Descargar Presentación

Anuncio
Otoniel Loaeza, CISA, CRISC
Después de terminar esta sesión, el
participante será capaz de:




© ISACA 2016.
All Rights Reserved.
Entender el concepto de "Universo de Auditoría".
Entender el reto del auditor de TI para apoyar en la
identificación de riesgos en procesos (auditoría integral).
Conocer el reto del auditor para apoyar en la identificación de
riesgos en infraestructura y nuevas tecnologías.
Entender el reto del responsable de auditoría para tener un
equipo con las competencias requeridas para identificar
riesgos (procesos y TI).
#LATINCACS
Agenda



Preámbulo
¿Qué es universo de auditoría?
Universo de auditoría TI
– Aspectos a considerar.
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Risk everywhere
© ISACA 2016.
All Rights Reserved.
#LATINCACS
IoT
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Cloud Computing
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Imagen: wavebreakmedia/Shutterstock
BYOD - BYOC
© ISACA 2016.
All Rights Reserved.
Imagen: belltechlogix.com
#LATINCACS
¿Cliché?
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Imagen: mccrindle.com.au/the-mccrindle-blog/tag/Word_Up/
Riesgos Corporativos
Decisiones inadecuadas
Planes erróneos
Deficientes modelos de operación
Estratégicos
Fallas en los
procesos
Derivados de
procedimientos,
personas o sistemas
Operativos
Ambientales
Sismos
Fenómenos
meteorológicos
Riesgo
Mercado
Cumplimiento
Leyes y regulaciones
Crédito
© ISACA 2016.
All Rights Reserved.
Créditos incobrables
#LATINCACS
Risk IT Framework
Inestabilidad
económica
Cambios precios
Recursos humanos
Compras
Soporte
Finanzas
Sistemas
Clientes
Procesos de Negocio
Proveedores
Logística inbound
Abastecimiento
Producción
Diseño producto
Relaciones
empleados
Procesos de TI
Seguridad
de la
información
BYOD
BYOC
Home Office
Gobierno TI
Operaciones
Control de cambios
Infraestructura
© ISACA 2016.
All Rights Reserved.
Maketing
Ventas
Servicio a cliente
Logística Outbound
Internet
Aplicaciones Desarrollos medida
Soluciones mercado
OpenSource
Clasificación de
la información
Concientización
Gestión riesgos
Leyes y
regulaciones
Proyectos
Plan Estratégico
Obsolescencia
Patch management
Contratos de soporte
CPD
Automatización
Tercerificación
Adquisiciones / Fusiones
Venta empresas
Estrategias fiscales
Acceso físico
Ctrls Medioambientales
ANSI/TIA-942
#LATINCACS
Imagen: www.nasa.gov/mission_pages/
SOX
PCI
LFPDPPP
NOM

El universo de auditoría es una lista de todas las auditorías
posibles que pudieran realizarse.
Consejo para la Práctica 2010-1
Marco Internacional para la Práctica
Profesional de la Auditoría Interna - 2013
Instituto de Auditores Internos
© ISACA 2016.
All Rights Reserved.
#LATINCACS
¿Por qué definirlo?
© ISACA 2016.
All Rights Reserved.
Imagen: quickmeme.com
#LATINCACS
¿Por qué definirlo?





© ISACA 2016.
All Rights Reserved.
Priorizar riesgos
Definir plan anual de auditoría
Dimensionar recursos
Establecer necesidades
Asegurar que la función de auditoría agrega valor
#LATINCACS
Auditoría Interna como la tercera línea de
defensa
Inspección
Modelo de las tres líneas de defensa.
The Institute of Internal Auditors
© ISACA 2016.
All Rights Reserved.
#LATINCACS
¿qué hay que considerar para construirlo?

Tecnología
– Táctico / operacional
– Seguridad informática – IT
security
© ISACA 2016.
All Rights Reserved.

Seguridad de la información
– Estratégico
#LATINCACS
Auditoría TI – 101

Controles generales de
TI





Controles de Aplicación





© ISACA 2016.
All Rights Reserved.
Desarrollo de sistemas
Control de Cambios
Control de Accesos
Gestión de Operaciones
Autorización
Segregación de
funciones
Validación de entrada
de datos
Integridad
Disponibilidad
#LATINCACS
Auditoría TI – 101 ¿suficiente?
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Imagen: www.generadormemes.com/
Auditoría integral - Procesos

© ISACA 2016.
All Rights Reserved.
Auditoría Integral:
acompañamiento total con el
equipo de auditoría de
procesos / financiera.
Equipos interdisciplinarios.
#LATINCACS
Otros aspectos a considerar en la definición del
universo de Auditoría TI

IT









© ISACA 2016.
All Rights Reserved.



Perímetro y arquitectura de
apps.
Cumplimiento de estándares
de configuración.
Seguridad redes
inalámbricas.
Obsolescencia.
Gobierno TI.
DRP.
Cumplimiento de contratos.
(SLA).
Patch management
Cumplimiento de normativas
internas. (TI)
SDLC.
Licenciamiento.
Efectividad de seguridad
perimetral (IPS, FW).
#LATINCACS
Otros aspectos a considerar en la definición del
universo de Auditoría TI (Cont.)

Seguridad de la información










© ISACA 2016.
All Rights Reserved.
Acceso a proveedores.
Estudios de Hacking ético.
Proyectos específicos:
 Big data
 IoT
BCP
Clasificación información.
Concientización.
Seguridad social media.
Gestión de riesgos.
Cumplimiento de
normativas internas.
(Seguridad de la
información)
BYOD - BYOC
#LATINCACS
Leyes y regulaciones

Seguridad de la
información




© ISACA 2016.
All Rights Reserved.
Protección de datos
personales, LFPDPPP.
ISO 27001.
DLP
IT y redes


PCI.
ISO 20000
#LATINCACS
Compromisos del auditor

Principios: Competencia (4)
Los auditores internos aplican el
conocimiento, aptitudes y
experiencia necesarios al
desempeñar los servicios de
auditoría interna.
© ISACA 2016.
All Rights Reserved.
Imagen: kidzmatter.com/
#LATINCACS
Reglas de conducta:
Competencia (4)
Los auditores internos:
4.1 Participarán sólo en aquellos
servicios para los cuales tengan los
suficientes conocimientos,
aptitudes y experiencia.
4.2 Desempeñarán todos los servicios
de auditoría interna de acuerdo con las
Normas
para la Práctica Profesional de Auditoría
Interna.
4.3 Mejorarán continuamente sus
habilidades y la efectividad y calidad de
sus servicios.
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Imagen: www.alamy.com/
Conclusiones, Recomendaciones, Aportaciones
• Las empresas están
expuestas a distintos tipos de
riesgos.
• El Riesgo TI podría afectar de
sobremanera a una
organización.
• Confeccionar el universo de
auditoría TI No es un ejercicio
de creatividad.
• Clasificar los trabajos de
acuerdo a su naturaleza.
• Priorizar de acuerdo al riesgo
(impacto en el negocio).
© ISACA 2016.
All Rights Reserved.
• Trabajos con un Enfoque
integrado.
• Las organizaciones requieren
de profesionales capacitados.
• Conformar un equipo
especializado e
interdisciplinario.
• HeadCount con base aun
universo auditoría.
(complejidad de la empresa y
sus procesos).
#LATINCACS
Bibliografía




© ISACA 2016.
All Rights Reserved.
Las tres líneas de defensa para una efectiva
gestión de riesgos y control. 2013. IIA
Declaración de Posición. The Institute of internal
Auditors.
Cobertura del riesgo tecnológico: Hacia una
auditoría interna de TI integrada. La fabrica del
pensamiento. IAI de España.
Marco Internacional para la Práctica Profesional
de la Auditoría Interna. Instituto de Auditores
Internos de España. 2016.
Risk IT. ISACA.
#LATINCACS
Descargar