Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC-

Documentos relacionados
EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

SISTEMA DE CONTROL INTERNO GENERALIDADES.

Para líderes y organizaciones de alto potencial.

obit Objetivos de Control para la Información y Tecnologías Relacionadas

MARCO DE REFERENCIA GOBIERNO DE TI PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática

COSO I Y COSO II. LOGO

ESTÁNDAR INTERNACIONAL DE OTROS SERVICIOS DE ASEGURAMIENTO

Nuevos enfoques en la gestión de activos. La serie de normas ISO

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

Por qué conformarse con ser bueno si se puede ser mejor

Elaborar y documentar el Plan de trabajo anual que la Unidad de Auditoría Interna desarrollará durante un período fiscal.

CONTROL INTERNO - EL INFORME COSO

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

Control Interno basado en COSO en las Entidades Municipales

ISO 9004:2009: Gestión del éxito sostenido de una organización. Un enfoque de gestión de la calidad

3.1 Administración de la medición de la información estratégica

PROJECT MANAGEMENT OFFICE

Administración de Recursos Informáticos Unidad II: Unidad de Tecnologías de Información y Comunicaciones La Generación de Proyectos

AUDITORIA INTERNAS DE CALIDAD Seguridad del Sur Ltda.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Interpretación Resultados Evaluación MECI Vigencia 2014

Riesgo Operacional. La visión del Comité de Auditoría. VIII Jornadas Rioplatenses de Auditoría Interna

ASESORIA, CONSULTORIA & OBRAS

Esquema Nacional de la Seguridad. RSA, la División de Seguridad de EMC

Diplomado Administración Ganadera

DESCRIPCIÓN DE CARGO INGENIERO ADMINISTRADOR DE OBRA

DEPARTAMENTO HSEC. Roles y Funciones

CURSO DE CONOCIMIENTO E INTERP. ISO TS Primitivo Reyes A.

Norma ISO 9001:2015 Cambios en el SGC y Beneficios FORCAL-PO

FUNCIONES BÁSICAS DE LA GERENCIA DE PROYECTOS

COBIT 4.1. Planear y Organizar PO10 Administrar Proyectos. By Juan Antonio Vásquez

Normas Internacionales de Auditoría (NIA) NIA 200 A 299 Principios Generales y Responsabilidades

Marco Internacional para la Práctica Profesional de la Auditoría Interna Actualización de las normas

PROYECTO DE PRESUPUESTO DE EGRESOS DE LA FEDERACIÓN 2005 ESTRATEGIA PROGRAMÁTICA

Hacia un mejor Ministerio de Obras Públicas

Modelo ECI para Gerencia de Proyectos

Evaluaciones Externas

COSO Marco de referencia para un adecuado Sistema de Control Interno

Planeación Estratégica de la Gestión de Mantenimiento

Diplomado Agronegocios

Nuevo Marco Internacional para la Práctica Profesional: La misión de la auditoria interna

CATALOGOS DE CURSOS DE CALIDAD

IMPLEMENTACION DEL SISTEMA DE GESTION DE LA CALIDAD BASADO EN LA NORMA INTERNACIONAL ISO 9001:2008

AUDITORÍA SUPERIOR DEL ESTADO PLAN ANUAL DE TRABAJO 2014

LINEAMIENTOS PARA LA EVALUACIÓN ANUAL DEL COMITÉ DE AUDITORÍA INTERNA EN ENTIDADES FINANCIERAS DENTRO DE UN BUEN GOBIERNO CORPORATIVO

DIPLOMADO EN VERIFICACIÓN DE LAS CONDICIONES PARA LA HABILITACIÓN DE PRESTADORES DE SERVICIOS DE SALUD.

Implementación de Centros de Computo y Redes de Computadoras

INFORME DEL AUDITOR INTERNO A LA JUNTA DIRECTIVA AÑO 2012

Fortalezas. Empresa Certificada ISO 9001 Certificado:CERT-AVRQ I

SOLUCIONES INTEGRADAS PARA LA ADMINISTRACION, GESTION Y CONTROL DE MANTENIMIENTOS DE EQUIPAMIENTO INDUSTRIAL

MANUAL M-SGC SISTEMA DE GESTIÓN DE CALIDAD CONTROL DE CAMBIOS Y MEJORAS DESCRIPCIÓN DE LA MODIFICACIÓN Y MEJORA

NORMAS INTERNACIONALES AUDITORÍA INTERNA

IMPACTO DE LA APLICACIÓN DE INTERNACIONALES EN LAS FUNCIONES, PROCESOS Y SISTEMAS DE INFORMACIÓN EN LA ORGANIZACIÓN

INGENIERÍA INDUSTRIAL EN COMPETENCIAS PROFESIONALES

SEMINARIO. Los 8 Principios de ISO

Sistema de Gestión de Excelencia Operacional

MATRIZ DE CORRELACIÓN ISO 9001:2015 e ISO 9001:2008 y CAMBIOS CLAVES

ESTATUTO DE AUDITORÍA INTERNA DE BANCA MARCH

NTE INEN-ISO/IEC Segunda edición

ANEXO 3. IMPLEMENTACIÓN DEL SISTEMA DE ADMINISTRACIÓN

MEJORES PRÁCTICAS CORPORATIVAS

4. Planeamiento preliminar. Estrategia de la auditoría. Conocimiento del ente y su ambiente

Diplomado Gerencia de Calidad para Banco de Sangre

BIENVENIDOS TALLER ISO

1- INTRODUCCIÓN 2- OBJETIVOS GENERALES 3- CONTENIDO MODULO N 1 PROGRAMA DE FORMACIÓN EN SISTEMAS DE GESTIÓN INTEGRAL HSEQ

Introducción a la Estrategia

ARQUITECTURA EMPRESARIAL ESTRATEGIA DE ACOMPAÑAMIENTO 2016

PRIMER CONGRESO DE MANTENIMIENTO CANAL DE PANAMÁ

REVISIÓN DE ASEGURAMIENTO DE CALIDAD DE LA ACTIVIDAD DE LA AUDITORÍA INTERNA

Enfoque moderno de la Auditoría Interna y las Normas

Política de Desarrollo Sostenible Versión: 1.2

QUÉ ES EL MIPG? Es la carta de navegación en el ejercicio de planeación y gestión de la entidad.

GESTIÓN 3e, S.L. Tfno Mail:

Rol de las Oficinas de Proyecto (PMO) en las Organizaciones. Qué es lo que hay dentro de una PMO?

Alcances de la Norma Draft ISO Technical Specification ISO/DTS María Altamirano

PLANEACION ESTRATÉGICA

MA. BEATRIZ VALENCIA EL CASERIO

Manual Operativo Gerencia de Sistemas de Calidad

TRANSITION WITH CONFIDENCE ESTRUCTURA GLOBAL COMPARATIVA ENTRE OHSAS ISO 45001

ING. YIM APESTEGUI FLORENTINO. Planeación y Administración Estratégica

Pasto - Nariño FICHA TÉCNICA PROCESO AUDITORIA INTERNA. Fecha de Elaboración: 04/04/2011. Cargo: Auditor Interno

Plan Estratégico Recursos Humanos y DO Plan Anual: 2011: Objetivo Eficacia y Eficiencia Organizacional

CARRERA DE INGENIERÍA CIVIL EN INFORMÁTICA COMPETENCIAS ESPECÍFICAS Y SUS NIVELES DE DOMINIO

3) La declaración en la que se describe cómo desea ser la organización en el futuro es

3er Congreso Nacional de Auditoría Interna CONAI. Mayo 29, Las Tres Líneas de Defensa: Quién tiene que hacer qué?

5. MODELO DE AUDITORIA. Se presenta ahora un modelo básico para la realización de una auditoría integral eficiente;

1. Los flujogramas o diagramas de flujo son herramientas de: 2. Entre los beneficios del trabajo en grupo se encuentra:

Sustantiva Órgano Interno de Control. Subdirector de Infraestructura. Dirección de Infraestructura

Organización del Departamento de Auditoría Informática. - - Clases y Tipos - - Funciones - - Perfiles profesionales.

Elaboró: Francisco Restrepo Escobar

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

MAXIMIZANDO EL VALOR DE LA AUDITORIA MEDIANTE EL MODELO DE LAS TRES LINEAS DE DEFENSA. Carmen Maza Ramos, CRMA Vicepresidenta de Auditoría Interna 1

Gerencia de Proyectos

Ficha de Planeación por Proyecto Estratégico

TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL. Administrador de Redes, Sistema de Expediente Digital Interinstitucional (SEDI).

Resumen Ejecutivo. Generar ahorros a través de mejores prácticas ambientales

Sistema Cameral de Control Interno (SCCI) Reporte Consolidado

Experiencia Curricular: Administración II. Sesión: El proceso estratégico y la administración estratégica

Transcripción:

Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC- PREVISIONES ESPECIALES Ponente: David García Vega Economista-Auditor de Cuentas. Miembro de Responsia Compliance, S.L. Docente Master de Post-Grado Contabilidad y Auditoría de Cuentas UGR y UCA.

DEFINICIÓN GRC se puede entender como una rama de la gestión de las organizaciones que permite integrar las Tecnologías de la Información junto con los marcos regulatorios y legisla vos, en la estrategia corporativa. La filosofía de la gestión GRC permite realizar un tratamiento integrado sobre las áreas de Gobierno (Governance), Gestión de Riesgos (Risk-Management) y Gestión del Cumplimiento (Compliance). estas tres áreas, dentro de la Organización, dejan de considerarse de forma separada para integrarse dentro de una única visión de la gestión empresarial. 2

OBJETIVOS Gobierno Responsabilidad de la Dirección en la gestión y transparencia en la organización, garantizando la implantación y adhesión a las polícas definidas (LIDERAZGO). Gestión de Riesgos Mecanismos de identificación, análisis y evaluación de las amenazas que impliquen riesgos para el logro de los obje vos de la organización, y planicación y seguimiento de las actividades o proyectos encaminados a la reducción del riesgo. Gestión del Cumplimiento Mecanismos de identificación de la legislación y regulación vigente aplicable y de verificación de su cumplimiento, considerando tanto normas externas como internas. 3

OBJETIVOS Control Las políticas, procedimientos, prácticas y estructuras organizacionales para proporcionar seguridad razonable de que los objetivos organizacionales se alcanzarán y que los eventos no deseados se evitarán o detectarán y corregirán. Objetivo de control Una declaración de que el resultado o propósito deseado se alcanzará al implantar mecanismos de control en una actividad particular de tecnología de información 4

PROCESO 5

POR QUÉ IR A UNA FILOSOFÍA DEL GRC PARA ELABORAR COMPLIANCE? A medida que las organizaciones crecen en complejidad y tamaño, resulta más evidente la importancia de contar con una estructura adecuada en que cada nivel tome las decisiones para las que ha sido diseñado. El buen gobierno permite controlar y mejorar los niveles de servicio, reducir los riesgos y mejorar los costes de los Servicios ofrecidos cumpliendo con el marco regulatorio y legal aplicable. Si el GRC está bien diseñado e implantado, se consigue una mayor calidad de servicios y gestión, facilitando el logro de los objetivos definidos y optimizando los costes afrontados. 6

CÓMO INTEGRAR EL GOBIERNO CORPORATIVO, LA GESTIÓN DE RIESGOS Y LA GESTIÓN DEL CUMPLIEMINTO? No resulta sencillo implantar este modelo, como ocurre con cualquier mejora en el ámbito de la gestión corporativa. Por ello, resulta recomendable definir una unidad que se encargue de implementar GRC a partir de la gestión multidisciplinar pero de manera centralizada. Es la oficina GRC, construida como un centro de competencia especializado. 7

8

9

TIPOS DE GOBIERNO Ø Existen diferentes tipos de gobierno: Ø Gobierno Corporativo. Ø Gobierno de Proyectos. Ø Gobierno de Tecnologías de Información. Ø Gobierno Ambiental. Ø Gobierno Económico y Financiero. Ø Cada tipo tiene una o más fuentes de orientación, cada uno con objetivos similares pero con frecuencia varían términos y las técnicas para su realización. 10

FORMA DE IMPLEMENTACIÓN Ø La integración de la aplicación de las actividades de GRC dentro de una empresa requiere un enfoque sistémico para el eficaz logro de los objetivos empresariales de sus grupos de interés. Ø Estos enfoques se basan normalmente en facilitadores de diversos tipos (por ejemplo, los principios, las políticas, modelos, marcos, estructuras organizacionales). 11

EJEMPLO MODELO DE GRC 12

Alcance GOBIERNO CORPORATIVO & TECNOLOGIA DE LA IFORMACIÓN Este estándar establece los principios rectores para directores de organizaciones (incluyendo propietarios, miembros del consejo, directores, socios, ejecutivos de alto nivel, o similar) sobre el uso eficaz, eficiente y aceptable de la tecnología de la información (TI) dentro de sus organizaciones. Esta norma se aplica a la gestión de los procesos de gestión (toma de decisiones) relativas a los servicios de información y comunicación utilizados por una organización. Estos procesos pueden ser controlados por especialistas en TI dentro de la organización o de los proveedores de servicios externos, o por unidades de negocio dentro de la organización. 13

GOBIERNO CORPORATIVO & TECNOLOGIA DE LA IFORMACIÓN Principios Ø Responsabilidad Ø Estrategia Ø Adquisición Ø Desempeño Ø Conformidad Ø Comportamiento Humano Modelo Los administradores debe gobernar las TI a través de tres tareas principales: a) Evaluar el uso actual y futuro de TI. b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumple con los objetivos de negocio. c) Monitorear la conformidad de las políticas, y el desempeño contra los planes. 14

GOBIERNO CORPORATIVO & TECNOLOGIA DE LA IFORMACIÓN Principios Ø Responsabilidad Ø Estrategia Ø Adquisición Ø Desempeño Ø Conformidad Ø Comportamiento Humano Modelo Los administradores debe gobernar las TI a través de tres tareas principales: a) Evaluar el uso actual y futuro de TI. b) Preparación directa y la aplicación de planes y políticas para garantizar que el uso de las TI cumple con los objetivos de negocio. c) Monitorear la conformidad de las políticas, y el desempeño contra los planes. 15

16

17

Control OBjectives for InformationandRelated Technology (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) Fuente: Control Objectives for Information and Related Technology (CObIT) 18

Definición Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización. Promueve el enfoque y la propiedad de los procesos. Apoya a la organización al proveer un marco que asegura que: Ø La Tecnología de Información (TI) esté alineada con la misión y visión. Ø LA TI capacite y maximice los beneficios. Ø Los recursos de TI sean usados responsablemente. Ø Los riesgos de TI sean manejados apropiadamente 19

COBIT 5 reúne a los cinco principios que permiten a la empresa de construir una gobernabilidad efectiva y un marco de gestión basado en un conjunto holístico de siete facilitadores que optimiza la información y la inversión en tecnología y el uso para el beneficio de las partes interesadas. COBIT 5 ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. COBIT 5 permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos. Los principios y los facilitadores de COBIT 5 son de carácter genérico y útil para las empresas de todos los tamaños, ya sea comercial, sin fines de lucro o en el sector público. 20

Los Principios de COBIT 5 1. Satisfacer las necesidades de las partes interesadas 5. Separar el Gobierno de la Administración 2. Cubrir la Organización de forma integral Principios de COBIT 5 4. Habilitar un enfoque holistico (TODO) 3. Aplicar un solo marco integrado 21

HABILITADORES DEL COBIT 2. Procesos 3. Estructuras Organizacionales 4. Cultura, Ética y Comportamiento 1. Principios, Políticas y Marcos 5. Información 6. Servicios, Infraestructura y Aplicaciones RECURSOS 7. Personas, Habilidades y Competencias 22

USUARIOS COBIT Gerencia: Apoyar decisiones de inversión en TI y control sobre su rendimiento, así como analizar el costo-beneficio del control. Usuarios Finales: Garantizar seguridad y control de los productos que adquieren interna y externamente Auditores : Apoyar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y el control mínimo requerido. Responsables de TI: Identificar los controles que requieren. 23

PRINCIPIOS DEL COBIT PROCESOS DE TI REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI 24

ESTRUCTURA COBIT EVENTOS Objetivos de negocio Oportunidades de negocio Requerimientos externos Regulación Riesgos Datos Aplicaciones Tecnología Instalaciones Recurso Humano INFORMACIÓN Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad 25

Cobit - Estructura Lo que usted Obtiene Información Procesos del Negocio Recursos de TI Lo que Usted Necesita Criterios Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Datos Aplicaciones Tecnología Instalaciones Recurso Humano Concuerdan 57 26

CUBO de CobiT Relación entre los componentes Criterios de la Información Procesos TI Dominios Procesos Actividades 27

No se puede mostrar la imagen en este momento. 28

No se puede mostrar la imagen en este momento. 29

Cobit - Requerimientos de la Información del Negocio Ø Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable Ø Eficiencia: Empleo óptimo de los recursos. Ø Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada Ø Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización. 30

Cobit - Requerimientos de la Información del Negocio Ø Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades. Ø Cumplimiento: Leyes, regulaciones y compromisos contractuales. Ø Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo. 31

Recursos de TI Ø Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc. Ø Aplicaciones: Sistemas de información, que integran procedimientos manuales y sistematizados. Ø Tecnología: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. Ø Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. Ø Recurso Humano :Habilidad, actitud y productividad del personal. 32

No se puede mostrar la imagen en este momento. 33

Planeación y Organización Adquisición e Implantación Definición de un plan estratégico Definición de la arquitectura de información Determinación de la dirección tecnológica Definición de organización y relaciones Administración de la inversión Comunicación de las políticas Administración de los recursos humanos Asegurar el cumplimiento con los requerimientos Externos Evaluación de riesgos Administración de proyectos Administración de la calidad Identificación de soluciones automatizadas Adquisición y mantenimiento del software aplicativo Adquisición y mantenimiento de la infraestructura tecnológica Desarrollo y mantenimiento de procedimientos Instalación y aceptación de los sistemas Administración de los cambios 34

Servicios y Soporte Seguimiento Definición de los niveles de servicios Administración de los servicios de terceros Administración de la capacidad y rendimientos Aseguramiento del servicio continuo Aseguramiento de la seguridad de los sistemas Entrenamiento a los usuarios Identificación y asignación de los costos Asistencia y soporte a los clientes Administración de la configuración Administración de los problemas Administración de los datos Administración de las instalaciones Administración de la operación Seguimiento de los procesos Evaluación del control Interno Contratación de un aseguramiento independiente 35

RESUMEN Ø El marco COBIT 5 incluye la orientación necesaria para apoyar los objetivos de GRC de la empresa y actividades de apoyo: Ø Actividades de gobierno relacionadas a GEIT (5 procesos) Ø Procesos de gestión de riesgos y apoyo para la gestión de riesgos a través del espacio GEIT Ø Cumplimiento: un enfoque específico en las actividades de cumplimiento en el marco y cómo encajan dentro de la imagen completa de la empresa Ø La inclusión de los acuerdos de GRC en el marco de negocio para GEIT ayuda a las empresas a evitar el problema principal con soluciones GRC -silos de actividad! 36

MUCHAS GRACIAS POR SU ATENCION David García Vega Economista Auditor David.garcia@responsia.es 37

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback