GESTION DE RIESGOS Y LA AUDITORIA DE SISTEMAS.pdf

Gestión de Riesgos y la Auditoria de Sistemas

Conferencia OLACEFS

Santiago de Chile Junio 2006

Jorge A. Serrano, CISA

• Los procesos de control y auditoria basados en riesgos– cambios en la visión del control– impacto global del modelo COSO2– evolución de tecnologías y modelos de control

• Modelos y enfoques metodológicos en uso para la auditoría enfocada a los riesgos

• Herramientas automatizadas para la sustentación de los procesos de Auditoria. Beneficios

• La auditoria de sistemas gubernamental – Alcances y Objetivos

Anexo1: Cobit y los principales riesgos en TIs

materias

Cambios en la visión del control

Pasado Presente- Inspección y control directo - Potenciamiento del control en las líneas- Orientación policial - Orientación a la mejora continua - Orientación funcional - Orientación a los procesos- Accionistas pasivos (pocos) - Accionistas activos (muchos)- Controles externos - Controles integrados a los sistemas- Acceso limitado a información - Acceso abierto a la información.- Responsabilidad del Auditor - Responsabilidad de la Alta Administración- Orientación de auditorías - Orientación de las auditorias a Riesgos

a los Procedimientos- Independencia de acción - Uso de estándares y metodologías - Control por líneas/temas - Gobierno Corporativo

COSO 2: Una visión Integrada del Control

Componentes del Control Interno:

• El Ambiente de control

• La Evaluación de riesgos

• Las Actividades de control

• La Información y las Comunicaciones

• El Monitoreo ( evaluación - mantención del C.I.)

Estos 5 componentes cruzan a los tres objetivos de control interno que establece COSO: Eficiencia y Eficacia de las Operaciones; Fiabilidad de la Información Financiera y Cumplimiento de Leyes y Normativas

El gran cambio...

OPERA

CIONE

S

REPO

RTES

FIN

ANCI

EROS

CUMPL

IMIE

NTO

MONITOREO

INFORMACION Y COMUNICACION

ACTIVIDADES DE CONTROL

EVALUACION DE RIESGOS

AMBIENTE DE CONTROL

AC

TIV

IDA

D

2

UN

IDA

D

A

COSO: Relaciones de Componentes y Objetivos

ACTIVIDADES DE CONTROL

AC

TIV

IDA

D

1U

NID

AD

B

EFIC

ACIA

&

EFIC

IENCI

A

COFIA

BILID

AD

INFO

RMAC

ION

CUMPL

IMIEN

TO

Objetivos del Control Interno

Elementos del Control

Interno

La Evaluación de Riesgos según COSO

“La evaluación del riesgos consiste en la identificación y análisis de los factores que

podrían afectar la consecución de los objetivos, y, en base a dicho análisis,

determinar la forma en que los riesgos deben ser gestionados”.

Esta simple declaración es la base de la revolución del tratamiento de la gestión de riesgos, las metodologías de auditoria y la gestión del tema gobiernos corporativos...

Hitos en la evolución del Control y Gestión de Riesgos a partir de COSO 2

COSO: 1992

Basilea2: 2001

Turnbull: UK

Tecnologías de Risk Management

Cobit: USA

COCO : Canada

Cadbury: UKModelos de Auditoría basados en riesgos

King: S.Africa

Autoevaluación (CSA)

ISOs

Gobiernos Corporativos

Sarbanes -Oxley

2006Cobit 4

Las evoluciones de los modelos de control y su impacto en la auditoria de sistemas

• Normas y metodologías específicas para la gestión y control de las TIs:

• BS7799• CMM, CMMI• ISOs 9126, 15505, 17999• NIST• ITIL• COBIT 4

¿cuáles de ellas estamos aplicando?

Modelo base para gestinar Riesgos y Controles

Objetivos + Riesgos - Control = Exposición

Poniendo los riesgos y controles en el contexto de objetivos de la organización ...

Impacto

Incertidumbre

Exposicióninaceptable

ExposiciExposicióónnaceptableaceptable

PrecauciPrecaucióónn

Exposición = Riesgo - Control(E = R-C)

Una Metodología de Auditoria basada en el modelamiento y evaluación de riesgos.

. 1

6

5

4

3

2

Comprensión del

Problema-ámbito

Ejecución Planes de Trabajo con TIs de apoyo

Reportes y entrega de Resultados con Software de apoyo

Desarrollo modelos Riesgos - Controles por proceso – unidad – función automatizados c/ SW

Evaluación de riesgos & controles con Tis de apoyo

Diseño Planes de Trabajo Auditoria y CSA.

Auditoria

Necesitamos enlazar la Visión, Estrategia, Riesgos y controles con nuestros procesos de Auditoria

Visión / Misión

Estrategia de la Empresa

Objetivo (s) de negocio

Riesgo (s) Riesgo (s)

Controles Controles

Objetivo (s) de Negocio


Controles Controles

Objetivos (s) de negocio


Controles Controles

Establecidos por la Gerencia y revisados por el Directorio

A ser considerados por la gerencia como parte de su administración de riesgos

A ser detectados y especificados a través de un proceso de administración de riesgos

Función de Auditoria Interna.

GobernabilidadCorporativa

Evaluación deRiesgos

Programa de Auditoria Interna enfocado a los

Riesgos

Funciones de Risk Management

Auditoria deberá asegurar coordinación de actividades con su Plan

Focalización Primaria del Grupo de Auditoria Interna

AuditoriaInterna Operativa y

Financiera

Auditoria de Sistemas y de

Seguridad

Procesos de Auditoria Externa

La auditoria y la gestión basada en riesgos : una parte fundamental de un Gobierno Corporativo

sano.

El enfoque de Auditoria se debe construir considerando las mejores prácticas. Ejemplos de requerimientos.

AREA AREARequerimiento Requerimiento

Gobernabilidad

Corporativa

Modelamientode Riesgos

Evaluación de Riesgos

Auditoria Externa

Auditoria Interna: Operacional Financiera Gestión Sistemas

Seguridad Ambiental

Def. de Responsabilidades

Comité Auditoria

Informes al Directorio

Clara Visión de Estrategias

Poderes Metodología de RiesgosDef . de probabilidad y consecuencias de riesgosAcuerdos de medidas de controlCapacitación

Identif. Riesgos InherentesDet. Perfiles de RiesgosMedidas para el ControlCalculo Riesgos ResidualesPlanes de AcciónSustentación del Modelo

Uso de MetodologíasDeterminación de Controles a evaluarPromoción del CSAMejora ContinuaAsesoría a unidades línea

Uso EspecialistasRevisión de Políticas y ProcedimientosReglas IndustrialesEvaluación Conciencia

Controles Financieros Valuación y existencia de Activos y PasivosCumplimiento de Estándares y políticas contablesNormas de Presentación

Ejemplo de una tarea de auditoria basada en riesgos:

Categoría: Riesgos Financieros.Responsable: Gerente de FinanzasTarea clave a realizar: Revisar separaciones de

FuncionesRanking del Riesgo: Alto (impacto x probabilidad= 20)Factores contributivos: Concentración de funciones(drivers) Fallas de supervisión

Falta de información oportunaControles a evaluar: Control 1

Control 2Fecha de Revisión: Julio 2006Auditor Responsable: xxxx

Ejemplos de herramientas y metodologías para desarrollar una Auditoría Interna basada en Riesgos

• Metodologías: CobiT, ERM, CMMI• Herramientas (SW): Visual Assurance

Risk Ranking AdvisorPro Audit AdvisorAudit BuilderCobit AdvisorBusiness AssesorPAWS: Pentana Software basados en Riesgos de Firmas

de Auditoria Mundiales• Software de apoyo MS Access, ACL, DATAS, Easytrieve,

MS Excel, IDEA, SAS, @Risk, etc.

Beneficios de Modelar y Controlar los Riesgos TIs

• Determinamos rápidamente las politicas, procedimientos y documentos faltantes

• Conocemos si es necesario agregar o eliminar procesos y sistemas de TI

• Determinamos responsabilidades por los procesos de TI• Identificamos el universo de riesgos y cuales no están

siendo bien manejados.• Detectamos rapidamente riesgos de funciones tercerizadas• Determinamos los controles críticos más débiles a evaluar• Conocemos la percepcion de los riesgos de las TI desde el

punto de vista del usuario y de la Administración.• Facilitamos los procesos de autoevaluación• Priorizamos los programas de auditorías a Sistemas y TIs

Las auditorias de sistemas gubernamentales

ALCANCES GENERALES

• Las Entidades Fiscalizadoras Superiores del Estado deben cautelar la debida administración, recepción, custodia y aplicación de los activos de las entidades del Estado.

• Hay activos físicos y lógicos. Entre los activos lógicos están, entre otros, los sistemas de información, las comunicaciones, el know how y el dinero electrónico.

• Las Auditorias de Sistemas Gubernamentales son hoy una componente fundamental de las entidades fiscalizadoras superiores de los estados modernos.

• Las Auditorias de Sistemas Gubernamentales deben velar por la adecuada custodia de los principales activos del estado desde la perspectiva de los riesgos de sus sistemas y tecnologías.

Por ejemplo, en cuanto a la información institucional, éstas auditorias deben asegurar que ella este siempre disponible, sea confiable, integra, auténtica, sea segura y de calidad.

Objetivos de una Auditoria de Sistemas Gubernamental

? Conocer y entender a fondo la misión, de los objetivos y el propósito de cada entidad auditada

? Entender a cabalidad su ambiente, su cultura organizacional, su involucramiento con las TIs, sus políticas, planes, metas estratégicas y operacionales.

? Entender los requerimientos de información? Contar con la capacidad de determinar y evaluar riesgos tecnológicos? Dominar los requerimientos legales y regulatorios? Estar capacitado para evaluar los riesgos, controles, los sistemas y los

procesos del entorno informático.? Prepara equipos multidisciplinarios para cubrir todas las areas de las TIC? Entender y trabajar en conjunto con el resto de las auditorias de sistemas

gubernamentales.? Responder en forma oportuna y con calidad a los requerimientos del

estado y de sano gobierno corporativo? Ser promotores del cambio y modernización de los enfoques y

metodologías de control? Ser partes fundamentales del Gobierno Corporativo del Estado en cuanto

a la gestión de los riesgos derivados del uso de las Tecnologías de información.

¿Cómo estamos preparados para el logros de estos objetivos?

Hitos Gestión Gubernamental de riesgos en Chile

• SBIFCH: CC 3053 Evaluación de Solvencia y Gestión (2001)– Solución: Modelamiento de Riesgos y Autoevaluación

• LEY de OPAS, MK2 • Redefinición de Roles de las Superintendencias y Organismos

Contralores del Estado. • Superbancos apoya modelos y herramientas para abordar este

tema desde hace años, las cuales se canalizaron a través de Proyectos de Risk Management en la Banca.

• Después del 11 de septiembre 2001, la industria de seguros están trabajando más a fondo la gestión su riesgos.

• La superintendencias, en general, están buscando la autoevaluación de la gestión de los entes supervisados

• En general, el medio nacional privado y gubernamental se estáorientando en la misma dirección: Gestión de Riesgos con apoyo de tecnologías de información.

Olacef... Contexto de esta Conferencia

¿Cuales temas estamos hoy hablando en nuestro encuentro?• Estrategias de desarrollo electrónico; Aspectos jurídicos,

reingeniería de procesos de control; Chilecompras; Portal de Pagos del Estado; Documento Tributario Electrónico; Firma electrónica; Interoperabilidad de los documentos electrónicos.

• Ciber seguridad; Investigación criminal informática; Gestión de Riesgos Corporativos; Seguridad de la información; La gestión de riesgos y la auditoría de sistemas.

• Cobit 4.0, Auditoria y Certificaciones profesionales; Protección de la información,

• BSC, ACL , Competencias profesionales de Auditores internos y otros temas.

= tecnologías, metodologías, enfoques de gestión y riesgos

Algunas conclusiones

• El tema de la administración de riesgos está en plena evolución, tanto a nivel de empresas como organismos supervisores de gobierno.

• Tenemos mucho que hacer, adaptar, inventar e invertir...• La gestión de riesgos será parte inseparable de los

próximos procesos de auditoria. Vino para quedarse..• Debemos considerar más a fondo las actuales

metodologías, tecnología y desarrollos del risk management en los currículo de nuestras carreras y funciones

• Una Auditoria basada en riesgos orientaráadecuadamente el uso de los recursos disponibles y nos permitirá agregar valor a las organizaciones

Desde 1995 al 2001 fue Senior Manager de la firma Deloitte - Chile a cargo de las funciones de Auditoria Interna (Cosourcing), Auditoria de Sistemas (CAS), y Administración de Riesgos Empresariales (ERM). De 1982 a 1995 fue Supervisor de funciones de Auditoria de Sistemas del Banco de Chile.Desde el año 1985 es profesor de la Facultad de Ciencias Económicas de la Universidad de Chile en temas de Auditoria de Sistemas, de Administración de Riesgos y expositor en cursos y seminarios nacionales e internacionales. Desde el año 1998 es Profesor de programas de diplomados, postítulos y de magíster en la Facultad de Administración y Economía de la Universidad de Santiago de Chile. Es actual Director y Ex Presidente (94-95-96-2000) de la Asociación de Auditores de Sistemas ISACA Chile AG. Expositor permanente del programa de certificación anual CISA desde el año 1995 y de varias conferencias internacionales de ISACA.

Jorge Serrano Rodríguez, Auditor CISA Internacional, Ingeniero Comercial, Bachiller en Economía, Contador Auditor, Licenciado en Ciencias Económicas, Facultad de Ciencias Económicas de la Universidad de Chile. Analista y Programador ECOM Chile.Desde el año 2002 gerencia las funciones de Informática y Control de Gestión, de la Sociedad Nacional de Oleoductos de Chile, Sonacol S.A.. Cuenta con más de 20 años de experiencia en la industria financiera chilena e internacional. Se ha especializado en los temas de gestión, industria bancaria, administración de riesgos, auditoria y control de TIs.

Anexo 1

COBIT Y y LOS PRINCIPALES RIESGOS DE LAS TIs

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 Procesos

Principales Riesgos relativos al Gestión de las TI.• Desalineación de estrategias de TI v/s las estrategias del

Negocio• Falta de Políticas Informáticas que afecten la gobernabilidad

corporativa• No uso de las TI como herramienta de crecimiento y ventaja

competitiva• Falta de estructura adecuada para manejar la informática• Mal manejo de costos• Mal servicio a usuarios• Fallas en adquisiciones y desarrollos de proyectos

estratégicos• Carencias de destrezas para gestión de las TI y de la

información

Riesgos Tecnologías Internet – Intranet• Accesos no autorizados a la red corporativa• Acceso no autorizados a mensajes confidenciales• Pérdida de integridad de las transacciones oficiales• Filtración de información• Ataques destructivos• Virus• Pérdida de Continuidad Operacional• Pérdida de Competitividad


Riesgos en aplicaciones de paquetes ERP• Fallas en satisfacer los requerimientos del negocio y de los

usuarios• Fallas de Integración de TI y sistemas• Incompatibilidades con estructuras tecnológicas existentes• Fallasen la reingeniería social• Fallas de un adecuado soporte técnico• Problemas de seguridad y auditabilidad• Escalabilidad de costros en implementaciones• Implementaciones fallidas


Riesgos en Ambientes Cliente Servidor• Fallas en coordinar requerimientos de TI• Problemas de control de acceso• Incompatibilidad con infraestructuras tecnológicas• Mal manejo de problemas de usuarios finales• Fallas en el control de versiones• Altos costos de mantención• Fallas en la seguridad de la información• Falta de capacitación del personal de TI y usuarios


Riesgos en la Operación de Redes• Fallas de disponibilidad• Fallas de seguridad• Pérdida de control de configuraciones• Mal manejo de incidentes• Ataques – Virus• Fallas de Soporte y manutención• Obsolescencia• Pérdida de continuidad operacional


Otras TIs en las cuales debemos analizar riesgos:• Sistemas externalizados• e- business• Sistemas Operativos• Bases de Datos• TEF• CMR• Sistemas avanzados telefónicos• Etc.


GESTION DE RIESGOS Y LA AUDITORIA DE SISTEMAS.pdf

Documents

Transcript of GESTION DE RIESGOS Y LA AUDITORIA DE SISTEMAS.pdf