La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?

Presentaciones similares


Presentación del tema: "¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?"— Transcripción de la presentación:

1 ¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?

2 AGENDA Concepto de valor Evolución de la tecnología y la auditoría
Elementos necesarios para implementar una auditoría de TI que agregue valor Cambio de enfoque Evaluación de riesgos Mejores prácticas en auditoría de TI Condiciones para crear la auditoría de TI Interna versus outsourcing Perfil del auditor de TI Funciones Herramientas Auditoría continua Planeación del desarrollo profesional

3 Concepto de valor Configuración Planificación Entrega
Toma de Decisiones Soporte “Grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”

4 Concepto de valor Evaluación del Riesgo Configuración Planificación
Toma de Decisiones Entrega Soporte Objetivos de Control

5 Evolución de la Tecnología
90 hasta hoy Internet E-Commerce Rápida difusión de la información Rompe paradigmas Nuevo estándar Internet compatible Pérdida de intimidad Seguridad la mayor preocupación

6 Evolución del enfoque de auditoría
X Tecnología de Información Alineación con la visión y misión empresarial Económia, Eficiencia y Eficacia de las operaciones Valor hacia el negocio Operación Finanzas y Contabilidad EWRM doesn’t just materialize out of thin air. It evolves from existing risk management structures, first from the classic risk management model (involving treasury, insurance and internal controls) to a business risk management model (where the risk management process is more broadly applied to all critical risks). It then evolves from business risk management to EWRM. The three factors driving this evolution: A broadening risk focus that expands the emphasis to all business risks, not just a few financial and hazard risks. An improved linkage of risk and opportunity, recognizing that risk is upside as well as downside -- this view ultimately leads to pooling of risks into broader portfolios instead of just managing them individually. An increased scope, meaning that managing business risk is everyone’s job and involves more than treasury, insurance and internal controls. The continuum illustrated in the visual illustrates this evolutionary shift elevating the value proposition of risk management to a strategic level. Financiera Enfoque en administración de riesgos

7 Auditoría de Tecnología de Información
Auditoría de Sistemas o Auditoría de Tecnología de Información

8 Un elemento crítico para el éxito y supervivencia de las organizaciones es la administración efectiva de la información y de la Tecnología de Información TI relacionada. En esta sociedad global donde la información viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta criticidad emerge de: La creciente dependencia en información y en los sistemas que proporcionan dicha información La creciente vulnerabilidad y el amplio espectro de amenazas, tales como la “ciberamenazas” y la guerra de información La escala y el costo de las inversiones actuales y futuras en tecnología de información, y El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas del negocio, crear nuevas oportunidades y reducir costos COBIT

9 ¿Cómo implementar auditoría de TI que agregue valor a la organización?
1. Cambio del enfoque tradicional ¿Cómo implementar auditoría de TI que agregue valor a la organización? 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos Factors driving the movement towards more complex and interdependent IT infrastructure environment are many. Today’s e-businesses must have fast and reliable up-to-the-minute information in order to succeed in today’s hyper competitive e-business world. Along with traditional brick and mortar companies, e-businesses including telecommunications, banking and finance, and ASP’s can ill afford to not capitalize on lucrative strategy to meet customer expectations and service. Delivering tools that enable ASP organizations to deliver on Service Level Agreements requires synergy between network enterprise operations and ever-evolving business goals and strategies. ( Insert other related comments here) In this presentation, we will look at the state of the e-business market today, the management challenges, solutions that leverage e-biz management, and take a closer look at a customer case study of one ASP, USinternetworking and how they are using a solution to deliver on SLA’s 3. Auditoría que aplique las mejores prácticas de la industria

10 ¿Cómo implementar auditoría de TI que agregue valor a la organización?
1. Cambio del enfoque tradicional ¿Cómo implementar auditoría de TI que agregue valor a la organización? 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos Factors driving the movement towards more complex and interdependent IT infrastructure environment are many. Today’s e-businesses must have fast and reliable up-to-the-minute information in order to succeed in today’s hyper competitive e-business world. Along with traditional brick and mortar companies, e-businesses including telecommunications, banking and finance, and ASP’s can ill afford to not capitalize on lucrative strategy to meet customer expectations and service. Delivering tools that enable ASP organizations to deliver on Service Level Agreements requires synergy between network enterprise operations and ever-evolving business goals and strategies. ( Insert other related comments here) In this presentation, we will look at the state of the e-business market today, the management challenges, solutions that leverage e-biz management, and take a closer look at a customer case study of one ASP, USinternetworking and how they are using a solution to deliver on SLA’s 3. Auditoría que aplique las mejores prácticas de la industria

11 Auditoría Tradicional
Entrada Proceso Salida E-business is internal (ERP = Enterprise resource planning – (I.e. SAP, Peoplesoft, etc.), BtoC (I.e. amazon.com, etc.) and BtoB (trading communities, supply chain, etc.). Regardless of what e-business means to your organization, Service is key differentiator <build part 2> there’s an extensive assortment of technology resources that has to work together to enable that e-business processing. This is what is referred to as “Internet infrastructure”. To give you an idea of the magnitude of this infrastructure, IDC estimates that the market for Internet Infrastructure Software alone will grow from $7.3B in 1998 to $29.1B in 2003 And that the Internet commerce application market will grow from $444M in 1998 to $13B in 2003 And as this infrastructure has grown, so has it’s complexity and interdependence: Heterogeneity – different operating systems, different networks, different application The result of Mergers & Acquisitions, evolution from bricks & mortar to clicks & mortar, etc. Despite this complexity and interdependence, you need to manage this unwieldy environment, so….

12 Auditoría Tradicional
Salida E-business is internal (ERP = Enterprise resource planning – (I.e. SAP, Peoplesoft, etc.), BtoC (I.e. amazon.com, etc.) and BtoB (trading communities, supply chain, etc.). Regardless of what e-business means to your organization, Service is key differentiator <build part 2> there’s an extensive assortment of technology resources that has to work together to enable that e-business processing. This is what is referred to as “Internet infrastructure”. To give you an idea of the magnitude of this infrastructure, IDC estimates that the market for Internet Infrastructure Software alone will grow from $7.3B in 1998 to $29.1B in 2003 And that the Internet commerce application market will grow from $444M in 1998 to $13B in 2003 And as this infrastructure has grown, so has it’s complexity and interdependence: Heterogeneity – different operating systems, different networks, different application The result of Mergers & Acquisitions, evolution from bricks & mortar to clicks & mortar, etc. Despite this complexity and interdependence, you need to manage this unwieldy environment, so….

13 Negocio Riesgos Auditoría Proactiva Entrada Proceso Salida
E-business is internal (ERP = Enterprise resource planning – (I.e. SAP, Peoplesoft, etc.), BtoC (I.e. amazon.com, etc.) and BtoB (trading communities, supply chain, etc.). Regardless of what e-business means to your organization, Service is key differentiator <build part 2> there’s an extensive assortment of technology resources that has to work together to enable that e-business processing. This is what is referred to as “Internet infrastructure”. To give you an idea of the magnitude of this infrastructure, IDC estimates that the market for Internet Infrastructure Software alone will grow from $7.3B in 1998 to $29.1B in 2003 And that the Internet commerce application market will grow from $444M in 1998 to $13B in 2003 And as this infrastructure has grown, so has it’s complexity and interdependence: Heterogeneity – different operating systems, different networks, different application The result of Mergers & Acquisitions, evolution from bricks & mortar to clicks & mortar, etc. Despite this complexity and interdependence, you need to manage this unwieldy environment, so….

14 ¿Cómo implementar auditoría de TI que agregue valor a la organización?
1. Cambio del enfoque tradicional ¿Cómo implementar auditoría de TI que agregue valor a la organización? 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos Factors driving the movement towards more complex and interdependent IT infrastructure environment are many. Today’s e-businesses must have fast and reliable up-to-the-minute information in order to succeed in today’s hyper competitive e-business world. Along with traditional brick and mortar companies, e-businesses including telecommunications, banking and finance, and ASP’s can ill afford to not capitalize on lucrative strategy to meet customer expectations and service. Delivering tools that enable ASP organizations to deliver on Service Level Agreements requires synergy between network enterprise operations and ever-evolving business goals and strategies. ( Insert other related comments here) In this presentation, we will look at the state of the e-business market today, the management challenges, solutions that leverage e-biz management, and take a closer look at a customer case study of one ASP, USinternetworking and how they are using a solution to deliver on SLA’s 3. Auditoría que aplique las mejores prácticas de la industria

15 Riesgo “La amenaza de que un evento, acción ó falta de acción afecte adversamente la habilidad de una organización para lograr sus objetivos y ejecutar sus estrategias exitósamente”

16 Dependencia del negocio
RIESGOS Nivel de dependencia A mayor utilización de TI, mayores beneficios, pero también mayor dependencia y mayores riesgos….. Nivel de utilización de TI

17 Principal riesgo en TI Carecer de una estrategia común Tecnología
Gerencia Carecer de una estrategia común Auditoría Contabilidad

18 Riesgos de la tecnología de información
Información errónea o inoportuna Tiempo laboral perdido por mal uso del e Internet Alteración de datos Insatisfacción del usuario Acceso no autorizado Ineficiente uso de los recursos tecnológicos Robo de información

19 ¿Cómo implementar auditoría de TI que agregue valor a la organización?
1. Cambio del enfoque tradicional ¿Cómo implementar auditoría de TI que agregue valor a la organización? 2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos Factors driving the movement towards more complex and interdependent IT infrastructure environment are many. Today’s e-businesses must have fast and reliable up-to-the-minute information in order to succeed in today’s hyper competitive e-business world. Along with traditional brick and mortar companies, e-businesses including telecommunications, banking and finance, and ASP’s can ill afford to not capitalize on lucrative strategy to meet customer expectations and service. Delivering tools that enable ASP organizations to deliver on Service Level Agreements requires synergy between network enterprise operations and ever-evolving business goals and strategies. ( Insert other related comments here) In this presentation, we will look at the state of the e-business market today, the management challenges, solutions that leverage e-biz management, and take a closer look at a customer case study of one ASP, USinternetworking and how they are using a solution to deliver on SLA’s 3. Auditoría que aplique las mejores prácticas de la industria

20 Mejores prácticas de la industria
COBIT Control Objectives for Information and related Technology (Guías de Auditoría solo para miembros) Standards Code of Practice for Information Security Management (ISO17799) https://www.bspsl.com/secure/iso17799software/cvm.cfm Generally Accepted Principles and Practices for Securing Information Technology Systems (NIST) Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009)

21 Interna o Outsourcing Pérfil del auditor o el equipo Funciones Herramientas para agregar valor Auditoría Continua Planeación del desarrollo profesional ¿Creando la función de Auditoría de Tecnología de Información en la organización? Deberiamos decir que es dificil para los gerentes medir el valor agregado contenido en las auditorías de sistemas o de TI Para resolver ese problema debe desarrollarse una reingeniería en el staff de miembros y obtener ciertos niveles de habilidades en TI.

22 1. Auditoría Interna versus Outsourcing
Amplio conocimiento del negocio Integración con otras disciplinas de la Auditoría Interna Las brechas de seguridad y control no salen de la empresa Mejor aprovechamiento del recurso humano capacitado La experiencia adquirida queda en la organización Outsourcing Disponibilidad de diferentes habilidades y profesionales Economías de escala en la adquisición de herramientas y capacitación Relación contractual puede causar costos ocultos Requiere dar privilegios a personal externo Outsourcing no es sólo una decisión de costo, es también una decisión estratégica que tiene implicaciones de control para la gerencia. (Manual de preparación examen CISA)

23 2. Perfil del auditor de TI
Visión de riesgos Lenguaje de negocios Proactivo y preventivo Entendimiento del entorno Conocimiento de metodologías y herramientas

24 2. Perfil del auditor de TI
Contador Público Autorizado o Ingeniero en Informática

25 2. Perfil del auditor de TI
Aprender algún lenguaje de programación y técnicas de análisis y diseño Entender los riesgos tecnológicos Conocimiento de DBMS Entender los riesgos de los sistemas operativos Contar con un conocimiento general de infraestructura de telecomunicaciones Dominio de los objetivos de control para la información y la tecnología relacionada C P A

26 2. Perfil del auditor de TI
Comprender los conceptos de riesgo de auditoría, riesgo de detección Entender los riesgos del negocio y riesgos operativos Aprender sobre las normas internacionales de auditoría Formarse en administración, contaduría y finanzas Contar con conocimiento sobre la metodología para llevar a cabo una auditoría Dominio de los objetivos de control para la información y la tecnología relacionada Sistemas

27 Misión de la Auditoría de TI
3. Funciones Misión de la Auditoría de TI Brecha inaceptable Visión y Misión del negocio Tecnología de Información

28 3. Funciones Evaluar si los recursos tecnológicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio Verificar que en TI se cumpla con las políticas corporativas y con las regulaciones y normas Evaluar la información de la organización (Integridad, Confidencialidad, Disponibilidad y Completitud) Evaluar la fortaleza de los controles preventivos, detectivos y correctivos en TI

29 3. Funciones Verificar la salvaguarda de los activos de TI (tangibles e intangibles) Evaluar si las vulnerabilidades más conocidas en Internet son adecuadamente mitigadas en la organización Participar activamente en el ciclo de vida del desarrollo de sistemas Evaluar los planes de recuperación de desastres y continuidad del negocio

30 3. Funciones Evaluar la seguridad física y lógica a los activos de TI
Verificar la seguridad y suficiencia de los controles en la infraestructura de red y en las telecomunicaciones Evaluar el proceso de adquisiciones de recursos de TI Participar en auditorías integrales y facilitar la integración de la auditoría de TI con otras especialidades de la auditoría

31 4. Herramientas 4.1 Para determinar los riesgos que más podrían afectar a la organización UNIVERSO AUDITABLE

32 4. Herramientas 4.2 Herramientas que multiplican el alcance de la Auditoría de T I Software de Análisis de Datos Software para monitoreo de red Software para monitoreo de cambios en las bases de datos (Alarmas) Software para la detección de intrusos IDS Software para evaluar logs EAM Embedded Audit Modules

33 4. Herramientas 4.3 Herramientas para el soporte metodológico de la Auditoría de T I Planeación anual y presupuesto Calendarización de trabajos y control de tiempo Desarrollo del programa de auditoría (Interacción con COBIT) Papeles de trabajo y plantillas Seguimiento de recomendaciones y respuestas de la administración

34 4. Herramientas 4.4 Reportes a la Gerencia en términos concisos y de valor No entendemos ni hablamos su lenguaje Informes de resultados demasiado técnicos Preocupados por costos y gastos Esperan el retorno de su inversión Presentar razones y/o hechos Considerar que algunos directivos son más conscientes que otros Necesitan entender la información sobre riesgos y controles

35 WWW y Auditoría AuditNet www.auditnet.org KNET www.isaca.org/knet
ASAP (Auditors Sharing Audit Programs) Programas financieros y operativos Programas IT Lista de recursos de Auditoría Directorio de Programas de Auditoría AuditZine: compendio de artículos ACNIA: Foro de discusión para Auditores Internos (AuditBest, AuditTrain, AuditBooks, AuditJobs, etc) KNET

36 Otras fuentes de información

37 Universo Auditable > Recursos de Auditoría
5. Auditoría Continua COSO COBIT Monitoreo Universo Auditable > Recursos de Auditoría EEl monitoreo sólo es relevante si se hace en tiempo real. Si hay controles en tiempo real entonces puede haber auditoría en tiempo real l monitoreo continuo es saber todo lo que esta pasando alrededor nuestro, como ejemplo podríamos poner al software detector de intrusos IDS, o bien podría ser un triggers que se dispara ante determinado evento y el

38 5. Auditoría Continua PRECONDICIONES
Un sistema con características apropiadas Un sistema de información confiable que incluya controles primarios y un sistema de recolección de datos Una auditoría o control secundario que esté altamente automatizado Auditores hábiles en tecnología de información Control sobre el proceso de reporte de la auditoría

39 5. Auditoría Continua EAM Embedded Audit Modules
(Modulos de Auditoría Integrados) “Son modulos puestos en determinados puntos para obtener información acerca de las transacciones o eventos en los sistemas que los auditores pueden considerar materiales” Weber (1999) Se implementan en los ambientes de DBMS como triggers o procedimientos almacenados

40 6. Planeación del desarrollo profesional
International Federation of Accountants IFAC emitió desde el año 1993 el documento: “Minimum Skill Levels in Information Technology for Professional Accountants” Estándar Auditoría SI Educación Profesional Continua

41 6. Planeación del desarrollo profesional
Es un camino para crecer y actualizarse en el nivel de servicio Incluye capacitación formal e informal (auto estudio) Define el conocimiento y las habilidades necesarias Define los métodos para el aseguramiento del desarrollo Establece los métodos para la actualización y retroalimentación

42 6. Planeación del desarrollo profesional
Es una estrategia que garantiza el adecuado enfoque de educación continua y desarrollo profesional es la Certificación CISA

43 Índice de madurez de la Auditoría de Tecnología de Información
Calidad Total Estandarizada Clase Mundial Establecida Indefinido Cambiar

44 Índice de madurez Indefinido: En su mayoría los procesos claves no están definidos o posiblemente no existen, la capacidad de realizar auditoría de TI no existe o esta basada solamente en la experiencia individual por lo que se dificulta su administración

45 Índice de madurez Establecida: Este ambiente incluye:
Una infraestructura estable y soportada en TI Mediciones del desempeño efectivo de los sistemas son desarrolladas, permitiéndole a la Auditoría Interna tener entendimiento del impacto de la tecnología El resultado de las auditoría de TI se aplica exitósamente y está sustentado en normas de auditoría Se realizan auditorías por Outsourcing

46 Índice de madurez Estandarizada: La auditoría se realiza en concordancia con los procesos estándares documentados. Existe un proceso de auditoría integrado que es aplicado y administrado consistentemente (AC). Hay programas de aseguramiento de la calidad de los sistemas Existen programas de desarrollo profesional establecidos

47 Índice de madurez Calidad Total: Tiene un estatus de clase mundial
Se aplican procesos de mejoramiento continuo, mediante la evaluación del desempeño por parte de los usuarios de la auditoría. Existe un proceso de calidad total en la auditoría de TI.

48 Ejemplos de herramientas que ayudan al Auditor de hoy

49 De Soporte Metodológico
ADM Plus – Audit Department Manager Plus Planificación, Administración de Riesgos, Reporte de Tiempos, gastos y costos, indicadores, asignación de tareas, seguimiento de recomendaciones y observaciones y administración de RRHH, y papeles de trabajo AutoAudit Control de tiempos y gastos, papeles de trabajo electrónicos, seguimiento de recomendaciones y observaciones, planificación y otros Auditor Assistant Workflow para trabajos colaborativos, programación y automatización de papeles de trabajo, generacion de reportes y seguimiento de recomendaciones Gestión de Procesos de Auditoría GPA Contempla los componentes necesarios para llevar a cabo la labor de auditoría y por eso contiene varios módulos que son: Catálogos (Base de Conocimiento), Análisis de Riesgo, Planificación, Ejecución, Comunicación , Indices de Gestión y Misceláneos. Pentana Planificación, control de tiempos, checklists y programas y seguimiento de planes de acción

50 De Soporte Metodológico
AutoAudit Control de tiempos y gastos, papeles de trabajo electrónicos, seguimiento de recomendaciones y observaciones CaseWare Working Papers Planificación y papeles de trabajo para Auditorías financieras y customizable para otras, incluye checklists y programas de trabajo y actualiza los papeles de trabajo automáticamente, seguimiento recomendaciones. AuditLeverage Sistema de auditoría que permite crear un data warehouse de auditoría incluyendo una solución integrada para la planificación, trabajo de campo y reporte y seguimiento, permite seleccionar programas de auditoría de TI basados en estándares como COBIT, CMM y BS7799 Internal Audit Software Ofrece varios productos para la planficiación de la auditoría con base en riesgos Planning Advisor, soporte para papeles electrónicos y ejecución de auditorías internas ProAudit Advisor, Producto orientado a facilitar la aplicación de CobIT, registrando los resultados de las auditorías, reportes y módulo de revisión y análisis al completarse la auditoría. Cobit Advisor

51 De Análisis de Datos CaseWare IDEA www.caseware-idea.com
Funciones de Análisis de Datos avanzadas y Auditoría, permite lectura de datos de cualquier orígen DATAS for IDEA Plug-in desarrollado para Data Mining y Análisis predictivo y de Fraude con IDEA, incorporó la Ley de Benford que hoy ya se ha incorporado al producto. ACL WizRule Software de data mining y reportes, orientado a detectar patrones o relaciones entre datos, identificando aquellas que no responden a los patrones detectados.

52 De Revisiones Seguridad de IT
BindView Diversos sistemas y productos orientados a la seguridad y control de los activos de Tecnología de Información Internet Security Systems XP Auditor for IDEA Plug in – Auditor de NT y Firewalls para IDEA Unix Auditor for IDEA Plug in – Auditor de Unix para IDEA Kane Analiza la seguridad de redes y notifica de vulnerabilidades detectadas AuditCASE para Oracle Permite evaluar sistemas que utilicen bases de datos ORACLE, seleccionando campos sobre los cuales crea un pista de auditoría, también permite implementar un modelo de auditoría continua mediante una serie de alertas

53 Bibliografía recomendada
Accountant´s guide to fraud detection and control; Howard R Davia y otros Auditing in a computerised environment, Mohan Bhatia Practical IT Auditing 2 Edition Jack Champlain Claves para el gobierno de los sistema de información Reynaldo J de la Fuente y otros Cobit 3 Edition Revista Control Journal para los afiliados a la ISACA

54 Muchas Gracias!


Descargar ppt "¿Cómo Implementar Auditoría de TI que Agregue Valor a la Organización?"

Presentaciones similares


Anuncios Google