Download - GTAG 01 Global Technology Audit Guide
Global Technology Audit Guide
GUIA 01:
Controles de Tecnología de información
GTAG – Global Technology Audit Guide
Acercamiento
• Las guías son para ejecutivos no especializados en tecnologías de información.
• No es necesario ser técnico en los temas.
• Saber es cada vez mas importante.
• El Auditor que no maneja conceptos de TI pierde terreno.
GTAG – Global Technology Audit Guide
Introducción
• ¿Para que los Controles?
• ¿Qué debe ser protegido?
• ¿Dónde son aplicados los controles?
• ¿Quién es responsable?
• ¿Cuándo se debe evaluar el control?
• ¿Cuánto se debe controlar?
GTAG – Global Technology Audit Guide
Objetivos de la guía
• Definir TI para ejecutivos.
• Describir la importancia de los controles de TI dentro del abanico de actividades de control interno.
• Describir roles y responsabilidades para el manejo de TI.
GTAG – Global Technology Audit Guide
• Describir los conceptos de riesgo inherente en el uso y manejo de tecnología.
• Describir el conocimiento y comprensión básicas que debe tener un CAE (Chief Audit Executive), para la evaluación de controles.
• Definir los elementos relevantes de la evaluación de controles de TI por parte de Auditores internos.
GTAG – Global Technology Audit Guide
Comprender los controles
• ¿Qué es un control?
• ¿Qué se debe controlar?
• Dos tipos de componentes:– Automatización de Controles de negocios.– Control de TI.
GTAG – Global Technology Audit Guide
Marco a la medida
1. Cumplir con regulación.
2. Consistente con los objetivos de la organización.
3. Seguridad razonable de que se cumplen las políticas de gobierno corporativo.
GTAG – Global Technology Audit Guide
• ¿Qué significan?• ¿Para que son
necesarios?• ¿Quién es el
responsable?• ¿Cuándo?• ¿Donde?• ¿Cómo aplicamos
evaluaciones?
GTAG – Global Technology Audit Guide
• Comprender los controles.
• Importancia de los controles.
• Roles y responsabilidades.
• Basado en riesgo.
• Monitoreo y técnicas.
• Evaluaciones.
GTAG – Global Technology Audit Guide
Control Interno
• COSO define control interno como:– Proceso diseñado para entregar seguridad
en:• Efectividad y eficiencia en las operaciones.• Seguridad en reportes financieros.• Cumplimiento de leyes y regulaciones.
GTAG – Global Technology Audit Guide
Clasificación de controles
• Clasificación:– Generales.– De aplicación.
• Clasificación:– Preventivo.– Detectivo.– Correctivo.
• Clasificación:– Gobierno.– Administración.– Técnicos.
GTAG – Global Technology Audit Guide
POLITICAS:A nivel
Directores
ESTANDARES:Forma definida
de políticasORGANIZACIÓN Y ADMINISTRACION:Líneas de reporte y
responsabilidad
CONTROLES FISICOS AMBIENTE:
Protección física de Activos
SOFTWARE DE SISTEMAS:
Control sobre SO, configuraciones, Software
DESARROLLO Y ADQ.:Control sobre la
creación o aplicación de software de terceros.
BASADOS EN APLICACION.:
Se administran los datos manejados por usuario
mediante software
GTAG – Global Technology Audit Guide
Seguridad de la información
• Confidencialidad.
• Integridad.
• Disponibilidad.
GTAG – Global Technology Audit Guide
Importancia de los controles
• Necesidades:– Controlar los costos.– Permanecer competitivos.– Protección de la infamación mediante
evaluaciones.– Cumplimiento de leyes y regulaciones.
• Implementar controles efectivos permite mejorar la eficiencia y obtener mayor evidencia comprobatoria.
GTAG – Global Technology Audit Guide
Auditoria
• Auditoria Interna y CAE:– Entre principales tareas esta:
• Informar al comité de Auditoria y Gerencia sobre temas relacionados con TI.
• Asegurarse que los temas de TI son tomados en cuenta dentro del universo auditable y del plan de Auditoria anual.
• Confirmar que el riesgo TI esta considerado para la asignación de recursos necesarios.
GTAG – Global Technology Audit Guide
• Determinar “que” constituye evidencia comprobatoria veraz.
• Realizar controles a nivel empresa.• Realizar controles específicos.• Realizar controles de aplicaciones.
GTAG – Global Technology Audit Guide
Riesgo determina respuestas
• Riesgo:– “Posibilidad de que un hecho ocurra, el cual
tiene directa relación con los objetivos de la entidad.”
• Apetito de riesgo:– “Nivel de riesgo que la entidad esta dispuesta
a aceptar para lograr sus objetivos.”
GTAG – Global Technology Audit Guide
• Tolerancia del riesgo:– “Niveles de variación relativa para el alcance
de los objetivos. Se debe considerar la importancia relativa de los objetivos relacionados y alinear la tolerancia con el apetito al riesgo.”
GTAG – Global Technology Audit Guide
Consideraciones
• Infraestructura.
• La organización encara el riesgo.
• Apetito y tolerancia.
• Análisis de riesgo.
• Controles TI apropiados.
GTAG – Global Technology Audit Guide
Mitigación del riesgo
• Aceptar.
• Eliminar [Cambiar].
• Compartir.
• Controlar/Mitigar.
GTAG – Global Technology Audit Guide
Monitorear y evaluar
• Elegir un marco referencial.
• Metodología apropiada.
• Tipo de monitoreos:– Diario o periódico.– Por eventos.– Continuos.
GTAG – Global Technology Audit Guide
Evaluaciones
• ¿Que metodología utilizar?– TI cada vez mas desarrollada en la empresa.– Delgada línea divisoria.– Cambio en las actividades de Auditoria.
• Fraude.• Cumplimiento con las regulaciones.• Desarrollo de controles.• Revisión de controles.
GTAG – Global Technology Audit Guide
¿Preguntas?