3 El Rol Del Auditor Interno en Gobierno de Ti

EL ROL DEL AUDITOR INTERNO EN GOBIERNO
DE TECNOLOGÍA DE LA INFORMACIÓN
EXPOSITOR:
LICDO. JUAN A. FRAGO
GERENTE
GLOBAL ADVISORY SOLUTIONS
Panamá, 19 de mayo 2016

Rol del Auditor Interno en Gobierno de
Tecnología de la Información
XIII SEMINARIO REGIONAL
INTERAMERICANO DE CONTABILIDAD 2016
Juan A. Frago,
MBA, ISO 27001:2007, Cobit 5 Foundation, ITIL.
Gerente
Global Advisory Solutions
XIII Seminario Regional Interamericano de Contabilidad 2016
Global Advisory Solutions, S.A. Todos los derechos reservados. Prohibida su reproducción no autorizada.
Agenda
1.Introducción
2. Conceptos – Gobierno Corporativo
3. Conceptos – Gobierno de TI
4. COSO – 2013 (Principal Marco de Referencia para Gob. Corporativo)
5. COBIT 5 (Principal Marcos de Referencia para Gob. de TI)
6. Estándares del IIA y el perfil del auditor interno
7. Señales de un sistema de Gobierno de TI deficiente
8. El Rol del Auditor Interno en Gobierno de TI
9.Guía general de auditoría de Gobierno de TI
10.Conclusiones
Rol del Auditor Interno
Introducción
El desarrollo acelerado de las tecnologías obligan al auditor interno a estar
preparado para responder constantemente a cambios y nuevos retos que se
encuentran ante los recursos y activos de tecnología. Gobierno de TI puede
ayudar al auditor interno a facilitar el proceso de Auditoría y hacer
recomendaciones que ayuden a la organización en temas tales como:
• Alinear objetivos de tecnología con objetivos del negocio.

• Identificar riesgos dentro de los procesos de tecnología.
• Establecer mejores controles.
• Cumplir con las leyes y regulaciones.
GOBIERNO CORPORATIVO
Gobierno Corporativo
¿Qué es?
Gobierno corporativo es el sistema mediante el cual la organización es dirigida
y administrada. Tiene influencia sobre cómo los objetivos de negocio son
establecidos y alcanzados, cómo los riesgos son monitoreados y como el
rendimiento es optimizado.
Instituto de Auditores Internos Internacional
(IIA) define al gobierno corporativo como:
• “La combinación de procesos y estructuras
implantados por el Consejo de
Administración para informar, dirigir,
gestionar y vigilar las actividades de la
organización con el fin de lograr sus
objetivos.”
Principales objetivos de un buen Gobierno
Corporativo
• Velar por los mejores intereses y objetivos de todos los interesados en la
organización (“stakeholders”).
• Reforzar y facilitar las funciones de supervisión y monitoreo de la Alta
Gerencia.
• Mantener y supervisar un buen ambiente de control y las actividades de
administración de riesgos.
Responsables del Gobierno Corporativo
• Junta Directiva
• Accionistas
• Alta Gerencia
• Auditoría Interna
• Gerencia de Negocios
• Equipo de trabajo
• Reguladores
• Cliente
• Proveedores
• Todos aquellos afectados por las
actividades de la organización
Principios del Gobierno Corporativo
TRANSPARENCI
A
RESPONSABILIDA EQUIDAD
D CORPORATIVA
RESPONSABILIDA
D PERSONAL
GOBIERNO DE TI
Gobierno de TI
¿Qué es?
La capacidad de lograr el alineamiento de la estrategia del negocio con la
eficiencia y eficacia de los procesos de tecnología de información (TI) y
seguridad, mediante la integración de métricas y controles dentro del ambiente
tecnológico para establecer la mejora continua y proporcionar valor a la
organización.
Gobierno de TI
Objetivos del Buen Gobierno de TI
• Alinear las iniciativas y proyectos de tecnología con la estrategia y
objetivos de negocio.
• Lograr que los recursos de tecnología agreguen valor al negocio.
• Informar a los interesados (“Stakeholders”) que los recursos de
tecnología están siendo bien utilizados.
Gobierno de TI
Responsables del Gobierno de TI
Junta Directiva
Gerencia de Negocios
Gerencia de Tecnología de Información
Auditoría Interna
Gerencia de Seguridad de la Información
Gerencia de Riesgos y Cumplimiento
Gobierno de TI
Principios de Gobierno de TI
Está compuesto por:
• Alineación estratégica
• Agregar valor
• Administración de riesgo
• Administración de recursos
• Medición de desempeño
Gobierno de TI
Nivel de Involucramiento de la Gerencia en GEIT
Como usted describiría el nivel de participación en el manejo de negocios y
gobierno de TI? (n=249)
50%
45% 43%
40%
35%
30% 28% 27%
25%
20%
15%
10%
5% 2%
0%
No Sabe / No Bajo Moderado Alto
Respondio
FUENTE: “Governance of Enterprise IT (GEIT) Survey, Latin America Edition 2012, www.isaca.org”
Gobierno de TI
Uso de Estándares o Marcos de Referencia para GEIT
Usa su empresa un marco de referencia o estándar para el gobierno y manejo
de los recursos y servicios de TI? (n=250)
60%
54%
50%
40% 35%
30%
20%
10%
10%
0%
No Sabe No Si
FUENTE: Governance of Enterprise IT (GEIT) Survey, Latin America Edition 2012, www.isaca.org
MARCOS DE REFERENCIA
Marcos de Referencia
GOBERNABILIDAD
GOBIERNO CORPORATIVO
GOBIERNO DE TI
COSO – 2013 (PRINCIPAL MARCO DE
REFERENCIA PARA GOBIERNO
CORPORATIVO)
COSO - 2013
Principal Marco de Referencia para Gobierno
Corporativo
Transición de COSO - 2013
COSO COSO ERM
COSO 2013
COSO
¿Qué es?
Es un marco de referencia para facilitar a las empresas a evaluar y

mejorar sus sistemas de control interno.
COSO ERM
¿Qué es?
• A raíz de los escándalos con estas empresas en
Estados Unidos nació la Ley Sarbanes-Oxley de
2002.
• COSO ERM, entró en vigor en el año 2005 con la

finalidad de proveer un marco de control interno
enfocado a la Administración del Riesgo.
COSO 2013
Transición
COSO 2013 nace a partir de la necesidad de
mejorar el modelo del control interno para
servicios a terceros y toma en consideración
aspectos de TI en el sistema de control interno.
COSO 2013
Cambios Principales
Los cambios principales son:
Nuevo enfoque basado en 17 principios de control interno.
Reafirma el establecer los objetivos estratégicos como requerimiento de
los objetivos de Control Interno.
Mayor enfoque hacia Gobierno Corporativo.
Más relevancia en cuanto a la Tecnología de la Información
El reporte financiero pasa a ser reporte en general.
Mayor consideración de las actividades para prevención del fraude.
Amplia la posibilidad de diferentes modelos de negocio y estructuras
organizacionales.
COBIT 5 (PRINCIPAL MARCO DE REFERENCIA
PARA GOBIERNO DE TECNOLOGÍA DE LA
INFORMACIÓN)
GOBIT 5
¿Qué es?
COBIT 5 une principios que permiten a la Organización construir un marco
efectivo de Gobierno y Administración basado en una serie holística de siete
habilitadores, que optimizan la inversión en tecnología e información así
como su uso en beneficio de las partes interesadas.
COBIT 5
Marcos de Referencia Gobierno de TI
Gobierno Corporativo de TI
Evolución del Alcance
Gobierno de TI
Val IT 2.0
Administración (2008)
Control
Risk IT
(2009)
Auditoría
COBIT1 COBIT2 COBIT3

COBIT4.0/4.1 COBIT 5
1996 1998 2000 2005/7
2012
Marco Empresarial de ISACA, en www.isaca.org/cobit
COBIT 5
Marcos de Referencia Gobierno de TI
Cobit 5 es un marco compuesto de los siguientes elementos
Grupos de procesos (2)
• Gobierno y Administración
Dominios (5)
• Evaluar, dirigir y controlar (EDM) – Proceso de
Gobierno
• Alinear, planificar y organizar (APO) – Proceso de
Adm.
• Construir, adquirir e implementar (BAI) – Proceso
de Adm.
• Entregar , servir y proveer soporte (DSS) – Proceso
de Adm.
• Evaluar y valorar (MEA) – Proceso de Adm.
Procesos (37)
COBIT 5
Composición del marco COBIT
COBIT 5
Principios de COBIT 5
1. Satisfacer
las
necesidades
de
las partes
interesadas
5. Distinguir 2. Cubrir la
entre gobierno empresa de
y extremo a
administración extremo
Principios
de
COBIT 5
3. Aplicar un
4. Habilitar un
único marco de
enfoque
referencia
holístico
integrado
ESTANDARES DEL IIA Y EL PERFIL DEL
AUDITOR INTERNO
Auditoría Interna
Definición
La Junta de Directores del Instituto de Auditores Internos aprobó la siguiente
definición de auditoría interna:
“La auditoría interna es una actividad independiente y objetiva de

aseguramiento y consulta concebida para agregar valor y mejorar las
operaciones de una organización. Ayuda a una organización a cumplir
sus objetivos aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión de riesgos,
control y gobierno.”
Estándares del IIA
Misión de MIPP
El MIPP (Marco Internacional para la Práctica Profesional) contiene la
“Misión de Auditoría Interna”. Esta misión describe lo que se aspira de la
función de auditoria interna:
“MEJORAR Y PROTEGER EL
VALOR DE LA ORGANIZACIÓN
PROPORCIONANDO A LAS
PARTES INTERESADAS
ASEGURAMIENTO, CONSEJO Y
VISIÓN OBJETIVOS,
CONFIABLES Y BASADOS EN
RIESGOS”
Perfil del Auditor Moderno
El MIPP define 10 principios de la función de auditoría interna.
5
4 Está
1 Alineado con las adecuadamente
2 estrategias, posicionado en la
Demostrar
integridad
Demostrar 3 objetivos y
riesgos de la
organización y
tiene recursos
competencia y
cuidado Ser objetivo y apropiados
profesional libre de organización
influencias
8
Proporciona 10
6 aseguramiento
Promueve la
basado en
Demuestra 7 riesgos 9 mejora a nivel
calidad y mejora Demuestra
continua organizacional
Se comunica visión, pro
efectivamente actividad y
orientación
hacia el futuro
Normas de Auditoría Interna
Gobernabilidad
Normas de la práctica profesional de Auditoría Interna:
1220.A1 - El auditor interno debe ejercer el debido cuidado profesional al
considerar:
El alcance necesario para alcanzar los objetivos del trabajo;
La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y
control;
Gobernabilidad
2110 Gobierno
La actividad de auditoría interna debe evaluar y hacer recomendaciones
apropiadas para mejorar el proceso de gobierno en el cumplimiento de los
siguientes objetivos:
• Promover la ética y los valores apropiados dentro de la organización.
• Asegurar la gestión y responsabilidad eficaces en el desempeño de la
organización.
• Comunicar eficazmente la información de riesgo y control a las
áreas adecuadas de la organización.
• Coordinar eficazmente las actividades y la información de comunicación
entre el Consejo de Administración, los auditores internos y externos y la
dirección.
Gobernabilidad
2201 – Consideraciones sobre planificación
Al planificar el trabajo, los auditores internos deben considerar:

• La adecuación y eficacia de los procesos de gobierno, gestión de riesgos
y control de la actividad comparados con un enfoque o modelo de control
relevante; y
• Las oportunidades de introducir mejoras significativas en los procesos de
gobierno, gestión de riesgos y control de la actividad.
Nuevas Expectativas de Auditoría
Interna
PASADO Y PRESENTE FUTURO
Control Conocimiento de riesgos
Evaluación de Control Auto Evaluaciones
Detective Prevención
Auditorias operacionales Auditorías estratégicas
Imposición Valor agregado
Independencia Conocimiento del negocio
Conocimiento de Auditoría Habilitador de cambio
Conciencia de Control Gobierno corporativo
SEÑALES DE UN SISTEMA DE GOBIERNO DE
TI DEFICIENTE
Gobierno de TI
Señales de un sistema de Gobierno de TI Deficiente
• Proyectos de TI que no cumplen con sus fechas prometidas.
• Incapacidad para identificar y asignar costos.
• Ineficiencias en las operaciones.
• La función de TI es “apaga fuego” y sólo reacciona ante
situaciones.
Gobierno de TI
Señales de un sistema de Gobierno de TI Deficiente
• Discusiones constantes sobre decisiones de TI.
• El portafolio de inversiones y aplicaciones crece sin límite.
• Problemas en el cumplimiento regulatorio y con leyes.
• Falta de información para la toma de decisiones.
ROL DEL AUDITOR INTERNO EN GOBIERNO
DE TI
Gobierno de TI – Identificar
1 Rol del Auditor Interno
Necesidades
• Asegurar la participación de Auditoría durante todo el proceso de Gobierno

de TI en la organización.
• Evaluar y aceptar el nivel y alcance de su participación.
• Proporcionar asesoría en la identificación de necesidades, mediante su
experiencia, informes de auditoría y conocimiento de la organización.
• Proporcionar recomendaciones que permitan que las decisiones tomadas
sean objetivas y mantengan un nivel de balance entre TI y el negocio.
Gobierno deInterno
TI – Establecer Objetivos
2 Rol del Auditor
• Apoyar en el proceso de la
identificación de brechas para
establecer objetivos de acuerdo a los
resultados de la evaluación de la
situación actual.
• Verificar (de manera independiente)
los resultados de la evaluación de la
situación actual.
3 Gobierno deInterno
Rol del Auditor TI – Planeación
• Validar las justificaciones y casos de negocio para asegurar que sean
objetivos y presentados de manera adecuada.
• Evaluar que los planes presentados sean realistas y alcanzables.
• Resaltar la necesidad de asesoramiento externo cuando sea necesario.
Rol del Auditor TI – Implementación
• Proporcionar asesoría para verificar que las acciones que se estén

ejecutando sean mediante decisiones balanceadas.
• Revisar continuamente que el proceso de implementación se esté
realizando de manera correcta.
• Emitir recomendaciones sobre los controles existentes y
requeridos.
• Evaluar las prácticas de administración de riesgo y proponer
mejoras.
Rol del Auditor TI – Monitoreo
• Desarrollar un plan de auditoría de TI para monitoreo continuo de las

estructuras de Gobierno de TI, basado en un criterio que integre TI y el
negocio.
• Proporcionar críticas constructivas y recomendaciones sobre la estructura
y responsabilidades de Gobierno de TI.
• Alentar la implementación de Auto-Evaluaciones.
• Proporcionar confianza a la Alta Gerencia de que el Gobierno de TI está
funcionando efectivamente, para lograr mayor confianza en TI.
Gobierno de TI
Rol del Auditor Interno
Algunas consideraciones para el Comité de Auditoría:
El Comité de Auditoría debe solicitar informes sobre la situación global de

Gobierno Corporativo, Gobierno de TI y el ambiente de control interno, que
contengan como mínimo:
a) Las conclusiones de las pruebas efectuadas;

b) Las recomendaciones de eventuales deficiencias con el
establecimiento
de un cronograma para subsanar las mismas;
c) La manifestación de los responsables por las correspondientes áreas
respecto de las deficiencias encontradas en verificaciones anteriores y
de las medidas efectivamente adoptadas para subsanarlas.
GUÍA GENERAL DE AUDITORÍA DE
GOBIERNO DE TI
Gobierno de TI
Guía General de Auditoría de Gobierno de TI
INDEPENDENCIA
FASE I FASE 2 FASE 3 FASE 4 FASE 5
ESTABLECE ESTABLECE EJECUCIÓN REPORTE Y

PLANEACIÓN
R R DE TRABAJO SEGUIMIENTO
1. Obtener 1.OBJETIVOS
Reportar sobre la ALCANCE
1. Debe incluir el 1. El auditor debe 1. Preparar informe
información eficiencia y proceso para considerar revisar: de resultados para
general de la efectividad del planificar y hablar con las
• Los objetivos y
estructura de sistema de organizar áreas
Gobierno de TI de Gobierno de TI, así metas del negocio involucradas.
Gobierno de TI.
la organización. como monitorear • Planes estratégicos
2. Obtener esta actividad. 2. Presentar informe
y tácticos de TI final al Comité de
información
general sobre la 2. Establecer • Controles Auditoría y la Alta
estrategia de la personal operacionales de Gerencia.
empresa, unidades requerido para la TI
auditoría y 3. Establecer fechas
de negocio
confirmar las • Administración del de seguimiento
relacionadas y
capacidades para portafolio de para las
tecnología que la
hacer el trabajo. inversiones de TI recomendaciones
soporta
(incluyendo planes
a largo, mediano y
corto plazo de
ambas áreas)
INDEPENDENCIA
Gobierno de TI
Ejemplo general: Como Auditar Gobierno de TI (Cont.)
1 - OBJETIVOS
• Evaluar el nivel de eficiencia de la

estructura de Gobierno de TI de la
ORGANIZACIÓN
• Evaluar el nivel de alineamiento e
integración entre las estrategias
de TI y las estrategias del negocio.
Gobierno de TI
2 - ANTECEDENTES
El actual clima económico ha incrementado la revisión y supervisión
de
nuestra organización, conllevando a la necesidad de mayor control sobre las
inversiones, proyectos y costos de TI. El balance sobre la innovación y el
control sobre TI es importante para impulsar el crecimiento del negocio bajo
un esquema de mejora continua, administración de riesgos y control interno.
Estos y muchos otros factores contribuyen a la necesidad de implementar y

monitorear la estructura de Gobierno de TI de ORGANIZACIÓN, por lo cual
se ha planificado una auditoría anual para evaluar de manera objetiva e
independiente la adecuación de esta estructura y su alineamiento con los
planes de negocio.
Gobierno de TI
3 - ALCANCE
El alcance de esta auditoría cubre todas las actividades relacionadas con
la
estructura de Gobierno de TI para el año 2015 en las oficinas principales de
la ORGANIZACIÓN, incluyendo todos los procedimientos de Gobierno de TI y
el alineamiento con las estrategias de negocio. Cabe señalar, el proceso de
implementación y sostenibilidad de Gobierno de TI es un proceso de mejora
y crecimiento continuo para ajustar la organización y el área de TI a nuevas
tecnologías y demandas del mercado de acuerdo a su plan estratégico.
Gobierno de TI
4 - METODOLOGÍA DE TRABAJO
Como parte de esta auditoría realizamos las siguientes actividades
• Revisión del plan estratégico y objetivos de negocio para el año 2015
• Revisión de los objetivos que están soportados por tecnología.
• Revisión y análisis de documentación, políticas y
procedimientos
existentes.
• Realización de entrevistas con la Gerencia de Tecnología y personal clave.
• Revisión de acuerdo a mejoras prácticas y temas emergentes en Gobierno
de TI.
Los criterios de esta auditoría están basados en las guías de ORGANIZACIÓN,

marcos de referencia de la industria (Cobit) y las prácticas de auditoría
interna de sistemas mundialmente aceptadas.
CONCLUSIONES
El Auditor Interno y Gobierno de TI
Conclusiones
• El auditor interna agrega valor a su organización realizando sus
funciones y velando por sus responsabilidades dentro Gobierno
Corporativo y Gobierno de TI respectivamente.
• El auditor interno debe participar de todo el proceso para ayudar a crear
un ambiente de mejora continua en los procesos de TI.
• Los marcos de referencia COSO 2013 y Cobit 5 proponen guías y referencias
para poder auditar e implementar Gobierno Corporativo y Gobierno de TI.
• Auditoría interna debe reafirmar su posición y perfil
dentro de la organización.
¡Gracias por su Atención!
jfrago@gloadso.com
Juan A. Frago,
MBA, ISO 27001:2007, Cobit 5 Foundation, ITIL.
Gerente
Global Advisory Solutions

3 El Rol Del Auditor Interno en Gobierno de Ti

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

3 El Rol Del Auditor Interno en Gobierno de Ti

Cargado por

Copyright:

Formatos disponibles

EL ROL DEL AUDITOR INTERNO EN GOBIERNO

Panamá, 19 de mayo 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

• Alinear objetivos de tecnología con objetivos del negocio.

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

Transición de COSO - 2013

COSO COSO ERM

XIII Seminario Regional Interamericano de Contabilidad 2016

Es un marco de referencia para facilitar a las empresas a evaluar y

XIII Seminario Regional Interamericano de Contabilidad 2016

• COSO ERM, entró en vigor en el año 2005 con la

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

COBIT1 COBIT2 COBIT3

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

“La auditoría interna es una actividad independiente y objetiva de

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

Al planificar el trabajo, los auditores internos deben considerar:

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

• Asegurar la participación de Auditoría durante todo el proceso de Gobierno

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

• Proporcionar asesoría para verificar que las acciones que se estén

XIII Seminario Regional Interamericano de Contabilidad 2016

• Desarrollar un plan de auditoría de TI para monitoreo continuo de las

XIII Seminario Regional Interamericano de Contabilidad 2016

El Comité de Auditoría debe solicitar informes sobre la situación global de

a) Las conclusiones de las pruebas efectuadas;

XIII Seminario Regional Interamericano de Contabilidad 2016

ESTABLECE ESTABLECE EJECUCIÓN REPORTE Y

• Evaluar el nivel de eficiencia de la

XIII Seminario Regional Interamericano de Contabilidad 2016

Estos y muchos otros factores contribuyen a la necesidad de implementar y

XIII Seminario Regional Interamericano de Contabilidad 2016