VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011

MONTEVIDEO - URUGUAY

SERIE DE NORMAS ISO 27000 E ISO 31000:

IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL
Ricardo Correa F. - CIA, CGAP, CCSA, MCAG
Daniella Caldana F. - CIA, CGAP, CCSA, MCAG
Carlos Lobos M - CISA, CISM, CCSA, MTI
Leonardo Olea C. - CICA, MCAG

Grupo de Investigacin de Gobierno

Corporativo y Auditora Interna

1.
2.
3.
4.
5.
6.
7.

Conceptos sobre Gobernanza en el Sector Pblico

Conceptos sobre Auditora Interna Gubernamental
Visin General de las Normas ISO en el Gobierno
Norma ISO 31000:2009
Serie de Normas ISO 27000
Casos de Aplicaciones de Normas ISO en el Gobierno
Conclusiones

VII Jornadas Rioplatenses de Auditora Interna - 2011

El Gobierno Corporativo es el sistema por el cual las sociedades del sector pblico y
privado son dirigidas y controladas. La estructura del Gobierno Corporativo especifica
la distribucin de los derechos y de las responsabilidades entre los diversos actores
de la empresa, como por ejemplo, el Consejo de Administracin, el Presidente y los
Directores, accionistas y otros terceros proveedores de recursos (OCDE)

Gobernanza en el sector pblico es el cumplimiento de

la responsabilidad propia en nombre de la comunidad
En otras palabras, la gobernanza es el ejercicio de la
autoridad, la direccin y el control sobre una
organizacin (1)

(1) Fuente: Theiia - CGAP

VII Jornadas Rioplatenses de Auditora Interna - 2011

Algunas Consideraciones
Concepto difcil de aplicar completamente en el sector pblico
Realidades distintas en los pases
Diversas estructurasque cumplen en mayor o menor medida con principios
de Buen Gobierno Corporativo
Elementos Comunes y Relevantes de la Gobernanza en el Sector Pblico

Probidad y Transparencia
Accountability Rendicin de Cuentas
Estructura Normativa y Regulaciones
Gestin de Riesgos
Auditora Interna
Evaluacin del Desempeo
Cdigo tico o de Conducta

VII Jornadas Rioplatenses de Auditora Interna - 2011

La definicin de Auditora Interna declara el propsito fundamental, naturaleza y

alcance de la auditora interna:
La Auditora Interna es una actividad independiente y objetiva de aseguramiento
y consulta, concebida para agregar valor y mejorar las operaciones de una
organizacin. Ayuda a una organizacin a cumplir sus objetivos aportando un
enfoque sistemtico y disciplinado para evaluar y mejorar la eficacia de los
procesos de gestin de riesgos, control y gobierno (1)

(1) Fuente: Theiia

VII Jornadas Rioplatenses de Auditora Interna - 2011

Algunas Consideraciones
Base para la confianza del pblico en el Gobierno
Se ve muy afectada por los mandatos del Gobierno:
Atribuciones y responsabilidades especficas
Restricciones legales en su accionar: Aseguramiento y Consultora
Diferentes tipos de relaciones de trabajo con las
Entidades de Fiscalizacin Superior - EFS
El marco normativo y reglamentario es fundamental cumplimiento
Obligacin de proteccin de la confidencialidad de la
informacin auditada
En pases de la OCDE la auditora de gobierno muestra
realidades
distintas,
especialmente
en
su
dependencia, no tanto en la forma de realizar el
trabajo
VII Jornadas Rioplatenses de Auditora Interna - 2011

 La informacin es un activo de valor sensible en todos los Gobiernos. Implica

riesgos de alto impacto
Se
requieren
polticas,
procedimientos,
prcticas,
estructuras
organizacionales y funciones de software slidas para proteger la
informacin
Es responsabilidad de la auditora interna dar aseguramiento y consultora
sobre la calidad de la informacin y adems es la base para realizar su
trabajo
Para que un gobierno sea transparente, eficiente,
resguarde la informacin reservada, identifique y
trate los riesgos proactivamente, se requiere contar
con controles claves que aseguren la integridad,
confidencialidad y disponibilidad de la informacin

VII Jornadas Rioplatenses de Auditora Interna - 2011

 Las normas ISO son publicadas por la Organizacin Internacional para la

Estandarizacin, que se encarga de establecer estndares internacionales,
con el propsito de facilitar el comercio, facilitar el intercambio de
informacin y contribuir a la transferencia de tecnologas
Son un modelo, un patrn, ejemplo o criterio a seguir. Tienen valor indicativo
y de gua
Una norma tiene por finalidad definir las caractersticas que debe poseer un
objeto y los productos que han de tener una compatibilidad para ser usados a
nivel internacional
Normas ISO ms conocidas: 9000, 14000, 22000,
26000, 27000, 31000, entre otras
Algunas son certificables: 9001, 14001, 27001,
entre otras

VII Jornadas Rioplatenses de Auditora Interna - 2011

Algunas Consideraciones
Las Normas ISO pueden ayudar al Gobierno en la tarea de satisfacer las necesidades
y expectativas de los ciudadanos y otras partes interesadas, a travs de la
orientacin, coordinacin y simplificacin de la informacin y mejora en el uso de
los recursos pblicos
Las normas sealan expresamente que pueden ser usadas en el sector pblico
La adopcin de Normas ISO es una decisin estratgica en el Gobierno. Puede
tener principalmente los siguientes enfoques:
Adopcin legal y cumplimiento total respecto del
contenido de la norma
Adopcin legal y cumplimiento parcial respecto del
contenido de la norma
Slo utilizada como buena prctica

VII Jornadas Rioplatenses de Auditora Interna - 2011

Beneficios Potenciales

Involucrar a las autoridades en los temas de gestin institucional, seguridad de

la informacin y gestin de riesgos
Involucrar a todos los actores institucionales en el proceso de mejoramiento de
la gestin
Mejorar las prcticas y procesos institucionales con el apoyo de especialistas
externos
Adecuados registros y documentacin de las actividades

Dificultades Reales
Lentitud en la incorporacin de una cultura de mejoramiento continuo
Lentitud para involucrar a las autoridades en los temas de gestin institucional
Riesgo de que la implementacin de las normas se vea como un aspecto
burocrtico para cumplir con las formas y no para mejorar el desempeo y la
seguridad de la informacin
VII Jornadas Rioplatenses de Auditora Interna - 2011

ISO 31000:2009 Gestin del Riesgo - Principios y Directrices

Tiene su origen en el Estndar AS/NZS 4360, enfoque de procesos y est basada
en el Ciclo Deming (PDCA). No exige certificacin
Normas relacionadas: ISO 31010, ISO 73 e ISO 31004 (en desarrollo)
Proporciona directrices sobre cmo establecer y mantener un marco de gestin
de riesgos de carcter oficial que puede ser adoptado por cualquier tipo de
organizacin
Proporciona un enfoque comn en favor de otras normativas que tratan sobre
riesgos especficos y/o sectores, y no las sustituye
Puede ser aplicada a lo largo de la vida de una
organizacin, as como una variada gama de
actividades, estrategias, procesos, funciones,
proyectos, productos, servicios , activos, etc.

VII Jornadas Rioplatenses de Auditora Interna - 2011

El enfoque est estructurado en 3 elementos claves para una efectiva gestin del riesgo:
Proceso de Gestin de Riesgos

Establecer el
Contexto

Compromiso
de la Direccin

Evaluacin de Riesgos
Diseo del
Marco de
Gestin de
Riesgos

Mejoramiento
Continuo del
Marco

Implementacin
de la Gestin del
Riesgo

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Seguimiento y
Revisin del
Marco
Tratar los Riesgos

VII Jornadas Rioplatenses de Auditora Interna - 2011

Monitoreo y Revisin

a.-Crea Valor
b.- Est Integrada en los Procesos de la
Organizacin
c.-Forma parte de la toma de decisiones
d.Trata
explcitamente
la
incertidumbre
e.- Es sistemtica, estructurada y
adecuada
f.- Est basada en la mejor informacin
disponible
g.- Est hecha a medida
h.- Tiene en cuenta factores humanos y
culturales
i.- Es transparente e inclusiva
j.- Es dinmica, iterativa y sensible al
cambio
k.- Facilita la mejora continua en la
organizacin

Marco de Trabajo para la

Gestin del Riesgo

Comunicacin y Consulta

Principios de Gestin del Riesgo

Primeros Pasos para la Aplicacin de la Norma ISO 31000 en el Sector Pblico

En abril 2011, una serie de organizaciones de Suecia, Holanda, Blgica, Italia, Francia y
Espaa han realizado un estudio sobre Gestin de Riesgos en el Sector Pblico y
publicado el documento denominado "Preparing the local public sector for risk
governance: First steps towards an ISO 31000 framework"

Adems de describir la Norma, en el

documento se seala, que los participantes
acordaron una lista de los 10 primeros pasos
que permitira la aplicacin de una gestin
eficaz de los riesgos en el sector pblico, bajo
ISO 31000:2009

VII Jornadas Rioplatenses de Auditora Interna - 2011

ISO /IEC 31010:2009. Gestin del Riesgo - Tcnicas de Evaluacin del Riesgo
Complementa la norma ISO 31000:2009 y provee una gua para la eleccin y
aplicacin de tcnicas sistemticas para evaluacin de riesgos. ISO 31010:2009. No
exige certificacin
Anexo A Comparacin de Tcnicas de Evaluacin de Riesgos
Tipos de Tcnicas
Factores que influyen en la seleccin

Anexo B Tcnicas de Evaluacin de Riesgos

31 Tcnicas descritas: Brainstorming, Delphi, Entrevistas, Anlisis Causa
Raz, Matriz de P-I , rbol de Decisiones, etc.

VII Jornadas Rioplatenses de Auditora Interna - 2011

ISO 73:2009. Gestin del Riesgo - Vocabulario

Complementa la norma ISO 31000:2009 y provee vocabulario bsico para desarrollar

un entendimiento en conceptos y trminos relacionados con la gestin de riesgos
Conceptos y trminos relacionados, entre otros, con los siguientes:

Riesgo
Riesgo Aceptado
Gestin de Riesgos
Proceso de Gestin de Riesgos
Comunicacin y Consulta
Contexto
Evaluacin de Riesgos
Identificacin de Riesgos
Anlisis de Riesgos
Tratamiento de Riesgos
Monitoreo y Medicin
VII Jornadas Rioplatenses de Auditora Interna - 2011

Gua para la Prctica (2010) del IIA Global y Handbook

(2010) del IIA Australia
Describen como usar la ISO 31000:2009, entre otras
opciones, para:
Desarrollar un programa y una estrategia
basada en riesgos
Planificar un trabajo de aseguramiento
Informar sobre el programa de aseguramiento
Hacer seguimiento a los planes de tratamiento
Evaluar la calidad de la documentacin
El IIA advierte que otros marcos tambin pueden ser
usados para desarrollar la evaluacin de riesgos

VII Jornadas Rioplatenses de Auditora Interna - 2011

Directas e Indirectas en el Trabajo de Aseguramiento o Consultora (la lista no es taxativa):

Cdigo y Normas del Theiia: Comprensin de la Norma ISO 31000. Generacin o
actualizacin de competencias
Fuente de Informacin para formular el Plan Anual de Auditora
Metodologa y criterios para el programa de auditora para aseguramiento del
proceso de gestin de riesgos: Mejora de los resultados de la auditora
Potencial rol de consultor sobre aplicacin de la gestin de
riesgo en la entidad gubernamental depende del mandato
Obliga a considerar roles permitidos, con salvaguardia y no
permitidos en la gestin de riesgos, segn el IIA
Evaluacin del trabajo e impacto de los consultores en gestin
de riesgos en las entidades gubernamentales
Contenidos sern parte de la nueva designacin
Certificacin en Aseguramiento de Gestin de Riesgos
(CRMA) del IIA?
VII Jornadas Rioplatenses de Auditora Interna - 2011

Conjunto de normas desarrolladas o en fase de desarrollo por ISO e IEC (International

Electrotechnical Commission) que proporcionan un marco de gestin de la seguridad de
la informacin (SGSI) utilizable por cualquier tipo de organizacin
Fundamentos y Vocabulario
Mtricas y Tcnicas Eficacia SGSI

Requisitos para Acreditacin

27000
27004

27006
2009
2007

Guas de Auditora

27007
27008

Serie
27000

2011
2005

Otras
27000

27001

Requisitos del SGSI

2009

2005

Implementacin de SGSI

27003

2010
2008 - 2011

27002

Dom., Obj. y Controles SGSI

27005

Gestin de Riesgos SGSI

VII Jornadas Rioplatenses de Auditora Interna - 2011

ISO 27001:2005 - Sistema de Gestin de Seguridad de la Informacin

La ISO/IEC 27001 es certificable, y especfica los requisitos para la implantacin de
controles adaptados a las necesidades de la organizacin o partes de las mismas
Es una norma adecuada para cualquier organizacin, grande o pequea, de cualquier
sector o parte del mundo
La norma es muy til si la proteccin de la informacin
es crtica, como en finanzas, salud, sector pblico y
tecnologa de la informacin (TI)
Contiene en forma resumida los objetivos y controles de
la ISO 27002, que podran ser seleccionados al
desarrollar un SGSI. Se debe Justificar cualquier
exclusin del alcance de los controles a aplicar

VII Jornadas Rioplatenses de Auditora Interna - 2011

Ciclo Deming (PDCA) en Norma ISO 27001

Link con
Gestin de
Riesgos

Compromiso de la Direccin
Planificacin
Fechas
Responsables

Definir Alcance del SGSI

Definir Poltica de Seguridad
Metodologa de Evaluacin de Riesgos
Inventarios de Activos
Identificar Amenazas y Vulnerabilidades
Identificar Impactos
Anlisis y Evaluaciones de Riesgos
Seleccin de Controles y SOA

CHECK

Implantar Mejoras
Acciones Correctivas
Acciones Preventivas
Comprobar Eficacia de las Acciones

Definir Plan de Tratamiento de Riesgos

Implantar Plan de Tratamiento de Riesgos
Implementar los Controles
Formacin y Concienciacin
Operar el SGSI

DO

ACT

Revisar el SGSI
Medir Eficacia de los Controles
Revisar Riesgos Residuales
Realizar Auditoras Internas del SGSI
Registrar Acciones y Eventos

VII Jornadas Rioplatenses de Auditora Interna - 2011

ISO 27002:2005 - Conjunto de Buenas Prcticas y Controles de Seguridad

Ex Norma ISO 17799. Gua de Buenas Prcticas sobre Seguridad de la
Informacin. Define 11 dominios, 39 Objetivos de Control y 133 Controles de
Seguridad

Poltica de seguridad
Aspectos organizativos para la seguridad
Gestin de activos
Seguridad ligada a los recursos humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Cumplimiento
VII Jornadas Rioplatenses de Auditora Interna - 2011

Alineando COBIT 4.1, ITIL V3 e ISO/IEC 27002 en Beneficio del Negocio

El documento contiene el mapeo entre
ITIL, ISO/IEC 27002 y COBIT
En el Apndice I, cada uno de los 34
procesos de TI y los objetivos de control
de COBIT han sido mapeados a secciones
especficas de ITIL e ISO/IEC 27002
En el apndice III, se realiza un mapeo
reverso que muestra cmo es que las
clasificaciones de ISO/IEC 27002 mapean
a COBIT

Fuente: IT Governance Institute de ISACA (ITGI) y La Oficina Gubernamental de Comercio (OGC)

VII Jornadas Rioplatenses de Auditora Interna - 2011

ISO 27005:2011 - Gestin de Riesgos

Se ajusta a los requerimientos del sistema de
gestin de riesgo definido en la ISO 27001

Establecer el
Contexto

Evaluacin de Riesgos

Es aplicable a todo tipo de organizaciones

Comunicacin y Consulta

No provee un mtodo especfico para

gestionar riesgos de TI

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos
Decisin de Riesgo Punto 1
Evaluacin Satisfactoria

NO
SI

Tratar los Riesgos

La versin 2008 se bas en el AS/NZ 4360

NO

Versin ISO 27005:2008 acaba de alinearse

con ISO 31000:2009 (julio 2011)

Decisin de Riesgo Punto 2

Tratamiento Satisfactorio

SI

Aceptar los Riesgos

Fin o Principio de Iteraciones subsecuentes

VII Jornadas Rioplatenses de Auditora Interna - 2011

Monitoreo y Revisin

En relacin al riesgo tecnolgico se basa en la

gua de NIST 800-30 de gestin de riesgo
para las tecnologas de informacin

Directas e Indirectas en el Trabajo de Aseguramiento o Consultora (la lista no es taxativa):

Cdigo y Normas del Theiia: Mayor conocimiento de la normas 27000.
Generacin o actualizacin de competencias
Conformacin de equipos de trabajo con profesionales con distintas
competencias. Recursos disponibles?, mandato?
La mayor parte de la informacin est en sistemas informacin
(TI), por lo que es necesario considerar los controles sealados
en las Normas 27001 y 27002:
Evaluacin del cumplimiento de normas, en el caso que
sea obligatorio
Buenas prcticas como recomendacin, si no es obligatorio
Pases con normas de control interno formales en general usan
Marco COSO I. Actualizar en base a Normas ISO vigentes para TI

VII Jornadas Rioplatenses de Auditora Interna - 2011

Directas e Indirectas en el Trabajo de Aseguramiento o Consultora (contina):

Nivel de Confiabilidad de la evidencia de auditora en formato electrnico
Fraude. Controles preventivos para mitigar la ocurrencia del fraude. Esquemas de
fraude: corrupcin, malversacin de activos y estados financieros
Potencial rol de consultor sobre aplicacin de controles y
gestin de riesgo en SGSI depende del mandato y
competencias
Rol de encargado de seguridad. Independencia
objetividad?, competencias?, mandato?

Evaluacin del trabajo e impacto de los consultores en las

entidades gubernamentales
Obtener la certificacin Auditor Interno ISO 27001, Auditor
Lder ISO 27001?

VII Jornadas Rioplatenses de Auditora Interna - 2011

Conclusiones

VII Jornadas Rioplatenses de Auditora Interna - 2011

 Aplicacin de Norma ISO 31000 y Serie de Normas ISO 27000 es de gran

complejidad y exige coordinacin en la entidad y participacin
multidisciplinaria, incluida auditora interna
Las normas estn muy relacionadas en temas de gestin de riesgos, y ambas
tienen implicancias directas e indirectas en el trabajo de aseguramiento y
consultora del auditor interno gubernamental
Obligacin para auditora interna de conocimiento y compresin de estas
Normas ISO. Generacin o actualizacin de competencias
Potenciales mejoras en la planificacin general, planificacin del trabajo e
informe de auditora interna
Interaccin o realizacin de la auditora interna de calidad segn normas
ISO?, Alcance del trabajo?, Objetividad?
Oportunidad de nuevo rol de certificador de Normas ISO 9001, ISO 27001,
otras?, Pronunciamiento del IIA Global?
Contenidos ISO 31000 sern parte de la nueva designacin Certificacin en
Aseguramiento de Gestin de Riesgos (CRMA ) del IIA?

VII Jornadas Rioplatenses de Auditora Interna 2011r

Los cargos pblicos no son dignidades que

ensalzan sino servidumbres que exponen, ponen a
quien los ejerce dentro del escrutinio ciudadano y
no fuera de su alcance

Carlos Pea G.
VII Jornadas Rioplatenses de Auditora Interna 2011

Preguntas?

Ricardofcorreaf@gmail.com

Grupo de Investigacin de Gobierno

Corporativo y Auditora Interna
VII Jornadas Rioplatenses de Auditora Interna - 2011