificando: usuario, código o número del cambio. • Validar los controles de la interfaz de inventarios.

291

Proceso de Negocio – Nómina

Maestro de empleados

Reclutamiento

Liquidacion de la nómina

Registro de novedades

Retiro

Reclutamiento

Maestro de empleados

Riesgos clave

Registro de Novedades

Liquidación de la nómina

1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

3

Registros duplicados en el sistema.

4

Consideraciones de controles automáticos clave

1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

2

Administración de maestro de empleados

23

Configuración parámetros para procesamiento de la nómina

Inadecuada segregación de funciones.

Retiro

292

Nóminas y Personal

Contratación de Personal

Empleado

Terminación de Contratos del Personal

Mantenimiento Archivo Maestro de la Nómina

Registro de Tiempos

Cálculo de la Nómina

Desembolsos de la Nómina

Mayor General

293

Nóminas y Personal

Pruebas principales Validar los usuarios con acceso a las opciones críticas al aplicativo de nómina y personal. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Validar los controles automáticos establecidos en el flujo de transacciones de nómina y personal, tales como: • Validar que la liquidación definitiva de un empleado se calcula automáticamente en el sistema y que se tengan en cuenta todas las novedades pendientes por liquidar del empleado. • Validar si al momento de realizar la liquidación definitiva del empleado, su estado cambia de activo a inactivo. • Verificar que no sea posible reactivar un empleado retirado, si es posible verificar que el sistema cuenta con un historial que permita evidenciar las reactivaciones. • Verificar los controles del sistema sobre los topes de anticipos a empleados. • Validar los controles en el ingreso de novedades de empleados. • Verificar los controles en el proceso de liquidación de la nómina y aportes de seguridad social. • Validar la interfaz de nómina. •Verificar los controles en el proceso de pago de nómina por transferencia electrónica de fondos.

Obtención y verificación de los parámetros del sistema con los cuales se realiza automáticamente la liquidación de la nómina y la seguridad social. Validación de la integridad de los datos en la maestra de empleados.

294

Proceso de Negocio – Tesorería Administración de efectivo

Adminsitración de inversiones

Administración de créditos/ Obligaciones financieros

Adminsitración de Efectivo Administración de inversiones

Administració n de créditos / obligaciones fras.

Maestro de Maestros de bancos Proveedores y clientes

Riesgos clave 1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

3

Registros duplicados en el sistema.

4

Consideraciones de controles automáticos clave

1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

2

Administración de maestros de bancos, proveedores, clientes

23

Configuración parámetros para procesamiento de la valoración de inversions

4

Acceso a la banca electrónica

Inadecuada segregación de funciones.

295

Tesorería

Préstamos, Arrendamientos Financieros Y Compras a Plazos

Administración Del Efectivo E Inversiones

Mayor General

Derivados

296

Tesorería

Pruebas principales Validar los usuarios con acceso a las opciones críticas de tesorería. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Verificar que los intereses de los préstamos se calculan correctamente por el sistema teniendo en cuenta el plazo y la tasa de interés parametrizada.

297

Proceso de Negocio – Financiero Contable Administración De transacciones

Maestro de Cuentas contables Registros por las Transacciones de ciclos de negocios

Administrar El GL / plan de cuentas

Realización de cierre

Registros directos a finanzas como reversiones, ajustes, JE.

Emisión de reportes Procesamiento de cierre y consolidación

Consolidación

Riesgos clave Emisión de reportes

1

Información inválida e incompleta.

2

Personal no autorizado con acceso a actividades en el proceso.

3

Registros duplicados en el sistema.

4

Consideraciones de controles automáticos clave

1

Segregación de funciones y personas autorizadas a cada una de las actividades del proceso

2

Administración de maestro de cuentas contables

3

Configuración de variables para el proceso de consolidación y cierre (secuencia de pasos)

Inadecuada segregación de funciones.

298

Financiero Contable

Pruebas principales Validar los usuarios con acceso a las opciones críticas de contabilidad financiera. Verificación a través de logs de auditoría que sólo los usuarios autorizados lo han realizado en el tiempo. Verificar que no se permitan ingresar asientos de diario en periodos cerrados. Validar las interfaces con el módulo de contabilidad (nómina, gastos, activo fijos, ingresos, inventarios) Validar que no se permita el ingreso de asientos de diario descuadrados. Corroborar los medios de aprobaciones para los asientos de diarios. Validar que no se permita eliminar asientos de diario

299

Contratación de Personal

Empleado

Terminación de Contratos del Personal

Registro de Tiempos

Desembolsos de la Nómina

Mantenimiento Archivo Maestro de la Nómina

Cálculo de la Nómina

Recepción y Almacenamiento de Materias Primas

Proveedor

Gastos

Préstamos, Arrendamientos Financieros Y Compras a Plazos

Requisición de Materiales

Mayor General

Produción del Inventario

Administración del Inventario

Administración Del Efectivo E Inversiones

Mantenimiento Archivo Maestro del Inventarioz Manejo de Productos Terminados

Mantenimiento Archivo Maestro de Proveedores

Administración del Inventario Tesorería

Processing Procesamiento Accounts de Cuentas Payable por Pagar

Compras

Activos Fijos

Cliente

Procesamiento de Gastos

Embarque de Productos Terminados

Proveedor

Ingresos

Derivados

4. METODOLOGÍA PARA AUDITORÍA DE TECNOLOGÍA BASADA EN RIESGOS Metodología Deloitte & Touche

301

Metodología •

La Metodología de Deloitte denominada Information & Technology (IT) Risk Management Framework and Diagnostic – ITRM Framework, está construida usando diferentes disciplinas, las mismas que combinadas proveen las bases de una metodología robusta.

Fuente: Deloitte

Metodología •

La Metodología ITRM se basa en el Método de Auditoría Interna el cual incorpora Normas para la Práctica Profesional que son emitidos por el Instituto de Auditores Internos (el "Estandar IIA").

La metodología ITRM adopta los conceptos de la Administración de Riesgos Empresariales (ERM) con el objetivo de desarrollar un plan de auditoría interna basado en los riesgos de TI. De igual forma, la metodología crea un vínculo de creación de valor, alcanzando los objetivos de consultoría y aseguramiento de la función de Auditoría Interna.

Fuente: Deloitte

Metodología Fase 1 Obtener el conocimiento y realizar entrevistas

Fase 2 Definir Universo de Auditoría

Fase 3 Desarrollar y aplicar el modelo de riesgo

Fase 4 Priorizar el Universo de Auditoría

Fase 5 Desarrollar plan de auditoria con enfoque basado en riesgos

Los beneficios clave del enfoque de Deloitte son: • Asegurar una comprensión clara desde el principio, incluyendo los objetivos del proyecto y los

resultados previstos • Integración con la evaluación de riesgos del negocio • Creación de un cronograma y etapas para facilitar la gestión de proyectos • Flexibilidad para adaptarse a las preocupaciones y requisitos de la compañía

Fuente: Deloitte

Fase 1 – Obtener Entendimiento / Entrevistas Fase 1 Obtener un entendimiento y realizar entrevistas

Fase 2 Definir Universo de Auditoría

Fase 3 Desarrollar y aplicar el modelo de riesgo

Fase 4 Priorizar el Universo de la Auditoría

Fase 5 Desarrollar un plan de auditoria con un enfoque basado en riesgos

Principales actividades y entregables • Requerimientos y entrevistas: - Planes estratégicos y anuales; presupuestos, planes operativos, etc. - Políticas y procedimientos; organigramas - Lista de proyectos - Lista de aplicación y sistemas de documentación, diagramas de redes, etc. - Informes de Auditoría Interna, - Resultados Anteriores de la evaluación de riesgos - Identificar al personal a ser entrevistado • Obtener una comprensión de las actuales estrategias de negocio, los objetivos, retos y preocupaciones • Realizar comunicación del proyecto inicial y ejecutar las entrevistas

Fuente: Deloitte

Fase 2 – Definir Universo de Auditoría Fase 1

Fase 2

Obtener un entendimiento y realizar entrevistas

• • •

Definir Universo de Auditoría

Fase 3 Desarrollar y aplicar el modelo de riesgo

Fase 4 Priorizar el Universo de la Auditoría

Fase 5 Desarrollar un plan de auditoria con un enfoque basado en riesgos

Principales actividades y entregables Desarrollar el universo de auditoría Dividir los procesos de TI en fases. Se podría utilizar los procesos de COBIT ® como su universo de auditoría: - Planificación y Organización - Adquisición e Implementación - Entrega y Soporte - Seguimiento

Fuente: Deloitte

Fase 3 – Desarrollar y aplicar el modelo de riesgo Fase 1

Fase 2

Obtener un entendimiento y realizar entrevistas

Definir Universo de Auditoría

• • • •

Fase 3

Desarrollar y aplicar el modelo de riesgo

Fase 4

Priorizar el Universo de la Auditoría

Fase 5 Desarrollar un plan de auditoria con un enfoque basado en riesgos

Principales actividades y entregables Desarrollar el modelo de riesgo - Determinar los factores de riesgo - Peso de los factores de riesgo Aplicar el modelo de riesgo al universo de auditoría Identificar las áreas de auditoría recomendadas

Fuente: Deloitte

Fase 3 – Desarrollar y aplicar el modelo de riesgo Desarrollar el modelo de riesgo Existen dos dimensiones clave para determinar los riesgos, el impacto potencial y la probabilidad de ocurrencia - deben tenerse en cuenta al desarrollar y clasificar el modelo de riesgo. El modelo de riesgo es una herramienta para ayudarle a evaluar y cuantificar el riesgo y por lo general incluyen los factores de riesgo, el peso de cada factor, la puntuación de riesgo global, y una determinación de la categoría de riesgo (es decir, alta, media, baja).

Alto

Riesgo Alto

Impacto de

Riesgo

Ocurrencia “I”

Medio

Riesgo Bajo

Bajo

Alto Probabilidad de ocurrencia “L”

Fuente: Deloitte

Fase 3 – Desarrollar y aplicar el modelo de riesgo Desarrollar el modelo de riesgo

Evaluaciones de riesgos de TI se llevan a cabo para identificar las áreas de mayor riesgo relativo a TI de una organización. La evaluación del riesgo se realiza basado en factores de riesgo, que pueden incluir: Factores de riesgo organizacionales:

Factores de riesgo COBIT®:

Consideraciones sobre el Ambiente de Control

Eficacia

Importancia estratégica; Materialidad

Eficiencia

Importancias de organización, de procesos de negocio o cambios en los sistemas de información

Confidencialidad

Complejidad y Madurez de Procesos y Sistemas

Disponibilidad

Calidad y Rendimiento del personal, rotación

Complejidad de la tecnología

Contabilidad financiera y presentación de informes

Cumplimiento

Rendimiento histórico

Fiabilidad de la información

Integridad

El uso de las tecnologías emergentes Ambiente regulatorio y legal Ambiente externo del negocio, impacto en el cliente

Fuente: Deloitte

Fase 4 – Priorizar el Universo de la Auditoría Fase 1

Fase 2

Obtener un entendimiento y realizar entrevistas

Definir Universo de Auditoría

• • • • •

Fase 3 Desarrollar y aplicar el modelo de riesgo

Fase 4 Priorizar el Universo de la Auditoría

Fase 5 Desarrollar un plan de auditoria con un enfoque basado en

Principales actividades y entregables Finalizar el universo de auditoría de TI Analizar clasificación y las puntuaciones de los riesgos Identificar las áreas de auditoría recomendadas Proponer el plan de auditoría interna de TI (1 año, 3 años)

Fuente: Deloitte

Fase 4 – Priorizar el Universo de la Auditoría Segmento auditable

Impacto

Probabilidad

Riesgo

100

100

Bajo

170

160

Medio

250

260

Alto

Seguridad de la empresa

250

240

Alto

Recuperación de desastres

130

160

Medio

Infraestructura

70

60

Bajo

Recursos de Información Gobierno TI Estrategia y Planeación TI Programa de Gestión Arquitectura Operaciones Aplicaciones Soporte

Fuente: Deloitte

Fase 4 – Priorizar el Universo de la Auditoría Análisis de riesgos Enterprise Security

300

Applications

Impacto

Program Management

Gobierno TI

Disaster Recovery

Programa de Gestión

150

Aplicaciones

Infrastructure

Seguridad de la empresa Recuperación de desastres 0

Infraestructura 0

150

300

Probabilidad

Fuente: Deloitte

Fase 5 – Desarrollar plan de auditoría Fase 1

Fase 2

Obtener un entendimiento y realizar entrevistas

Definir Universo de Auditoría

• •

• • •

Fase 3 Desarrollar y aplicar el modelo de riesgo

Fase 4 Priorizar el Universo de la Auditoría

Fase 5 Desarrollar un plan de auditoria con un enfoque basado en riesgos

Principales actividades y entregables Creación de un plan de auditoría basado en los resultados: - Dar prioridad a los recursos - Integrar el plan de auditoría con el financiero o en el plan de auditoría operacional - Realizar la determinación del alcance y la planificación a nivel de tarea - Presentar el Plan de Auditoría Interna al comité de Auditoría Ejecutar el plan de auditoría Elaborar un Informe Detallado con las principales hallazgos identificados y sus riesgos asociados Elaborar un Informe Ejecutivo con el resumen de los principales hallazgos

Fuente: Deloitte

MUCHAS GRACIAS

Copyright © 2013 Ing. Raúl González Carrión All rights reserved.

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF