Auditoría interna de tecnología, lujo o necesidad?

Documentos relacionados
Riesgos al utilizar hojas electrónicas de cálculo.

Auditoría Interna en Panamá. Reenfocando la gestión en tiempos de crisis. 1 edición. Noviembre RISCCO

HACKING A LA RED DE COMPUTADORAS Y LAS CONSECUENCIAS DEL AUTOENGAÑO DE MUCHOS EJECUTIVOS EN SENTIRSE INMUNE

Green Computing: Uso de la computación de forma ambientalmente responsable

Moviéndose a la nube con cautela

Auditoría Interna en Panamá. Fortaleciendo la gestión en un mundo digitalmente riesgoso. 2ª. Edición. Octubre de RISCCO.

Administración de Riesgo. Consejos y buenas prácticas al realizar compras de fin de año por Internet. RISCCO - Punto de Vista

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Recomendaciones sobre la política. Prevención de la delincuencia informática moderna

Espionaje digital corporativo Ciencia-Ficción o realidad?

El yin y yang de la privacidad y protección de datos de los clientes.

Marco Internacional para la Práctica Profesional de la Auditoría Interna Actualización de las normas

NORMAS INTERNACIONALES AUDITORÍA INTERNA

6 Pasos Para Optimizar Su Ciclo De Ventas. Guía rápida para lograr los obje2vos de ventas que se ha propuesto de una forma efec2va.

José Ángel Peña Ibarra Vicepresidente Internacional ISACA

SONDEO. Hábitos y Riesgos en Nuestro Mundo Digital

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Conocimiento y evaluación del control interno

POLÍTICA DE GESTIÓN DE RIESGOS

Consejos de Seguridad para la RED WI-FI en CASA

NORMA INTERNACIONAL DE AUDITORÍA 600. USO DEL TRABAJO DE OTRO AUDITOR (Esta declaración está en vigor) CONTENIDO. Párrafos Introducción...

Control Interno basado en COSO en las Entidades Municipales

ANEXOS GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

CONCLUSIONES Y RECOMENDACIONES. Dentro de las principales conclusiones y recomendaciones más importantes tenemos:

NORMAS INTERNACIONALES AUDITORÍA INTERNA

NORMA DE AUDITORÍA 260 COMUNICACIONES DE ASUNTOS DE AUDITORÍA CON LOS ENCARGADOS DEL MANDO (GOBIERNO CORPORATIVO) CONTENIDO

ESTÁNDAR INTERNACIONAL DE OTROS SERVICIOS DE ASEGURAMIENTO

Guía para realizar procedimientos sustantivos en el proceso de compras, cuentas por pagar y desembolsos

Estudio sobre el estado de la profesión de Auditoría Interna 2014 Hoja de ruta para el cambio

A) PricewaterhouseCoopers Consultores, Auditores y Compañía Limitada. Valor Honorarios (UF): 3.890

MATAFUEGOS DRAGO- DISTRIBUIDORA SAN MARTIN Notas de interés CC:

GUÍA PARA AUDITORÍA EXTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

Q.1. Cuál es la función del Intermediario Presentador?

3er Congreso Nacional de Auditoría Interna CONAI. Mayo 29, Las Tres Líneas de Defensa: Quién tiene que hacer qué?

Demandas y costos de Seguridad en TI en las Empresas

MAXIMIZANDO EL VALOR DE LA AUDITORIA MEDIANTE EL MODELO DE LAS TRES LINEAS DE DEFENSA. Carmen Maza Ramos, CRMA Vicepresidenta de Auditoría Interna 1

NORMAS INTERNACIONALES AUDITORÍA INTERNA

'Identifique sus riesgos, implemente la prevención', Fernando Niño

Del cumplimiento regulatorio al compromiso

SECCIÓN AU 610 CONSIDERACIÓN DEL AUDITOR DE LA FUNCIÓN DE AUDITORÍA INTERNA EN UNA AUDITORÍA DE ESTADOS FINANCIEROS CONTENIDO

DESAFÍOS DE GOBIERNOS CORPORATIVOS DE SOCIEDADES ANÓNIMAS ABIERTAS EN CHILE

Principios Básicos de Seguridad en Bases de Datos

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

Cómo toman los directivos las grandes decisiones

Lo invitamos a solicitar una reunión para conocer más sobre nuestro Servicio de Asesoría Tributaria.

Cultura de Trabajo para el Desarrollo

RESULTADOS EVALUACIÓN JUNTA DIRECTIVA JUNIO 2015

COLEGIO DE CONTADORES PUBLICOS DEL DISTRITO CAPITAL DECLARACION SOBRE NORMAS Y PROCEDIMIENTOS DE AUDITORIA. No. 6 PLANIFICACIÓN Y SUPERVISIÓN

Seguridad Informática Mitos y Realidades

Tendencias del sector financiero en Latinoamérica

CORTE DE CUENTAS DE LA REPÚBLICA CORTE DE CUENTAS DE LA REPUBLICA DIRECCIÓN DE AUDITORÍA DOS INFORME DE AUDITORÍA FINANCIERA

PBS 8 Gestión de Riesgos y Controles Internos

Fundación para el Desarrollo Tecnológico Agropecuario y Forestal de Nicaragua (FUNICA) Términos de Referencia (TDR) Consultoría AUDITORIA AMBIENTAL

MEDICIÓN Y SEGUIMIENTO DEL DESEMPEÑO

SMS INFORMA. Lecciones Aprendidas. Reflexión... BOLETÍN DE SEGURIDAD OPERACIONAL

ASOCIACION CIVIL MAGNUM CITY CLUB Informe de Revisión Especial sobre Procedimientos Previamente Convenidos Diagnóstico Organizacional Reportes

ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LAS COOPERATIVAS DE AHORRO Y CRÉDITO Y CAJAS CENTRALES

Auditoría y Consultoría, S.A. Nuestra Organización a su servicio

Características de la muestra QUIÉN RESPONDIÓ LA ENCUESTA?

ESTATUTO DE AUDITORÍA INTERNA DE BANCA MARCH

Aseguramiento es agregar credibilidad a la información financiera con base en metodologías de administración del riesgo.

Mejores Prácticas en la Funciónn de Auditoría Interna.

LINEAMIENTOS PARA LA EVALUACIÓN ANUAL DEL COMITÉ DE AUDITORÍA INTERNA EN ENTIDADES FINANCIERAS DENTRO DE UN BUEN GOBIERNO CORPORATIVO

GOBIERNO CORPORATIVO La visión del Supervisor

Accenture Aspectos Corporativos de Data Privacy y Compliance

IMPACTO DE LA APLICACIÓN DE INTERNACIONALES EN LAS FUNCIONES, PROCESOS Y SISTEMAS DE INFORMACIÓN EN LA ORGANIZACIÓN

ISO 9000 es un conjunto de normas de calidad establecidas por la ISO que se pueden aplicar en cualquier tipo de organización (empresa de producción o

Vulnerabilidad de Empresas en Ciberseguridad Noviembre 2016

NORMA INTERNACIONAL DE AUDITORIA 260

Primeras auditorias bajo las NIA-ES

Innovación y Tecnología en los Seguros, para la gestión del riesgo Protección al usuario de seguros

La utilidad de la auditoría interna en las empresas

MANUAL DES C RIPTIVO DE PUES TOS AUDITOR GENERAL

Supervisor de Auditoría Interna. Nombre del puesto: Supervisor de Auditoría Interna. 1. Auditor Internos:

NORMA INTERNACIONAL DE AUDITORÍA 700

Evaluaciones Externas

1.- Conteste las siguientes preguntas, para lo cual debe revisar las fuentes sugeridas o cualquier fuente que usted conozca.

ESTUDIO DE FACTIBILIDAD PARA LA CREACIÓN DE UN SUPERMERCADO ONLINE Y MULTINIVEL

Visor Ciudadano. No. 44 julio Hábitos de los usuarios de internet y redes sociales en México 2016

Recomendaciones sobre la política. Desarrollo de habilidades para la próxima generación

NORMA INTERNACIONAL DE AUDITORIA 510 ENCARGOS INICIALES DE AUDITORÍA - SALDOS DE APERTURA

Tendencias en Cyber Riesgos y Seguridad de la Información

La inclusión del riesgo en el proceso de presupuestación La importancia de la planificación de escenarios como herramienta estratégica en las

Plan de auditoría PA` LA U

6. CONCLUSIONES Y RECOMENDACIONES

PROTECCIÓN DE DATOS PARA COLEGIOS OFICIALES DE GRADUADOS SOCIALES DE ESPAÑA Y COLEGIADOS

RESUMEN DE INFORME DE GESTIÓN DE RIESGO OPERACIONAL

4ª Jornada de Administración Electrónica Principales retos de la Administración Electrónica

Data Loss Prevention Detener la fuga de información y anticiparse a las amenazas como estrategia de negocio

INFORME DEL AUDITOR INTERNO A LA JUNTA DIRECTIVA AÑO 2012

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

El riesgo en la auditoría. CPC Héctor Iván Figueroa Luna (Gerente Auditoría EY)

Antes de imprimir este documento piense en el medio ambiente!

Importancia De Las Estadística En La Contabilidad. Lizeth Peña Jorge Flores Eduardo Lechuga

Fideicomiso Financiero Fondo Compass Desarrollo Inmobiliario I

Implantando tecnología y Data Analytics para detectar errores y fraudes oportunamente. Auditoría Interna. Alejándose del enfoque tradicional.

QUIÉNES SOMOS Y A DÓNDE VAMOS: NUESTRA VISIÓN.

Federación de Colegios de Contadores Públicos de la República Bolivariana de Venezuela Comité Permanente de Normas de Auditoría

Cómo responder a los nuevos cambios disruptivos en un mercado sin barreras

Transcripción:

Auditoría Interna Auditoría interna de tecnología, lujo o necesidad? En este punto vista comentamos cómo los delitos digitales y riesgos tecnológicos están obligando a que organizaciones que dependen de tecnología de información para operar establezcan una función de auditoría interna de tecnología. En este punto de vista Fraudes y delitos informáticos, In Crescendo 2 Cuando el desconocimiento alimenta la confianza 3 Valor a través de la Auditoría Interna de Tecnología 4 Qué puedo hacer? 5 RISCCO Punto de vista

Fraudes y delitos informáticos, In Crescendo A julio 2009, 262 millones de registros digitales con datos personales y privados habían sido comprometidos en los Estados Unidos según la organización Privacy Rights Clearinghouse. Si la cifra le sorprendió, lo siguiente quizás le preocupe aún más: El monto estimado de fraudes por compras en línea en los Estados Unidos y Canadá fue de 4,000 millones de dólares estadounidenses, según el 2009 Edition Online Fraud Report. La principal fuente de incidentes de seguridad son los empleados (34%) y ex empleados (16%) vs hackers (28%), según el 2008 Global State of Information Security realizado por PwC. En los Estados Unidos, 50% de las compañías han sufrido incidentes de seguridad por virus en los últimos doce meses de acuerdo al 2008 CSI Computer Crime and Security Survey. El 86% de las organizaciones en Panamá consideran que es probable que les ocurran incidentes de seguridad de información, según el estudio Seguridad, Riesgo y Privacidad 2009 hecho por Deloitte Panamá. Entre los hallazgos de auditoría interna/externa frecuentemente identificados durante los últimos doce meses están: segregación de funciones (40%) y derechos de accesos excesivos de los usuarios en los sistemas (36%), según el estudio Seguridad, Riesgo y Privacidad 2009. Continuar listando argumentos sobre cómo las organizaciones en Panamá y globalmente están siendo afectadas por los crecientes incidentes de seguridad sería innecesario para reconocer la necesidad de fortalecer o bien crear la función de Auditoría Interna de Tecnología. Es curioso ver que a pesar que muchas organizaciones en Panamá (sector privado o gobierno) dependen literalmente de tecnología de información, redes, sistemas y comunicaciones para operar, las mismas no disponen de una función Auditoría Interna de Tecnología, y aquellas que tienen una, probablemente no disponen de herramientas, metodologías y recursos RISCCO Punto de vista 2

calificados con la suficiencia necesaria para mitigar los riesgos de tecnología de información a los que están expuestos. Por qué? Como lo vemos en RISCCO, es una combinación de factores que acuñamos en el concepto Cuando el desconocimiento alimenta la confianza Cuando el desconocimiento alimenta la confianza Si usted va en una autopista a 120km/h y un camión cisterna que va enfrente de usted empieza a esparcir rápidamente gasolina (riesgo), lo más probable que usted o bien reduzca la velocidad o detenga su auto (control). Pero por qué lo hace? Porque usted sabe que si no detiene el auto seguramente sufrirá un accidente y muera (impacto). Eso es lo que de manera opuesta ocurre en la mayoría de las organizaciones en Panamá. Como desconocen los riesgos tecnológicos a los que están expuestos, difícilmente pueden advertir el impacto de los mismos y mucho menos establecer los controles para mitigarlos. Evidentemente hay organizaciones que son la excepción, pero en términos generales muchas en Panamá, por desconocimiento edifican y alimentan una confianza en que todo está bien en cuanto a los riesgos tecnológicos. Entre otros argumentos que comúnmente escuchamos que alimentan esta confianza y que podrían ser cuestionados están: 1. Nuestra compañía nunca ha sufrido un incidente de seguridad, consecuentemente no tenemos de que preocuparnos. 2. Durante los últimos años las cartas de gerencia de nuestros auditores externos no mencionan riesgos de tecnología importantes, por lo cual asumimos que nuestras redes y sistemas están seguros. 3. Acabamos de invertir en un sistema anti virus de última tecnología y un Firewall para proteger nuestras redes y computadores. 4. Disponemos de un Departamento de Auditoría Interna con siete destacados y experimentados contadores y financistas los cuales han tomado algunos cursos sobre riesgos tecnológicos. Vale la pena aclarar que seguridad de información es un tema técnico. Las buenas intenciones y voluntad no son suficientes. Es el mismo efecto que en una Auditoría Interna para revisar los riesgos financieros RISCCO Punto de vista 3

de ciertos Hedge Fund contratados, usted asigne a un Auditor Interno de Tecnología. 5. A pesar que no tenemos una función de Auditoría Interna de Tecnología, nuestro Gerente de Tecnología en las reuniones semanales de Gerencia nos comenta que nuestras redes y sistemas son seguros. 6. Recientemente realizamos pruebas de vulnerabilidad externa a nuestro sitio web y los resultados fueron bastante favorables, por lo cual consideramos que no tenemos por qué preocuparnos. Aunque pueda ser cierto que desde Internet no puedan acceder a las bases de datos internas de la organización, esto en lo absoluto mitiga el riesgo que un empleado con derechos de acceso excesivos pueda copiar a un USB la base de datos de clientes con depósitos a términos o de costos de su inventario. Estos argumentos con regularidad son esbozados y contribuyen a crear una ilusión de confianza (como la ilusión de Hering) que los riesgos tecnológicos están mitigados y que consecuentemente, la función de Auditoría Interna de Tecnología no tendría sentido y aportaría poco valor. Creando valor a través de la Auditoría Interna de Tecnología La norma 1210 del Instituto de Auditores Internos Internacional (IIA) establece que el Auditor Interno debe reunir los conocimientos y competencias necesarias para cumplir con sus responsabilidades. De hecho, la IIA ha creado guías (Global Technology Audit Guide) para que los Auditores Internos de Tecnología dispongan de herramientas para su labor. Una función de Auditoría Interna de Tecnología efectiva advierte riesgos tecnológicos que puedan afectar los procesos críticos de negocio, ayuda a verificar que las políticas de seguridad de la compañía se cumplan, a fortalecer la estructura de control interno a través de recomendaciones, a verificar el cumplimiento de regulaciones locales o internacionales, entre otros. Si su organización adolece de un Oficial de Seguridad de Información, con mucha más razón la función de Auditoría Interna de Tecnología, debe existir. Si no fuese importante, por qué en la Comunidad Europea y los Estados Unidos existen regulaciones que apuntan a crear dicha función? Qué puedo hacer? RISCCO Punto de vista 4

Si su organización depende de tecnología de información para operar, o si opera en un ambiente regulado, o si procesa cientos de transacciones diarias, o si depende de servicios basados en la web o aunque procese pocas transacciones pero de montos altísimos, es muy probable que necesite la función de Auditoría Interna de Tecnología. Dependiendo de las variables anteriores su organización puede estar en las siguientes situaciones: 1. Requerir una función permanente en su organización con recursos calificados que apoye al resto del equipo de Auditoría Interna. 2. Crear una función permanente que atienda a todas las compañías de su grupo de empresas. Esto es muy útil ya que redeuce costos y crea consistencia en el enfoque de trabajo. 3. Requerir una función no permanente que una o dos veces al año realice una revisión sobre los riesgos y controles de tecnología y que esté alineado con el plan de Auditoría Interna de la organización. 4. Necesitar una función no permanente que apoye al Departamento de Auditoría Interna en revisiones específicas durante el año, como por ejemplo, revisar la seguridad del sistema de inventario o captaciones. Para las opciones una y dos tendrá que crear la función y lo que ello conlleva. Para la tres y cuatro podría considerar darlas en outsourcing, algo que cada día toma más aceptación en las organizaciones dado su importancia y lo dificil que resulta identifcar recursos con tales habilidades. Lujo o necesidad? En nuestro criterio, es una necesidad si su organización depende de tecnología de información para generar ingresos, para brindar servicio o para reducir costos. Si su organización puede funcionar perfectamente sin redes y sistemas, pues no la necesita. En ocasiones ejecutivos indican que están convencidos que necesitan la función pero que es un lujo tenerla. Sobre el supuesto que dicha afirmación sea cierta, pregúntese qué otros lujos su organización se da, sin probablemente necesidad alguna. RISCCO Punto de vista 5

Independencia. Integridad. Conocimiento. Credibilidad. RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo, negocios y auditoría interna. Para mayor información sobre el contenido de este documento o conocer más sobre la forma cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de administración de riesgo, riesgos de tecnología o auditoría interna, por favor contáctenos. info@riscco.com Teléfono: +507 279-1410 RISCCO Ave. Ricardo J. Alfaro Panamá, Rep. de Panamá www.riscco.com 2009 RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback