Global Technology Audit Guide

GUIA 01:

Controles de Tecnología de información

GTAG – Global Technology Audit Guide

Acercamiento

• Las guías son para ejecutivos no especializados en tecnologías de información.

• No es necesario ser técnico en los temas.

• Saber es cada vez mas importante.

• El Auditor que no maneja conceptos de TI pierde terreno.

GTAG – Global Technology Audit Guide

Introducción

• ¿Para que los Controles?

• ¿Qué debe ser protegido?

• ¿Dónde son aplicados los controles?

• ¿Quién es responsable?

• ¿Cuándo se debe evaluar el control?

• ¿Cuánto se debe controlar?

GTAG – Global Technology Audit Guide

Objetivos de la guía

• Definir TI para ejecutivos.

• Describir la importancia de los controles de TI dentro del abanico de actividades de control interno.

• Describir roles y responsabilidades para el manejo de TI.

GTAG – Global Technology Audit Guide

• Describir los conceptos de riesgo inherente en el uso y manejo de tecnología.

• Describir el conocimiento y comprensión básicas que debe tener un CAE (Chief Audit Executive), para la evaluación de controles.

• Definir los elementos relevantes de la evaluación de controles de TI por parte de Auditores internos.

GTAG – Global Technology Audit Guide

Comprender los controles

• ¿Qué es un control?

• ¿Qué se debe controlar?

• Dos tipos de componentes:– Automatización de Controles de negocios.– Control de TI.

GTAG – Global Technology Audit Guide

Marco a la medida

1. Cumplir con regulación.

2. Consistente con los objetivos de la organización.

3. Seguridad razonable de que se cumplen las políticas de gobierno corporativo.

GTAG – Global Technology Audit Guide

• ¿Qué significan?• ¿Para que son

necesarios?• ¿Quién es el

responsable?• ¿Cuándo?• ¿Donde?• ¿Cómo aplicamos

evaluaciones?

GTAG – Global Technology Audit Guide

• Comprender los controles.

• Importancia de los controles.

• Roles y responsabilidades.

• Basado en riesgo.

• Monitoreo y técnicas.

• Evaluaciones.

GTAG – Global Technology Audit Guide

Control Interno

• COSO define control interno como:– Proceso diseñado para entregar seguridad

en:• Efectividad y eficiencia en las operaciones.• Seguridad en reportes financieros.• Cumplimiento de leyes y regulaciones.

GTAG – Global Technology Audit Guide

Clasificación de controles

• Clasificación:– Generales.– De aplicación.

• Clasificación:– Preventivo.– Detectivo.– Correctivo.

• Clasificación:– Gobierno.– Administración.– Técnicos.

GTAG – Global Technology Audit Guide

POLITICAS:A nivel

Directores

ESTANDARES:Forma definida

de políticasORGANIZACIÓN Y ADMINISTRACION:Líneas de reporte y

responsabilidad

CONTROLES FISICOS AMBIENTE:

Protección física de Activos

SOFTWARE DE SISTEMAS:

Control sobre SO, configuraciones, Software

DESARROLLO Y ADQ.:Control sobre la

creación o aplicación de software de terceros.

BASADOS EN APLICACION.:

Se administran los datos manejados por usuario

mediante software

GTAG – Global Technology Audit Guide

Seguridad de la información

• Confidencialidad.

• Integridad.

• Disponibilidad.

GTAG – Global Technology Audit Guide

Importancia de los controles

• Necesidades:– Controlar los costos.– Permanecer competitivos.– Protección de la infamación mediante

evaluaciones.– Cumplimiento de leyes y regulaciones.

• Implementar controles efectivos permite mejorar la eficiencia y obtener mayor evidencia comprobatoria.

GTAG – Global Technology Audit Guide

Auditoria

• Auditoria Interna y CAE:– Entre principales tareas esta:

• Informar al comité de Auditoria y Gerencia sobre temas relacionados con TI.

• Asegurarse que los temas de TI son tomados en cuenta dentro del universo auditable y del plan de Auditoria anual.

• Confirmar que el riesgo TI esta considerado para la asignación de recursos necesarios.

GTAG – Global Technology Audit Guide

• Determinar “que” constituye evidencia comprobatoria veraz.

• Realizar controles a nivel empresa.• Realizar controles específicos.• Realizar controles de aplicaciones.

GTAG – Global Technology Audit Guide

Riesgo determina respuestas

• Riesgo:– “Posibilidad de que un hecho ocurra, el cual

tiene directa relación con los objetivos de la entidad.”

• Apetito de riesgo:– “Nivel de riesgo que la entidad esta dispuesta

a aceptar para lograr sus objetivos.”

GTAG – Global Technology Audit Guide

• Tolerancia del riesgo:– “Niveles de variación relativa para el alcance

de los objetivos. Se debe considerar la importancia relativa de los objetivos relacionados y alinear la tolerancia con el apetito al riesgo.”

GTAG – Global Technology Audit Guide

Consideraciones

• Infraestructura.

• La organización encara el riesgo.

• Apetito y tolerancia.

• Análisis de riesgo.

• Controles TI apropiados.

GTAG – Global Technology Audit Guide

Mitigación del riesgo

• Aceptar.

• Eliminar [Cambiar].

• Compartir.

• Controlar/Mitigar.

GTAG – Global Technology Audit Guide

Monitorear y evaluar

• Elegir un marco referencial.

• Metodología apropiada.

• Tipo de monitoreos:– Diario o periódico.– Por eventos.– Continuos.

GTAG – Global Technology Audit Guide

Evaluaciones

• ¿Que metodología utilizar?– TI cada vez mas desarrollada en la empresa.– Delgada línea divisoria.– Cambio en las actividades de Auditoria.

• Fraude.• Cumplimiento con las regulaciones.• Desarrollo de controles.• Revisión de controles.

GTAG – Global Technology Audit Guide

¿Preguntas?