GUIA DE AUDITORIA BASADA EN RIESGOS PARA TECNOLOGIA DE INFORMACIÓN (TI) EN LA BANCA PÚBLICA

Documentos relacionados
CONTENIDO. Elementos Conceptuales, Legales y Metodológicos Relativos a la Auditoría de Gestión

TENDENCIA ACTUAL DE LA AUDITORÍA INTERNA

Comentarios a la Circular Nº G SBS sobre Gestión de la continuidad del negocio

Aplicación práctica de las normas de Auditoría Interna a través de la tecnología Osvaldo Lau C., CISA, CRISC Socio Global Advisory Solutions

METODOLOGIA PARA LA AUDITORIA SOCIAL

AUDITORIA DE GESTION

EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala

NORMAS DE AUDITORÍA DEL SECTOR GUBERNAMENTAL

Seguridad de la Información

Boletín de Consultoría Gerencial Importancia de la Auditoría Interna en las Organizaciones (1/3)

SENSIBILIZACIÓN DEL SISTEMA DE CONTROL INTERNO. Expositores:

AUDITORIAS INTERNAS CLAUDIA L. ZAMBRANO V. 2013

El paquete completo de COBIT consiste en:

Este programa está basado en el proceso genérico de aseguramiento desarrollado en la sección 2B del libro COBIT 5 para aseguramiento.

INGENIERÍA DE SISTEMAS E INFORMÁTICA

DIPLOMADO VIRTUAL: ISO 9001:2015 Una herramienta al alcance de todos!

INFORME FINAL DE AUDITORÍA

3er Congreso Nacional de Auditoría Interna CONAI. Mayo 29, Las Tres Líneas de Defensa: Quién tiene que hacer qué?

Índice General. La Auditoría de los Estados Financieros en el Perú. Introducción... 5

Las Cooperativas en el Sistema Financiero Ecuatoriano. Las Cooperativas frente a los Organismos de Control

BIENVENIDOS CODIPROSYTEM CIA. LTDA.

TÉCNICO SUPERIOR UNIVERSITARIO EN PROCESOS INDUSTRIALES AREA SISTEMAS DE GESTIÓN DE LA CALIDAD EN COMPETENCIAS PROFESIONALES ASIGNATURA INTEGRADORA II

INFORME PORMENORIZADO DE CONTROL INTERNO (Enero - Abril) 2018

CONTRALORIA GENERAL DEL ESTADO MANUAL GENERAL DE AUDITORIA GUBERNAMENTAL

Análisis de riesgos y Evaluación del Control Interno

Revisión de calidad de la función de Auditoría Interna

INSTRUCTIVO PARA LA AUDITORIA DEL SISTEMA DE GESTION DE CALIDAD SEPTIEMBRE 2005

INGENIERIA EN GESTION DE PROYECTOS

PROCESO DE CONTROL (AUDITORÍA) DEL SISTEMA DE GESTIÓN AMBIENTAL

COSO I Y COSO II. LOGO

CURSO DE PREPARACIÓN PARA EL EXAMEN INTERNACIONAL COMO GERENTE CERTIFICADO EN SEGURIDAD DE LA INFORMACIÓN C.I.S.M 2017

NORMAS INTERNACIONALES AUDITORÍA INTERNA

Anexo O. Cálculo de la Inversión del Proyecto

COBIT 4.1. Planear y Organizar PO9 Evaluar y Administrar los Riesgos de TI. By Juan Antonio Vásquez

PROCEDIMIENTO PARA AUDITORIAS INTERNAS 1. OBJETIVO

Metodología COSO Alineada con el Funcionamiento de un Modelo de Gestión Tecnológica

NIA 230 Documentación de la Auditoría Septiembre 2015

GOBIERNO CORPORATIVO. Modelo del Gobierno Corporativo

Plan de Administración de Riesgos SUPERINTENDENCIA NACIONAL DE SERVICIOS DE SANEAMIENTO - SUNASS PLAN DE ADMINISTRACIÓN DE RIESGOS

NIA 610 Utilización del trabajo de los Auditores Internos NORMAS INTERNACIONALES DE ASEGURAMIENTO DE LA INFORMACIÓN NAI

UNIVERSIDAD EXTERNADO DE COLOMBIA FACULTAD DE CONTADURIA PÚBLICA PROGRAMA DE PREGRADO ENFASIS PROFESIONAL NOMBRE DE LA MATERIA DISEÑO DE CONTROL

Tutor: Ing. Giovanni Ron Gavi Mgs. Maestrantes: Ing. Gerardo Cajamarca Méndez. Ing. Daniel Guerrón Benalcázar.

Subsistema de administración de la Seguridad de los Procesos (SASP)

PROCEDIMIENTO AUDITORÍAS INTERNAS

GUÍA DE OPERACIÓN DEL COMITÉ DE ADMINISTRACIÓN DE RIESGOS

NIA 220 Control de calidad para auditorias de Información Financiera NORMAS INTERNACIONALES DE ASEGURAMIENTO DE LA INFORMACIÓN NAI

5. UNIDAD DE AUDITORÍA INTERNA

DIPLOMADO EN seguridad y auditoría de tecnologías de la información DURACIÓN 5 MESES.

CONTROL INTERNO - EL INFORME COSO

Manual de Auditoría Gubernamental de Desempeño

Normas Internacionales

CARGO RESPONSABILIDADES AUTORIDAD

ISO 19011:2018. DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN

Gestión Ambiental en la Industria de Procesos.

Gobierno de TI a través de COBIT 4.1 y cambios esperados en COBIT 5.0. Eduardo Martínez Estébanes y Juan Carlos García Cano

Papeles de Trabajo para Auditoría

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Guía del Curso Técnico en Seguridad Informática

CODIGO VERSION POL 001 V.2 RESPONSABLE Equipo de Auditoria VIGENTE DESDE TIPO DE POLITICA Control y Gestión Julio 2014

COBIT 5. Construir, Adquirir e Implementar (BAI) 01 Gestionar Programas y Proyectos. Juan Antonio Vásquez

ISO 9001:2015 Checklist de Transición

GOBIERNO REGIONAL PIURA GERENCIA SUB REGIONAL MORROPÓN HUANCABAMBA INFORME GERENCIAL

Auditoría Interna de clase mundial. Solo en USAC!

CONSEJO DE LA JUDICATURA ESTRUCTURA ORGANIZACIONAL POR PROCESOS DE LA DIRECCIÓN NACIONAL DE PLANIFICACIÓN

AUDITORIA INFORMATICA. Carlos A Jara

DIRECCIÓN DE AUDITORÍA INTERNA

AUDITORIA EN SISTEMAS NORMA DIANA NATALY CUERVO BAQUERO JULIAN DAVID HERNANDEZ RIVERA

Fundamentos de Marketing

Política de Gestión de Riesgos

Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete

CARGO RESPONSABILIDADES AUTORIDAD. Toda copia en PAPEL es un Documento No Controlado

NIA 610 Utilización del Trabajo de Otros Septiembre 2016

NORMAS INTERNACIONALES DE AUDITORIA NIAS: Fundamentos Prácticos del trabajo de aseguramiento. Diplomado presencial

SISTEMA DE CONTROL INTERNO GENERALIDADES.

EDESUR DOMINICANA Dirección de Planificación y Control de Gestión

NORMAS INTERNACIONALES AUDITORÍA INTERNA

Charla de Sensibilización sobre Control Interno

MANUAL DE AUDITORÍA O REVISIÓN A LAS DEPENDENCIAS DE LA UNIVERSIDAD AUTÓNOMA DE SAN LUIS POTOSÍ.

SISTEMA DE CONTROL INTERNO

LA AUDITORIA FINANCIERA CPC MIGUEL DÍAZ INCHICAQUI

La Ley Nº 28716, Ley de Control Interno de la Entidades del Estado, define como::

GUÍA AUDITORÍA INTERNA GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

PODER JUDICIAL DEL ESTADO DE GUANAJUATO

AUDITORÍA Y REVISIÓN POR LA ALTA DIRECCIÓN

PREGUNTAS FRECUENTES DEL PROCESO DE GESTIÓN DE RIESGOS

AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

MANUAL DE PROCEDIMIENTOS DE LA UNIDAD DE AUDITORIA INTERNA

Procedimiento para Auditorías Internas

TÉCNICO SUPERIOR UNIVERSITARIO EN PROCESOS INDUSTRIALES AREA SISTEMAS DE GESTIÓN DE LA CALIDAD EN COMPETENCIAS PROFESIONALES

ANEXO A: Síntesis del estándar ISO/IEC 27001:2005 [J]

Sistema de Gestión de la Seguridad y Salud en el Trabajo

Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

1. OBJETIVO DE LA GUIA

Ministerio de Educación Pública Dirección de Planificación Institucional Departamento de Control Interno y Gestión del Riesgo

EXPERIENCIA DE IMPLEMENTACION DE LA NTP ISO/IEC 27001:2014. Ing. CIP Maurice Frayssinet Delgado

Sensibilización sobre la implementación del SCI en la PCM 18, 19 y 21 de julio de 2016

DIPLOMADO: SUPERVISOR EN SISTEMAS DE CALIDAD Y PRODUCTIVIDAD

QUÉ ES EL CONTROL INTERNO?

4. Planeamiento preliminar. Estrategia de la auditoría. Conocimiento del ente y su ambiente

Transcripción:

GUIA DE AUDITORIA BASADA EN RIESGOS PARA TECNOLOGIA DE INFORMACIÓN (TI) EN LA BANCA PÚBLICA Maestría en Evaluación y Auditoría de Sistemas Tecnológicos Integrantes: Tannya Benalcázar Martínez Carlos Quinga Collaguazo Tutor: Ing. Paulo Bermeo

1. Introducción AGENDA 2. Objetivos 3. Marco Teórico 4. Auditoria Basada en Riesgos 5. Guía de Auditoría Basada en Riesgos 6. Conclusiones 7. Recomendaciones

Introducción La presente tesis pretende ser un referente para el desarrollo de auditorías a nivel de Sistemas Tecnológicos dentro del segmento de la Banca y específicamente para la Banca Publica, lo que permitirá mantener un ambiente de control definido con normas, políticas y procedimientos que garanticen calidad, confiabilidad y seguridad de la información. Ha cobrado gran importancia dentro de las organizaciones las tecnologías de información puesto que soportan las metas y objetivos del negocio. Ante la necesidad de minimizar el impacto provocado por los riesgos y para mitigarlos y a la vez dar cumplimiento a las disposiciones legales, es necesario disponer de una guía para el desarrollo de la auditoria de TI basada en Riesgos

Objetivos Desarrollar un marco de referencia que contribuya al área de auditoría interna y que sirva de apoyo para la realización de auditorías basada en riesgos tecnológicos en la banca pública.. Facilitar a la auditoría interna el dirigir, supervisar y revisar los procesos relacionados con las tecnologías de información a auditar. Mejorar los procesos de auditoría interna. Permitir evidenciar el grado de cumplimiento regulatorio sobre las tecnologías de información basada en las normas definidas por organismos de control. Ayudará a crear procedimientos de auditorías alineados con los estándares y mejores prácticas de TI para la administración de riesgo y control.

Marco Teórico Sistema Financiero en el Ecuador Principalmente La Banca Pública PERMITE Intermediación financiera. Los bancos es el mayor participante con el 90%. CARACTERIZA Enfocados a la cobertura de sectores estratégicos Constituye uno de los componentes mas importantes: BEDE, BEV, BNF, CFN, BIESS. Crecimiento en Activos, Pasivo, Patrimonio y Cartera Apoyado en las TI

Crecimiento de La Banca Pública A través de la innovación de las TI se ha logrado el mejoramiento en las operaciones y servicios que ofrecen. Indispensable disponga de mecanismos de control que permita identificar y mitigar los riesgos tecnológicos a los que puede estar expuesta. Medidas de Seguridad Procesos de Auditoría Cumplimiento regulatorio establecido por los organismos de control referentes a riesgos en las tecnologías de información, SBS y Contraloría General del Estado.

Las Normas de Auditoría Generales NORMAS DE AUDITORÍA Súper Intendencia de Bancos y Seguros Contraloría General del estado Resolución No. JB- 2005-834 Resolución No. JB- 2010-1549 Resolución No. JB- 2012-2148 Norma 410 referente a las Tecnologías de Información

Métodos de Gestión y Evaluación de Riesgos Método Descripción Fases MAGERIT ISO 27005 Metodología de Análisis y Gestión de Riesgos de TI Information Security Risk Management Planificación Análisis Gestión Salvaguardas Valoración Tratamiento Aceptación Comunicación Monitoreo RISK IT Risk IT Management Gobierno Evaluación Respuesta

Control Método Descripción Fases COBIT 4.1 Gobierno TI 4 dominios 34 procesos 210 Objetivos de control COBIT 5.0 COSO Gobierno TI Empresarial Manejo integrado de control 5 dominios 37 procesos (5 Obj. Control riesgos, 2 procesos para SI) 1. Ambiente de control 2. Evaluación de riesgos 3. Actividades de control 4. Información y comunicación 5. Supervisión y seguimiento del sistema de control.

Auditoría Basada en Riesgos de TI La ABR de TI consiste en un conjunto de procesos mediante los cuales la auditoria provee aseguramiento independiente al directorio o al organismo acerca de: Los procesos y medidas de gestión del riesgo que se encuentran implementadas y están funcionando de acuerdo a lo esperado. Los procesos de gestión de riesgos son apropiados y están bien diseñados. Las medidas de control de riesgos implementado son adecuadas y efectivas. Dependen del nivel de desarrollo que la propia institución del sistema financiero ha alcanzado en la gestión de riesgos en el área objeto de examen. Se resume en cuatro fases: Planificación Basada en Riesgos, Ejecución, Comunicación de Resultados y Seguimiento.

1.- Planeación Realizar previamente la planificación de la auditoría, que le permita tener un entendimiento general del área a auditar. Procesos del Negocio Función que realiza Marco Regulatorio Sistemas de Información Comprender e identificar los procesos del negocio y de mayor riesgo soportados por las tecnologías de información. Comprender e identificar los controles existentes. Determinar las área o procesos Críticos. Identificar los procedimientos de auditoría a realizarse en la ejecución, quién y cuándo deben ejecutar y las tareas a desarrollar para que se cumplan en forma eficiente y efectiva.

1.- Planeación Fases de la Planeación de ABR Para realizar una adecuada planeación de la auditoría basada en riesgos el auditor de TI debe seguir una serie de pasos previos, que permitan dimensionar el tamaño y características del área de la entidad a ser auditada: Comprensión de Objetivos y procesos de negocio relacionados Identificación de Riesgos de TI Evaluación del Riesgo de TI Análisis de Riesgos Revisión de los controles relacionados con TI

1.- Planeación Plan de ABR de TI Actividades de Auditoría Diagnóstico General Objetivo de la Auditoría Alcance Auditoría Documentación Aplicable Identificación del equipo de Auditoría Costo y cronograma de actividades Fecha de realización y Horario Áreas y Procesos críticos a Auditar Plan de Pruebas Descripción de la Actividad Descripción y fines de la entidad. Origen de ser de la auditoría. Extensión del trabajo a realizar. Manuales, normas y normativa legal. Incluye el equipo de auditores. Define el costo y el cronograma. Tiempo de ejecución de la auditoría Asuntos más importantes identificados en la fase de planeación Pruebas que se ejecutarán

2.- Ejecución Objetivos Obtener y analizar toda la información posible del proceso que se audita Obtener evidencias suficientes, adecuadas e importantes que permitan al auditor establecer conclusiones fundadas en el informe acerca de las situaciones analizadas en sitio

2.- Ejecución El nivel efectivo de exposición al riesgo; Las causas que lo originan; Los efectos o impactos que se podrían ocasionar al materializarse un riesgo y, En base a estos análisis, generar y fundamentar las recomendaciones que debería acoger los Directivos.

3.- Resultado Como resultado de la auditoría, se debe presentar un informe por escrito, que debe contener los resultados, observaciones, conclusiones y comentarios. Este debe contener el objetivo, alcance y resultados del procedimiento de auditoría efectuados: Esta Fase consta de las siguientes actividades: 1. Elaboración de informe preliminar 2. Comunicación de informe preliminar 3. Elaboración de informe final de auditoría

4.- Seguimiento 1. Determinación de Objetivos de seguimiento 2. Plan Operativo de Seguimiento 3. Ejecución del Seguimiento de Auditoría 4. Informe del Seguimiento de Recomendaciones

Desarrollo de la Guía de ABR para TI en la Banca Pública Fases de ABR para TI PLANEACIÓN EJECUCIÓN COMUNICACIÓN DE RESULTADOS SEGUIMIENTO Actividad - Tarea Objetivo Productos de Entrada Productos de Salida Técnicas Base Normativa Participantes Acciones a Seguir Guía de Auditoría

Fases de la Auditoría Basada en Riesgos de TI en la Banca Pública

Fase 1 Planeación Individual 1.1 Investigación Preliminar. 1.1.1 Comprensión general de la entidad y los aspectos fundamentales. 1.1.2 Comprensión general del área de TI y procesos relacionados. 1.2 Identificación de Riesgos. 1.2.1 Identificar y clasificar lo activos. 1.2.2 Identificación de amenazas. 1.2.3 Identificación de vulnerabilidades. 1.2.4 Determinación del Riesgo.

Fase 1 Planeación Individual 1.3 Evaluación de Riesgos. 1.3.1 Evaluación de la Probabilidad. 1.3.2 Evaluación del Impacto. 1.4 Comprensión del control interno. 1.4.1 Identificar y Comprender los controles. 1.4.2 Evaluar el control interno.

Fase 1 Planeación Individual 1.5 Determinación de Áreas y Procesos Críticos. 1.5.1 Identificación de Áreas y Procesos Críticos. 1.6 Diseño del Plan de Pruebas. 1.6.1 Elaboración del Plan de Pruebas. 1.7 Plan de Auditoría Basada en Riesgos. 1.7.1 Elaboración del Plan de Auditoría Basada en Riesgos.

FASE 2: Ejecución de la Auditoría 2.1 Ejecución de Pruebas de auditoría 2.1.1 Ejecución de los procedimientos de auditoría 2.1.2 Documentar las pruebas 2.1.3 Elaboración/Recopilación de Papeles de trabajo

FASE 2: Ejecución de la Auditoría 2.2 Estructurar los Hallazgos de auditoría 2.2.1 Estructurar los hallazgos de auditoría 2.3 Análisis de Resultados y Conclusiones 2.3.1 Análisis de resultados y conclusiones

FASE 3: Resultado de la Auditoría 3.1 Elaboración de informe preliminar 3.1.1 Elaboración de informe preliminar 3.2 Lectura de informe preliminar 3.2.1 Lectura de informe preliminar 3.3 Elaboración de informe final de auditoría 3.3.1 Elaboración de informe final

FASE 4: Seguimiento 4.1 Determinación de Objetivos de seguimiento 4.1.1 Determinación de objetivos de seguimiento 4.2 Plan Operativo de Seguimiento 4.2.1 Plan operativo de seguimiento 4.3 Ejecución del Seguimiento de Auditoría 4.3.1 Ejecución de seguimiento de auditoría 4.4 Informe del Seguimiento de Recomendaciones 4.4.1 Informe de seguimiento

Conclusiones Servirá al auditor de TI como un marco de referencia que le facilitará, el dirigir, supervisar y revisar los procesos relacionados con las tecnologías de información a auditar en la Banca pública. Identificar, analizar y evaluar los riesgos tecnológicos a los que puede encontrarse expuesto la institución financiera, así como realizar la revisión y la evaluación de los controles existentes. Se encuentra apoyada en las normas y controles establecidos por los organismos de control como es la Superintendencia de Bancos y Seguros y la Contraloría General del Estado y en los estándares y mejores prácticas de TI.

Conclusiones Se ha podido evidenciar que si bien existen normas, estándares y las mejores prácticas de TI sobre la gestión del riesgo, no hay una guía o metodología específica de auditoría basada en riesgos de TI. Aportará considerables beneficios a la auditoría basada en riesgos de TI en la Banca Pública, como son: mayor eficiencia en el trabajo, contar con un marco de referencia que pueda retroalimentar a los auditores y apoyar sus funciones y mejoramiento en los procesos de ABR de TI.

Recomendaciones Se sugiere a los auditores internos de la banca pública promover en realizar auditorías de TI basada en riesgos, bajo el enfoque de aplicación de los estándares y mejores prácticas de TI para la gestión de riesgo y control interno, con el objeto de priorizar las auditorías en aquellos procesos de mayor riesgo tecnológico. Se recomienda a los auditores internos considerar como parte del proceso de auditorías en la banca pública la guía propuesta, esto les ayudará a desempeñar las funciones de auditoría con un enfoque ordenado y simplificado que les permitirá mejorar la eficiencia de los proceso de gestión de riesgos de TI y control interno en la entidad a auditar.

Recomendaciones Finalmente se sugiere que los auditores tomen conciencia de la importancia que tiene el realizar auditorías en la banca pública basada en riesgos tecnológicos, debido a que hoy en día las tecnologías de información se han convertido en el soporte fundamental en el que manejan las operaciones, por lo que es necesario garantizar la disponibilidad, confiabilidad e integridad de la información así como su infraestructura tecnológica.

Anexos Formularios

GRACIAS POR SU ATENCIÓN

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback