Auditoría: Requisito o Necesidad?

Transcripción

1 Auditoría: Requisito o Necesidad? Ing. José Luis Mauro Vera, CISA jose-luis.vera@uy.ey.com /jlmvera /joseluismaurovera

2 Agenda Introducción Auditoría de TI/SI Tipos de Auditoría de TI/SI Principales roles relacionados con TI en las organizaciones Principales actividades de una auditoría de TI Por qué deben realizarse auditorías? Marcos de Referencia y Estándares Marco legal y regulatorio Conclusiones 2

3 INTRODUCCIÓN 3

4 Introducción Conocimientos sobre TICs una parte del libreto 4

5 Introducción La otra parte del libreto los usuarios 5

6 Introducción Qué tienen en común? Empresas de telecomunicaciones Empresas de transporte Comercios de grandes superficies Textiles Frigoríficos Entes públicos (ej: ANTEL, UTE, OSE, etc) Ministerios Justicia Etc. 6

7 Introducción Cualquier organización tiene: Misión Visión Objetivos: Para cumplir objetivos del negocio, las organizaciones acuden a llevar a cabo diversas actividades: Procesos de negocio (tareas recurrentes) y Proyectos (tareas con inicio y fin) Cumplir con los objetivos es un requerimiento del negocio Hay partes interesadas para que los objetivos se cumplan Estamos cumpliendo con los objetivos? 7

8 Introducción Las TI / SI ayudan a la ejecución de tareas, procesos, proyectos Cómo inciden las TI/SI en los objetivos de la organización? Las TI/SI están orientadas a cumplir con los objetivos de la organización? Las TI/SI aportan valor a la organización? 8

9 AUDITORÍA DE TI / SI 9

10 Auditoría de TI / SI Auditoría en general: Proceso sistemático ejecutado por un equipo/individuo: Conjunto de etapas Evalúa objetivamente la evidencia respecto a afirmaciones acerca de un proceso Produce un informe con el grado de cumplimiento respecto a las afirmaciones Características del equipo/individuo: Independencia Competencia Auditoría de TI/SI: Procesos relacionados con TI/SI 10

11 Auditoría de TI / SI Auditoría = Consultoría? 11

12 TIPOS DE AUDITORÍA DE TI/SI 12

13 Tipos de Auditoría de TI/SI Tipos de auditoría relacionados con TI/SI (según el alcance/objeto): Auditorías Financieras Confiabilidad de la información Auditorías Operativas Controles de Aplicación en procesos Seguridad de la Información Auditorías de Sistemas de Información (SI) Alineamiento estratégico entre las TI/SI y los objetivos de negocio Auditorías Integradas Combinación de Auditorías Financieras, Operativas y de SI. Auditorías Forenses Auditorías de Cumplimiento: Ej: Certificaciones de normas técnicas Auditorías especializadas: Entrega de servicios por parte de proveedores (ISAE3402 / SSAE16) 13

14 Tipos de Auditoría de TI/SI Tipos de auditoría relacionados con TI/SI (según quién la realice): Auditoría Interna: Proceso interno de la organización Podría subcontratarse a una firma de servicios, aunque siempre dependerá de la cabeza de la organización Las conclusiones son válidas exclusivamente a nivel interno. Auditoría Externa: Llevado a cabo por una parte independiente Las conclusiones son valederas a nivel interno y para terceras partes 14

15 Tipos de Auditoría de TI/SI Tipos de auditoría relacionados con TI/SI (Según los procedimientos llevados a cabo) Tradicional Cubre un período específico ya culminado Se analiza la evidencia generada durante ese período Auditoría Continua: Técnicas de Auditoría Asistidas por Computadora (CAATs) Autoevaluaciones de riesgo Participación activa de las distintas áreas de la organización Las áreas se auditan en forma cruzada No sustituye a la tradicional 15

16 PRINCIPALES ROLES RELACIONADOS CON TI EN LAS ORGANIZACIONES 16

17 Principales roles relacionados con TI en las organizaciones Dentro de la organización Gerente de Riesgos y Cumplimiento Junta Directiva / Alta Gerencia ( The Board ) Gerente de TI (CIO) Auditor interno de TI 17

18 Principales roles relacionados con TI en las organizaciones Fuera de la organización Auditor Externo Clientes Organismos Regulatorios Competencia, Ex-empleados 18

19 PRINCIPALES ACTIVIDADES DE UN PROCESO DE AUDITORÍA DE TI/SI 19

20 Principales actividades de un proceso de auditoría de TI/SI Entender el negocio. Determinar el objetivo, alcance y equipo necesario. Planificación: Determinar la estrategia para llevar a cabo la auditoría (ej: Auditoría basada en Riesgos) Definir la Materialidad Diseñar los procedimientos de auditoría. Ejecución de procedimientos de auditoría: Hallazgos, Excepciones, etc. Emisión de informe. 20

21 Principales actividades de un proceso de auditoría de TI/SI Materialidad: Las excepciones materiales son aquellas que son significativas y que ameritan ser reportadas a la Alta Gerencia. Define un margen de error tolerable para los auditores El auditado debería saberlo? Auditoría basada en Riesgos: Se realiza un análisis de riesgos, a efectos de determinar dónde y qué procedimientos realizar (dónde hacer foco) Riesgo de Auditoría: Riesgo que existan errores materiales que pasen desapercibidos durante la auditoría. 21

22 Principales actividades de un proceso de auditoría de TI/SI Riesgo de Auditoría = R.I. + R.C. + R.D. Riesgo Inherente: (RI) Riesgo inherente al proceso de negocio Riesgo de Control: Riesgo de que ocurra un error y que no haya sido prevenido o detectado. Riesgo de Detección: Riesgo de que los procedimientos de auditoría no detecten excepciones materiales (inadecuados). Para reducir el R.C., hay que confiar en el Control Interno de la Organización Para reducir el R.D., hay que diseñar los procedimientos adecuados para mitigar la posibilidad de encontrar diferencias materiales. 22

23 Principales actividades de un proceso de auditoría de TI/SI Una auditoría basada en riesgos se centra en probar aquellos controles llevados a cabo por la organización, que mitigan los riesgos principales del negocio. Sistema de Control Interno de una organización El objetivo es confiar en las actividades de Control Interno de la organización, procurando reducir el alcance y hacer foco en asuntos significativos. Tipos de Controles: Controles Generales de TI Controles de Aplicación 23

24 Principales actividades de un proceso de auditoría de TI/SI Controles Generales de TI Políticas, procedimientos y prácticas Generales : No están asociados a un proceso de negocio en particular, ya que afectan a todos, o más de uno. Ejemplos: Autorizaciones / Aprobaciones de accesos y cambios Separación de ambientes de producción / desarrollo Validaciones de usuario y testing Uso / Asignación de cuentas de usuario privilegiadas Autentificación de usuarios: políticas de contraseñas Cifrado de datos en comunicaciones y medios de almacenaminto Procedimientos de respaldos y recuperación Planes de Continuidad del Negocio 24

25 Principales actividades de un proceso de auditoría de TI/SI Controles de Aplicación: Controles embebidos o configurables en los SI, que operan sobre procesos de negocio Los Controles Generales de TI efectivos, reducen el Riesgo de Control de los Controles de Aplicación. Ejemplos: Una OC por encima de USD requiere de una aprobación en el sistema por parte del Gte. Financiero. Los totales calculados por el proceso de facturación se vuelcan automáticamente en la base de datos contable, registrándose la fecha, hora y usuario correspondientes. 25

26 Principales actividades de un proceso de auditoría de TI/SI Procedimientos para probar controles: Relevar los procesos relacionados e identificar los riesgos inherentes Identificar los Controles que realiza la organización para mitigar dichos riesgos Seleccionar los controles clave: aquellos que mitigan riesgos importantes o un conjunto de éstos. Identificar la información requerida para probar el control Efectuar un recorrido del control (analizar un caso) Evaluar el Diseño del control Seleccionar una muestra apropiada, considerando solicitar la misma evidencia Evaluar la Operativa del control Identificación de Hallazgos / Excepciones 26

27 Principales actividades de un proceso de auditoría de TI/SI Informe final: Tipos: Hallazgos y recomendaciones (carta de comentarios) Opinión respecto a la operativa revisada. Informe ejecutivo Presentación oral Se emiten borradores previos para discusión Podría estar dirigido a la junta directiva, gerentes involucrados, accionistas, organismos reguladores, etc.. Se deben recolectar las acciones que tomará la organización auditada. 27

28 Principales actividades de un proceso de auditoría de TI/SI Controles de Segregación de Funciones Incompatibles: Hay ciertas funciones que deben ser realizadas por distintos individuos, a efectos de evitar fraudes. En TI/SI, las funciones de desarrollo y administración del ambiente de producción deben ser asignadas a personas diferentes: Por qué? Pueden ser implementados como Controles Generales de TI o Controles de Aplicación. 28

29 POR QUÉ DEBEN REALIZARSE AUDITORÍAS DE TI/SI? 29

30 Por qué deben realizarse auditorías de TI/SI? Alta Gerencia: Verificar que las políticas y procedimientos establecidos se cumplen en la organización (ej: políticas de seguridad de la información, procedimientos de control, proc. Operativos, etc.) Auditores Financieros: Determinar el alcance de procedimientos de auditoría financiera (confiabilidad en el Sistema de Control Interno) Accionistas / Interesados: Aumentar el grado de confiabilidad en los reportes financieros 30

31 Por qué deben realizarse auditorías de TI/SI? Organismos de control / regulatorios: Que la organización se encuentra dentro del marco regulatorio establecido por los organismos de control aplicables. Área de TI/SI: Identificar aquellas áreas donde existen problemas, a efectos de trabajar para solucionarlas (oportunidades de mejora) Justicia / Litigios: Identificar responsabilidades luego de la ocurrencia de incidentes ocasionados por una mala gestión o mal uso de las TI/SI 31

32 MARCOS DE REFERENCIA Y ESTÁNDARES 32

33 Marcos de Referencia y Estándares Marcos de Referencia: Establece lineamientos generales. Indican qué se debe cumplir o considerar Se adoptan No son certificables. Estándares: Establece lineamientos específicos Indican cómo deben encontrarse desde el punto de vista técnico. Se implementan Pueden ser certificables o no. 33

34 Marcos de Referencia y Estándares Para la adopción o implementación en la organización: CobiT 4.1 (Se viene la versión 5.0) ITIL Normas ISO TOGAF Para la realización de auditorías de TI/SI: Normas ISAE International standard for Assurance Engagements (ej: 3402) Normas SSAE Statement on Standards for Attestation Engagements (ej: 16, antes SAS-70) Estándares y Directrices de ISACA 34

35 MARCO LEGAL Y REGULATORIO 35

36 Marco legal y regulatorio A nivel local: El único sector que está sometido a la obligatoriedad en la realización de procedimientos de Auditorías de TI/SI es el Financiero (BCU) El resto de las industrias, no tienen leyes locales que las obliguen a efectuar Auditorías de TI/SI relacionadas con el control interno (informar sobre el mismo). Otras leyes: Hábeas data y Acceso a la información pública, Unidades Reguladoras, etc. 36

37 Marco legal y regulatorio A nivel internacional: Estados Unidos: Ley Sarbanes-Oxley (SOX), arts. 404 y 302 Ley Health Insurance Portability and Accountability (HIPAA) Acuerdos internacionales: BASILEA (Sector Financiero Riesgos de Capital: Supervisión de la gestión) 37

38 CONCLUSIONES 38

39 Conclusiones Es otro rol posible del profesional de TI/SI. Existen muchos tipos de auditoría, y muchos relacionados con TI/SI, por lo que es muy probable que nos veamos involucrados con éstos de alguna forma (como auditados o como auditores) Es un proceso que tiene un conjunto de etapas Son clave la independencia y la competencia del auditor La auditoría enfocada en riesgos procura probar controles llevados a cabo en la organización. 39

40 Conclusiones Los Controles Generales de TI ayudan a reducir el alcance de las pruebas sobre los controles de aplicación Aumentan el grado de confianza de actores internos y externos a la organización, sobre la información de gestión. Ayudan a mejorar procesos y aportar valor agregado: eficacia y eficiencia. Indicador de cumplimiento con leyes y regulaciones Existen diversos marcos y estándares que exigen su realización en forma regular 40

41 PREGUNTAS. DUDAS. 41

42 Muchas gracias!