Graciela Braga Auditor y Asesor CP, CGEIT, COBIT5-F,CXS-F,GDPR-F Auditando el "Gobierno de TI" Aplicación práctica de la reciente edición de la Guía del IIA y el marco COBIT5 de ISACA Graciela Braga Auditor y Asesor CP, CGEIT, COBIT5-F,CXS-F,GDPR-F
Definiciones Normas Internac. para el Ejercicio profesional Gobierno de TI- Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización. 2110-A2 – La actividad de auditoría interna debe evaluar si el gobierno de tecnología de la información de la organización apoya las estrategias y objetivos de la organización
Un buen Gobierno de TI El tono de la Alta Dirección (“the tone at the top”) es efectivo, se comunica a todos los niveles de la organización, y ese mensaje impacta en la TI las estructuras existentes indican si la TI apoya y ayuda a la organización a alcanzar sus objetivos estratégicos. la gestión estratégica del desempeño permite mecanismos para gobernar las necesidades de la organización y la prestación de servicios de TI. las métricas de prestación de servicios de TI son componentes importantes para controlar y monitorear los costos/beneficios de TI Liderazgo, estructura y procesos Y aquí empezamos a usar COBIT
Para quién son los beneficios? ¿Quién asume el riesgo? Las empresas tienen muchas partes interesadas, y ‘crear valor’ significa cosas diferentes — y a veces contradictorias — para cada uno de ellos. Las actividades de gobierno tratan sobre negociar y decidir entre los diferentes intereses en el valor de las partes interesadas. En consecuencia, el sistema de gobierno debe considerar a todas las partes interesadas al tomar decisiones sobre beneficios, evaluación de riesgos y recursos. Para cada decisión, las siguientes preguntas pueden y deben hacerse: ¿Para quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren? ACA PONER LOS OBJETIVOS DE GOB Y EJEMPLIFICACION DE OBJ Y METAS (ESTO ES MAS ESTRATEGICO) Para quién son los beneficios? ¿Quién asume el riesgo? ¿Qué recursos se requieren?
Proceso de optimización de riesgo
AHORA QUE METRICAS USAR, QUE POLITICAS, QUE PROCESOS, QUE PRACTICAS Y ACTIVIDADES EN CADA PROCESO Y QUE ESTRUCTURA Y QUE ROLES ITERVIENEN EN CADA PROCESO ---ACA NOS PUEDE AYUDAR COBIT
Fig.4 Cascada de Metas de COBIT 5 4—Visión General de la Cascada de Metas de COBIT 5
NO IMPORTA ELTEXTO EN ESTE MOMENTO SINO SABER PARA QUE NOS SIRVE COMO AUDITORES ENTENDER EL PROCESO, SABER SU CUAL ES OBJETIVO, CON QUE METAS CORPORATIVAS Y DE TI SE RELACIONAN , COMO PODEMOS MEDIR LA EFICACIA DE ESE PROCESO, LOS ROLES QUE INTERVIENEN EN ESE PROCESO, ENTONCES SE A QUIEN A ENTREVISTAR Y PEDIRLE LA DOCUMENTACION, TAMBIEN EN QUE PROCESOS IN TERVENGO COMO AUDITOR Y CON QUE ROL Y DESPUES EL PROCEESO COMO LO CONOCEMOS ENTRADA PROCESO Y SALIDOA Y ACA LO QUE YA SABES ENTONCES AHORA QUE SAEMOS LO QJUE ES EL GOB DE TI, EL ALCANCE, A QUE APUNTA NOS ADENTRAMOS EN EL PROCESO DE AUDORIA
Del rol del Auditor Interno Si bien puede parecer que la auditoría de la gobierno de TI requiere una amplia experiencia en TI, los aspectos estratégicos de la gobierno de TI pueden ser parte de cualquier acuerdo (engagement) operacional. Las auditorías se dividen en aseguramiento y consultoría en función de la robustez del sistema de gobierno de TI implementado It is imperative that audits of IT governance be divided into both assurance and consulting activities depending on the robustness of the IT governance system in place.
Factores para fortalecer Gob. TI Clara definición de ownership y accountability relacionada con la TI Que el CIO reporte a la Alta Dirección Se reconoce el valor que la innovación facilitada por la TI puede ofrecer al negocio El rendimiento de TI se monitorea y mide.
Planificación del Trabajo
1.Entender contexto y propósito Entender el “concepto Gobierno” es requisito para conversar con Board y Alta Dirección 1° pregunta: qué marco está utilizando la organización para impulsar el gobierno de TI. Si no ha sido implementado podemos ofrecer consultoría para ayudar a la administración a asignar los controles y prácticas existentes según el marco
2.Obtener información Basar en los componentes: estructura, planes estratégicos empresa/TI, marco de gobierno utilizado, minutas Board, reportes de riesgos, indicadores de performance de procesos de TI, etc. Conjunto de preguntas (Anexo C) para evaluar el estado actual del Gobierno de TI
2.Obtener información Anexo C Ejemplos
2.Obtener información Anexo C Ejemplos
2.Obtener información Anexo C Ejemplos
3. Evaluación preliminar de riesgos Debido a limitaciones de tiempo y recursos, no todos los riesgos pueden ser revisados Anexo D Matriz de Riesgos y Controles para el Gobiernos de TI. Provee ejemplos de objetivos de negocios, riesgos, y controles para ayudar al auditor en el inicio de su programa de trabajo.
3. Evaluación preliminar de riesgos Anexo D Ejemplos
3. Evaluación preliminar de riesgos Anexo D Ejemplos
Para finalizar Gobierno de TI se relaciona con el logro de las estrategias y objetivos de la organización mediante el soporte de la TI . Auditoría Interna se encuentra en una posición única dentro de una organización para evaluar si el Gobierno de TI respalda las estrategias y los objetivos de la misma
¡Muchas Gracias por su atención!