Resultados del primer ciclo de auditoría sobre

la gestión de TICooperativas de Ahorro y Crédito

Agenda

O Objetivo del Acuerdo SUGEF 14-09

O Ciclo de auditoría (Revisión del

cumplimiento)

O Expectativas del regulador

O Resultados de la primera auditoría

O Lecciones aprendidas

O Perspectivas de la normativa

Agenda

O Objetivo del Acuerdo SUGEF 14-09

O Ciclo de auditoría (Revisión del

cumplimiento)

O Expectativas del regulador

O Resultados de la primera auditoría

O Lecciones aprendidas

O Perspectivas de la normativa

Escenario de gestión de TI

O El aumento de la dependencia tecnológica

caracteriza a las actividades financieras

O Los costos de las inversiones en sistemas

de información pueden ser considerables

O La proliferación de amenazas y eventos no

deseados es constatable

O Las tecnologías poseen potencial para

cambiar drásticamente los procesos de

negocio de las organizaciones

Objetivo del Acuerdo SUGEF 14-09

O Definir un marco de gestión del riesgo

tecnológico de acuerdo con las mejores

prácticas en la materia.

O Actualizar el enfoque normativo de la

superintendencia, analizando la normativa

de anterior vigencia (CONASSIF 347-2002) y

considerando los criterios de entes

especializados en materia de auditoría de

gestión de TI y supervisión financiera.

Marco de Referencia : CobiT

Agenda

O Objetivo del Acuerdo SUGEF 14-09

O Ciclo de supervisión (Revisión del

cumplimiento)

O Resultados de la primera auditoría

O Conclusiones

O Perspectivas de la normativa

Remisión a la SUGEF del

Perfil Tecnológico

Comunicación a la entidad del alcance de la

revisión externa

Revisión externa y

remisión a SUGEF del resultado

Comunicado a la entidad –

calificación de la Gestión de TI

Remisión a SUGEF del

plan correctivo - preventivo

Seguimiento y monitoreo SUGEF

Ciclo de Supervisión

Agenda

O Objetivo del Acuerdo SUGEF 14-09

O Ciclo de supervisión (Revisión del

cumplimiento)

O Resultados de la primera auditoría

O Conclusiones

O Perspectivas de la normativa

Porcentaje de cooperativas que se

encuentran en algún grado de

irregularidad

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Adquirir e

Implementar Dar Soporte

Monitorear y Evaluar

Planificar y Organizar

40%

33%

30% 34%

73%

64%72%

68%

Nota

de G

esti

ón

de T

I

Dominio CobiT

Gestión de TI por dominio CobiT - Sector Financiero

Costarricense

Cooperativas Sector Financiero(sin Cooperativas)

Normalidad (X> =85)Irregularidad 1

(70>X<85) Irregularidad 2

(55>X<70) Irregularidad 3 (X<55)

0

5

10

15

20

25

30

0 2

2

27

Coop

era

tiva

s

Normalidad (X> =85) Irregularidad 1 (70>X<85) Irregularidad 2 (55>X<70) Irregularidad 3 (X<55)

Cantidad 0 2 2 27

Cooperativas de ahorro y crédito: Distribución de notas de gestión según escala del Acuerdo 14-09

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

PO 1 Definir un

Plan Estratégicode TI

PO 10 Admin.

Proyectos PO 3 Determinar

DirecciónTecnológica

PO 5 Admin.

Inversión en TI PO 9 Evaluar y

Admin. Riesgosde TI

39%

31%30%

44%

26%

Pro

med

io

Proceso CobiT

Promedio de valoración de procesos CobiT del dominio

Planear y Organizar para cooperativas de ahorro y

crédito

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

DS 10 Admin.

ProblemasDS 11 Admin.

Datos DS 12 Admin.

Ambiente

Físico

DS 2 Admin.

Servicios de

Terceros

DS 3 Admin.

Desem. y

Capacidad

DS 4

Garantizar

Cont. del

Servicio

DS 5

Garantizar

Seguridad de

los Sistemas

DS 9 Admin.

la

Configuración

26%35%

55%

30%

25%

19%

41%

31%

Pro

med

io

Proceso CobiT

Promedio de valoración de procesos CobiT del dominio

Dar Soporte para cooperativas de ahorro y crédito

Brecha de cumplimiento en cooperativas de ahorro y crédito

0%

20%

40%

60%

80%

100%

AI 3 Adquirir y Mantener Infr. Tec.

AI 5 Adquirir Recursos de TI

AI 6 Admin. Cambios

DS 10 Admin. Problemas

DS 11 Admin. Datos

DS 12 Admin. Ambiente Físico

DS 2 Admin. Servicios de Terceros

DS 3 Admin. Desem. y Capacidad

DS 4 Garantizar Cont. del ServicioDS 5 Garantizar Seguridad de los Sistemas

DS 9 Admin. la Configuración

ME 2 Monitorear y Evaluar Control Interno

PO 1 Definir un Plan Estratégico de TI

PO 10 Admin. Proyectos

PO 3 Determinar Dirección Tecnológica

PO 5 Admin. Inversión en TI

PO 9 Evaluar y Admin. Riesgos de TI

0.00 0.50 1.00 1.50 2.00 2.50 3.00

PO 1 Definir un Plan Estratégico de TI

PO 3 Determinar la Dirección Tecnológica

PO 5 Administrar la Inversión en TI

PO 9 Evaluar y Administrar los Riesgos de TI

PO 10 Administrar Proyectos

1.00

0.68

1.32

0.61

0.77

Nivel de Madurez

Pla

nific

ar

y O

rga

niz

ar

Cooperativas de ahorro y crédito: valoración de niveles de madurez para el dominio Planificar y Organizar

0.00 0.50 1.00 1.50 2.00 2.50 3.00

DS 2 Administrar los Servicios de Terceros

DS 3 Administrar el Desempeño y la Capacidad

DS 4 Garantizar la Continuidad del Servicio

DS 5 Garantizar la Seguridad de los Sistemas

DS 9 Administrar la Configuración

DS 10 Administración de Problemas

DS 11 Administración de Datos

DS 12 Administración del Ambiente Físico

0.81

0.87

0.48

0.84

0.81

0.58

0.48

1.10

Nivel de Madurez

Da

r S

op

ort

e

Cooperativas de ahorro y crédito: valoración de niveles de madurez para el dominio Dar Soporte

0.00

1.00

2.00

3.00

4.00

5.00

AI 3 Adquirir y Mantener Infr. Tecnológica

AI 5 Adquirir Recursos de TI

AI 6 Administrar Cambios

DS 2 Administrar los Servicios de

Terceros

DS 3 Administrar el Desempeño y la

Capacidad

DS 4 Garantizar la Continuidad del

Servicio

DS 5 Garantizar la Seguridad de los

Sistemas

DS 9 Administrar la Configuración

DS 10 Administración de ProblemasDS 11 Administración de Datos

DS 12 Administración del Ambiente Físico

ME 2 Monitorear y Evaluar el Control

Interno

PO 1 Definir un Plan Estratégico de TI

PO 3 Determinar la Dirección Tecnológica

PO 5 Administrar la Inversión en TI

PO 9 Evaluar y Administrar los Riesgos de

TI

PO 10 Administrar Proyectos

Cooperativas de ahorro y crédito: Brecha de valoración de

niveles de madurez

Obtenido Requerido Máximo

Aspectos relevantes

O 0% de las entidades cooperativas alcanzanel grado de “Normalidad” dispuesto en lanormativa.

O 1 proceso alcanza el grado de Irregularidad2 (de un total de 17).

O Próximo ciclo de auditoría inicia en agostode 2012.

O Las entidades requieren esfuerzo de granmagnitud para alcanzar un grado deevaluación de “Normal” en el corto plazo.

Agenda

O Objetivo del Acuerdo SUGEF 14-09

O Ciclo de supervisión (Revisión del

cumplimiento)

O Resultados de la primera auditoría

O Conclusiones

O Perspectivas de la normativa

Conclusiones

O Las entidades deben establecer los

mecanismos de gestión necesarios para

que los productos de auditoría, previo a la

entrega a la superintendencia:

O Cumplan en plazo y forma lo establecido en

los lineamientos.

O Reflejen las particularidades de la gestión de

sus procesos de gestión de TI.

0

5

10

15

20

25

30

1

2

3

4

14

12

4

1

Ca

nti

dad

de c

oop

era

tiva

s

Cantidad de envíos

Cooperativas de ahorro y crédito: Reemplazo de

productos de auditoría de TI

Conclusiones

O Se requiere una identificación adecuada del

alcance e impacto de las acciones derivadas

de la implementación del Acuerdo SUGEF

14-09, así como una debida asignación de

responsabilidades.

O El potencial del área de TI de la organización

para ejecutar la totalidad de acciones

requeridas es limitado, por lo que se

requiere un mayor involucramiento de la

administración como facilitador y enlace.

Conclusiones

O Una entidad debe evitar que sus actividades

se desarrollen con un enfoque tradicional de

cumplimiento regulatorio. El enfoque debe

ser sobre el valor que genera cada acción a

sus procesos de gestión.

O La entidad no debe esperar una auditoría

externa requerida por el Acuerdo 14-09

como detonante de sus acciones de

implementación.

Conclusiones

O La entidad debe valorar conforme se

ejecuten las acciones del plan de acción si

las mismas:

O Determinan todas las acciones necesarias

O Se fundamentan únicamente en las observaciones

del informe de auditoría o incluyen también una

evaluación proactiva de la gestión de TI

O Cuenta con el plazo necesario para que las

acciones generen evidencia suficiente en términos

de la próxima auditoría

Agenda

O Objetivo del Acuerdo SUGEF 14-09

O Ciclo de supervisión (Revisión del

cumplimiento)

O Resultados de la primera auditoría

O Conclusiones

O Perspectivas de la normativa

Modificaciones a la normativa

O Homologación de normativa para todas las

superintendencias (Acuerdo Conassif 8-

2012).

O Incluye la experiencia del primer ciclo de

auditoría y permite mejoras en el proceso y

forma de evaluación, que aporten mayor

valor al auditado y al supervisor.

Resultados del primer ciclo de auditoría sobre

la gestión de TICooperativas de Ahorro y Crédito

Carlos Mauricio Gómez Aguilar cgomez@sugef.fi.cr

Osvaldo Sánchez Chaves osanchez@sugef.fi.cr