Enfrentando el desafío - La Auditoría Interna ante un panorama volátil de riesgos
description
Transcript of Enfrentando el desafío - La Auditoría Interna ante un panorama volátil de riesgos
Enfrentando el desafíoLa Auditoría Interna ante un panorama volátil de riesgos
Jorge AcostaSocio Líder de Consultoría
Setiembre de 2014
1Presentando a Pepe
2 Los riesgos
3 Tareas de la Auditoría Interna
4 Co
nte
nid
o
Presentandoa Pepe
Enfrentando el desafíoSetiembre de 2014
Página 4
un Gerente de una empresa de reconocido prestigio
1
2
3
4
Libro de caras
Pepe
Pepe …
¡Tengo mi Piñaphone 9, que salió hace 15 días al mercado, con el correo y apps de mi empresa instalados!
¡Logré tercerizar los servicios de TI y así generar ahorros… los correos de la compañía están en la Nube!
¡Reduje los costos al poner los programas de pedidos y ventas en la nube! Di acceso a todos mis empleados desde sus smartphones!
¡Ganaré un concurso del Estado para un proyecto que representará el 40% de mi facturación!
¡ESTOY FELIZ!
Enfrentando el desafíoSetiembre de 2014
Página 5
Es domingo en la mañana, y Pepe…
Recibe una llamada al teléfono fijo del Gerente de Ventas con malas noticias…
Para colmo de males…
“Pepeleaks,lobby en compras
del Estado”
2
4
La cuenta de correo de Pepe fue hackeada y accedieron a 5000 correos, uno de ellos de su “socio estratégico”.
El celular no funciona y el proveedor no recibe reclamos por ser domingo.
3
1
Pepe
Pedidos perdidos en la nube, debido a una falla en los sistemas.
En el Acuerdo de Servicios del proveedor tercerizado no existe una cláusula que solucione el problema.
Enfrentando el desafíoSetiembre de 2014
Página 6
¿Qué pasó?
Pepe no contempló 7 riesgos que hoy enfrenta una organización:
Enfrentando el desafíoSetiembre de 2014
Página 7
… y Auditoría Interna
La función de Auditoría Interna debe:
Su función de Auditoría Interna debe estar preparada para responder lo siguiente:
¿Puede esas brechas de seguridad revisadas pasar en nuestra compañía?
¿Nuestros proveedores han adoptado nuestra cultura ética y cumplen con las leyes y regulaciones?
¿Con qué rapidez podemos responder a los desastres naturales u otras interrupciones en el negocio?
¿Nuestros empleados entienden los riesgos del uso de las redes sociales?
Focalizarse en las actividades básicas y centrales.1
2
Ser capaz de “mirar a la vuelta de la esquina”. 3
Adoptar el rol de asesor en la organización.
Realizar múltiples actividades de forma simultánea.4
Los
riesgos
Enfrentando el desafíoSetiembre de 2014
Página 9
Enfrentando el desafíoSetiembre de 2014
Página 10
1. Redes sociales
Ingreso a redes sociales 72%
de los adultos que utilizan internet entran a páginas de redes sociales(con potencial un impacto negativo en la marca de una empresa).Fuente: Pew Research Center’s Internet & American Life Project, Agosto 2013.
Facebook 12.4 MMde usuarios de Facebook en el Perú.Fuente: Gestión, Enero 2014.
“75% de los millennials utiliza su móvil para conectarse a plataformas sociales, básicamente a Facebook y a Whats-App.”
Fuente: El Comercio, Abril 2014.
Conexión a Internet 38.2%
de peruanos se conectan a internet diariamente.
Fuente: El Comercio, Mayo 2014.
Twitter y Linkdin 500 MM
de Tweets mundiales al día.
259 MMde miembros en Linkdin en el mundo. Fuente: Richard Holt, “Twitter in Numbers,” Telegraph, Marzo 2013.
Enfrentando el desafíoSetiembre de 2014
Página 11
Riesgos de redes sociales
Divulgación de información sensible
Hackers que descifran datos confidenciales
Plataformas con mayor acceso a virus
Softwaremalicioso
Suplantación de identidad en la web
Secuencias de comandos cruzados
1. Redes sociales
Enfrentando el desafíoSetiembre de 2014
Página 12
Evaluación de riesgos en las redes sociales
Colaborar con el área de sistemas de información para la evaluación de las actividades en las redes sociales dentro de la empresa.
Trabajar con los proveedores de servicios clave buscando fortalecer la administración de riesgos en la organización.
Evaluar las amenazas a la seguridad de la información a través del uso de las redes sociales.
Respuestas de Auditoría
1. Redes sociales
Preguntas asociadas
¿La organización comprende los riesgos relacionados con las
redes sociales?
¿Los procesos de mitigación son adecuados y ágiles?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 13
Auditoría del gobierno de las redes sociales Evaluar el diseño de las políticas y
procedimientos para administrar las redes sociales dentro de la organización.
Revisar las políticas y procedimientos con respecto a las prácticas líderes.
Evaluar el programa de capacitación en redes sociales.
Respuestas de Auditoría
1. Redes sociales
Preguntas asociadas
¿Existe un proceso de gobierno para redes sociales dentro de la empresa? ¿Incluye a las principales áreas funcionales?
¿Existen políticas sobre redes sociales?
¿Cuán bien conocidas por los empleados son las políticas sobre redes sociales?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 14
Auditoría de actividades en las redes sociales Revisar las actividades en las redes sociales de la
organización y a sus usuarios, con respecto a las políticas, procedimientos y capacitación implementadas.
Respuestas de Auditoría
1. Redes sociales
Preguntas asociadas
¿Qué acciones correctivas se necesita implementar en función de la actividad?
¿El programa de capacitación proporciona un entrenamiento adecuado para los usuarios?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 15
Enfrentando el desafíoSetiembre de 2014
Página 16
2. Dispositivos móviles
Teléfonos inteligentes 5.5 MM
de teléfonos inteligentes están operativos en el Perú y la mayoría de ellos es usada por jóvenes de entre 20 y 29 años.
Fuente: El Comercio, Abril 2014.
Población “Smart” 20% mundo
Fuente: El Comercio, Abril 2014.
18% Perú
Fuente: El Comercio, Abril 2014.
“Tablets” 1.2 MMde unidades, es la proyección de ventas de tablets en el Perú para el 2014.
Fuente: El Comercio, Febrero 2014.
Memoria USB 561 MM
De unidades, es el tamaño de mercado proyectado para las memorias USB hacia el 2018.
Fuente: www.mynewsdesk.com, Diciembre 2013.
Enfrentando el desafíoSetiembre de 2014
Página 17
2. Dispositivos móviles
Permitir el acceso a los empleados a procesos empresariales nuevos o más eficientes (p.e. soporte de campo móvil).
Mejorar la productividad
Acceso a los empleados
Nuevos negocios
Extendiendo el alcance del uso de las aplicaciones existentes (p.e. hojas de trabajo móviles).
Apuntar a nuevos mercados u ofrecer nuevos productos/servicios a los clientes (p.e. aplicaciones de comercio móvil).
¿Qué es lo que impulsan los sistemas de información móviles?
Enfrentando el desafíoSetiembre de 2014
Página 18
2. Dispositivos móviles
Riesgos deDispositivos
móviles
Pérdida potencial de información importante
Mayor seguridad debido a la gama de dispositivos y vulnerabilidades de los
sistemas
Robo de un dispositivo móvil debido a su pequeño tamaño
Privacidad y monitoreo entre el uso personal y
empresarial del dispositivo
Cumplimiento con las regulaciones de
privacidad
Enfrentando el desafíoSetiembre de 2014
Página 19
2. Dispositivos móviles
Revisión de la configuración del dispositivo móvil
Identificar los riesgos y vulnerabilidades de la configuración actual del dispositivo móvil.
Evaluar las plataformas de clientes, la arquitectura de la red de soporte, implementación de políticas, manejo de dispositivos perdidos o robados e identificación de vulnerabilidades a través de la accesibilidad de la red y la configuración de las políticas.
Respuestas de AuditoríaPreguntas asociadas
¿Cómo ha implementado la organización la política “traiga su propio dispositivo” (BYOD por sus siglas en inglés)?
¿Se han implementado políticas / estrategias móviles apropiadas?
¿Cómo detectan dispositivos no autorizados?
¿Los parámetros de configuración son seguros y parametrizados de acuerdo con las políticas?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 20
2. Dispositivos móviles
Evaluación de caja negra (“black-box”) de las aplicaciones móviles
Realizar una auditoría utilizando diferentes estrategias de pruebas front-end: analizar vulnerabilidades utilizando diversas herramientas y verificar manualmente los resultados del análisis.
Intentar explotar las vulnerabilidades identificadas en las aplicaciones web móviles.
Respuestas de AuditoríaPreguntas asociadas
¿Qué vulnerabilidades pueden ser explotadas con éxito?
¿Cuál es la respuesta cuando se explotan?, ¿Existe conocimiento de que ha ocurrido una intrusión?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 21
2. Dispositivos móviles
Evaluación de caja gris (“gray-box”) de las aplicaciones móviles
Combinar las revisiones de código fuente tradicionales (pruebas de caja blanca – “White-box”) con técnicas de pruebas front-end (caja negra – “black-box”) para identificar áreas críticas de funcionalidad y síntomas de malas prácticas comunes.
Cada uno de estos puntos (“hotspots”) en el código deben ser enlazados con la instancia en vivo de la aplicación donde las técnicas de explotación manual pueden verificar la existencia de una vulnerabilidad de seguridad.
Respuestas de AuditoríaPreguntas asociadas
¿Cuán sólido es el código fuente asociado con las aplicaciones móviles utilizadas dentro de la organización?
¿Qué vulnerabilidades pueden explotarse dentro del código?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 22
Enfrentando el desafíoSetiembre de 2014
Página 23
3. Sistemas de información en la nube
Operación en la nube 50%
de las empresas del Perú que facturan más de US$ 40 millones ya tienen por lo menos un servicio u operación en la nube.
Fuente: Gestión, Febrero 2014.
Estimación 2015 $200MM
Es lo que se prevé que el referido mercado llegue a hacer negocios.
Fuente: Gestión, Febrero 2014.
Factores clave :
• Agilidad empresarial
• Pagar por lo utilizado versus instalar y ser propietario
• Ahorro de costos
• Plataformas innovadoras para el crecimiento
• Utilización de infraestructura
• Inversión pública
• Estudio de mercado
• Seguridad
• Esfuerzos de estandarización
• Riesgos de pérdida de información
Enfrentando el desafíoSetiembre de 2014
Página 24
3. Sistemas de información en la nube
Riesgos deinformaciónen la nube
Riesgos de infraestructura y arquitectura
Riesgos de estándares e inoperabilidad
Riesgos regulatorios y de cumplimiento
Gobierno sobre el proveedor de
servicios de nube
Alineamiento de estrategias y gobierno
Riesgos de continuidad del
negocio
Enfrentando el desafíoSetiembre de 2014
Página 25
Estrategia y gobierno de los sistemas de información en la nube
Evaluar la estrategia de la organización para el uso de sistemas de información en la nube.
Determinar si se han desarrollado políticas y controles apropiados para brindar soporte al despliegue de la estrategia.
Evaluar el alineamiento de la estrategia con los objetivos generales de la empresa y el nivel de aprestamiento que debe adoptarse dentro de la empresa.
Respuestas de AuditoríaPreguntas asociadas
¿Existe una estrategia entorno al uso de proveedores de servicios de sistemas de información en la nube?
¿Existen políticas de soporte a seguir cuando se utiliza un proveedor de servicios de sistemas de información en la nube?
3. Sistemas de información en la nube
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 26
Seguridad y privacidad en la nube
Evaluar las prácticas y procedimientos de seguridad de la información del proveedor de servicios de sistemas de información en la nube. Esto puede ser una revisión de los informes SOC 1, 2 y / o 3 -como el SSAE 116-, una revisión de los acuerdos de nivel de servicios de seguridad y / o una auditoría “in situ” del proveedor.
Determinar si la Gerencia de Sistemas de Información trabajó para negociar requerimientos de seguridad en el marco de su contrato con el proveedor.
Revisar los procedimientos para evaluaciones de seguridad periódicas del / de los proveedor(es) de servicios, y determinar qué medidas de seguridad interna se han tomado para proteger la información y datos de la empresa.
Respuestas de AuditoríaPreguntas asociadas
¿Se ha realizado una evaluación de impacto sobre las operaciones del negocio para los servicios que se desplazan a la nube?
¿Su organización tiene protocolos de autenticación seguros para los usuarios que trabajan en la nube?
3. Sistemas de información en la nube
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 27
Evaluar el servicio del proveedor de sistemas de información en la nube
Evaluar la capacidad del proveedor de satisfacer o sobrepasar los acuerdos de nivel de servicios establecidos en el contrato.
Las áreas de consideración deben incluir Tecnología, Legal, Gobierno, Cumplimiento, Seguridad y Privacidad.
Asimismo, evaluar qué planes de contingencia existen en caso de desperfectos, acuerdos de responsabilidad, soporte extendido, y la inclusión de otros términos y condiciones como parte de los contratos de servicio, así como la gestión y modularidad de la disponibilidad, incidentes y capacidad.
Respuestas de AuditoríaPreguntas asociadas
¿Qué acuerdos de nivel de servicio están implementados para el tiempo de disponibilidad real, resolución de problemas y servicio general?
¿El proveedor de servicios ha satisfecho o sobrepasado los acuerdos de nivel de servicio? ¿Qué problemas han tenido?
3. Sistemas de información en la nube
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 28
Enfrentando el desafíoSetiembre de 2014
Página 29
4. Seguridad de sistemas de información
Función de seguridad 83%
Reportaron que su función de seguridad de información no satisfacía plenamente las necesidades de la organización.
Incidentes de seguridad 31%
Reportaron que el número de incidentes de seguridad dentro desu organización se había incrementado en por lo menos5% durante el último año.
Necesidad presupuestaria 65%
Citaron necesidades presupuestarias como su obstáculo número uno para la entrega de valor al negocio.
Encuesta global de EY sobre Seguridad de la Información, 2013
(“Under ciber-attack”)
Enfrentando el desafíoSetiembre de 2014
Página 30
4. Seguridad de sistemas de información
¿Cómo reforzar los controles de seguridad de la información?
Identificar las “joyas de la corona” y establecer controles diferenciales.1
2
Fortalecer y complicar los controles.3
Implementar un adecuado balance de controles preventivos y detectivos.
Enfrentando el desafíoSetiembre de 2014
Página 31
Evaluación del programa de seguridad de la información
Evaluar el programa de seguridad de la información de la organización utilizando un marco alineado con estándares generalmente aceptados.
Proporcionar una imagen clara de cómo está preparada la empresa para proteger los activos de información clave de ésta.
Respuestas de AuditoríaPreguntas asociadas
¿Cuán bien se ha adaptado la empresa al panorama cambiante de las amenazas, tanto en el mundo de hoy como en el futuro desconocido?
¿La estrategia de seguridad de la información de la empresa es apropiada para proteger sus activos de información crítica?
4. Seguridad de sistemas de información
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 32
Evaluación de la ciber-amenaza
Adoptando la mentalidad, herramientas y técnicas de un atacante malicioso, haga las pruebas para determinar si los activos de información clave de la empresa corren riesgos.
Enfocarse en activos de información y negocios o “trofeos”, no en la tecnología, en un cambio notable de las pruebas históricas de “ataque y penetración”.
Identificar cuales son las alertas que generan las intrusiones y su priorización.
Respuestas de Auditoría
4. Seguridad de sistemas de información
Preguntas asociadas
¿Qué vulnerabilidades existen?, ¿se ha detectado aprovechamiento de estas vulnerabilidades?
¿La información sobre las amenazas internas y externas está considerada en las prácticas de seguridad?
Cuando se detecta una intrusión, ¿el tiempo de respuesta de la organización es apropiado?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 33
Evaluación de gestión de identidades y accesos
Revisar los procesos de la empresa para regir quien tiene acceso a los sistemas y cómo se controla dicho acceso.
Enfocarse en el proceso de otorgamiento de accesos, fiscalización y certificación, gestión de roles / reglas y reportes y analítica.
Respuestas de Auditoría
4. Seguridad de sistemas de información
Preguntas asociadas
¿La empresa está otorgando apropiadamente el acceso a usuarios internos y externos?
¿Está siendo controlado el acceso a las cuentas privilegiadas?
¿La empresa está en capacidad de identificar y reaccionar aaccesos inapropiados o no autorizados?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 34
Evaluación de la protección de datos
Evaluar la manera en que la empresa ha identificado, definido y clasificado sus datos, incluyendo los mecanismos de protección de datos.
Respuestas de Auditoría
4. Seguridad de sistemas de información
Preguntas asociadas
¿La empresa está protegiendo sus activos de información clave a lo largo del ciclo de vida completo de los datos (es decir, datos en reposo, en uso, en movimiento)?
¿La empresa está cumpliendo con sus requerimientos regulatorios para proteger datos?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 35
Enfrentando el desafíoSetiembre de 2014
Página 36
5. Gestión de riesgos de procesos tercerizados
Riesgos deprocesos
tercerizados
Daño a la marca y reputación
Riesgos de servicios y productos
Riesgos de operación y de
cadena de abastec.
Responsabilidad legal / obligaciones
contractuales
Uso inapropiado de secretos comerciales
Seguridad de la información y
privacidad
Enfrentando el desafíoSetiembre de 2014
Página 37
Programa general de gestión de riesgos de procesos tercerizados
Evaluar la consistencia del programa implementado para manejar el riesgo de procesos ejecutados por terceros en la organización.
Incluir los criterios del proceso de evaluación de riesgos, propiedad del programa, roles y responsabilidades de los diversos gerentes / departamentos, protocolos de comunicación, autoridades de aprobación, protocolos de exención, políticas y procedimientos, incluyendo difusión y capacitación, y un programa de monitoreo en curso.
Respuestas de AuditoríaPreguntas asociadas
¿Cuán consistente es el proceso global de gestión de riesgos de proveedores de servicios de procesos tercerizados?
¿La propiedad, roles y responsabilidades están claramente entendidos?
5. Gestión de riesgos de procesos tercerizados
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 38
Proceso de gestión de contratos
Auditar la propiedad del proceso y las responsabilidades de control y fiscalización; el proceso general para la firma de nuevos contratos y para renovar contratos existentes; y el proceso de cumplimiento, incluyendo la política legal, regulatoria y de empresa.
Revisión de los Acuerdo de Nivel Servicio
Respuestas de AuditoríaPreguntas asociadas
¿La organización tiene un proceso bien comunicado para mantener y administrar contratos?
¿Se ha establecido las métricas y criterios para las revisiones periódicas?
5. Gestión de riesgos de procesos tercerizados
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 39
Programa de gestión de proveedores de servicios de procesos tercerizados
Incluir revisiones del sitio del proveedor, según sea lo apropiado, en relación con la política de seguridad; privacidad y gestión de datos (p.e., fuga y protección); seguridad del personal; control de accesos; seguridad física y medioambiental; desarrollo y mantenimiento de sistemas; evaluación de contratos y / o cumplimiento con contratos, acuerdos sobre estándares o nivel de servicio; evaluación financiera; mapeo y evaluación de proceso, riesgo y control; cumplimiento con leyes y regulaciones; y planificación de contingencias / continuidad del negocio.
Respuestas de AuditoríaPreguntas asociadas
¿La organización tiene un proceso exhaustivo que es comunicado internamente y a los proveedores?
¿Se ha desarrollado criterios y métricas que identifiquen temprano problemas potenciales?
5. Gestión de riesgos de procesos tercerizados
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 40
Enfrentando el desafíoSetiembre de 2014
Página 41
6. Anti-corrupción
Corrupción 40%de los países encuestados; es decir, más de la mitad de los encuestados, indicaron que la corrupción estaba generalizada.
Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014.
Política Anti soborno 1de cada 5empresas
aún no cuenta con una política antisoborno / anticorrupción.
Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014.
Debida diligencia anti corrupción
Menos del 1/3de las empresas encuestadas indicaron que están llevando a cabo la debida diligencia anticorrupción como parte de sus procesos de fusión y adquisición
Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014.
Sistema de denuncias 43%
de empresas peruanas NO cuenta con él.
45%
Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014.
Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014.
de empresas en el mundo NO cuenta con él.
Línea Ética
Enfrentando el desafíoSetiembre de 2014
Página 42
6. Anti-corrupción
22%de las empresas víctimas de fraude en los últimos cinco años, sufrieron pérdidas de más de $100,000 por evento.
81% de los casos de fraude fueron perpetuados por el propio personal.
Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014.
83%de los encuestados no se siente seguro respecto de la suficiencia y efectividad de sus controles anti-fraude.
67%de encuestados cuya organización sufrió eventos de fraude, cree que estos eventos pueden volver a suceder.
55%de las organizaciones fueron víctimas de fraude
45%de las organizaciones defraudadas sufrieron más de un caso de fraude por año
Fraude
Enfrentando el desafíoSetiembre de 2014
Página 43
6. Anti-corrupción
Riesgos deFraude y
corrupción
Pérdida de proveedores clave por tener una relación de soborno
Pérdida de clientes clave e ingresos
asociados
Pagos impropios
Terceros que realizan pagos
impropios y tienen conductas
inapropiadas
Enfrentando el desafíoSetiembre de 2014
Página 44
Evaluación del programa anticorrupción
Evaluar el proceso que la gerencia ha implementado para calificar y aceptar a proveedores.
Centrarse en los controles para verificar que las políticas y procedimientos de la empresa están implementados y son seguidos de manera consistente.
Enfocarse en la estrategia de la empresa para rastrear y gestionar al proveedor en las localidades con alto riesgo. Esto incluirá una revisión de la aceptación del proveedor y un proceso periódico de revisión de la continuación del proveedor.
Respuestas de Auditoría
6. Anti-corrupción
Preguntas asociadas
¿En qué mercados con alto riesgo opera la organización?
¿Quién está involucrado en el proceso y cuáles son los controles implementados?
¿Cuál es el proceso para aceptar nuevos proveedores?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 45
Evaluación de la protección de datos
Revisar la posición de la empresa respecto al cumplimiento de las regulaciones y normas anticorrupción.
Emprender una revisión detallada de la política, procedimientos y controles internos implementados para seguir cumpliendo.
Revisar los programas de capacitación y educación para los empleados y terceros, así como el enfoque de la empresa para seguir al día con las leyes y regulaciones aplicables.
Respuestas de AuditoríaPreguntas asociadas
¿Quién es el propietario y responsable del cumplimiento de las regulaciones y normas anticorrupción?
¿Cuál es el proceso de la organización para la evaluación de riesgos de los países / áreas en los cuales opera?
6. Anti-corrupción
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 46
Auditoría de denuncias internas
Centrarse en el programa de cumplimiento de la empresa, con un énfasis en las políticas, procedimientos y controles internos del programa.
Revisar la “hotline” de denuncias internas o línea ética, la respuesta de la gerencia sobre nuevas acusaciones y el procedimiento para seguir problemas potenciales identificados hasta su culminación.
También centrarse en los controles implementados para verificar el anonimato del denunciante interno.
Respuestas de Auditoría
6. Anti-corrupción
Preguntas asociadas
¿Quién es el propietario y responsable del programa de cumplimiento de la empresa?
¿Cuál es el proceso para que un denunciante interno proporcione información a la empresa?
¿Qué controles han sido implementados para verificar que el programa promueva la confidencialidad de aquellos que contactan la “hotline” de denuncias internas o línea ética?
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 47
Enfrentando el desafíoSetiembre de 2014
Página 48
7. Gestión de continuidad de negocio
BCM
Políticas claras entendidas por los
empleados
Plan de recuperación de desastres
Gobierno del programa
Plan de crisis
Enfrentando el desafíoSetiembre de 2014
Página 49
Integración y gobierno del programa de continuidad del negocio
Evaluar el plan general de continuidad del negocio de la organización, incluyendo el gobierno del programa, las políticas, evaluaciones de riesgos, análisis de impacto en el negocio, evaluación del vendedor / tercero, estrategia / plan, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia.
Respuestas de AuditoríaPreguntas asociadas
¿La organización ha implementado un plan holístico de continuidad del negocio?
¿El plan ha sido probado y comunicado apropiadamente?
¿Cómo se compara el plan con las prácticas de vanguardia?
7. Gestión de continuidad de negocio
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 50
Recuperación de desastres
Evaluar la capacidad de tecnología de la información de recuperar efectivamente los sistemas y reanudar el desempeño normal de los sistemas en el caso de una perturbación o desastre.
Respuestas de AuditoríaPreguntas asociadas
¿Los planes de recuperación de desastres están alineados con planes de continuidad del negocio más amplios?
¿Están incluidos los sistemas críticos? ¿Están definidos?
¿Las pruebas dan la seguridad que los sistemas puedan ser efectivamente recuperados?
7. Gestión de continuidad de negocio
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafíoSetiembre de 2014
Página 51
Gestión de crisis
Revisar los planes de gestión de crisis de la organización, incluyendo el plan / estrategia general, protección de activos, seguridad del personal, métodos de comunicación, relaciones públicas, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia.
Respuestas de AuditoríaPreguntas asociadas
¿Los planes de gestión de crisis están alineados con planes de continuidad del negocio más amplios?
¿Los planes han sido bien comunicados y probados?
7. Gestión de continuidad de negocio
Aspectos Clave a considerar durante la auditoría:
Tareas de la Auditoría Interna
Enfrentando el desafíoSetiembre de 2014
Página 53
Tareas de la Auditoría Interna
Lista de actividades que la función de Auditoría Interna debiera ejecutar:
Actividades de la Auditoría
Interna
Aplicar una evaluación de riesgos dinámica y un plan de auditoría flexible.
Incluir información de la Gerencia y relacionarla directamente con la estrategia y la gestión de riesgos de la empresa.
Incorporar el análisis de datos en el proceso de la auditoría.
Identificar los controles redundantes o ineficaces y recomendar mejoras y ahorros de costos.
Realizar proyectos de asesoría que incluyan proactivamente el diseño de los controles y la eficiencia y eficacia de los procesos.
Coordinar los objetivos, el alcance y la cronología de los reportes al Directorio y Gerencia, con las otras funciones de riesgos y cumplimiento. Buscar el mayor valor en el trabajo de otras funciones de auditoría y cumplimiento.
Enfrentando el desafíoLa Auditoría Interna ante un panorama volátil de riesgos
Jorge AcostaSocio Líder de Consultoría
Setiembre de 2014