Subcomité AUD/SC3 para el
estudio de la auditoría
continua sobre sistemas GRC
(Governance, Risk &
Compliance)
Jornadas técnicas ISACA Madrid
Madrid, 5 de noviembre de 2014 ISACA, Capítulo de Madrid (183)
Agenda.
01/ El por qué del Subcomité.
02/ ¿Qué se persigue con este Subcomité?.
03/ Temas tratados.
Cómo la tecnología puede ayudar.
Niveles de madurez posibles.
El rol del auditor interno de TI.
Consideraciones en la implantación.
04/ Producto final.
GRC
• Los conceptos de riesgos, control interno y cumplimiento están en general asumidos por los profesionales de auditoría, y contemplados así en sus planes de auditoría.
• Sin embargo, GRC , como concepto global e integrado, está todavía en proceso de
asunción y maduración en muchas organizaciones y, por tanto, también en las áreas de Auditoría Interna.
AUDITORÍA CONTINUA
• La auditoría continua se puede definir como un proceso de evaluación de riesgos y controles continuo, aproximándose al tiempo real, a veces de forma automatizada y con el análisis de hasta el 100% de las casuísticas.
• Una evaluación continua proporciona alertas sobre anomalías en el momento en el que se producen, dando así la oportunidad de analizarlas y resolverlas antes de que sea demasiado tarde.
• Proporciona también la oportunidad de detectar y adaptarse de forma continua a los cambios en los riesgos del negocio.
01/ El por qué del Subcomité AUD/SC3.
01 / El por qué del Subcomité AUD/SC3.
Inicio Julio 2013
Objetivos que se persiguen:
• Profundizar en el campo de la Auditoría Continua y el concepto global e integrado de GRC en las organizaciones de diferentes tamaños y sectores.
• Desarrollar líneas de investigación relacionadas con la aplicación de la auditoría continua para con el mundo GRC. Perfiles humanos, herramientas, método, requerimientos para las organizaciones,…
• Proveer a los miembros de la ISACA de material de referencia base para el desarrollo futuro de la función del auditor interno de TI en sistemas GRC. ¿Por qué Auditoría Continua sobre GRC?
• Concepto novedoso y de interés futuro.
• Modelos de Governance, Risk & Compliance en auge.
• Existen grandes carencias de documentación de referencia a este respecto.
02/ ¿Qué se persigue con el Subcomite AUD/SC3?.
03/ Temas tratados.
Cómo la tecnología puede ayudar
•
Mejora la eficiencia y la integración de procesos.
•
Homogeniza la gestión y evita silos funcionales.
•
Implementa workflows y mecanismos de reporting fiables.
Niveles de madurez posibles
•
No heredados de los dos modelos de forma independiente.
•
Específicos para medir el equilibrio
•
Cuantificables mediante indicadores.
•
Equilibrio entre oferta y demanda de información.
(Rentabilidad Operativa, Ro)
•
Necesidad de información, condicionada al esfuerzo
por conseguirla, sin afectar al rendimiento.
03/ Temas tratados.
El rol del auditor interno TI
• Auditoría continua sobre GRC ayuda a Auditoría Interna (en general) y al auditor de TI (en particular).
• Asiste a la organización en el cumplimiento de sus responsabilidades de forma efectiva, integral y a un coste sostenido y, a largo plazo, razonable.
• Aportación del modelo condicionada por particularidades de cada organización.
Consideraciones en la implantación
• Estabilidad, escalabilidad, homogeneidad e integridad de los sistemas de la Organización,
• Exigencias de Cumplimiento (regulaciones, normativas, leyes…) a las que esté sujeta la Organización.
• Tipología de riesgos y sus mecanismos de gestión.
• La madurez del modelo de Gobierno de la Organización.
• Definir responsables de definir los indicadores, implementarlos , supervisarlos y evaluarlos.
• Analizar el encaje con los indicadores ya existentes en otras áreas de Negocio o Corporativas.
• Como resultado del trabajo realizado, se cuenta actualmente con el Vol. I:
“Auditoría continua sobre entorno GRC. Guía de Introducción”
04/ Producto final.
• Dirección
– Miguel García-Menéndez , iTTi, Innovation & Technology Trends Institute
• Coordinación y coautoría
– Miguel Ángel Ramos, IEE, Informáticos Europeos Expertos
• Coautores
– Ricardo Martínez, Deloitte
– José Antonio López, Gas Natural Fenosa – Gregorio Hernández, Red Eléctrica de España – Oliver Crespo Romero, Grupo Generali España
• Revisores expertos
– Erik de Pablo , Repsol, S.A. – David Serrano, Grupo Bankinter – Juan José Huerta, Mutua Madrileña – José Luis Sánchez, AnyHelp International – Oscar Pinedo , MAPFRE
– María José Carmona, Mediaset España
– Manuel Palao, iTTi, Innovation & Technology Trends Institute – Ricardo Bria, Ex-Vicepresidente Internacional ISACA
• Continuar trabajando en las guías de desarrollo surgidas, considerando los posibles apartados:
– Vol. II – Guía de implantación de un modelo de auditoría continua sobre GRC;
• Principales actividades a acometer. • Definición de roles y responsabilidades. • Indicadores clave de desempeño.
• Integración dentro de la función de auditoría de TI.
– Vol. III - Guía de trabajo y autoevaluación del nivel de madurez del entorno;
• Actividades a desarrollar de auditoría continua sobre entornos GRC. • Cuestionarios de valoración.
• Recopilación de indicadores clave. • Mejoras dentro del proceso
• Considerar y valorar cualquier sugerencia, mejora o idea que dentro del ámbito de la auditoría continua pueda surgir desde la perspectiva del auditor IT.
• Continuar la colaboración con el Instituto de Auditores Internos para el alineamiento de las líneas de investigación abiertas.
Muchas gracias
ISACA, Capítulo de Madrid
