• No se han encontrado resultados

Auditoría: Requisito o Necesidad?

N/A
N/A
Protected

Academic year: 2021

Share "Auditoría: Requisito o Necesidad?"

Copied!
42
0
0

Texto completo

(1)

Auditoría: ¿Requisito

o Necesidad?

Ing. José Luis Mauro Vera,

CISA

jose-luis.vera@uy.ey.com

/jlmvera

(2)

www.isaca.org.uy

• Introducción

• Auditoría de TI/SI

• Tipos de Auditoría de TI/SI

• Principales roles relacionados con TI en las

organizaciones

• Principales actividades de una auditoría de TI

• ¿Por qué deben realizarse auditorías?

• Marcos de Referencia y Estándares

• Marco legal y regulatorio

• Conclusiones

Agenda

(3)
(4)

www.isaca.org.uy

• Conocimientos sobre TICs…

…una parte del libreto

Introducción

(5)

• La otra parte del libreto…

… los usuarios

Introducción

(6)

www.isaca.org.uy

• ¿Qué tienen en común?

– Empresas de telecomunicaciones – Empresas de transporte

– Comercios de grandes superficies – Textiles

– Frigoríficos

– Entes públicos (ej: ANTEL, UTE, OSE, etc) – Ministerios

– Justicia – Etc….

Introducción

(7)

• Cualquier organización tiene:

– Misión – Visión

– Objetivos:

• Para cumplir “objetivos del negocio”, las organizaciones acuden a llevar a cabo diversas actividades: Procesos de negocio (tareas recurrentes) y Proyectos (tareas con inicio y fin)

• Cumplir con los objetivos es un requerimiento del negocio

– Hay partes interesadas para que los objetivos se cumplan… – ¿Estamos cumpliendo con los objetivos?

(8)

www.isaca.org.uy

• Las TI / SI ayudan a la ejecución de tareas, procesos,

proyectos

• ¿Cómo inciden las TI/SI en los objetivos de la

organización?

• ¿Las TI/SI están orientadas a cumplir con los objetivos

de la organización?

• ¿Las TI/SI aportan valor a la organización?

Introducción

(9)
(10)

www.isaca.org.uy

• Auditoría en general:

– Proceso sistemático ejecutado por un equipo/individuo: Conjunto de etapas

– Evalúa objetivamente la evidencia respecto a afirmaciones acerca de un proceso

– Produce un informe con el grado de cumplimiento respecto a las afirmaciones

– Características del equipo/individuo:

• Independencia • Competencia

• Auditoría de TI/SI: Procesos relacionados con TI/SI

Auditoría de TI / SI

(11)

¿Auditoría = Consultoría?

(12)

www.isaca.org.uy

TIPOS DE AUDITORÍA DE TI/SI

(13)

• Tipos de auditoría relacionados con TI/SI (según el alcance/objeto): – Auditorías Financieras

• Confiabilidad de la información

– Auditorías Operativas

• Controles de Aplicación en procesos • Seguridad de la Información

– Auditorías de Sistemas de Información (SI)

• Alineamiento estratégico entre las TI/SI y los objetivos de negocio

– Auditorías Integradas

• Combinación de Auditorías Financieras, Operativas y de SI.

– Auditorías Forenses

– Auditorías de Cumplimiento:

• Ej: Certificaciones de normas técnicas

– Auditorías especializadas:

• Entrega de servicios por parte de proveedores (ISAE3402 / SSAE16)

(14)

www.isaca.org.uy

• Tipos de auditoría relacionados con TI/SI (según quién

la realice):

– Auditoría Interna:

• Proceso interno de la organización

• Podría subcontratarse a una firma de servicios, aunque siempre dependerá de la cabeza de la organización

• Las conclusiones son válidas exclusivamente a nivel interno.

– Auditoría Externa:

• Llevado a cabo por una parte independiente

• Las conclusiones son valederas a nivel interno y para terceras partes

Tipos de Auditoría de TI/SI

(15)

• Tipos de auditoría relacionados con TI/SI (Según los

procedimientos llevados a cabo)

– “Tradicional”

• Cubre un período específico ya culminado

• Se analiza la evidencia generada durante ese período

– Auditoría Continua:

• Técnicas de Auditoría Asistidas por Computadora (CAATs)

– Autoevaluaciones de riesgo

• Participación activa de las distintas áreas de la organización • Las áreas se auditan en forma “cruzada”

• No sustituye a la tradicional

(16)

www.isaca.org.uy

PRINCIPALES ROLES

RELACIONADOS CON TI EN LAS

ORGANIZACIONES

(17)

• Dentro de la organización

Principales roles relacionados con TI en las organizaciones

Gerente de TI (CIO) Gerente de Riesgos y Cumplimiento Junta Directiva / Alta Gerencia (“The Board”) Auditor interno de TI

(18)

www.isaca.org.uy

• Fuera de la organización

Principales roles relacionados con TI en las organizaciones

Organismos Regulatorios

Auditor Externo Clientes

Competencia, Ex-empleados

(19)

PRINCIPALES ACTIVIDADES DE

UN PROCESO DE AUDITORÍA DE

TI/SI

(20)

www.isaca.org.uy

• Entender el negocio.

• Determinar el objetivo, alcance y equipo necesario.

• Planificación: Determinar la estrategia para llevar a cabo

la auditoría (ej: Auditoría basada en Riesgos)

• Definir la Materialidad

• Diseñar los procedimientos de auditoría.

• Ejecución de procedimientos de auditoría: Hallazgos,

Excepciones, etc.

• Emisión de informe.

Principales actividades de un proceso de auditoría de TI/SI

(21)

• Materialidad:

– Las excepciones “materiales” son aquellas que son significativas y que ameritan ser reportadas a la Alta Gerencia.

– Define un “margen de error” tolerable para los auditores – ¿El auditado debería saberlo?

• Auditoría basada en Riesgos:

– Se realiza un análisis de riesgos, a efectos de determinar dónde y qué procedimientos realizar (dónde hacer foco)

– Riesgo de Auditoría: Riesgo que existan errores “materiales” que pasen desapercibidos durante la auditoría.

(22)

www.isaca.org.uy

• Riesgo de Auditoría = R.I. + R.C. + R.D.

• Riesgo Inherente: (RI) Riesgo inherente al proceso de negocio

• Riesgo de Control: Riesgo de que ocurra un error y que no haya sido prevenido o detectado.

• Riesgo de Detección: Riesgo de que los procedimientos de auditoría no detecten excepciones materiales (inadecuados). • Para reducir el R.C., hay que confiar en el Control Interno de la

Organización

• Para reducir el R.D., hay que diseñar los procedimientos adecuados para mitigar la posibilidad de encontrar diferencias materiales.

Principales actividades de un proceso de auditoría de TI/SI

(23)

• Una auditoría basada en riesgos se centra en probar

aquellos controles llevados a cabo por la organización,

que mitigan los riesgos principales del negocio.

• “Sistema de Control Interno” de una organización

• El objetivo es confiar en las actividades de Control

Interno de la organización, procurando reducir el alcance

y hacer foco en asuntos significativos.

• Tipos de Controles:

– Controles Generales de TI – Controles de Aplicación

(24)

www.isaca.org.uy

• Controles Generales de TI

– Políticas, procedimientos y prácticas

– “Generales”: No están asociados a un proceso de negocio en particular, ya que afectan a todos, o más de uno.

– Ejemplos:

• Autorizaciones / Aprobaciones de accesos y cambios • Separación de ambientes de producción / desarrollo • Validaciones de usuario y testing

• Uso / Asignación de cuentas de usuario privilegiadas • Autentificación de usuarios: políticas de contraseñas

• Cifrado de datos en comunicaciones y medios de almacenaminto • Procedimientos de respaldos y recuperación

• Planes de Continuidad del Negocio

Principales actividades de un proceso de auditoría de TI/SI

(25)

• Controles de Aplicación:

– Controles embebidos o configurables en los SI, que operan sobre procesos de negocio

– Los Controles Generales de TI efectivos, reducen el Riesgo de Control de los Controles de Aplicación.

– Ejemplos:

• Una OC por encima de USD 10.000 requiere de una aprobación en el sistema por parte del Gte. Financiero.

• Los totales calculados por el proceso de facturación se vuelcan automáticamente en la base de datos contable, registrándose la fecha, hora y usuario correspondientes.

(26)

www.isaca.org.uy

• Procedimientos para probar controles:

– Relevar los procesos relacionados e identificar los riesgos inherentes

– Identificar los Controles que realiza la organización para mitigar dichos riesgos

– Seleccionar los controles clave: aquellos que mitigan riesgos importantes o un conjunto de éstos.

– Identificar la información requerida para probar el control – Efectuar un recorrido del control (analizar un caso)

– Evaluar el Diseño del control

– Seleccionar una muestra apropiada, considerando solicitar la misma evidencia

– Evaluar la Operativa del control

– Identificación de Hallazgos / Excepciones

Principales actividades de un proceso de auditoría de TI/SI

(27)

• Informe final:

– Tipos:

• Hallazgos y recomendaciones (carta de comentarios) • Opinión respecto a la operativa revisada.

• Informe ejecutivo • Presentación oral

– Se emiten borradores previos para discusión

– Podría estar dirigido a la junta directiva, gerentes involucrados, accionistas, organismos reguladores, etc..

– Se deben recolectar las acciones que tomará la organización auditada.

(28)

www.isaca.org.uy

• Controles de Segregación de Funciones Incompatibles:

– Hay ciertas funciones que deben ser realizadas por distintos individuos, a efectos de evitar fraudes.

– En TI/SI, las funciones de desarrollo y administración del ambiente de producción deben ser asignadas a personas diferentes: ¿Por qué?

– Pueden ser implementados como Controles Generales de TI o Controles de Aplicación.

Principales actividades de un proceso de auditoría de TI/SI

(29)

¿POR QUÉ DEBEN REALIZARSE

AUDITORÍAS DE TI/SI?

(30)

www.isaca.org.uy

• Alta Gerencia:

– Verificar que las políticas y procedimientos establecidos se cumplen en la organización (ej: políticas de seguridad de la información, procedimientos de control, proc. Operativos, etc.)

• Auditores Financieros:

– Determinar el alcance de procedimientos de auditoría financiera (confiabilidad en el Sistema de Control Interno)

• Accionistas / Interesados:

– Aumentar el grado de confiabilidad en los reportes financieros

¿Por qué deben realizarse auditorías de TI/SI?

(31)

• Organismos de control / regulatorios:

– Que la organización se encuentra dentro del marco regulatorio establecido por los organismos de control aplicables.

• Área de TI/SI:

– Identificar aquellas áreas donde existen problemas, a efectos de trabajar para solucionarlas (oportunidades de mejora)

• Justicia / Litigios:

– Identificar responsabilidades luego de la ocurrencia de

incidentes ocasionados por una mala gestión o mal uso de las TI/SI

(32)

www.isaca.org.uy

MARCOS DE REFERENCIA Y

ESTÁNDARES

(33)

• Marcos de Referencia:

– Establece lineamientos generales.

– Indican “qué” se debe cumplir o considerar – Se “adoptan”

– No son certificables.

• Estándares:

– Establece lineamientos específicos

– Indican “cómo” deben encontrarse desde el punto de vista técnico.

– Se “implementan”

– Pueden ser certificables o no.

(34)

www.isaca.org.uy

• Para la adopción o implementación en la organización:

– CobiT 4.1 (Se viene la versión 5.0) – ITIL

– Normas ISO 27000 – TOGAF

• Para la realización de auditorías de TI/SI:

– Normas ISAE – International standard for Assurance Engagements (ej: 3402)

– Normas SSAE – Statement on Standards for Attestation Engagements (ej: 16, antes SAS-70)

– Estándares y Directrices de ISACA

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 34

(35)
(36)

www.isaca.org.uy

• A nivel local:

– El único sector que está sometido a la obligatoriedad en la realización de procedimientos de Auditorías de TI/SI es el Financiero (BCU)

– El resto de las industrias, no tienen leyes locales que las obliguen a efectuar Auditorías de TI/SI relacionadas con el control interno (informar sobre el mismo).

– Otras leyes: Hábeas data y Acceso a la información pública, Unidades Reguladoras, etc.

Marco legal y regulatorio

(37)

• A nivel internacional:

– Estados Unidos:

• Ley Sarbanes-Oxley (SOX), arts. 404 y 302

• Ley Health Insurance Portability and Accountability (HIPAA)

– Acuerdos internacionales:

• BASILEA (Sector Financiero – Riesgos de Capital: Supervisión de la gestión)

(38)

www.isaca.org.uy

CONCLUSIONES

(39)

• Es otro rol posible del profesional de TI/SI.

• Existen muchos tipos de auditoría, y muchos

relacionados con TI/SI, por lo que es muy probable que

nos veamos involucrados con éstos de alguna forma

(como auditados o como auditores)

• Es un proceso que tiene un conjunto de etapas

• Son clave la independencia y la competencia del auditor

• La auditoría enfocada en riesgos procura probar

controles llevados a cabo en la organización.

Conclusiones

(40)

www.isaca.org.uy

• Los Controles Generales de TI ayudan a reducir el

alcance de las pruebas sobre los controles de aplicación

• Aumentan el grado de confianza de actores internos y

externos a la organización, sobre la información de

gestión.

• Ayudan a mejorar procesos y aportar valor agregado:

eficacia y eficiencia.

• Indicador de cumplimiento con leyes y regulaciones

• Existen diversos marcos y estándares que exigen su

realización en forma regular

Conclusiones

(41)
(42)

¡Muchas gracias!

Referencias

Documento similar

Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización (funciones, responsabilidades), es imprescindible que cuenten con

Se abordan los principales aspectos desarrollados con el propósito de realizar el análisis y el diseño de una propuesta de Sistema para la Gestión de Riesgos basada en una

Mediante el establecimiento del sistema ya terminado el Ministerio de Auditoría y Control (MAC) obtendría una herramienta que facilita y agiliza el trabajo de

"No porque las dos, que vinieron de Valencia, no merecieran ese favor, pues eran entrambas de tan grande espíritu […] La razón porque no vió Coronas para ellas, sería

que hasta que llegue el tiempo en que su regia planta ; | pise el hispano suelo... que hasta que el

Para ello, trabajaremos con una colección de cartas redactadas desde allí, impresa en Évora en 1598 y otros documentos jesuitas: el Sumario de las cosas de Japón (1583),

En las entrevistas a las empresas calificadoras de riesgo, se determinó que las mismas no están conforme al avance tecnológico por lo que tienen un nivel bajo

En la parte central de la línea, entre los planes de gobierno o dirección política, en el extremo izquierdo, y los planes reguladores del uso del suelo (urbanísticos y