EL ROL DEL AUDITOR INTERNO EN GOBIERNO DE TECNOLOGÍA DE LA INFORMACIÓN EXPOSITOR: LICDO. JUAN A. FRAGO GERENTE GLOBAL ADVISORY SOLUTIONS

Transcripción

1 EL ROL DEL AUDITOR INTERNO EN GOBIERNO DE TECNOLOGÍA DE LA INFORMACIÓN EXPOSITOR: LICDO. JUAN A. FRAGO GERENTE GLOBAL ADVISORY SOLUTIONS Panamá, 19 de mayo 2016

2 Rol del Auditor Interno en Gobierno de Tecnología de la Información XIII SEMINARIO REGIONAL INTERAMERICANO DE CONTABILIDAD 2016 Juan A. Frago, MBA, ISO 27001:2007, Cobit 5 Foundation, ITIL. Gerente Global Advisory Solutions

3 Agenda 1.Introducción 2. Conceptos Gobierno Corporativo 3. Conceptos Gobierno de TI 4. COSO 2013 (Principal Marco de Referencia para Gob. Corporativo) 5. COBIT 5 (Principal Marcos de Referencia para Gob. de TI) 6. Estándares del IIA y el perfil del auditor interno 7. Señales de un sistema de Gobierno de TI deficiente 8. El Rol del Auditor Interno en Gobierno de TI 9.Guía general de auditoría de Gobierno de TI 10.Conclusiones

4 Rol del Auditor Interno Introducción El desarrollo acelerado de las tecnologías obligan al auditor interno a estar preparado para responder constantemente a cambios y nuevos retos que se encuentran ante los recursos y activos de tecnología. Gobierno de TI puede ayudar al auditor interno a facilitar el proceso de Auditoría y hacer recomendaciones que ayuden a la organización en temas tales como: Alinear objetivos de tecnología con objetivos del negocio. Identificar riesgos dentro de los procesos de tecnología. Establecer mejores controles. Cumplir con las leyes y regulaciones.

5 GOBIERNO CORPORATIVO

6 Gobierno Corporativo Qué es? Gobierno corporativo es el sistema mediante el cual la organización es dirigida y administrada. Tiene influencia sobre cómo los objetivos de negocio son establecidos y alcanzados, cómo los riesgos son monitoreados y como el rendimiento es optimizado. Instituto de Auditores Internos Internacional (IIA) define al gobierno corporativo como: La combinación de procesos y estructuras implantados por el Consejo de Administración para informar, dirigir, gestionar y vigilar las actividades de la organización con el fin de lograr sus objetivos.

7 Gobierno Corporativo Principales objetivos de un buen Gobierno Corporativo Velar por los mejores intereses y objetivos de todos los interesados en la organización ( stakeholders ). Reforzar y facilitar las funciones de supervisión y monitoreo de la Alta Gerencia. Mantener y supervisar un buen ambiente de control y las actividades de administración de riesgos.

8 Gobierno Corporativo Responsables del Gobierno Corporativo Junta Directiva Accionistas Alta Gerencia Auditoría Interna Gerencia de Negocios Equipo de trabajo Reguladores Cliente Proveedores Todos aquellos afectados por las actividades de la organización

9 Gobierno Corporativo Principios del Gobierno Corporativo TRANSPARENCI A RESPONSABILIDA D CORPORATIVA EQUIDAD RESPONSABILIDA D PERSONAL

10 GOBIERNO DE TI

11 Gobierno de TI Qué es? La capacidad de lograr el alineamiento de la estrategia del negocio con la eficiencia y eficacia de los procesos de tecnología de información (TI) y seguridad, mediante la integración de métricas y controles dentro del ambiente tecnológico para establecer la mejora continua y proporcionar valor a la organización.

12 Gobierno de TI Objetivos del Buen Gobierno de TI Alinear las iniciativas y proyectos de tecnología con la estrategia y objetivos de negocio. Lograr que los recursos de tecnología agreguen valor al negocio. Informar a los interesados ( Stakeholders ) que los recursos de tecnología están siendo bien utilizados.

13 Gobierno de TI Responsables del Gobierno de TI Junta Directiva Gerencia de Negocios Gerencia de Tecnología de Información Auditoría Interna Gerencia de Seguridad de la Información Gerencia de Riesgos y Cumplimiento

14 Gobierno de TI Principios de Gobierno de TI Está compuesto por: Alineación estratégica Agregar valor Administración de riesgo Administración de recursos Medición de desempeño

15 Gobierno de TI Nivel de Involucramiento de la Gerencia en GEIT Como usted describiría el nivel de participación en el manejo de negocios y gobierno de TI? (n=249) 50% 43% 45% 40% 35% 28% 30% 27% 25% 20% 15% 10% 5% 2% 0% No Sabe / No Respondio Bajo Moderado Alto FUENTE: Governance of Enterprise IT (GEIT) Survey, Latin America Edition 2012,

16 Gobierno de TI Uso de Estándares o Marcos de Referencia para GEIT Usa su empresa un marco de referencia o estándar para el gobierno y manejo de los recursos y servicios de TI? (n=250) 60% 54% 50% 40% 35% 30% 20% 10% 10% 0% No Sabe No Si FUENTE: Governance of Enterprise IT (GEIT) Survey, Latin America Edition 2012,

17 MARCOS DE REFERENCIA

18 Marcos de Referencia GOBERNABILIDAD GOBIERNO CORPORATIVO GOBIERNO DE TI

19 COSO 2013 (PRINCIPAL MARCO DE REFERENCIA PARA GOBIERNO CORPORATIVO)

20 COSO Principal Marco de Referencia para Gobierno Corporativo Transición de COSO COSO COSO ERM COSO 2013

21 COSO Qué es? Es un marco de referencia para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno.

22 COSO ERM Qué es? A raíz de los escándalos con estas empresas en Estados Unidos nació la Ley Sarbanes-Oxley de COSO ERM, entró en vigor en el año 2005 con la finalidad de proveer un marco de control interno enfocado a la Administración del Riesgo.

23 COSO 2013 Transición COSO 2013 nace a partir de la necesidad de mejorar el modelo del control interno para servicios a terceros y toma en consideración aspectos de TI en el sistema de control interno.

24 COSO 2013 Cambios Principales Los cambios principales son: Nuevo enfoque basado en 17 principios de control interno. Reafirma el establecer los objetivos estratégicos como requerimiento de los objetivos de Control Interno. Mayor enfoque hacia Gobierno Corporativo. Más relevancia en cuanto a la Tecnología de la Información El reporte financiero pasa a ser reporte en general. Mayor consideración de las actividades para prevención del fraude. Amplia la posibilidad de diferentes modelos de negocio y estructuras organizacionales.

25 COBIT 5 (PRINCIPAL MARCO DE REFERENCIA PARA GOBIERNO DE TECNOLOGÍA DE LA INFORMACIÓN)

26 GOBIT 5 Qué es? COBIT 5 une principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

27 COBIT 5 Marcos de Referencia Gobierno de TI Evolución del Alcance Gobierno Corporativo de TI Gobierno de TI Val IT 2.0 Administración (2008) Control Risk IT (2009) Auditoría COBIT COBIT COBIT3 COBIT4.0/4.1 COBIT /7 Marco Empresarial de ISACA, en

28 COBIT 5 Marcos de Referencia Gobierno de TI Cobit 5 es un marco compuesto de los siguientes elementos Grupos de procesos (2) Gobierno y Administración Dominios (5) Evaluar, dirigir y controlar (EDM) Proceso de Gobierno Alinear, planificar y organizar (APO) Proceso de Adm. Construir, adquirir e implementar (BAI) Proceso de Adm. Entregar, servir y proveer soporte (DSS) Proceso de Adm. Evaluar y valorar (MEA) Proceso de Adm. Procesos (37)

29 COBIT 5 Composición del marco COBIT

30 COBIT 5 Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 5. Distinguir entre gobierno y administración 4. Habilitar un enfoque holístico 2. Cubrir la empresa de extremo a extremo Principios de COBIT 5 3. Aplicar un único marco de referencia integrado

31 ESTANDARES DEL IIA Y EL PERFIL DEL AUDITOR INTERNO

32 Auditoría Interna Definición La Junta de Directores del Instituto de Auditores Internos aprobó la siguiente definición de auditoría interna: La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.

33 Estándares del IIA Misión de MIPP El MIPP (Marco Internacional para la Práctica Profesional) contiene la Misión de Auditoría Interna. Esta misión describe lo que se aspira de la función de auditoria interna: MEJORAR Y PROTEGER EL VALOR DE LA ORGANIZACIÓN PROPORCIONANDO A LAS PARTES INTERESADAS ASEGURAMIENTO, CONSEJO Y VISIÓN OBJETIVOS, CONFIABLES Y BASADOS EN RIESGOS

34 Perfil del Auditor Moderno El MIPP define 10 principios de la función de auditoría interna. 1 Demostrar integridad Demostrar competencia y cuidado profesional 3 Ser objetivo y libre de influencias Está adecuadamente posicionado en la organización y tiene recursos apropiados Alineado con las estrategias, objetivos y riesgos de la organización 8 6 Demuestra calidad y mejora continua 7 Proporciona aseguramiento basado en riesgos 10 9 Demuestra visión, pro actividad y orientación hacia el futuro Se comunica efectivamente Promueve la mejora a nivel organizacional

35 Normas de Auditoría Interna Gobernabilidad Normas de la práctica profesional de Auditoría Interna: 1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al considerar: El alcance necesario para alcanzar los objetivos del trabajo; La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control;

36 Normas de Auditoría Interna Gobernabilidad Normas de la práctica profesional de Auditoría Interna: 2110 Gobierno La actividad de auditoría interna debe evaluar y hacer recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos: Promover la ética y los valores apropiados dentro de la organización. Asegurar la gestión y responsabilidad eficaces en el desempeño de la organización. Comunicar eficazmente la información de riesgo y control a las áreas adecuadas de la organización. Coordinar eficazmente las actividades y la información de comunicación entre el Consejo de Administración, los auditores internos y externos y la dirección.

37 Normas de Auditoría Interna Gobernabilidad Normas de la práctica profesional de Auditoría Interna: 2201 Consideraciones sobre planificación Al planificar el trabajo, los auditores internos deben considerar: La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de la actividad comparados con un enfoque o modelo de control relevante; y Las oportunidades de introducir mejoras significativas en los procesos de gobierno, gestión de riesgos y control de la actividad.

38 Nuevas Expectativas de Auditoría Interna PASADO Y PRESENTE FUTURO Control Conocimiento de riesgos Evaluación de Control Auto Evaluaciones Detective Prevención Auditorias operacionales Auditorías estratégicas Imposición Valor agregado Independencia Conocimiento del negocio Conocimiento de Auditoría Habilitador de cambio Conciencia de Control Gobierno corporativo

39 SEÑALES DE UN SISTEMA DE GOBIERNO DE TI DEFICIENTE

40 Gobierno de TI Señales de un sistema de Gobierno de TI Deficiente Proyectos de TI que no cumplen con sus fechas prometidas. Incapacidad para identificar y asignar costos. Ineficiencias en las operaciones. La función de TI es apaga fuego y sólo reacciona ante situaciones.

41 Gobierno de TI Señales de un sistema de Gobierno de TI Deficiente Discusiones constantes sobre decisiones de TI. El portafolio de inversiones y aplicaciones crece sin límite. Problemas en el cumplimiento regulatorio y con leyes. Falta de información para la toma de decisiones.

42 ROL DEL AUDITOR INTERNO EN GOBIERNO DE TI

43 Gobierno de TI Identificar Necesidades 1 Rol del Auditor Interno Asegurar la participación de Auditoría durante todo el proceso de Gobierno de TI en la organización. Evaluar y aceptar el nivel y alcance de su participación. Proporcionar asesoría en la identificación de necesidades, mediante su experiencia, informes de auditoría y conocimiento de la organización. Proporcionar recomendaciones que permitan que las decisiones tomadas sean objetivas y mantengan un nivel de balance entre TI y el negocio.

44 2 Gobierno deinterno TI Establecer Objetivos Rol del Auditor Apoyar en el proceso de la identificación de brechas para establecer objetivos de acuerdo a los resultados de la evaluación de la situación actual. Verificar (de manera independiente) los resultados de la evaluación de la situación actual.

45 3 Gobierno deinterno TI Planeación Rol del Auditor Validar las justificaciones y casos de negocio para asegurar que sean objetivos y presentados de manera adecuada. Evaluar que los planes presentados sean realistas y alcanzables. Resaltar la necesidad de asesoramiento externo cuando sea necesario.

46 4 Gobierno deinterno TI Implementación Rol del Auditor Proporcionar asesoría para verificar que las acciones que se estén ejecutando sean mediante decisiones balanceadas. Revisar continuamente que el proceso de implementación se esté realizando de manera correcta. Emitir recomendaciones sobre los controles existentes y requeridos. Evaluar las prácticas de administración de riesgo y proponer mejoras.

47 5 Gobierno deinterno TI Monitoreo Rol del Auditor Desarrollar un plan de auditoría de TI para monitoreo continuo de las estructuras de Gobierno de TI, basado en un criterio que integre TI y el negocio. Proporcionar críticas constructivas y recomendaciones sobre la estructura y responsabilidades de Gobierno de TI. Alentar la implementación de Auto-Evaluaciones. Proporcionar confianza a la Alta Gerencia de que el Gobierno de TI está funcionando efectivamente, para lograr mayor confianza en TI.

48 Gobierno de TI Rol del Auditor Interno Algunas consideraciones para el Comité de Auditoría: El Comité de Auditoría debe solicitar informes sobre la situación global de Gobierno Corporativo, Gobierno de TI y el ambiente de control interno, que contengan como mínimo: a) Las conclusiones de las pruebas efectuadas; b) Las recomendaciones de eventuales deficiencias con el establecimiento de un cronograma para subsanar las mismas; c) La manifestación de los responsables por las correspondientes áreas respecto de las deficiencias encontradas en verificaciones anteriores y de las medidas efectivamente adoptadas para subsanarlas.

49 GUÍA GENERAL DE AUDITORÍA DE GOBIERNO DE TI

50 Gobierno de TI Guía General de Auditoría de Gobierno de TI INDEPENDENCIA FASE I PLANEACIÓN 1. Obtener información general de la estructura de Gobierno de TI. 2. Obtener información general sobre la estrategia de la empresa, unidades de negocio relacionadas y tecnología que la soporta (incluyendo planes a largo, mediano y corto plazo de ambas áreas) FASE 3 FASE 2 ESTABLECE R ALCANCE 1. Debe incluir el ESTABLECE R 1.OBJETIVOS Reportar sobre la eficiencia y efectividad del sistema de Gobierno de TI de la organización. proceso para planificar y organizar Gobierno de TI, así como monitorear esta actividad. 2. Establecer personal requerido para la auditoría y confirmar las capacidades para hacer el trabajo. FASE 4 FASE 5 EJECUCIÓN DE TRABAJO REPORTE Y SEGUIMIENTO 1. El auditor debe considerar revisar: 1. Preparar informe de resultados para hablar con las áreas involucradas. Los objetivos y metas del negocio Planes estratégicos y tácticos de TI Controles operacionales de TI Administración del portafolio de inversiones de TI 2. Presentar informe final al Comité de Auditoría y la Alta Gerencia. 3. Establecer fechas de seguimiento para las recomendaciones INDEPENDENCIA

51 Gobierno de TI Ejemplo general: Como Auditar Gobierno de TI (Cont.) 1 - OBJETIVOS Evaluar el nivel de eficiencia de la estructura de Gobierno de TI de la ORGANIZACIÓN Evaluar el nivel de alineamiento e integración entre las estrategias de TI y las estrategias del negocio.

52 Gobierno de TI Ejemplo general: Como Auditar Gobierno de TI (Cont.) 2 - ANTECEDENTES El actual clima económico ha incrementado la revisión y supervisión de nuestra organización, conllevando a la necesidad de mayor control sobre las inversiones, proyectos y costos de TI. El balance sobre la innovación y el control sobre TI es importante para impulsar el crecimiento del negocio bajo un esquema de mejora continua, administración de riesgos y control interno. Estos y muchos otros factores contribuyen a la necesidad de implementar y monitorear la estructura de Gobierno de TI de ORGANIZACIÓN, por lo cual se ha planificado una auditoría anual para evaluar de manera objetiva e independiente la adecuación de esta estructura y su alineamiento con los planes de negocio.

53 Gobierno de TI Ejemplo general: Como Auditar Gobierno de TI (Cont.) 3 - ALCANCE El alcance de esta auditoría cubre todas las actividades relacionadas con la estructura de Gobierno de TI para el año 2015 en las oficinas principales de la ORGANIZACIÓN, incluyendo todos los procedimientos de Gobierno de TI y el alineamiento con las estrategias de negocio. Cabe señalar, el proceso de implementación y sostenibilidad de Gobierno de TI es un proceso de mejora y crecimiento continuo para ajustar la organización y el área de TI a nuevas tecnologías y demandas del mercado de acuerdo a su plan estratégico.

54 Gobierno de TI Ejemplo general: Como Auditar Gobierno de TI (Cont.) 4 - METODOLOGÍA DE TRABAJO Como parte de esta auditoría realizamos las siguientes actividades Revisión del plan estratégico y objetivos de negocio para el año 2015 Revisión de los objetivos que están soportados por tecnología. Revisión y análisis de documentación, políticas y procedimientos existentes. Realización de entrevistas con la Gerencia de Tecnología y personal clave. Revisión de acuerdo a mejoras prácticas y temas emergentes en Gobierno de TI. Los criterios de esta auditoría están basados en las guías de ORGANIZACIÓN, marcos de referencia de la industria (Cobit) y las prácticas de auditoría interna de sistemas mundialmente aceptadas.

55 CONCLUSIONES

56 El Auditor Interno y Gobierno de TI Conclusiones El auditor interna agrega valor a su organización realizando sus funciones y velando por sus responsabilidades dentro Gobierno Corporativo y Gobierno de TI respectivamente. El auditor interno debe participar de todo el proceso para ayudar a crear un ambiente de mejora continua en los procesos de TI. Los marcos de referencia COSO 2013 y Cobit 5 proponen guías y referencias para poder auditar e implementar Gobierno Corporativo y Gobierno de TI. Auditoría interna debe reafirmar su posición y perfil dentro de la organización.

57 Gracias por su Atención! Juan A. Frago, MBA, ISO 27001:2007, Cobit 5 Foundation, ITIL. Gerente Global Advisory Solutions