Gestin de Riesgos y la Auditoria de SistemasJorge A. Serrano, CISA

Conferencia OLACEFS Santiago de Chile Junio 2006

Gestin de Riesgos y la Auditoria de SistemasJorge A. Serrano, CISA

Conferencia OLACEFS Santiago de Chile Junio 2006

materias Los procesos de control y auditoria basados en riesgos cambios en la visin del control impacto global del modelo COSO2 evolucin de tecnologas y modelos de control

Modelos y enfoques metodolgicos en uso para la auditora enfocada a los riesgos Herramientas automatizadas para la sustentacin de los procesos de Auditoria. Beneficios La auditoria de sistemas gubernamental Alcances y Objetivos Anexo1: Cobit y los principales riesgos en TIs

Cambios en la visin del controlPasado Presente Inspeccin y control directo - Potenciamiento del control en las lneas Orientacin policial - Orientacin a la mejora continua Orientacin funcional - Orientacin a los procesos Accionistas pasivos (pocos) - Accionistas activos (muchos) Controles externos - Controles integrados a los sistemas Acceso limitado a informacin - Acceso abierto a la informacin. Responsabilidad del Auditor - Responsabilidad de la Alta Administracin Orientacin de auditoras - Orientacin de las auditorias a Riesgos a los Procedimientos Independencia de accin - Uso de estndares y metodologas Control por lneas/temas - Gobierno Corporativo

COSO 2: Una visin Integrada del ControlComponentes del Control Interno: El Ambiente de control La Evaluacin de riesgos Las Actividades de control La Informacin y las Comunicaciones El Monitoreo ( evaluacin - mantencin del C.I.) Estos 5 componentes cruzan a los tres objetivos de control interno que establece COSO: Eficiencia y Eficacia de las Operaciones; Fiabilidad de la Informacin Financiera y Cumplimiento de Leyes y Normativas El gran cambio...

COSO: Relaciones de Componentes y ObjetivosACTIVIDAD 2 ACTIVIDAD 1 UNIDAD B UNIDAD ARE P FIN ORT E AN CIE S RO S CU MP LIM IEN TO OP ER AC IO NE S

Elementos del Control Interno

MONITOREO INFORMACION Y COMUNICACION ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROLCO INF FIA OR BIL MA IDA CIO D N

ACTIVIDADES DE CONTROL

EF EF ICA ICI CI EN A & CIA

Objetivos del Control Interno

CU MP LIM IEN TO

La Evaluacin de Riesgos segn COSO

La evaluacin del riesgos consiste en la identificacin y anlisis de los factores que podran afectar la consecucin de los objetivos, y, en base a dicho anlisis, determinar la forma en que los riesgos deben ser gestionados.

Esta simple declaracin es la base de la revolucin del tratamiento de la gestin de riesgos, las metodologas de auditoria y la gestin del tema gobiernos corporativos...

Hitos en la evolucin del Control y Gestin de Riesgos a partir de COSO 2Cobit 4 Basilea2: 2001 Turnbull: UK Cobit: USA King: S.Africa Tecnologas de Risk Management COCO : Canada Cadbury: UK COSO: 1992 ISOs Autoevaluacin (CSA) Modelos de Auditora basados en riesgos Sarbanes -Oxley Gobiernos Corporativos 2006

Las evoluciones de los modelos de control y su impacto en la auditoria de sistemas Normas y metodologas especficas para la gestin y control de las TIs: BS7799 CMM, CMMI ISOs 9126, 15505, 17999 NIST ITIL COBIT 4

cules de ellas estamos aplicando?

Modelo base para gestinar Riesgos y ControlesPoniendo los riesgos y controles en el contexto de objetivos de la organizacin ... Objetivos + Riesgos - Control = Exposicin

Impacto

Exposicin inaceptable Precauci Precauci n Exposici Exposici n aceptableIncertidumbre

Exposicin = Riesgo - Control (E = R-C)

Una Metodologa de Auditoria basada en el modelamiento y evaluacin de riesgos.. 1Comprensin del Problema-mbito

6

Reportes y entrega de Resultados con Software de apoyo

Desarrollo modelos Riesgos - Controles por proceso unidad funcin automatizados c/ SW

2

Auditoria5Ejecucin Planes de Trabajo con TIs de apoyo Evaluacin de riesgos & controles con Tis de apoyo

3

Diseo Planes de Trabajo Auditoria y CSA.

4

Necesitamos enlazar la Visin, Estrategia, Riesgos y controles con nuestros procesos de Auditoria

Visin / Misin

Estrategia de la Empresa

Objetivo (s) de negocio

Objetivo (s) de Negocio

Objetivos (s) de negocio

Riesgo (s)

Riesgo (s)

Riesgo (s)

Riesgo (s)

Riesgo (s)

Riesgo (s)

Controles

Controles

Controles

Controles

Controles

Controles

Establecidos por la Gerencia y revisados por el Directorio A ser considerados por la gerencia como parte de su administracin de riesgos A ser detectados y especificados a travs de un proceso de administracin de riesgos Funcin de Auditoria Interna.

La auditoria y la gestin basada en riesgos : una parte fundamental de un Gobierno Corporativo sano.Gobernabilidad Corporativa

Procesos de Auditoria Externa Evaluacin de Riesgos

Funciones de Risk Management

Auditoria de Sistemas y de Seguridad

Programa de Auditoria Interna enfocado a los Riesgos

Auditoria Interna Operativa y Financiera

Auditoria deber asegurar coordinacin de actividades con su Plan Focalizacin Primaria del Grupo de Auditoria Interna

El enfoque de Auditoria se debe construir considerando las mejores prcticas. Ejemplos de requerimientos. AREAGobernabilidad Corporativa

RequerimientoDef. de Responsabilidades Comit Auditoria Informes al Directorio Clara Visin de Estrategias Poderes Metodologa de Riesgos Def . de probabilidad y consecuencias de riesgos Acuerdos de medidas de control Capacitacin Identif. Riesgos Inherentes Det. Perfiles de Riesgos Medidas para el Control Calculo Riesgos Residuales Planes de Accin Sustentacin del Modelo

AREAAuditoria Interna: Operacional Financiera Gestin Sistemas

RequerimientoUso de Metodologas Determinacin de Controles a evaluar Promocin del CSA Mejora Continua Asesora a unidades lnea Uso Especialistas Revisin de Polticas y Procedimientos Reglas Industriales Evaluacin Conciencia Controles Financieros Valuacin y existencia de Activos y Pasivos Cumplimiento de Estndares y polticas contables Normas de Presentacin

Modelamiento de Riesgos

Seguridad Ambiental

Evaluacin de Riesgos

Auditoria Externa

Ejemplo de una tarea de auditoria basada en riesgos:Categora: Riesgos Financieros. Responsable: Gerente de Finanzas Tarea clave a realizar: Revisar separaciones de Funciones Ranking del Riesgo: Alto (impacto x probabilidad= 20) Factores contributivos: Concentracin de funciones (drivers) Fallas de supervisin Falta de informacin oportuna Controles a evaluar: Control 1 Control 2 Fecha de Revisin: Julio 2006 Auditor Responsable: xxxx

Ejemplos de herramientas y metodologas para desarrollar una Auditora Interna basada en Riesgos Metodologas: CobiT, ERM, CMMI Herramientas (SW): Visual Assurance Risk Ranking Advisor Pro Audit Advisor Audit Builder Cobit Advisor Business Assesor PAWS: Pentana Software basados en Riesgos de Firmas de Auditoria Mundiales Software de apoyo MS Access, ACL, DATAS, Easytrieve, MS Excel, IDEA, SAS, @Risk, etc.

Beneficios de Modelar y Controlar los Riesgos TIs Determinamos rpidamente las politicas, procedimientos y documentos faltantes Conocemos si es necesario agregar o eliminar procesos y sistemas de TI Determinamos responsabilidades por los procesos de TI Identificamos el universo de riesgos y cuales no estn siendo bien manejados. Detectamos rapidamente riesgos de funciones tercerizadas Determinamos los controles crticos ms dbiles a evaluar Conocemos la percepcion de los riesgos de las TI desde el punto de vista del usuario y de la Administracin. Facilitamos los procesos de autoevaluacin Priorizamos los programas de auditoras a Sistemas y TIs

Las auditorias de sistemas gubernamentalesALCANCES GENERALES Las Entidades Fiscalizadoras Superiores del Estado deben cautelar la debida administracin, recepcin, custodia y aplicacin de los activos de las entidades del Estado. Hay activos fsicos y lgicos. Entre los activos lgicos estn, entre otros, los sistemas de informacin, las comunicaciones, el know how y el dinero electrnico. Las Auditorias de Sistemas Gubernamentales son hoy una componente fundamental de las entidades fiscalizadoras superiores de los estados modernos. Las Auditorias de Sistemas Gubernamentales deben velar por la adecuada custodia de los principales activos del estado desde la perspectiva de los riesgos de sus sistemas y tecnologas. Por ejemplo, en cuanto a la informacin institucional, stas auditorias deben asegurar que ella este siempre disponible, sea confiable, integra, autntica, sea segura y de calidad.

Objetivos de una Auditoria de Sistemas Gubernamental? ? ? ? ? ? ? ? ? ? ? Conocer y entender a fondo la misin, de los objetivos y el propsito de cada entidad auditada Entender a cabalidad su ambiente, su cultura organizacional, su involucramiento con las TIs, sus polticas, planes, metas estratgicas y operacionales. Entender los requerimientos de informacin Contar con la capacidad de determinar y evaluar riesgos tecnolgicos Dominar los requerimientos legales y regulatorios Estar capacitado para evaluar los riesgos, controles, los sistemas y los procesos del entorno informtico. Prepara equipos multidisciplinarios para cubrir todas las areas de las TIC Entender y trabajar en conjunto con el resto de las auditorias de sistemas gubernamentales. Responder en forma oportuna y con calidad a los requerimientos del estado y de sano gobierno corporativo Ser promotores del cambio y modernizacin de los enfoques y metodologas de control Ser partes fundamentales del Gobierno Corporativo del Estado en cuanto a la gestin de los riesgos derivados del uso de las Tecnologas de informacin.

Cmo estamos preparados para el logros de estos objetivos?

Hitos Gestin Gubernamental de riesgos en Chile SBIFCH: CC 3053 Evaluacin de Solvencia y Gestin (2001) Solucin: Modelamiento de Riesgos y Autoevaluacin LEY de OPAS, MK2 Redefinicin de Roles de las Superintendencias y Organismos Contralores del Estado. Superbancos apoya modelos y herramientas para abordar este tema desde hace aos, las cuales se canalizaron a travs de Proyectos de Risk Management en la Banca. Despus del 11 de septiembre 2001, la industria de seguros estn trabajando ms a fondo la gestin su riesgos. La superintendencias, en general, estn buscando la autoevaluacin de la gestin de los entes supervisados En general, el medio nacional privado y gubernamental se est orientando en la misma direccin: Gestin de Riesgos con apoyo de tecnologas de informacin.

Olacef... Contexto de esta ConferenciaCuales temas estamos hoy hablando en nuestro encuentro? Estrategias de desarrollo electrnico; Aspectos jurdicos, reingeniera de procesos de control; Chilecompras; Portal de Pagos del Estado; Documento Tributario Electrnico; Firma electrnica; Interoperabilidad de los documentos electrnicos. Ciber seguridad; Investigacin criminal informtica; Gestin de Riesgos Corporativos; Seguridad de la informacin; La gestin de riesgos y la auditora de sistemas. Cobit 4.0, Auditoria y Certificaciones profesionales; Proteccin de la informacin, BSC, ACL , Competencias profesionales de Auditores internos y otros temas.

= tecnologas, metodologas, enfoques de gestin y riesgos

Algunas conclusiones El tema de la administracin de riesgos est en plena evolucin, tanto a nivel de empresas como organismos supervisores de gobierno. Tenemos mucho que hacer, adaptar, inventar e invertir... La gestin de riesgos ser parte inseparable de los prximos procesos de auditoria. Vino para quedarse.. Debemos considerar ms a fondo las actuales metodologas, tecnologa y desarrollos del risk management en los currculo de nuestras carreras y funciones Una Auditoria basada en riesgos orientar adecuadamente el uso de los recursos disponibles y nos permitir agregar valor a las organizaciones

Jorge Serrano Rodrguez, Auditor CISA Internacional, Ingeniero Comercial, Bachiller en Economa, Contador Auditor, Licenciado en Ciencias Econmicas, Facultad de Ciencias Econmicas de la Universidad de Chile. Analista y Programador ECOM Chile. Desde el ao 2002 gerencia las funciones de Informtica y Control de Gestin, de la Sociedad Nacional de Oleoductos de Chile, Sonacol S.A.. Cuenta con ms de 20 aos de experiencia en la industria financiera chilena e internacional. Se ha especializado en los temas de gestin, industria bancaria, administracin de riesgos, auditoria y control de TIs.

Desde 1995 al 2001 fue Senior Manager de la firma Deloitte - Chile a cargo de las funciones de Auditoria Interna (Cosourcing), Auditoria de Sistemas (CAS), y Administracin de Riesgos Empresariales (ERM). De 1982 a 1995 fue Supervisor de funciones de Auditoria de Sistemas del Banco de Chile. Desde el ao 1985 es profesor de la Facultad de Ciencias Econmicas de la Universidad de Chile en temas de Auditoria de Sistemas, de Administracin de Riesgos y expositor en cursos y seminarios nacionales e internacionales. Desde el ao 1998 es Profesor de programas de diplomados, posttulos y de magster en la Facultad de Administracin y Economa de la Universidad de Santiago de Chile. Es actual Director y Ex Presidente (94-95-96-2000) de la Asociacin de Auditores de Sistemas ISACA Chile AG. Expositor permanente del programa de certificacin anual CISA desde el ao 1995 y de varias conferencias internacionales de ISACA.

Anexo 1 COBIT Y y LOS PRINCIPALES RIESGOS DE LAS TIs

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 ProcesosPrincipales Riesgos relativos al Gestin de las TI. Desalineacin de estrategias de TI v/s las estrategias del Negocio Falta de Polticas Informticas que afecten la gobernabilidad corporativa No uso de las TI como herramienta de crecimiento y ventaja competitiva Falta de estructura adecuada para manejar la informtica Mal manejo de costos Mal servicio a usuarios Fallas en adquisiciones y desarrollos de proyectos estratgicos Carencias de destrezas para gestin de las TI y de la informacin

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 ProcesosRiesgos Tecnologas Internet Intranet Accesos no autorizados a la red corporativa Acceso no autorizados a mensajes confidenciales Prdida de integridad de las transacciones oficiales Filtracin de informacin Ataques destructivos Virus Prdida de Continuidad Operacional Prdida de Competitividad

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 ProcesosRiesgos en aplicaciones de paquetes ERP Fallas en satisfacer los requerimientos del negocio y de los usuarios Fallas de Integracin de TI y sistemas Incompatibilidades con estructuras tecnolgicas existentes Fallasen la reingeniera social Fallas de un adecuado soporte tcnico Problemas de seguridad y auditabilidad Escalabilidad de costros en implementaciones Implementaciones fallidas

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 ProcesosRiesgos en Ambientes Cliente Servidor Fallas en coordinar requerimientos de TI Problemas de control de acceso Incompatibilidad con infraestructuras tecnolgicas Mal manejo de problemas de usuarios finales Fallas en el control de versiones Altos costos de mantencin Fallas en la seguridad de la informacin Falta de capacitacin del personal de TI y usuarios

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 ProcesosRiesgos en la Operacin de Redes Fallas de disponibilidad Fallas de seguridad Prdida de control de configuraciones Mal manejo de incidentes Ataques Virus Fallas de Soporte y manutencin Obsolescencia Prdida de continuidad operacional

COBIT: Factores de riesgos de TIs estructurados en 4 Dominios y 34 ProcesosOtras TIs en las cuales debemos analizar riesgos: Sistemas externalizados e- business Sistemas Operativos Bases de Datos TEF CMR Sistemas avanzados telefnicos Etc.