Otoniel Loaeza, CISA, CRISC Después de terminar esta sesión, el participante será capaz de: © ISACA 2016. All Rights Reserved. Entender el concepto de "Universo de Auditoría". Entender el reto del auditor de TI para apoyar en la identificación de riesgos en procesos (auditoría integral). Conocer el reto del auditor para apoyar en la identificación de riesgos en infraestructura y nuevas tecnologías. Entender el reto del responsable de auditoría para tener un equipo con las competencias requeridas para identificar riesgos (procesos y TI). #LATINCACS Agenda Preámbulo ¿Qué es universo de auditoría? Universo de auditoría TI – Aspectos a considerar. © ISACA 2016. All Rights Reserved. #LATINCACS Risk everywhere © ISACA 2016. All Rights Reserved. #LATINCACS IoT © ISACA 2016. All Rights Reserved. #LATINCACS Cloud Computing © ISACA 2016. All Rights Reserved. #LATINCACS Imagen: wavebreakmedia/Shutterstock BYOD - BYOC © ISACA 2016. All Rights Reserved. Imagen: belltechlogix.com #LATINCACS ¿Cliché? © ISACA 2016. All Rights Reserved. #LATINCACS Imagen: mccrindle.com.au/the-mccrindle-blog/tag/Word_Up/ Riesgos Corporativos Decisiones inadecuadas Planes erróneos Deficientes modelos de operación Estratégicos Fallas en los procesos Derivados de procedimientos, personas o sistemas Operativos Ambientales Sismos Fenómenos meteorológicos Riesgo Mercado Cumplimiento Leyes y regulaciones Crédito © ISACA 2016. All Rights Reserved. Créditos incobrables #LATINCACS Risk IT Framework Inestabilidad económica Cambios precios Recursos humanos Compras Soporte Finanzas Sistemas Clientes Procesos de Negocio Proveedores Logística inbound Abastecimiento Producción Diseño producto Relaciones empleados Procesos de TI Seguridad de la información BYOD BYOC Home Office Gobierno TI Operaciones Control de cambios Infraestructura © ISACA 2016. All Rights Reserved. Maketing Ventas Servicio a cliente Logística Outbound Internet Aplicaciones Desarrollos medida Soluciones mercado OpenSource Clasificación de la información Concientización Gestión riesgos Leyes y regulaciones Proyectos Plan Estratégico Obsolescencia Patch management Contratos de soporte CPD Automatización Tercerificación Adquisiciones / Fusiones Venta empresas Estrategias fiscales Acceso físico Ctrls Medioambientales ANSI/TIA-942 #LATINCACS Imagen: www.nasa.gov/mission_pages/ SOX PCI LFPDPPP NOM El universo de auditoría es una lista de todas las auditorías posibles que pudieran realizarse. Consejo para la Práctica 2010-1 Marco Internacional para la Práctica Profesional de la Auditoría Interna - 2013 Instituto de Auditores Internos © ISACA 2016. All Rights Reserved. #LATINCACS ¿Por qué definirlo? © ISACA 2016. All Rights Reserved. Imagen: quickmeme.com #LATINCACS ¿Por qué definirlo? © ISACA 2016. All Rights Reserved. Priorizar riesgos Definir plan anual de auditoría Dimensionar recursos Establecer necesidades Asegurar que la función de auditoría agrega valor #LATINCACS Auditoría Interna como la tercera línea de defensa Inspección Modelo de las tres líneas de defensa. The Institute of Internal Auditors © ISACA 2016. All Rights Reserved. #LATINCACS ¿qué hay que considerar para construirlo? Tecnología – Táctico / operacional – Seguridad informática – IT security © ISACA 2016. All Rights Reserved. Seguridad de la información – Estratégico #LATINCACS Auditoría TI – 101 Controles generales de TI Controles de Aplicación © ISACA 2016. All Rights Reserved. Desarrollo de sistemas Control de Cambios Control de Accesos Gestión de Operaciones Autorización Segregación de funciones Validación de entrada de datos Integridad Disponibilidad #LATINCACS Auditoría TI – 101 ¿suficiente? © ISACA 2016. All Rights Reserved. #LATINCACS Imagen: www.generadormemes.com/ Auditoría integral - Procesos © ISACA 2016. All Rights Reserved. Auditoría Integral: acompañamiento total con el equipo de auditoría de procesos / financiera. Equipos interdisciplinarios. #LATINCACS Otros aspectos a considerar en la definición del universo de Auditoría TI IT © ISACA 2016. All Rights Reserved. Perímetro y arquitectura de apps. Cumplimiento de estándares de configuración. Seguridad redes inalámbricas. Obsolescencia. Gobierno TI. DRP. Cumplimiento de contratos. (SLA). Patch management Cumplimiento de normativas internas. (TI) SDLC. Licenciamiento. Efectividad de seguridad perimetral (IPS, FW). #LATINCACS Otros aspectos a considerar en la definición del universo de Auditoría TI (Cont.) Seguridad de la información © ISACA 2016. All Rights Reserved. Acceso a proveedores. Estudios de Hacking ético. Proyectos específicos: Big data IoT BCP Clasificación información. Concientización. Seguridad social media. Gestión de riesgos. Cumplimiento de normativas internas. (Seguridad de la información) BYOD - BYOC #LATINCACS Leyes y regulaciones Seguridad de la información © ISACA 2016. All Rights Reserved. Protección de datos personales, LFPDPPP. ISO 27001. DLP IT y redes PCI. ISO 20000 #LATINCACS Compromisos del auditor Principios: Competencia (4) Los auditores internos aplican el conocimiento, aptitudes y experiencia necesarios al desempeñar los servicios de auditoría interna. © ISACA 2016. All Rights Reserved. Imagen: kidzmatter.com/ #LATINCACS Reglas de conducta: Competencia (4) Los auditores internos: 4.1 Participarán sólo en aquellos servicios para los cuales tengan los suficientes conocimientos, aptitudes y experiencia. 4.2 Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas para la Práctica Profesional de Auditoría Interna. 4.3 Mejorarán continuamente sus habilidades y la efectividad y calidad de sus servicios. © ISACA 2016. All Rights Reserved. #LATINCACS Imagen: www.alamy.com/ Conclusiones, Recomendaciones, Aportaciones • Las empresas están expuestas a distintos tipos de riesgos. • El Riesgo TI podría afectar de sobremanera a una organización. • Confeccionar el universo de auditoría TI No es un ejercicio de creatividad. • Clasificar los trabajos de acuerdo a su naturaleza. • Priorizar de acuerdo al riesgo (impacto en el negocio). © ISACA 2016. All Rights Reserved. • Trabajos con un Enfoque integrado. • Las organizaciones requieren de profesionales capacitados. • Conformar un equipo especializado e interdisciplinario. • HeadCount con base aun universo auditoría. (complejidad de la empresa y sus procesos). #LATINCACS Bibliografía © ISACA 2016. All Rights Reserved. Las tres líneas de defensa para una efectiva gestión de riesgos y control. 2013. IIA Declaración de Posición. The Institute of internal Auditors. Cobertura del riesgo tecnológico: Hacia una auditoría interna de TI integrada. La fabrica del pensamiento. IAI de España. Marco Internacional para la Práctica Profesional de la Auditoría Interna. Instituto de Auditores Internos de España. 2016. Risk IT. ISACA. #LATINCACS