Global Technology Audit Guide

GUIA 01: Controles de Tecnología de información

Acercamiento
• Las guías son para ejecutivos no especializados en tecnologías de información. • No es necesario ser técnico en los temas. • Saber es cada vez mas importante. • El Auditor que no maneja conceptos de TI pierde terreno.

GTAG – Global Technology Audit Guide

Introducción
• • • • • • ¿Para que los Controles? ¿Qué debe ser protegido? ¿Dónde son aplicados los controles? ¿Quién es responsable? ¿Cuándo se debe evaluar el control? ¿Cuánto se debe controlar?

GTAG – Global Technology Audit Guide

Objetivos de la guía
• Definir TI para ejecutivos. • Describir la importancia de los controles de TI dentro del abanico de actividades de control interno. • Describir roles y responsabilidades para el manejo de TI.

GTAG – Global Technology Audit Guide

• Describir los conceptos de riesgo inherente en el uso y manejo de tecnología. • Describir el conocimiento y comprensión básicas que debe tener un CAE (Chief Audit Executive), para la evaluación de controles. • Definir los elementos relevantes de la evaluación de controles de TI por parte de Auditores internos.

GTAG – Global Technology Audit Guide

Comprender los controles
• ¿Qué es un control? • ¿Qué se debe controlar? • Dos tipos de componentes:
– Automatización de Controles de negocios. – Control de TI.

GTAG – Global Technology Audit Guide

Marco a la medida
1. Cumplir con regulación. 2. Consistente con los objetivos de la organización. 3. Seguridad razonable de que se cumplen las políticas de gobierno corporativo.

GTAG – Global Technology Audit Guide

• ¿Qué significan? • ¿Para que son necesarios? • ¿Quién es el responsable? • ¿Cuándo? • ¿Donde? • ¿Cómo aplicamos evaluaciones?

GTAG – Global Technology Audit Guide

• • • • • •

Comprender los controles. Importancia de los controles. Roles y responsabilidades. Basado en riesgo. Monitoreo y técnicas. Evaluaciones.

GTAG – Global Technology Audit Guide

Control Interno
• COSO define control interno como:
– Proceso diseñado para entregar seguridad en:
• Efectividad y eficiencia en las operaciones. • Seguridad en reportes financieros. • Cumplimiento de leyes y regulaciones.

GTAG – Global Technology Audit Guide

Clasificación de controles
• Clasificación:
– Generales. – De aplicación.

• Clasificación:
– Preventivo. – Detectivo. – Correctivo.

• Clasificación:
– Gobierno. – Administración. – Técnicos.
GTAG – Global Technology Audit Guide

POLITICAS: A nivel Directores ESTANDARES: Forma definida de políticas ORGANIZACIÓN Y ADMINISTRACION: CONTROLES FISICOS Líneas de reporte y AMBIENTE: responsabilidad Protección física de Activos DESARROLLO Y ADQ.: Control sobre la creación o aplicación de software de terceros.

SOFTWARE DE SISTEMAS: Control sobre SO, configuraciones, Software

GTAG – Global Technology Audit Guide

BASADOS EN APLICACION.: Se administran los datos manejados por usuario mediante software

Seguridad de la información
• Confidencialidad. • Integridad. • Disponibilidad.

GTAG – Global Technology Audit Guide

Importancia de los controles
• Necesidades:
– Controlar los costos. – Permanecer competitivos. – Protección de la infamación mediante evaluaciones. – Cumplimiento de leyes y regulaciones.

• Implementar controles efectivos permite mejorar la eficiencia y obtener mayor evidencia comprobatoria.
GTAG – Global Technology Audit Guide

Auditoria
• Auditoria Interna y CAE:
– Entre principales tareas esta:
• Informar al comité de Auditoria y Gerencia sobre temas relacionados con TI. • Asegurarse que los temas de TI son tomados en cuenta dentro del universo auditable y del plan de Auditoria anual. • Confirmar que el riesgo TI esta considerado para la asignación de recursos necesarios.

GTAG – Global Technology Audit Guide

• Determinar “que” constituye evidencia comprobatoria veraz. • Realizar controles a nivel empresa. • Realizar controles específicos. • Realizar controles de aplicaciones.

GTAG – Global Technology Audit Guide

Riesgo determina respuestas
• Riesgo:
– “Posibilidad de que un hecho ocurra, el cual tiene directa relación con los objetivos de la entidad.”

• Apetito de riesgo:
– “Nivel de riesgo que la entidad esta dispuesta a aceptar para lograr sus objetivos.”

GTAG – Global Technology Audit Guide

• Tolerancia del riesgo:
– “Niveles de variación relativa para el alcance de los objetivos. Se debe considerar la importancia relativa de los objetivos relacionados y alinear la tolerancia con el apetito al riesgo.”

GTAG – Global Technology Audit Guide

Consideraciones
• • • • • Infraestructura. La organización encara el riesgo. Apetito y tolerancia. Análisis de riesgo. Controles TI apropiados.

GTAG – Global Technology Audit Guide

Mitigación del riesgo
• • • • Aceptar. Eliminar [Cambiar]. Compartir. Controlar/Mitigar.

GTAG – Global Technology Audit Guide

Monitorear y evaluar
• Elegir un marco referencial. • Metodología apropiada. • Tipo de monitoreos:
– Diario o periódico. – Por eventos. – Continuos.

GTAG – Global Technology Audit Guide

Evaluaciones
• ¿Que metodología utilizar?
– TI cada vez mas desarrollada en la empresa. – Delgada línea divisoria. – Cambio en las actividades de Auditoria.
• • • • Fraude. Cumplimiento con las regulaciones. Desarrollo de controles. Revisión de controles.

GTAG – Global Technology Audit Guide

¿Preguntas?

GTAG – Global Technology Audit Guide

Sign up to vote on this title
UsefulNot useful