Post on 03-Jul-2015
Gestión de Riesgos y la Auditoria de Sistemas
Conferencia OLACEFS
Santiago de Chile Junio 2006
Jorge A. Serrano, CISA
Gestión de Riesgos y la Auditoria de Sistemas
Conferencia OLACEFS
Santiago de Chile Junio 2006
Jorge A. Serrano, CISA
• Los procesos de control y auditoria basados en riesgos– cambios en la visión del control– impacto global del modelo COSO2– evolución de tecnologías y modelos de control
• Modelos y enfoques metodológicos en uso para la auditoría enfocada a los riesgos
• Herramientas automatizadas para la sustentación de los procesos de Auditoria. Beneficios
• La auditoria de sistemas gubernamental – Alcances y Objetivos
Anexo1: Cobit y los principales riesgos en TIs
materias
Cambios en la visión del control
Pasado Presente- Inspección y control directo - Potenciamiento del control en las líneas- Orientación policial - Orientación a la mejora continua - Orientación funcional - Orientación a los procesos- Accionistas pasivos (pocos) - Accionistas activos (muchos)- Controles externos - Controles integrados a los sistemas- Acceso limitado a información - Acceso abierto a la información.- Responsabilidad del Auditor - Responsabilidad de la Alta Administración- Orientación de auditorías - Orientación de las auditorias a Riesgos
a los Procedimientos- Independencia de acción - Uso de estándares y metodologías - Control por líneas/temas - Gobierno Corporativo
COSO 2: Una visión Integrada del Control
Componentes del Control Interno:
• El Ambiente de control
• La Evaluación de riesgos
• Las Actividades de control
• La Información y las Comunicaciones
• El Monitoreo ( evaluación - mantención del C.I.)
Estos 5 componentes cruzan a los tres objetivos de control interno que establece COSO: Eficiencia y Eficacia de las Operaciones; Fiabilidad de la Información Financiera y Cumplimiento de Leyes y Normativas
El gran cambio...
OPERA
CIONE
S
REPO
RTES
FIN
ANCI
EROS
CUMPL
IMIE
NTO
MONITOREO
INFORMACION Y COMUNICACION
ACTIVIDADES DE CONTROL
EVALUACION DE RIESGOS
AMBIENTE DE CONTROL
AC
TIV
IDA
D
2
UN
IDA
D
A
COSO: Relaciones de Componentes y Objetivos
ACTIVIDADES DE CONTROL
AC
TIV
IDA
D
1U
NID
AD
B
EFIC
ACIA
&
EFIC
IENCI
A
COFIA
BILID
AD
INFO
RMAC
ION
CUMPL
IMIEN
TO
Objetivos del Control Interno
Elementos del Control
Interno
La Evaluación de Riesgos según COSO
“La evaluación del riesgos consiste en la identificación y análisis de los factores que
podrían afectar la consecución de los objetivos, y, en base a dicho análisis,
determinar la forma en que los riesgos deben ser gestionados”.
Esta simple declaración es la base de la revolución del tratamiento de la gestión de riesgos, las metodologías de auditoria y la gestión del tema gobiernos corporativos...
Hitos en la evolución del Control y Gestión de Riesgos a partir de COSO 2
COSO: 1992
Basilea2: 2001
Turnbull: UK
Tecnologías de Risk Management
Cobit: USA
COCO : Canada
Cadbury: UKModelos de Auditoría basados en riesgos
King: S.Africa
Autoevaluación (CSA)
ISOs
Gobiernos Corporativos
Sarbanes -Oxley
2006Cobit 4
Las evoluciones de los modelos de control y su impacto en la auditoria de sistemas
• Normas y metodologías específicas para la gestión y control de las TIs:
• BS7799• CMM, CMMI• ISOs 9126, 15505, 17999• NIST• ITIL• COBIT 4
¿cuáles de ellas estamos aplicando?
Modelo base para gestinar Riesgos y Controles
Objetivos + Riesgos - Control = Exposición
Poniendo los riesgos y controles en el contexto de objetivos de la organización ...
Impacto
Incertidumbre
Exposicióninaceptable
ExposiciExposicióónnaceptableaceptable
PrecauciPrecaucióónn
Exposición = Riesgo - Control(E = R-C)
Una Metodología de Auditoria basada en el modelamiento y evaluación de riesgos.
. 1
6
5
4
3
2
Comprensión del
Problema-ámbito
Ejecución Planes de Trabajo con TIs de apoyo
Reportes y entrega de Resultados con Software de apoyo
Desarrollo modelos Riesgos - Controles por proceso – unidad – función automatizados c/ SW
Evaluación de riesgos & controles con Tis de apoyo
Diseño Planes de Trabajo Auditoria y CSA.
Auditoria
Necesitamos enlazar la Visión, Estrategia, Riesgos y controles con nuestros procesos de Auditoria
Visión / Misión
Estrategia de la Empresa
Objetivo (s) de negocio
Riesgo (s) Riesgo (s)
Controles Controles
Objetivo (s) de Negocio
Riesgo (s) Riesgo (s)
Controles Controles
Objetivos (s) de negocio
Riesgo (s) Riesgo (s)
Controles Controles
Establecidos por la Gerencia y revisados por el Directorio
A ser considerados por la gerencia como parte de su administración de riesgos
A ser detectados y especificados a través de un proceso de administración de riesgos
Función de Auditoria Interna.
GobernabilidadCorporativa
Evaluación deRiesgos
Programa de Auditoria Interna enfocado a los
Riesgos
Funciones de Risk Management
Auditoria deberá asegurar coordinación de actividades con su Plan
Focalización Primaria del Grupo de Auditoria Interna
AuditoriaInterna Operativa y
Financiera
Auditoria de Sistemas y de
Seguridad
Procesos de Auditoria Externa
La auditoria y la gestión basada en riesgos : una parte fundamental de un Gobierno Corporativo
sano.
El enfoque de Auditoria se debe construir considerando las mejores prácticas. Ejemplos de requerimientos.
AREA AREARequerimiento Requerimiento
Gobernabilidad
Corporativa
Modelamientode Riesgos
Evaluación de Riesgos
Auditoria Externa
Auditoria Interna: Operacional Financiera Gestión Sistemas
Seguridad Ambiental
Def. de Responsabilidades
Comité Auditoria
Informes al Directorio
Clara Visión de Estrategias
Poderes Metodología de RiesgosDef . de probabilidad y consecuencias de riesgosAcuerdos de medidas de controlCapacitación
Identif. Riesgos InherentesDet. Perfiles de RiesgosMedidas para el ControlCalculo Riesgos ResidualesPlanes de AcciónSustentación del Modelo
Uso de MetodologíasDeterminación de Controles a evaluarPromoción del CSAMejora ContinuaAsesoría a unidades línea
Uso EspecialistasRevisión de Políticas y ProcedimientosReglas IndustrialesEvaluación Conciencia
Controles Financieros Valuación y existencia de Activos y PasivosCumplimiento de Estándares y políticas contablesNormas de Presentación
Ejemplo de una tarea de auditoria basada en riesgos:
Categoría: Riesgos Financieros.Responsable: Gerente de FinanzasTarea clave a realizar: Revisar separaciones de
FuncionesRanking del Riesgo: Alto (impacto x probabilidad= 20)Factores contributivos: Concentración de funciones(drivers) Fallas de supervisión
Falta de información oportunaControles a evaluar: Control 1
Control 2Fecha de Revisión: Julio 2006Auditor Responsable: xxxx
Ejemplos de herramientas y metodologías para desarrollar una Auditoría Interna basada en Riesgos
• Metodologías: CobiT, ERM, CMMI• Herramientas (SW): Visual Assurance
Risk Ranking AdvisorPro Audit AdvisorAudit BuilderCobit AdvisorBusiness AssesorPAWS: Pentana Software basados en Riesgos de Firmas
de Auditoria Mundiales• Software de apoyo MS Access, ACL, DATAS, Easytrieve,
MS Excel, IDEA, SAS, @Risk, etc.
Beneficios de Modelar y Controlar los Riesgos TIs
• Determinamos rápidamente las politicas, procedimientos y documentos faltantes
• Conocemos si es necesario agregar o eliminar procesos y sistemas de TI
• Determinamos responsabilidades por los procesos de TI• Identificamos el universo de riesgos y cuales no están
siendo bien manejados.• Detectamos rapidamente riesgos de funciones tercerizadas• Determinamos los controles críticos más débiles a evaluar• Conocemos la percepcion de los riesgos de las TI desde el
punto de vista del usuario y de la Administración.• Facilitamos los procesos de autoevaluación• Priorizamos los programas de auditorías a Sistemas y TIs
Las auditorias de sistemas gubernamentales
ALCANCES GENERALES
• Las Entidades Fiscalizadoras Superiores del Estado deben cautelar la debida administración, recepción, custodia y aplicación de los activos de las entidades del Estado.
• Hay activos físicos y lógicos. Entre los activos lógicos están, entre otros, los sistemas de información, las comunicaciones, el know how y el dinero electrónico.
• Las Auditorias de Sistemas Gubernamentales son hoy una componente fundamental de las entidades fiscalizadoras superiores de los estados modernos.
• Las Auditorias de Sistemas Gubernamentales deben velar por la adecuada custodia de los principales activos del estado desde la perspectiva de los riesgos de sus sistemas y tecnologías.
Por ejemplo, en cuanto a la información institucional, éstas auditorias deben asegurar que ella este siempre disponible, sea confiable, integra, auténtica, sea segura y de calidad.
Objetivos de una Auditoria de Sistemas Gubernamental
? Conocer y entender a fondo la misión, de los objetivos y el propósito de cada entidad auditada
? Entender a cabalidad su ambiente, su cultura organizacional, su involucramiento con las TIs, sus políticas, planes, metas estratégicas y operacionales.
? Entender los requerimientos de información? Contar con la capacidad de determinar y evaluar riesgos tecnológicos? Dominar los requerimientos legales y regulatorios? Estar capacitado para evaluar los riesgos, controles, los sistemas y los
procesos del entorno informático.? Prepara equipos multidisciplinarios para cubrir todas las areas de las TIC? Entender y trabajar en conjunto con el resto de las auditorias de sistemas
gubernamentales.? Responder en forma oportuna y con calidad a los requerimientos del
estado y de sano gobierno corporativo? Ser promotores del cambio y modernización de los enfoques y
metodologías de control? Ser partes fundamentales del Gobierno Corporativo del Estado en cuanto
a la gestión de los riesgos derivados del uso de las Tecnologías de información.
¿Cómo estamos preparados para el logros de estos objetivos?
Hitos Gestión Gubernamental de riesgos en Chile
• SBIFCH: CC 3053 Evaluación de Solvencia y Gestión (2001)– Solución: Modelamiento de Riesgos y Autoevaluación
• LEY de OPAS, MK2 • Redefinición de Roles de las Superintendencias y Organismos
Contralores del Estado. • Superbancos apoya modelos y herramientas para abordar este
tema desde hace años, las cuales se canalizaron a través de Proyectos de Risk Management en la Banca.
• Después del 11 de septiembre 2001, la industria de seguros están trabajando más a fondo la gestión su riesgos.
• La superintendencias, en general, están buscando la autoevaluación de la gestión de los entes supervisados
• En general, el medio nacional privado y gubernamental se estáorientando en la misma dirección: Gestión de Riesgos con apoyo de tecnologías de información.
Olacef... Contexto de esta Conferencia
¿Cuales temas estamos hoy hablando en nuestro encuentro?• Estrategias de desarrollo electrónico; Aspectos jurídicos,
reingeniería de procesos de control; Chilecompras; Portal de Pagos del Estado; Documento Tributario Electrónico; Firma electrónica; Interoperabilidad de los documentos electrónicos.
• Ciber seguridad; Investigación criminal informática; Gestión de Riesgos Corporativos; Seguridad de la información; La gestión de riesgos y la auditoría de sistemas.
• Cobit 4.0, Auditoria y Certificaciones profesionales; Protección de la información,
• BSC, ACL , Competencias profesionales de Auditores internos y otros temas.
= tecnologías, metodologías, enfoques de gestión y riesgos
Algunas conclusiones
• El tema de la administración de riesgos está en plena evolución, tanto a nivel de empresas como organismos supervisores de gobierno.
• Tenemos mucho que hacer, adaptar, inventar e invertir...• La gestión de riesgos será parte inseparable de los
próximos procesos de auditoria. Vino para quedarse..• Debemos considerar más a fondo las actuales
metodologías, tecnología y desarrollos del risk management en los currículo de nuestras carreras y funciones
• Una Auditoria basada en riesgos orientaráadecuadamente el uso de los recursos disponibles y nos permitirá agregar valor a las organizaciones
Desde 1995 al 2001 fue Senior Manager de la firma Deloitte - Chile a cargo de las funciones de Auditoria Interna (Cosourcing), Auditoria de Sistemas (CAS), y Administración de Riesgos Empresariales (ERM). De 1982 a 1995 fue Supervisor de funciones de Auditoria de Sistemas del Banco de Chile.Desde el año 1985 es profesor de la Facultad de Ciencias Económicas de la Universidad de Chile en temas de Auditoria de Sistemas, de Administración de Riesgos y expositor en cursos y seminarios nacionales e internacionales. Desde el año 1998 es Profesor de programas de diplomados, postítulos y de magíster en la Facultad de Administración y Economía de la Universidad de Santiago de Chile. Es actual Director y Ex Presidente (94-95-96-2000) de la Asociación de Auditores de Sistemas ISACA Chile AG. Expositor permanente del programa de certificación anual CISA desde el año 1995 y de varias conferencias internacionales de ISACA.
Jorge Serrano Rodríguez, Auditor CISA Internacional, Ingeniero Comercial, Bachiller en Economía, Contador Auditor, Licenciado en Ciencias Económicas, Facultad de Ciencias Económicas de la Universidad de Chile. Analista y Programador ECOM Chile.Desde el año 2002 gerencia las funciones de Informática y Control de Gestión, de la Sociedad Nacional de Oleoductos de Chile, Sonacol S.A.. Cuenta con más de 20 años de experiencia en la industria financiera chilena e internacional. Se ha especializado en los temas de gestión, industria bancaria, administración de riesgos, auditoria y control de TIs.
Anexo 1
COBIT Y y LOS PRINCIPALES RIESGOS DE LAS TIs
COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos
Principales Riesgos relativos al Gestión de las TI.• Desalineación de estrategias de TI v/s las estrategias del
Negocio• Falta de Políticas Informáticas que afecten la gobernabilidad
corporativa• No uso de las TI como herramienta de crecimiento y ventaja
competitiva• Falta de estructura adecuada para manejar la informática• Mal manejo de costos• Mal servicio a usuarios• Fallas en adquisiciones y desarrollos de proyectos
estratégicos• Carencias de destrezas para gestión de las TI y de la
información
Riesgos Tecnologías Internet – Intranet• Accesos no autorizados a la red corporativa• Acceso no autorizados a mensajes confidenciales• Pérdida de integridad de las transacciones oficiales• Filtración de información• Ataques destructivos• Virus• Pérdida de Continuidad Operacional• Pérdida de Competitividad
COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos
Riesgos en aplicaciones de paquetes ERP• Fallas en satisfacer los requerimientos del negocio y de los
usuarios• Fallas de Integración de TI y sistemas• Incompatibilidades con estructuras tecnológicas existentes• Fallasen la reingeniería social• Fallas de un adecuado soporte técnico• Problemas de seguridad y auditabilidad• Escalabilidad de costros en implementaciones• Implementaciones fallidas
COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos
Riesgos en Ambientes Cliente Servidor• Fallas en coordinar requerimientos de TI• Problemas de control de acceso• Incompatibilidad con infraestructuras tecnológicas• Mal manejo de problemas de usuarios finales• Fallas en el control de versiones• Altos costos de mantención• Fallas en la seguridad de la información• Falta de capacitación del personal de TI y usuarios
COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos
Riesgos en la Operación de Redes• Fallas de disponibilidad• Fallas de seguridad• Pérdida de control de configuraciones• Mal manejo de incidentes• Ataques – Virus• Fallas de Soporte y manutención• Obsolescencia• Pérdida de continuidad operacional
COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos
Otras TIs en las cuales debemos analizar riesgos:• Sistemas externalizados• e- business• Sistemas Operativos• Bases de Datos• TEF• CMR• Sistemas avanzados telefónicos• Etc.
COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos