Resultados del primer ciclo de auditoría sobre la gestión de TI. Cooperativas de Ahorro y Crédito

Resultados del primer ciclo de auditoría sobre la gestión de TI Cooperativas de Ahorro y Crédito

Agenda O Objetivo del Acuerdo SUGEF 14-09 O Ciclo de auditoría (Revisión del cumplimiento) O Expectativas del regulador O Resultados de la primera auditoría O Lecciones aprendidas O Perspectivas de la normativa

Escenario de gestión de TI O El aumento de la dependencia tecnológica caracteriza a las actividades financieras O Los costos de las inversiones en sistemas de información pueden ser considerables O La proliferación de amenazas y eventos no deseados es constatable O Las tecnologías poseen potencial para cambiar drásticamente los procesos de negocio de las organizaciones

Objetivo del Acuerdo SUGEF 14-09 O Definir un marco de gestión del riesgo tecnológico de acuerdo con las mejores prácticas en la materia. O Actualizar el enfoque normativo de la superintendencia, analizando la normativa de anterior vigencia (CONASSIF 347-2002) y considerando los criterios de entes especializados en materia de auditoría de gestión de TI y supervisión financiera.

Marco de Referencia : CobiT

Agenda O Objetivo del Acuerdo SUGEF 14-09 O Ciclo de supervisión (Revisión del cumplimiento) O Resultados de la primera auditoría O Conclusiones O Perspectivas de la normativa

Ciclo de Supervisión Seguimiento y monitoreo SUGEF Remisión a SUGEF del plan correctivo - preventivo Comunicado a la entidad calificación de la Gestión de TI Remisión a la SUGEF del Perfil Tecnológico Comunicación a la entidad del alcance de la revisión externa Revisión externa y remisión a SUGEF del resultado

Porcentaje de cooperativas que se encuentran en algún grado de irregularidad

Gestión de TI por dominio CobiT - Sector Financiero Costarricense 100% 73% Nota de Gestión de TI 90% 72% 64% 80% 68% 70% 60% 50% 40% 40% 33% 30% 30% 34% 20% 10% 0% Adquirir e Implementar Dar Soporte Monitorear y Evaluar Planificar y Organizar Dominio CobiT Cooperativas Sector Financiero(sin Cooperativas)

Cooperativas de ahorro y crédito: Distribución de notas de gestión según escala del Acuerdo 14-09 30 Cooperativas 25 27 20 15 10 5 0 2 2 0 Normalidad (X> =85) Irregularidad 1 (70>X<85) Cantidad Normalidad (X> =85) 0 Irregularidad 1 (70>X<85) 2 Irregularidad 2 (55>X<70) Irregularidad 3 (X<55) Irregularidad 2 (55>X<70) 2 Irregularidad 3 (X<55) 27

Promedio de valoración de procesos CobiT del dominio Planear y Organizar para cooperativas de ahorro y crédito 100% 90% Promedio 80% 70% 60% 50% 40% 30% 20% 10% 0% 39% 44% 31% 30% 26% PO 1 Definir un Plan Estratégico de TI PO 10 Admin. Proyectos PO 3 Determinar Dirección Tecnológica Proceso CobiT PO 5 Admin. Inversión en TI PO 9 Evaluar y Admin. Riesgos de TI

Promedio de valoración de procesos CobiT del dominio Dar Soporte para cooperativas de ahorro y crédito 100% 90% 80% Promedio 70% 60% 55% 50% 40% 30% 26% 35% 30% 41% 20% 25% 10% 31% 19% 0% DS 10 Admin. Problemas DS 11 Admin. DS 12 Admin. Datos DS 2 Admin. Ambiente Servicios de Físico Terceros DS 3 Admin. Desem. y Capacidad Proceso CobiT DS 4 Garantizar Cont. del Servicio DS 5 Garantizar Seguridad de los Sistemas DS 9 Admin. la Configuración

Brecha de cumplimiento en cooperativas de ahorro y crédito AI 3 Adquirir y Mantener Infr. Tec. PO 9 Evaluar y Admin. Riesgos de TI 100% AI 5 Adquirir Recursos de TI PO 5 Admin. Inversión en TI 80% AI 6 Admin. Cambios PO 3 Determinar Dirección Tecnológica 60% 40% DS 10 Admin. Problemas PO 10 Admin. Proyectos 20% 0% DS 11 Admin. Datos PO 1 Definir un Plan Estratégico de TI DS 12 Admin. Ambiente Físico ME 2 Monitorear y Evaluar Control Interno DS 2 Admin. Servicios de Terceros DS 9 Admin. la Configuración DS 5 Garantizar Seguridad de los Sistemas DS 3 Admin. Desem. y Capacidad DS 4 Garantizar Cont. del Servicio

Cooperativas de ahorro y crédito: valoración de niveles de madurez para el dominio Planificar y Organizar 0.77 PO 10 Administrar Proyectos 0.61 Planificar y Organizar PO 9 Evaluar y Administrar los Riesgos de TI 1.32 PO 5 Administrar la Inversión en TI 0.68 PO 3 Determinar la Dirección Tecnológica 1.00 PO 1 Definir un Plan Estratégico de TI 0.00 0.50 1.00 1.50 Nivel de Madurez 2.00 2.50 3.00

Cooperativas de ahorro y crédito: valoración de niveles de madurez para el dominio Dar Soporte 1.10 DS 12 Administración del Ambiente Físico DS 11 Administración de Datos 0.48 0.58 Dar Soporte DS 10 Administración de Problemas 0.81 DS 9 Administrar la Configuración 0.84 DS 5 Garantizar la Seguridad de los Sistemas DS 4 Garantizar la Continuidad del Servicio 0.48 0.87 DS 3 Administrar el Desempeño y la Capacidad 0.81 DS 2 Administrar los Servicios de Terceros 0.00 0.50 1.00 1.50 2.00 Nivel de Madurez 2.50 3.00

Cooperativas de ahorro y crédito: Brecha de valoración de niveles de madurez Obtenido Requerido Máximo AI 3 Adquirir y Mantener Infr. Tecnológica 5.00 PO 10 Administrar Proyectos AI 5 Adquirir Recursos de TI PO 9 Evaluar y Administrar los Riesgos de TI PO 5 Administrar la Inversión en TI 4.00 3.00 2.00 AI 6 Administrar Cambios DS 2 Administrar los Servicios de Terceros PO 3 Determinar la Dirección Tecnológica 1.00 0.00 DS 3 Administrar el Desempeño y la Capacidad PO 1 Definir un Plan Estratégico de TI DS 4 Garantizar la Continuidad del Servicio ME 2 Monitorear y Evaluar el Control Interno DS 5 Garantizar la Seguridad de los Sistemas DS 12 Administración del Ambiente Físico DS 11 Administración de Datos DS 9 Administrar la Configuración DS 10 Administración de Problemas

Aspectos relevantes O 0% de las entidades cooperativas alcanzan el grado de Normalidad dispuesto en la normativa. O 1 proceso alcanza el grado de Irregularidad 2 (de un total de 17). O Próximo ciclo de auditoría inicia en agosto de 2012. O Las entidades requieren esfuerzo de gran magnitud para alcanzar un grado de evaluación de Normal en el corto plazo.

Conclusiones O Las entidades deben establecer los mecanismos de gestión necesarios para que los productos de auditoría, previo a la entrega a la superintendencia: O Cumplan en plazo y forma lo establecido en los lineamientos. O Reflejen las particularidades de la gestión de sus procesos de gestión de TI.

Cantidad de cooperativas Cooperativas de ahorro y crédito: Reemplazo de productos de auditoría de TI 30 25 20 14 15 12 10 5 4 0 1 1 2 3 4 Cantidad de envíos

Conclusiones O Se requiere una identificación adecuada del alcance e impacto de las acciones derivadas de la implementación del Acuerdo SUGEF 14-09, así como una debida asignación de responsabilidades. O El potencial del área de TI de la organización para ejecutar la totalidad de acciones requeridas es limitado, por lo que se requiere un mayor involucramiento de la administración como facilitador y enlace.

Conclusiones O Una entidad debe evitar que sus actividades se desarrollen con un enfoque tradicional de cumplimiento regulatorio. El enfoque debe ser sobre el valor que genera cada acción a sus procesos de gestión. O La entidad no debe esperar una auditoría externa requerida por el Acuerdo 14-09 como detonante de sus acciones de implementación.

Conclusiones O La entidad debe valorar conforme se ejecuten las acciones del plan de acción si las mismas: O Determinan todas las acciones necesarias O Se fundamentan únicamente en las observaciones del informe de auditoría o incluyen también una evaluación proactiva de la gestión de TI O Cuenta con el plazo necesario para que las acciones generen evidencia suficiente en términos de la próxima auditoría

Modificaciones a la normativa O Homologación de normativa para todas las superintendencias (Acuerdo Conassif 8-2012). O Incluye la experiencia del primer ciclo de auditoría y permite mejoras en el proceso y forma de evaluación, que aporten mayor valor al auditado y al supervisor.

Resultados del primer ciclo de auditoría sobre la gestión de TI Cooperativas de Ahorro y Crédito Carlos Mauricio Gómez Aguilar cgomez@sugef.fi.cr Osvaldo Sánchez Chaves osanchez@sugef.fi.cr