Maestría en Dirección de Tecnología de la Información - ESAN Auditoría Informática Jornada 3
José A. López
[email protected]
Aspectos organizativos en la innovación
Sesión 4/5
Pág.
1
Agenda
1. Cómo actuar frente a una auditoría iterna 2. COBIT 3. ITG
Auditoría Informática – Prof. José A. López
Pág.
2
Cómo puede actuar un CIO frente a Auditoría Interna? Identificar, Identificar, decidir y adoptar el conjunto de mejores prácticas/estándares que le permitan garantizar la alineación de la Estrategia del Negocio con la Tecnología Tecnología necesaria para su consecución. Algunos Algunos ejemplos: ITIL, estándar en la Operación y Mantenimiento de Sistemas y
•
ISO/IEC 20000
CMMI, Integración de modelos de madurez de capacidades o Capability Maturity Model Integration • PMI, Project Management Institute, para el desarrollo de proyectos (software) • ISO/IEC·27000, Sistema de Gestión de Seguridad de la Información. • BS·25999:2008: Sistema de Gestión del Plan de Continuidad del Negocio • COBIT (ISACA) • GTAG (IIA) •
Auditoría Informática – Prof. José A. López
Pág.
3
Cómo puede actuar un CIO frente a Auditoría Interna? PMI Program Management Institute Sede: USA Miembros: 500.000 en 100 países WEB: www.pmi.org PMBOK (Project Management Body Body of Knwoledge) Knwoledge) contiene una descripción general de los fundamentos de la Gestión de Proyectos reconocidos como buenas prácticas para lograr un gerenciamiento eficaz y eficiente del proyecto. Único estándar est ándar ANSI para la gestión de proyectos Existen 6 tipos diferentes de certificaciones: (CAPM) Asociado en Gestión de Proyectos Certificado, (PMP) Profesional el gestión de Proyectos, (PgMP), PMI Profesional en Programación (PMI-SP)SM, PMI Profesional en Gestión de Riesgos (PMI-RMP)SM, PMI Practicante certificado de Agile (PMI-ACP) Auditoría Informática – Prof. José A. López
Pág.
4
Cómo puede actuar un CIO frente a Auditoría Interna? CMMI Capability Maturity Model Integration Sede: USA Miembros: 101 países Web: http://cmmiinstitute.com/ Modelo para la mejora y evaluación de procesos para el desarrollo, mantenimiento y operación de sistemas de software El Standard CMMI Appraisal Method for Process Improvement (SCAMPI) es el método oficial SEI para proveer puntos de referencia de sistemas de calificación en relación con los modelos CMMI
Auditoría Informática – Prof. José A. López
Pág.
5
Organizaciones y estándares ISACA Certified Information systems Auditor (CISA) Cetified in Risk and Information Systems Control (CRISC) Certified Information Security Manager (CSIM) Certified in the Governance of Enterprise IT (CGEIT) Cybersecurity Nexus (CSX) IT Governance Institute (ITGI) Mantiene el estándar COBIT, Val IT y Risk IT Frameworks Aquiere CMMI Institute https://www.isaca.org/pages/default.aspx
Auditoría Informática – Prof. José A. López
Pág.
6
Organizaciones y estándares IIA – Institute of Internal Auditors Cerified internal Auditor (CIA) Certification in Control Self Assessment (CCSA) Certified Government Auditing Professional (CGAP) Certified Financial Services Auditor CFSA) Certification in Risk Management Assurance (CRMA) Qualification in Internal Audit Leadership (QIAL) 2 guias para los profesionales: Obligatorias (Altamente recomendables. 8 PG, 15 GTAG (Global Technology Guide) y 3 GAIT (Guide to the Assessment of IT Risks) Publica revista especializada https://na.theiia.org/Pages/IIAHome.aspx Auditoría Informática – Prof. José A. López
Pág.
7
Cómo puede actuar un CIO frente a Auditoría Interna? COBIT (Control Objectives for Information and Related Technologies)
Publicado por ISACA en 1996 en respuesta a las dificultades de los auditores frente a IT En 2005 se publica la versión más conocida, COBIT 4.1: o o
34 procesos 210 objetivos orientados orientados a 4 dominios: Planificación y Organización (Plan and Organize) Adquisición e Implantación ( Acquire and Implement ) Entrega y Soporte (Deliver and Support ) Supervisión y Evaluación (Monitor and Evaluate)
En 2012 se publica la última release proporcionando una visión end to end de la actividad de TI. Agrupa las mejores prácticas del mercado: COBIT 5 = COBIT 4.1 + Normas Val IT/Risk IT,+ ITIL + ISO/IEC 27000 + ISO/IEC 31000 Auditoría Informática – Prof. José A. López
Pág.
8
Cómo puede actuar un CIO frente a Auditoría Interna? VAL IT Origen: UK Administrador: IT GI (IT Governance Governance Institute) Framework dirigido a la gobernabilidad de las inversiones de IT. Proporciona: o Conjunto de principios rectores o una serie de procesos y mejores prácticas:
Value Governance (VG prefix) Portfolio Management (PM prefix) Investment Management (IM prefix)
centra en la decisión de invertir ¿ (¿ es ta tamos mos haci haciendo endo lo correcto? ) y la realización de beneficios ¿ (¿ es ta tamos mos obteni obteniendo endo beneficios? ), mientras que COBIT está enfocado en la ejecución ( ¿ ¿ lo es ta tamos mos ha haci ciendo endo corr ecta ectame mente nte,, y lo es ta tamo moss log logrando rando bien? ).” ”Val IT se
Auditoría Informática – Prof. José A. López
Pág.
9
Cómo puede actuar un CIO frente a Auditoría Interna? ITIL Information Technology Infrastructure Library Sede: UK Miembros: 6.000 miembros, 4.000 individuales, +50 países Web: https://www.axelos.com/ https://www.axelos.com/ http://www.itsmfi.org/ conceptos y buenas prácticas usadas para la gestión de servicios de tecnologías de la información, información, el desarrollo de tecnologías de la información y información y las operaciones relacionadas con la misma en general 3 certificados: Foundation Certificate (Certificado Básico, Practitioner's Certificate (Certificado de Responsable), Manager's Certificate (Certificado de
Director)
Auditoría Informática – Prof. José A. López
Pág.
10
Cómo puede actuar un CIO frente a Auditoría Interna? COBIT 5
*
*
*
*
* En desarrollo
Auditoría Informática – Prof. José A. López
Pág.
11
COBIT 5
Auditoría Informática – Prof. José A. López
Pág.
12
COBIT 5 PRINCIPIO 1 – Satisfacer Satisfacer las necesidades de los stakeholders stakeholders “Enterprises exist to create value for their stakeholders by maintaining a balance
between the realisation of benefits and the optimisation of risk and use of resources.
COBIT 5 provides all of the required processes and other enablers to support business value creation through the use of IT. Because every enterprise has different objectives, an enterprise can customise COBIT 5 to suit its own context through the goals cascade, translating high-level enterprise goals into manageable, specific, IT-related IT-related goals and mapping these to specific processes and practices.”
Auditoría Informática – Prof. José A. López
Pág.
13
COBIT 5 PRINCIPIO 2 – Cubrir Cubrir todos los procesos de la compañía (end to end)
COBIT 5 integrates governance of enterprise IT into enterprise governance:
“
It covers all functions and processes within the enterprise; COBIT 5 does not focus only on the ‘IT function’, but treats information and related technologies as assets that need to be dealt with just like any other asset by everyone in the enterprise. It considers all IT-related governance and management enablers to be enterprisewide and end-to-end, i.e., inclusive of everything and everyone — internal and external —that is relevant to governance and management of enterprise information and related IT. IT.”
Auditoría Informática – Prof. José A. López
Pág.
14
COBIT 5 PRINCIPIO 3 – Aplicar Aplicar un framework simple y único
There are many IT-related standards and good practices, each providing
“
guidance on a subset of IT activities. COBIT 5 aligns with other relevant standards and frameworks at a high level, and thus can serve as the overarching framework for governance and management of enterprise IT.
Auditoría Informática – Prof. José A. López
Pág.
15
COBIT 5 PRINCIPIO 4 – Facilitar una aproximación holística
Efficient and effective governance and management of enterprise IT require a
“
holistic approach, taking into account several interacting components. COBIT 5 defines a set of enablers to support the implementation of a comprehensive governance and management system for enterprise IT. Enablers are broadly defined as anything that can help to achieve the objectives of the enterprise. The COBIT 5 framework defines seven categories of enablers: Principles, Policies and Frameworks •Processes •Organisational Structures •Culture, Ethics and Behaviour •Information •Services, Infrastructure and Applications •People, Skills and Competencies •
Auditoría Informática – Prof. José A. López
Pág.
16
COBIT 5 PRINCIPIO 5 – Separar Separar la Governanza de la Gestión Governance ensures that stakeholder needs, conditions and options are evaluated to determine balanced, agreed-on enterprise objectives to be achieved; setting direction through prioritisation and decision making; and monitoring performance and compliance against agreed-on direction and objectives. In most enterprises, overall governance is the responsibility of the board of directors under the leadership of the chairperson. Specific governance responsibilities may be delegated to special organisational structures at an appropriate level, particularly in larger, complex enterprises. Management plans, builds, runs and monitors activities in alignment with the direction set by the governance body to achieve the enterprise objectives. In most enterprises, management is the responsibility of the executive management under the leadership of the chief executive officer (CEO).
Auditoría Informática – Prof. José A. López
Pág.
17
COBIT 5
Auditoría Informática – Prof. José A. López
Pág.
18
COBIT 5
Auditoría Informática – Prof. José A. López
Pág.
19
COBIT 5
Fuente: Pag. 33 documento COBIT-5-ESP Jose Lopez.pdf
Auditoría Informática – Prof. José A. López
Pág.
20
COBIT 5 CASO DE NEGOCIO 1. Objeti Objetivos vos de benefi beneficio cio de negoci negocio o 2. Propie Propietar tarios ios asoci asociad ados os del del benef benefici icio o 3. Cambios Cambios de de negocio negocio requer requeridos idos para para crear crear el el valor previsto previsto 4. CAPEX-Inver CAPEX-Inversione sioness precisas precisas para para realizar realizar los los cambios cambios de gobie gobierno rno y gestión de TI corporativa 5. OPEX-C OPEX-Cost ostes es ordin ordinari arios os de TI y de de negoci negocio o 6. Beneficios Beneficios esperados esperados de operar operar en en el nuevo modo 7. Riesgo Riesgo inheren inherente te en los los puntos puntos anterio anteriores, res, incluy incluyendo endo cualquie cualquierr restricción o dependencia 8. Roles, Roles, responsab responsabilida ilidades des y obliga obligacione cioness relativas relativas a la la iniciativa iniciativa
Auditoría Informática – Prof. José A. López
Pág.
21
GTAIT GTAG 1: Information Technology Controls GTAG 2: Change and Patch Management Controls: Critical for Organizational Success GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment Auditing GTAG 4: Management of IT Auditing GTAG 5: Managing and Auditing Privacy Risks GTAG 6: Managing and Auditing IT Vulnerabilities Technology Outsourcing GTAG 7: Information Technology GTAG 8: Auditing Application Controls GTAG 9: Identity and Access Management GTAG 10: Business Continuity Management Audit Plan GTAG 11: Developing the IT Audit GTAG 12: Auditing IT Projects GTAG 13: Fraud Prevention and Detection in the Automated World GTAG 14: Auditing User-developed Applications GTAG 15: Information Security Governance GTAG 16: Data Analysis Technologies GTAG 17: Auditing IT Governance
Auditoría Informática – Prof. José A. López
Pág.
22
TOP 10 FIRMAS AUDITORÍA USA
Fuente: www.statista.com
Auditoría Informática – Prof. José A. López
Pág.
23
TOP 10 FIRMAS AUDITORÍA UK
Fuente: www.statista.com
Auditoría Informática – Prof. José A. López
Pág.
24
TOP 10 FIRMAS AUDITORÍA Resto mundo
Fuente: www.statista.com
Auditoría Informática – Prof. José A. López
Pág.
25