AUDITORÍA DE SISTEMAS DE INFORMACIÓN Informe de Auditoría de Sistemas de Información en los OCEX: Experiencias prácticas y su aportación a la función fiscalizadora de los OCEX. Alejandro Salom. Auditoría de Sistemas de Información como apoyo a las fiscalizaciones; Metodologías de trabajo. Cómo organizar un Departamento de Auditoría Informática como apoyo a los equipos de fiscalización. Ignacio Calleja. Metodología para la autoevaluación de los Sistemas de Información de las Entidades Fiscalizadoras Superiores. Alberto Rubio. EUROSAI IT Working Group Metodología ITSA versión 4.0 1

Metodología para la Auto-evaluación de los Sistemas de Información de las EFS Versión 4.0 Enero 2007 Un proyecto de Basada en

El Grupo de Trabajo de EUROSAI IT La primera reunión del Grupo de Trabajo de EUROSAI IT tuvo lugar en La Haya del 30 de septiembre al 1 de octubre de 2002. Se decidió una lista de proyectos a ejecutar en 2003. El primer proyecto fue diseñar una herramienta de evaluación de los Sistemas de Información de las EFS mediante el método CobiT. En este proyecto participamos Suiza(líder), Eslovenia, Holanda, Noruega, Lituania y España. EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 Contenido El problema Por qué una metodología de autoevaluación? (Beneficios para las EFS) Qué información debe producir ? Cómo desarrollar la autoevaluación?: Preparación Fase 1: explicación y discusión Fase 2: consolidación de resultados Fase 3: plan de acciones a tomar Conclusión: evaluación del método EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 El problema Existe un problema? IT son críticas para el “negocio”? IT son parte de la gestión de las EFS? Coinciden expectativas y realidades? Dedicamos la atención que requieren las IT? IT suponen grandes inversiones y riesgos It is evident that IT us becoming critical and strategic to the business and those responsible for governance need to look at all that is strategic to the business. However, IT hasn’t gotten the attention it deserves. We actually do it for others when addressing acquisitions and joint ventures where we ask tough questions relative to IT capabilities and performance. But we don’t do it sufficiently for ourselves despite the fact that expectations don’t match reality and that IT involves enormous risks and investments. EUROSAI IT Working Group Metodología ITSA versión 4.0

Objetivos del proyecto Contribuir al trabajo de las EFS asegurando la calidad y desarrollo de las Tecnologías de la Información y su gestión Adquirir experiencia con CobiT como herramienta de auditoría de Sistemas de Información Mejorar el intercambio de experiencias entre auditores y personal de IT EUROSAI IT Working Group Metodología ITSA versión 4.0

Por qué dedicar tiempo a este proyecto? Formación (de los auditores de la EFS y del personal de IT) Primera experiencia con la auto-evaluación y CobiT( uso futuro en la auditoría) Comparación con otras EFS, conocimiento de otras prácticas, identificación de oportunidades (las EFS también pueden ser autocríticas!) EUROSAI IT Working Group Metodología ITSA versión 4.0

Ejemplo de análisis comparativo EFS grande EFS media EFS pequeña EUROSAI IT Working Group Metodología ITSA versión 4.0

Quién debe participar en la auto-evaluación? Personal de IT de la EFS Técnicos de auditoría Otros (gestión de la EFS) El moderador (no debe considerarse la evaluación como una auditoría) EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 Por qué CobiT? Control Objetives for Information Technology Norma internacionalmente aceptada para el control y las buenas prácticas de las IT En línea con ISO, ITIL, COSO Asumido por las Normas de auditoría de INTOSAI (Apartados 51b), 86, 144 y 153) y Guía de implementación nº 22 EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 Componentes de CobiT Resumen ejecutivo- Principales conceptos Metodología- estructura de análisis de los procesos Objetivos de control- organizados en 34 niveles Guías de auditoría- revisión de los procesos Guías de gestión- modelos de madurez, indicadores de objetivos y de seguimiento www.isaca.org EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 EUROSAI IT Working Group Metodología ITSA versión 4.0

Cúal es el proceso? 2 semanas antes Fase 1 Fase 2 Fase 3 Recepción de la documentación para su estudio (CobiT, auto-evaluación, cuestionarios,étc) Explicación del método. Discusión en grupo de la estructura de la organización. Completar los cuestionarios Consolidación de resultados y discusión Preparación del plan de acciones y evaluación del ejercicio 2 semanas antes Fase 1 Fase 2 Fase 3 EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 Fase 1 Explicación del método Las dos dimensiones del análisis Discusión en grupo Completar cuestionarios EUROSAI IT Working Group Metodología ITSA versión 4.0

Las dos dimensiones del análisis 2 = IT Planificación organización Adquisición Implement. Etc… Proceso de gestión 1 PO1 PO2 AI1 AI2 Etc... Etc… Proceso de gestión 2 Proceso de gestión 3 1 = NEGOCIO Proceso de gestión 4 Proceso de gestión 5 Proceso de gestión 6 Proceso de gestión 7 EUROSAI IT Working Group Metodología ITSA versión 4.0

Primera dimensión del análisis Proceso de gestión 1 Proceso de gestión 2 Proceso de gestión 3 Proceso de gestión 4 1 = NEGOCIO Proceso de gestión 5 Proceso de gestión 6 Proceso de gestión 7 EUROSAI IT Working Group Metodología ITSA versión 4.0

La cadena de valor de la gestión de una EFS Cuáles son sus objetivos estratégicos? Cuáles son sus principales funciones? Cuáles son las principales funciones para alcanzar los objetivos? En el cuestionario 1 llamamos procesos de gestión a las funciones… EUROSAI IT Working Group Metodología ITSA versión 4.0

Ejemplo de procesos de la gestión Planificación y organización del trabajo de la EFS Gestión del riesgo de auditoría Organización de las fiscalizaciones Analisis de datos Evaluación de las IT mediante auditoría Informes de resultados a los auditados Comunicación con los auditados, con el Parlamento y otras EFS Publicación de los informes Seguimiento de la implantación de las recomendaciones Gestión del conocimiento Administración de finanzas y recursos humanos Contratación y formación de personal Actividad administrativa Etc… EUROSAI IT Working Group Metodología ITSA versión 4.0

Nivel de satisfacción del usuario Importancia ACTUAL de las IT? Importancia FUTURA de las IT? Están soportados los procesos por las IT? Proporcionan las IT los resultados esperados? EUROSAI IT Working Group Metodología ITSA versión 4.0

El cuestionario 1 identifica los procesos de gestión EUROSAI IT Working Group Metodología ITSA versión 4.0

Segunda dimensión del análisis 2 = IT Planning and Organisation Acquisition and implementation Etc… PO1 PO2 AI1 AI2 Etc... Etc… EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 La segunda dimensión está basada en los niveles de madurez definidos en CobiT CobiT identifica 34 procesos Cuáles son los procesos más importantes en la EFS? Cuáles son los niveles del modelo de madurez? EUROSAI IT Working Group Metodología ITSA versión 4.0

Modelo de madurez Ejemplo: “DS4 Asegurar la continuidad del servicio” 0 No existe. No se conocen los riesgos, vulnerabilidades y amenazas de las operaciones de IT o el impacto de la pérdida de los servicios de IT. La continuidad del servicio no se considera con la necesaria atención por los gestores. 5 Optimizado El servicio contínuo está integrado, automatizado, y se autoanaliza teniendo en cuenta su comparación con las mejores prácticas conocidas. Existen planes de continuidad integrados en los planes de gestión. La continuidad del servicio está asegurada por los suministradores. Se realizan tests de resultados incluidos en el proceso de mantenimiento. El coste de la continuidad del servicio se optimiza por medio de la innovación y la integración. El análisis de los datos se utiliza para la identificación de oportunidades de mejora. EUROSAI IT Working Group Metodología ITSA versión 4.0

Ejemplo 2: “PO10 Gestión de proyectos” 0 No existe. Las técnicas de gestión de proyectos no se utilizan. La organización no considera los impactos asociados a la mala gestión de proyectos ni los fallos de desarrollo. 5 Optimizado Está implementada y probada una metodología que comprende el ciclo completo de los proyectos, y se integra en la cultura de la organización. Existe un programa de seguimiento para identificar e institucionalizar las buenas prácticas. Una oficina integrada de gestión de proyectos es responsable de los mismos desde su inicio hasta su completa instalación, bajo la dirección de las unidades de gestión y proporciona los recursos de IT para completar los proyectos. EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 Cuestionario 2 EUROSAI IT Working Group Metodología ITSA versión 4.0

Importancia de los procesos de IT? Calidad de los procesos de IT? Cuestionario 2 Importancia de los procesos de IT? Calidad de los procesos de IT? . . . EUROSAI IT Working Group Metodología ITSA versión 4.0

Relación entre usuarios y IT Qué procesos de gestión están afectados (si nivel = 0 or 1)? En qué procesos está el problema (especialmente si = 0 or 1)? EUROSAI IT Working Group Metodología ITSA versión 4.0

Fase 2 Consolidación de resultados Asuntos para la discusión Diferencias de valoración Discusión de resultados, especialmente los peores… EUROSAI IT Working Group Metodología ITSA versión 4.0

Consolidación de resultados Cuestionario 1 EUROSAI IT Working Group Metodología ITSA versión 4.0

Consolidación de resultados Gráfico 1 EUROSAI IT Working Group Metodología ITSA versión 4.0

Consolidación de resultados Cuestionario 2 EUROSAI IT Working Group Metodología ITSA versión 4.0

Consolidación de resultados Gráfico 2. Procesos IT CobiT EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 Fase 3 Conclusión Preparación del plan de acciones futuras Evaluación de la metodología propuesta EUROSAI IT Working Group Metodología ITSA versión 4.0

Plan de acciones futuras Descripción de gaps Riesgos/ Implicaciones Recomendación/ Descripción acciones Responsables Fecha ejecución actividades Prioridades1-10 EUROSAI IT Working Group Metodología ITSA versión 4.0

Evaluación de la metodología Cuestionario General Cuestionario de evaluación del proyecto Autoevaluación de IT de las EFS Grupo de Trabajo de EUROSAI IT Objetivos: Obtener propuestas concretas para la mejora de la metodología de autoevaluación de las IT de las EFS Nota: Las 7 preguntas siguientes deberán ser contestadas por un representante del grupo de autoevaluación NrPregunta1:Describa brevemente el uso de las IT en su EFS. (Procesos en los que intervienen las IT en su EFS) 2:¿Son las IT una actividad crítica para el “negocio”o gestión de la EFS? EUROSAI IT Working Group Metodología ITSA versión 4.0

Evaluación de la metodología Cuestionario individual Cuestionario de evaluación del proyecto Autoevaluación de IT de las EFS Grupo de Trabajo de EUROSAI IT Objetivos: Obtener propuestas concretas para la mejora del proceso de autoevaluación de las IT de las EFS y su documentación. Evaluación del proceso por cada participante del grupo de autoevaluación: Nr Pregunta:1¿Tiene alguna experiencia previa con el proceso de autoevaluación? (Sí/No) 2¿Tiene alguna experiencia previa con el método CobiT? (Sí/No) 3 En su opinión, ¿han participado las personas adecuadas en el grupo de autovaluación? (Sí/No). Si la respuesta es negativa, ¿quiénes deberían participar? EUROSAI IT Working Group Metodología ITSA versión 4.0

Metodología ITSA versión 4.0 MUCHAS GRACIAS! EUROSAI IT Working Group Metodología ITSA versión 4.0