RAI Visión de Auditoría Interna en la Continuidad de Negocios. 23 Marzo 200

Tamaño: px

Comenzar la demostración a partir de la página:

Download "RAI Visión de Auditoría Interna en la Continuidad de Negocios. 23 Marzo 200"

Benito Ortiz de Zárate Suárez
hace 8 años
Vistas:

1 RAI Visión de Auditoría Interna en la Continuidad de Negocios 23 Marzo 200

2 Contenido Conceptos Buenas prácticas / estándares de referencia Componentes típicos Rol del Auditor Interno Auditoría del Plan Preguntas 2 Risk Consulting

3 Conceptos Objetivos Generales de Continuidad de Negocios Objetivos de Continuidad de Negocios Viabilidad Mantener a la compañía en el negocio Proteger Ingresos/Ganancias Proteger los compromisos financieros de la compañía Continuidad de los nuevos negocios Preservar la capacidad de vender en el mercado Proteger la Marca Evitar la reprobación y pérdida de credibilidad pública 3 Risk Consulting

compromisos financieros de la compañía Continuidad de los nuevos negocios Preservar la capacidad

4 Conceptos Predictive Modeling Anticipating the effects of emergencies before they happen Business Value Contingency Plan Procedures to follow after operational Backups mishaps Making exact copies of electronic data Disaster Recovery Plan Plan for the recovery of data processing facilities Business Continuity Plan Plan for recovering Business operations Continuous Availability Automatic rollover of information systems Business Continuity Management Building availability into management processes Resilience Hardening the enterprise against all foreseeable emergencies Vision

facilities Business Continuity Plan Plan for recovering Business operations Continuous Availability Automatic rollover of information systems

5 Conceptos PHASE 1 Emergency Response to Disruption PHASE 2 Mobilization /Failover to Recovery Site PHASE 3 Environment Restoration at Alternate Site PHASE 4 Application Restoration at Alternate Site PHASE 5 Data-Flow Restoration & Recreation PHASE 6 Business Function Restoration Business Recovery Operations EVENT Mobilize Business Recovery Team Restore Workspace & Manage Backlog Recovery Voice & Data Network Execute Contingency Work Around Procedures IT Recovery Operations Manual Data Re-Entry & Validation Re-Synch & Resume Business Operations Mobilize IT Recovery Team Restore IT Systems, Applications, and Data Validate System & Application Integrity Recreate Lost Transactions & Data Vital Records & Data Recovery Point Backlogged Transactions Recovery Time

Backlog Recovery Voice & Data Network Execute Contingency Work Around Procedures IT Recovery Operations Manual Data Re-Entry & Validation Re-Synch & Resume Business Operations Mobilize IT

6 Buenas prácticas / estándares de referencia Desarrollo e implementación BS DRII BCI Gestión ITIL ISO 2700x Evaluación / Auditoría Modelos de Madurez BS COBIT 6 Risk Consulting

7 Componentes típicos Contenidos estándar Análisis de Impacto / Análisis de riesgos Plan de emergencias Plan de gestión crisis Árboles de llamada Plan de recuperación de desastres Plan de operación alternativa Plan de recuperación de comunicaciones Programas de capacitación y entrenamiento Planes de prueba 7 Risk Consulting

recuperación de desastres Plan de operación alternativa Plan de recuperación de

8 Normativas que pueden aplicar BCCH Cap. III. J.1 (Emisión / Operación Tarjetas de Créditos) BCCH Cap III. H.5 (Cámaras de Compensación de Pagos de Alto Valor) SBIF Circular 17 ((Emisión / Operación Tarjetas de Créditos) SBIF Cap (Clasificación Gestión y Solvencia) SBIF Cap 1-7 (Transferencia electrónica de información y fondos) SBIF Cap 20-7 (Procesamiento de datos. Servicios prestados o recibidos) Superintendencia de Pensiones Decreto supremo N 83: Norma Técnica para los Órganos de la Administración del Estado sobre Seguridad y Confidencialidad de los Documentos Electrónicos SUBTEL Circular 72 (infraestructura crítica de las empresas de telecomunicaciones, para el ingreso de Chile en la OECD) 8 Risk Consulting

1-13 (Clasificación Gestión y Solvencia) SBIF Cap 1-7 (Transferencia electrónica de información y fondos) SBIF Cap 20-7 (Procesamiento de datos.

9 Rol del Auditor Interno Aspectos relevantes de participación del Auditor Interno Velar y promover la existencia de los planes Verificar que en su preparación se consideren los objetivos del negocio Velar que se haya asignado la responsabilidad por la elaboración y mantenimiento de los planes Verificar que los planes estén vigentes y actualizados Verificar que la organización revise y pruebe los planes de manera periódica Velar por que los resultados de las pruebas sean incorporados al ciclo de mantenimiento y mejora de los planes. Participar como observador en las pruebas del plan 9 Risk Consulting

Verificar que los planes estén vigentes y actualizados Verificar que la organización revise y pruebe los planes de manera periódica Velar por que los

10 Auditoría del plan Perspectiva COBIT Para la elaboración de un plan de Auditoría al Plan de Continuidad de Negocios, basado en COBIT, se debiera Seleccionar los objetivos de control que tengan como requerimiento de negocio la Disponibilidad (Availability) El plan debiera identificar las actividades de control asociadas al cumplimiento del objetivo, para todas las dimensiones de recursos de TI que apliquen Correspondería, a continuación evaluar tanto el diseño de la actividad como su eficacia operativa. Finalmente se pueden presentar las conclusiones y recomendaciones por dominio (PO, AI, DS, MO) 10 Risk Consulting

de control asociadas al cumplimiento del objetivo, para todas las dimensiones de recursos de TI que apliquen Correspondería, a continuación evaluar tanto

11 Auditoría del plan Revisión basada en un Modelo de Madurez Para la elaboración de un plan de Auditoría al Plan de Continuidad de Negocios, basado en un Modelo de Madurez Se establecen los niveles esperados de cumplimiento Se evalúa cada dominios en base a las categorías definidas, asignándole un nivel de cumplimiento y evidenciando el respaldo de la evaluación. Se establece el gap y las recomendaciones de remediación 11 Risk Consulting

cumplimiento Se evalúa cada dominios en base a las categorías definidas, asignándole un nivel de cumplimiento

12 Preguntas? 12 Risk Consulting

13 Contactos Si tienes alguna duda o requieres más información, no dudes en contactarnos. Fernando Gaziano Socio de Auditoría Interna fpgaziano@deloitte.com Fono: Rodrigo Dantas Gerente de Risk Consulting rdantas@deloitte.com Fono: Deloitte se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en de la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro Deloitte. Miembro de Deloitte Touche Tohmatsu Todos los derechos reservados. Dulcamara Rodriguez Gerente de Risk Consulting durodriguez@deloitte.com Fono: Risk Consulting

com Fono: 729 8615 Deloitte se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente.

Documentos relacionados

Gestión de riesgo operacional

Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación