tema+1-m0-mp-c2011-2012
TRANSCRIPT
Auditoria y Peritaje
Curso 2011 / 2012 Universidad Católica San Antonio de Murcia - Tlf: (+34) 968 27 88 00 [email protected] - www.ucam.edu
Javier Cao Avellaneda: [email protected] y [email protected]
Grado en Ingeniería en Informática
Tema 1: INFORMÁTICA Y CONTROL INTERNO
Índice del tema.
• Introducción. • Gobierno TI • Necesidades de control interno. • Esquemas de gestión y control interno. • La función de auditoría de sistemas de información.
Auditoría y Peritaje: Tema 1. 2
La revolución de la información
• Las tecnologías de la información se han adentrado en el día a día de las actividades de toda organización. – Procesadores de texto vs máquinas de escribir. – Correo electrónico vs fax – Archivos electrónicos vs expedientes papel. – Servicios Web vs consultas telefónicas o por fax
• La información se almacena y gestiona en soportes digitales
Auditoría y Peritaje: Tema 1. 3
La revolución de la información
• Estamos inmersos en plena “revolución de la información”. La sociedad industrial se transforma hacia la sociedad de la información.
• Características: – Alta velocidad de transmisión de información (autopistas de la
información). – Sociedad globalizada e interconectada (Internet). – Servicios telemáticos que no requieren presencia física (e-commerce, e-
banking, e-Administración, e-Learning).
Auditoría y Peritaje: Tema 1. 4
La revolución de la información
• Los negocios ahora venden “información” en vez de productos tangibles. Ejemplos: – Buscadores como Google, MSN Live, Yahoo. – Portales como Terra, Hotmail. – Tiendas online como Amazon, Ebay
• Estos negocios son muy sensibles a los problemas con la información e influyen en los resultados de otros.
Auditoría y Peritaje: Tema 1. 5
La revolución de la información
• Caso United Airlines el día 8 de septiembre de 2008.
Auditoría y Peritaje: Tema 1. 6
La revolución de la información
• Los sistemas informáticos que daban apoyo a las tareas más básicas (ofimática y contabilidad) ahora se han transformado en los sistemas de información de la empresa.
• Esta evolución ha generado grandes beneficios pero ha incorporado nuevos riesgos: – Alta dependencia de las TIC. – Efectos cascada de un fallo, con consecuencias cada vez mayores. – El valor de una Organización es su información y conocimiento más que
los servicios o productos que proporciona.
Auditoría y Peritaje: Tema 1. 7
Soporte papel vs electrónico
• El soporte papel es tangible: – Su creación ocupa un espacio material. – Su traslado implica el transporte físico y el tiempo de entrega está
condicionado por la distancia física. – Su destrucción supone una eliminación del soporte tangible. – Su tratamiento deja evidencias físicas.
• El tratamiento de soportes tangibles se encuentra limitado por las restricciones de espacio y tiempo.
Auditoría y Peritaje: Tema 1. 8
Soporte papel vs electrónico
• La información en formato electrónico es intangible pero se almacena en soportes tangibles. No está tan limitada por las restricciones físicas. – Un documento electrónico tiene propiedades lógicas
• Fecha de creación, de modificación, autor, tamaño, etc.
– A priori, no existe original y copia si no se añaden pruebas adicionales. – La velocidad de transmisión es mucho mayor.
• Se ha multiplicado la capacidad de tratamiento de información.
Auditoría y Peritaje: Tema 1. 9
Perdida del control interno sobre la información
• La capacidad de almacenamiento se ha multiplicado exponencialmente
= .
Auditoría y Peritaje: Tema 1. 10
• ENTORNOS CERRADOS (entornos de los 80 y principios de 90)
• Grandes mainframes. • Ter minales de acceso. • Ubicaciones Dsicas localizadas.
• ENTORNOS ABIERTOS (entornos de finales de los 90 y siglo XXI)
• ConecKvidad global y movilidad de usuario • Clientes PC. • Ubicaciones Dsicas no controladas.
Pérdida del control interno sobre la información
Auditoría y Peritaje: Tema 1. 11
Contexto del Gobierno TI
• Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos.
• Las organizaciones entienden que deben empezar a administrar los riesgos asociados al uso de las tecnologías de la información dada su actual dependencia crítica de ellos para la ejecución de sus procesos de negocio.
Auditoría y Peritaje: Tema 1. 12
Procesos de negocio Procesos de negocio
Entradas
Salidas
Tecnologías de la información
Personal
Organización
Organizaciones actuales
Infraestructuras
Auditoría y Peritaje: Tema 1. 13
Organizaciones y procesos de negocio
• Toda Organización puede ser contemplada como un conjunto de procesos de negocio que transforma unas entradas en unas salidas, generando valor añadido.
• Un proceso de negocio es un conjunto de tareas relacionadas lógicamente llevadas a cabo para lograr un resultado de negocio definido.
E
Auditoría y Peritaje: Tema 1. 14
Organizaciones y procesos de negocio
• Los procesos de negocio pueden ser vistos como una colección de actividades estructurales relacionadas que producen un valor para la organización, sus inversores o sus clientes. Es, por ejemplo, el proceso a través del que una organización ofrece sus servicios a sus clientes.
• Un proceso de negocio puede ser parte de un proceso mayor que lo abarque o bien puede incluir otros procesos de negocio que deban ser incluidos en su función. En este contexto un proceso de negocio puede ser visto a varios niveles de granularidad. El enlace entre procesos de negocio y generación de valor lleva a algunos practicantes a ver los procesos de negocio como los flujos de trabajo que efectúan las tareas de una organización.
E
Auditoría y Peritaje: Tema 1. 15
El modelo de cadena de valor de Porter
• Toda organización puede ser analizada por su cadena de valor. Ésta categoriza las actividades que producen valor añadido en una organización. Se dividen en dos tipos de actividades:
E
Auditoría y Peritaje: Tema 1. 16
El modelo de cadena de valor de Porter
• Las actividades primarias que conforman la creación física del producto o servicio, las actividades relacionadas con su venta y la asistencia post-venta. Se dividen en: – Logística interna: recepción, almacenamiento y distribución de las
materias primas. – Operaciones (producción): recepción de las materias primas para
transformarlas en el producto final. – Logística externa: almacenamiento de los productos terminados y
distribución del producto al consumidor. – Ventas y Marketing: actividades con las cuales se da a conocer el
producto. – Servicios post-venta (mantenimiento): actividades destinadas a
mantener o realizar el valor del producto. Ej.: garantías
E
Auditoría y Peritaje: Tema 1. 17
El modelo de cadena de valor de Porter
• Estas actividades son apoyadas por las también denominadas actividades secundarias: – Infraestructura de la organización: actividades que prestan apoyo a
toda la empresa, como la planificación, contabilidad, finanzas... – Dirección de recursos humanos: búsqueda, contratación y motivación
del personal. – Desarrollo de tecnología (investigación y desarrollo): obtención,
mejora y gestión de la tecnología. – Abastecimiento (compras): proceso de compra de los materiales.
E
Auditoría y Peritaje: Tema 1. 18
Sistemas de información y cadena de valor
• Los sistemas de información pertenecen a la infraestructura y proporcionan los recursos de tratamiento de la información tanto de las acKvidades primarias como de las acKvidades de soporte.
Auditoría y Peritaje: Tema 1. 19
Ejercicio: El caso PDVSA
• Identificar para el conjunto de procesos, cuales serían los que pertenecen a: – Actividades primarias:
• Logística interna • Operaciones • Logística externa • Marketing y ventas • Servicio post venta
– Actividades soporte: • Infraestructuras de la empresa • Gestión de recursos humanos • Tecnología • Compras
Auditoría y Peritaje: Tema 1. 20
El modelo de cadena de valor de Porter
• Toda organización puede ser analizada por su cadena de valor. Ésta categoriza las actividades que producen valor añadido en una organización. Se dividen en dos tipos de actividades:
Auditoría y Peritaje: Tema 1. 21
Ejercicio: El caso PDVSA
Extracción Depósito
Refino
Exportación Distribución
Facturación
Gestión TIC
RR.HH.
Dirección
Auditoría y Peritaje: Tema 1. 22
Ejercicio: El caso PDVSA
Extracción Depósito
Refino
Exportación Distribución
Facturación
Gestión TIC
RR.HH.
Dirección
Auditoría y Peritaje: Tema 1. 23
LOGISTICA EXTERNA
PRODUCCIÓN
Procesos de transformación
Extracción Depósito Refino
Exportación
Distribución
Materia prima Producto
Auditoría y Peritaje: Tema 1. 24
INFRAESTRUCTURA
Procesos de gestión económica
Producto
Facturación Dirección
RECURSOS HUMANOS
TECNOLOGÍA
RR.HH.
Gestión TIC
Auditoría y Peritaje: Tema 1. 25
Ejercicio: El caso PDVSA. so
porte
primarias
Facturación Dirección
RR.HH. Gestión TIC
Extracción Depósito
Refino
Exportación
Distribución
Auditoría y Peritaje: Tema 1. 26
Definición de sistemas de información
• Un sistema de información es un conjunto organizado de elementos. Estos son de 4 tipos: – Personas. – Datos. – Actividades o técnicas de trabajo. – Recursos materiales en general (típicamente recursos informáticos y
de comunicación, aunque no tienen por qué ser de este tipo obligatoriamente).
• Todo ese conjunto de elementos interactúan entre si para procesar los datos y la información (incluyendo procesos manuales y automáticos) y distribuirla de la manera más adecuada posible en una determinada organización en función de sus objetivos.
• Fuente: http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n
Auditoría y Peritaje: Tema 1. 27
Procesos o Servicios
Nivel Funcional
Nivel Lógico
Nivel Físico
• Dependencias físicas • Suministros
• Aplicaciones • Equipos • Telecomunicaciones
• Procesos de negocio • Personas • Datos
Auditoría y Peritaje: Tema 1. 28
El boicot a PDVSA. so
porte
primarias
Facturación Dirección
RR.HH. Gestión TIC
Extracción Depósito
Refino
Exportación
Distribución
Auditoría y Peritaje: Tema 1. 29
El boicot a PDVSA. so
porte
primarias
Facturación Dirección
RR.HH. Gestión TIC
Extracción Depósito
Refino
Exportación
Distribución
Auditoría y Peritaje: Tema 1. 30
Índice del tema.
• Introducción. • Gobierno TI • Necesidades de control interno. • Esquemas de gestión y control interno. • La función de auditoría de sistemas de información.
Auditoría y Peritaje: Tema 1. 31
El contexto del Gobierno TI
• La confianza es la clave de nuestra economía, economía que sería hoy en día impensable sin el soporte de las tecnologías de la información, cada días más ubicuas y que han cambiado para siempre la manera de entender y hacer negocios.
• Nos encontramos con que la economía gira en gran medida en torno a la idea de confianza descrita y que los sistemas de información debe ser “de confianza”, o mejor dicho, fiables.
• ¿Qué pruebas tenemos?
Auditoría y Peritaje: Tema 1. 32
El contexto del Gobierno TI
• Debate sobre la fiabilidad de la informática. – Pruebas de buen funcionamiento. – Pruebas de mal funcionamiento. – ¿Qué y hasta donde es tolerable? – Ejemplos del día a día.
Auditoría y Peritaje: Tema 1. 33
El contexto del Gobierno TI
• Ha existido una brecha entre expectativas-resultados. ExpectaKvas
• Explotar TI para lograr valor. • Lograr rápidos desarrollos con calidad y seguridad.
• Inversiones TI Kenen un retorno cuanKtaKvo y se logra más con menos.
• ConverKr ganancias de eficiencia y producKvidad en la creación de valor y efecKvidad del negocio.
Resultados
• Decisiones sin adecuado soporte y pérdida compeKKva.
• La efecKvidad de los procesos es directamente proporcional a la calidad de los servicios TI.
• Fracaso en la implantación de nuevas aplicaciones.
• Tecnología inadecuada o caduca.
• Débil soporte a los negocios. • Proyectos desfasados en Kempo y presupuesto.
• Mayor costo y menor calidad que la esperada.
Auditoría y Peritaje: Tema 1. 34
El contexto del Gobierno TI
• Las organizaciones quieren ahora contemplar lo que se denomina “Riesgo operativo” que es “el riesgo o pérdida que resulta de un fallo o inadecuados procesos internos, gente y sistemas o eventos externos”.
Auditoría y Peritaje: Tema 1. 35
El contexto del Gobierno TI
Dirección
Servicios TI
Proc
esos
de
nego
cio
Proc
esos
de
nego
cio
Proc
esos
de
nego
cio
Proc
esos
de
nego
cio
Auditoría y Peritaje: Tema 1. 36
El contexto del Gobierno TI
• La Dirección de las Empresas quiere poder establecer el rumbo que debe seguir el desarrollo de sus Organizaciones.
• Para ello, es necesario planificar, dirigir y gestionar el desarrollo y despliegue de los sistemas de información de la Organización.
Auditoría y Peritaje: Tema 1. 37
Evolución del área TI
• Ha pasado el tiempo en el que los departamentos de informática (departamentos de Tecnologías de la Información) eran unos departamentos puramente técnicos que realizaban dos funciones básicas: Desarrollo de aplicaciones y el mantenimiento de la infraestructura técnica.
• El negocio (la empresa) invertía dinero en este departamento y eran percibidos únicamente como centros de coste. Los servicios informáticos, sobre todos los más importantes para el negocio (soporte y operaciones), eran suministrados por este departamento integrado en la organización.
Auditoría y Peritaje: Tema 1. 38
Evolución del área TI
• Ahora, muchos de estos departamentos tienen la necesidad de cambiar su imagen en la empresa. Necesitan saber cuánto valen sus servicios y demostrar a sus clientes (su propia compañía) que son rentables y necesarios, demostrando racionalización y eficiencia.
• Por otra parte, las organizaciones son cada vez más dependientes de las TIs a la hora de satisfacer sus propios objetivos corporativos y necesidades empresariales (negocio). Esta dependencia conlleva un aumento en la necesidad de unos servicios de TI, independientemente del tamaño de la organización, ajustados económicamente, fiables, consistentes y de la más alta calidad.
Auditoría y Peritaje: Tema 1. 39
Contexto del Gobierno TI
• Lo que se quiere es tener un control sobre la gestión de las Tecnologías de la Información de igual manera al control que se tiene de otras actividades de la Organización. – Control presupuestario y financiero. – Control sobre los recursos humanos. – Control sobre la producción. – Gestión y Dirección de la Organización.
Auditoría y Peritaje: Tema 1. 40
Definición del Gobierno TI
• El Gobierno TI determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento deseado del uso de las tecnologías de la información.
• La necesidad de asegurar el valor de las TI, la administración de sus riesgos asociados así como el incremento de requisitos para controlar la información (Legislación como LOPD) se entienden ahora como elementos clave del Gobierno de una empresa.
• El valor, el riesgo y el control constituyen la esencia del Gobierno TI.
Auditoría y Peritaje: Tema 1. 41
El valor de la información
• “La información es un activo que, como otros activos importantes para las organizaciones, tiene valor y por tanto, necesita ser adecuadamente protegido.” ISO/IEC 27002:2005
• El valor de la información puede ser diferentes según el criterio o percepción de la persona que la maneja.
• El tratamiento en algunos momentos no se ajusta al valor que esa información tiene.
Dirección Financiero Informática Secretaría
60.000 € 6.000 € 600 € 10 €
600 € 0 € 60.000 € 10 €
Informe Dirección
Copias seguridad
Auditoría y Peritaje: Tema 1. 42
El riesgo
Amenaza
AcKvo Impacto
Control
Auditoría y Peritaje: Tema 1. 43
El riesgo
Vulnerabilidades
Auditoría y Peritaje: Tema 1. 44
El riesgo
ACTIVO
Amenazas
Incendio
Corte Eléctrico
Virus
Fallecimiento empleado
Avería hardware
Salvaguardas
Medidas de seguridad
Vulnerabilidades
Impacto
Auditoría y Peritaje: Tema 1. 45
El riesgo
RIESGO
IMPACTO ¿Qué consecuencias tiene para el negocio?
PROBABILIDAD ¿Cuánto de posible es que la amenaza supere a los controles?
ACTIVOS
¿Qué hay que proteger?
AMENAZAS
¿Qué eventos pueden
producirse?
SALVAGUARDAS
¿De que protecciones disponemos?
VULNERABILIDAD
¿Cómo pueden materializarse las
amenazas?
Auditoría y Peritaje: Tema 1. 46
La gestión del riesgo
REDUCIR
ACEPTAR EVITAR
TRANSFERIR
• No hacer nada
• Contratar seguro
• Poner alarma • Comprar puerta blindada
• No comprarla
Auditoría y Peritaje: Tema 1. 47
El control
• Gestionar es tomar las decisiones pertinentes para lograr un determinado fin u objetivo. En nuestro contexto, lograr que los niveles de riesgo sean los adecuados.
Entradas Salidas Proceso
Control
Auditoría y Peritaje: Tema 1. 48
El Gobierno TI
• El Gobierno de las Tecnologías de la Información es responsabilidad de los ejecutivos y consta de liderazgo, estructuras y procesos organizacionales que garantizan que las Tecnologías de la Información de la empresa sostienen y extienden las estrategias y objetivos de la Organización.
• En otras palabras, hacer que los sistemas de información sean una herramienta productiva más alineada con los objetivos de negocio de la Organización.
Auditoría y Peritaje: Tema 1. 49
El Gobierno TI
Auditoría y Peritaje: Tema 1. 50
Las áreas del Gobierno TI
Entrega de valor
Gestión del riesgo
Administración de recursos
Medición del desempeño
Alineación estratégica
Gobierno TI
Gobierno TI
E
Auditoría y Peritaje: Tema 1. 51
Las áreas del Gobierno TI
• Garantizar la coherencia y cohesión entre los planes de negocio de la Organización y de TI.
• Definir, mantener y validar la propuesta de valor de TI.
• Alinear las operaciones de TI con las operaciones de la empresa.
Alineación estratégica
E
Auditoría y Peritaje: Tema 1. 52
Las áreas del Gobierno TI
• Asegurar que TI genere los beneficios prometidos en la estrategia.
• Optimizar los costos y brindar el valor intrínseco de las TI.
Entrega de valor
E
Auditoría y Peritaje: Tema 1. 53
Las áreas del Gobierno TI
• Concienciar sobre los riesgos que conllevan las TI
• Analizar y establecer los riesgos para la Organización.
• Determinar los requisitos de cumplimiento, lo que no debe tolerarse.
• Gestionar adecuadamente los riesgos no aceptables.
Gestión del riesgo
E
Auditoría y Peritaje: Tema 1. 54
Las áreas del Gobierno TI
• Establecer las inversiones óptimas, así como la administración adecuada de los sistemas de información: – Aplicaciones – Información – Infraestructuras tecnológicas – Personas
• Optimización del conocimiento y de la infraestructura.
Administrar los recursos
E
Auditoría y Peritaje: Tema 1. 55
Las áreas del Gobierno TI
• Monitorización del uso de los recursos. • Seguimiento de la implantación de la
estrategia y cumplimiento de objetivos y planes de proyectos.
• Medición del desempeño de los procesos y de la entrega de servicios.
Medición del desempeño
E
Auditoría y Peritaje: Tema 1. 56
El Gobierno TI
• El Gobierno TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.
• Las organizaciones tienen como misión satisfacer la calidad, los requisitos y la seguridad de la información así como la de todos sus activos.
• La Dirección debe optimizar el uso de los recursos TI disponibles, incluyendo aplicaciones, información, infraestructuras y personas.
Auditoría y Peritaje: Tema 1. 57
El Gobierno TI
Es necesario garanKzar que: • TI proporcionan valor
– Coste, Kempo, rendimiento, funcionalidad esperados • TI no proporcionan sorpresas
– Riesgos miKgados • TI contribuyen al negocio
– Nuevas oportunidades e innovaciones en productos, procesos y servicios
Para ello, la Dirección debe tener cierto CONTROL INTERNO sobre su funcionamiento y gestión.
Auditoría y Peritaje: Tema 1. 58
Repaso de los conceptos importantes
• Cadena de Porter.
• Áreas del Gobierno TI.
• Necesidad del Gobierno TI
Auditoría y Peritaje: Tema 1. 59
Sistemas de información y cadena de valor
• Los sistemas de información pertenecen a la infraestructura y proporcionan los recursos de tratamiento de la información tanto de las acKvidades primarias como de las acKvidades de soporte.
Auditoría y Peritaje: Tema 1. 60
Las áreas del Gobierno TI
Entrega de valor
Gestión del riesgo
Administración de recursos
Medición del desempeño
Alineación estratégica
Gobierno TI
Gobierno TI
Auditoría y Peritaje: Tema 1. 61
El Gobierno TI
Auditoría y Peritaje: Tema 1. 62
El Gobierno TI
Es necesario garanMzar que: • TI proporcionan valor
– Coste, Kempo, rendimiento, funcionalidad esperados • TI no proporcionan sorpresas
– Riesgos miKgados • TI contribuyen al negocio
– Nuevas oportunidades e innovaciones en productos, procesos y servicios
Para ello, la Dirección debe tener cierto CONTROL INTERNO sobre su funcionamiento y gestión.
Auditoría y Peritaje: Tema 1. 63
Gestión del Gobierno TI
Gestión de la Organización
Tecnologías de la información
Gestión TI Gestión RR.HH.
Objetivos de negocio
Resultados empresariales
¿OK?
Auditoría y Peritaje: Tema 1. 64
¿Cómo se logra el Gobierno TI?
• La Dirección de la Empresa quiere saber cómo funciona el área TI.
• Para ello, se establecen un conjunto de procesos generales (o marco de trabajo) y se mide cómo funcionan cada uno de ellos. (Control interno)
• En las últimas décadas se han ido estableciendo diferentes marcos de trabajo orientados a lograr estos objetivos: – Guias COBIT de ISACA. – ISO 20000 Gestión de Servicios TI – ISO 27001 Gestión de la Seguridad de la Información
Auditoría y Peritaje: Tema 1. 65
¿Cómo se logra el Gobierno TI?
Proporcionar Dirección
Medir el desempeño
Comparar
Actividades TI • Aumentar la automaKzación.(Hacer más eficaz el negocio)
• Reducir costos (Hacer más eficiente la empresa)
• Controlar los riesgos (Seguridad, confianza y cumplimiento)
Establecer Objetivos • TI alineado con el negocio.
• Reducir costos (Hacer más eficiente la empresa)
• Manejar riesgos (Seguridad, confianza y cumplimiento)
Auditoría y Peritaje: Tema 1. 66
¿Cómo se logra el Gobierno TI?
• Para lograr el Gobierno TI es necesario proporcionar la información que la empresa requiere para lograr sus objetivos, administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.
Requisitos de negocio
Recursos TI
Procesos TI
Auditoría y Peritaje: Tema 1. 67
¿Cómo se logra el Gobierno TI?
Auditoría y Peritaje: Tema 1. 68
Índice del tema.
• Introducción. • Gobierno TI • Necesidades de control interno. • Esquemas de gestión y control interno. • La función de auditoría de sistemas de información.
Auditoría y Peritaje: Tema 1. 69
Informe IT Governance Institute (ITGI)-2008.
• Un estudio del ITGI determina las prioridades de ejecutivos en gobernabilidad TI y los problemas con los que se han de enfrentar: – El 58% advirtió que la cantidad de personal en TI es insuficiente,
comparada con el 35% de 2005. – El 48% expresó que las dificultades en la prestación del servicio de TI
continúan siendo el segundo problema más común. – El 38% señaló que los problemas relacionados con el personal tienen
que ver con la ausencia de aptitudes adecuadas. – Un 30% de los encuestados también informó dificultades relacionadas
con la previsión del retorno de la inversión (ROI) para los gastos de TI.
Auditoría y Peritaje: Tema 1. 70
Informe IT Governance Institute (ITGI)-2008.
– El 93% de los encuestados expresó que TI posee una importancia de media a elevada para la estrategia corporativa general, lo cual implica un aumento de 6% en comparación con 2005.
– La TI siempre está en la agenda de la gerencia, de acuerdo con las respuestas del 32% de los encuestados: un incremento en comparación con el 25% de 2005.
– El 18% de los encuestados manifestó que el departamento de TI siempre proporciona información a la empresa acerca de potenciales oportunidades de negocio, un incremento en comparación con el 14% de 2005.
– Las áreas de mejora incluyen alineación: el 36% de los encuestados informaron que la alineación entre la estrategia de TI y la estrategia corporativa es estándar, deficiente o muy deficiente.
Auditoría y Peritaje: Tema 1. 71
Informe IT Governance InsKtute (ITGI)-‐2008.
• “El resultado final es que muchas organizaciones de todo el mundo sacrifican inútilmente dinero, productividad y ventaja competitiva al no implementar una administración eficaz de TI”.
• “Se ha demostrado que las empresas bien administradas obtienen un mejor retorno para las partes interesadas, y lo mismo sucede con la gobernabilidad en lo concerniente a la TI. Los ejecutivos deben orientar sus áreas de TI para obtener la ventaja óptima, manejar los riesgos relacionados con la TI y medir el valor que la TI proporciona”.
Auditoría y Peritaje: Tema 1. 72
Conclusiones del estudio ITGI-2008
• Los sistemas de información ya no son un complemento para la organización sino que forman parte de su estructura.
• Aumento de la complejidad en los entornos TI. • Nivel de servicio de TI decepcionante tanto por parte de las
funciones internas como proveedores externos. • Costes de TI fuera de control. • Necesidad de garantizar el cumplimiento legal que empieza a
regular las TI. • Potencial de las TI para cambiar espectacularmente las
organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes.
Auditoría y Peritaje: Tema 1. 73
Control Interno
• La definición de control interno se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: – Efectividad y eficiencia operacional. – Seguridad de la información. – Cumplimiento de políticas, leyes y normas.
Auditoría y Peritaje: Tema 1. 74
Necesidades de control interno
• El Control Interno Informático controla diariamente que todas las actividades sean realizadas cumpliendo los procedimientos, estándares y normas fiados por la Dirección de la Organización así como los requisitos legales.
• El control interno tiene como principales objetivos: – Controlar que las actividades se realizan cumpliendo los procedimientos
y normas fijados, evaluar su funcionamiento y asegurar el cumplimiento de las normas legales.
– Asesorar sobre el conocimiento de las normas y procedimientos internos. – Colaborar y apoyar al área de Auditoría Informática. – Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los objetivos planteados sobre el servicio de Tecnologías de la Información de la empresa.
Auditoría y Peritaje: Tema 1. 75
Necesidades de control interno
• Para ello, se despliegan diferentes tipos de controles sobre las actividades operativas del tipo: – Cumplimiento de los procedimientos y normas internas. – Vigilancia sobre el control de cambios y versiones del software. – Controles sobre la producción diaria. – Controles sobre la calidad y eficiencia del desarrollo y mantenimiento
software y de los sistemas de información. – Controles sobre la administración y gestión de las redes de
telecomunicaciones. – Controles sobre los sistemas microinformáticos. – Monitorización sobre la seguridad informática establecida. – Licencias y relaciones contractuales con terceros.
Auditoría y Peritaje: Tema 1. 76
Control interno y Gobierno TI
• El control interno mide si los procesos generan las salidas correctas en relación a los objetivos planteados.
• En relación al Gobierno TI, proporciona indicadores sobre el funcionamiento de los sistemas de información.
Entradas Salidas Proceso
Control
Auditoría y Peritaje: Tema 1. 77
Control interno y Gobierno TI
• El Gobierno TI debe establecer las líneas estratégicas de la empresa (el rumbo) y el control interno debe verificar que en el día a día se va por el buen camino.
Auditoría y Peritaje: Tema 1. 78
Control interno y Gobierno TI
Auditoría y Peritaje: Tema 1. 79
Índice del tema.
• Introducción. • Gobierno TI • Necesidades de control interno. • Esquemas de gestión y control interno. • La función de auditoría de sistemas de información.
Auditoría y Peritaje: Tema 1. 80
Esquemas de gestión y control interno
• Aunque existen diferentes tipos de organizaciones y empresas, la gestión de las TIC comparte una misma problemática en cuanto a los procesos necesarios para su gestión.
• La misión fundamental del área de TIC de cualquier organización es velar por el buen funcionamiento de las infraestructuras TIC, elementos que posibilitan a los usuarios el acceso a las aplicaciones y datos que requieren para el desarrollo de su actividad dentro de la compañía, garantizar la seguridad de la información y los activos en general asociados al área y dar soporte a los usuarios cuando sea necesario.
Auditoría y Peritaje: Tema 1. 81
Esquemas de gestión y control interno
• La situación se ha tratado de solucionar con la aparición en el escenario de buenas prácticas y normas internacionales diseñadas a paliar el problema de la falta de control interno.
• Se ha trabajado en estos últimos años para poder consensuar “buenas prácticas” y trata de establecer estándares, de manera que todas las organizaciones establezcan los controles internos de una misma forma.
Auditoría y Peritaje: Tema 1. 82
Esquemas de gestión y control interno
• Ello se ha producido, en parte por: – Preocupación por el creciente nivel de gasto en TI. – Necesidad de satisfacer cada vez más diferentes requisitos regulatorios
( Ley de Protección de Datos, Sabarnes-Oxley, Basilea II, etc.) – Necesidad de valorar servicios externos (outsourcing). – Riesgos crecientemente complejos de las TI (seguridad informática,
fugas de datos, etc.) – Necesidad de optimizar costes, siguiendo siempre que sea posible un
enfoque estandarizado. – Madurez creciente y continua aceptación de aceptados marcos de
trabajo como ISO 9001, Cobit, ITIL, ISO 27001, etc. – Necesidad de poder comparar el desempeño y rendimiento de los
sistemas propios y valorarlos respecto a los de otros.
Auditoría y Peritaje: Tema 1. 83
Esquemas de gestión y control interno
• Los objetivos globales de cualquier área de Explotación TIC son: – Maximizar la satisfacción de los clientes internos o externos. – Garantizar la seguridad de los sistemas – Garantizar la seguridad de la información – Maximizar la disponibilidad de las redes – Maximizar la disponibilidad de los sistemas – Maximizar la disponibilidad de las aplicaciones
Auditoría y Peritaje: Tema 1. 84
Esquemas de gestión y control interno
• Los objetivos globales de cualquier área de Explotación TIC son: – Responder en el mínimo tiempo posible ante incidencias relacionadas
con los activos TIC de la compañía. – Optimizar el tiempo de respuesta de las aplicaciones. – Mantener actualizado el sistema documental fijado para el correcto
mantenimiento y soporte de los Sistemas de Información corporativos. – Garantizar la gestión de conocimiento. – Garantizar la medición de los procesos mediante indicadores de eficacia
y eficiencia. Garantizar la trazabilidad de las operaciones de soporte realizadas.
– Trabajar en la mejora continua de procesos, maximizando los mantenimientos preventivos a costa de los reactivos.
Auditoría y Peritaje: Tema 1. 85
Esquemas de gestión y control interno
• Aparecen guías, normas y estándares planteados como catálogos de objetivos de control y controles que pueden ayudar a gobierno TI. – COBIT: marco de procesos para la gestión TI. – CMMI: centrado en actividades de desarrollo – ITIL /ISO 20000: centrado en la gestión de los servicios de tecnología de
la información. – ISO 27001: centrado en la seguridad de la información. – ISO 38500: centrado en el Gobierno TI
Auditoría y Peritaje: Tema 1. 86
COBIT
• COBIT (Control Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por ISACA e ITGI.
• COBIT marca las directrices gerenciales sobre un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.
• La misión de COBIT es "investigar, desarrollar, publicar y promocionar un
conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores”.
Auditoría y Peritaje: Tema 1. 87
CMMI
• Es un modelo concebido para mejorar los procesos de desarrollo y mantenimiento de productos de software. Fue creado por el Software Engineering Institute (SEI) de la Universidad estadounidense Carnegie Mellon, combinando tres modelos del SEI: – CMM-SW (CMM for Software) – SE-CMM (Systems Engineering Capability Maturity Model) – IPD-CMM (Integrated Product Development)
• CMMI también se inspira en buenas prácticas de la industria y de la experiencia adquirida en la evaluación e implantación de mejora de procesos en entornos reales.
Auditoría y Peritaje: Tema 1.
88
ITIL / ISO 20000
• ITIL es una seria de libros con las mejores prácticas de TI. Es un marco de referencia de dominio público. Probado empíricamente y bajo constante desarrollo, soportado por herramientas, utilizado por la mayoría de los grandes data-centers de mundo.
• La serie ISO/IEC 20000 proviene de la adopción de la serie BS 15000 que especifica un conjunto de procesos de gestión interrelacionados, esta basada en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditoría del servicio gestionado.
• ISO 20000-1 establece los requisitos de un sistema de gestión de las tecnologías de la información (SGTI) para ser certificable por una entidad independiente.
• ISO 20000-2 proporciona un conjunto de buenas prácticas basada en el estándar "de facto" ITIL.
Auditoría y Peritaje: Tema 1. 89
ISO 27000
• La serie ISO/IEC 27000 es un conjunto de estándares desarrollados que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
• ISO 27001 establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.
• ISO 27002 proporciona un conjunto de buenas prácticas para la gestión de la seguridad de su información.
Auditoría y Peritaje: Tema 1. 90
Índice del tema.
• Introducción. • Gobierno TI • Necesidades de control interno. • Esquemas de gestión y control interno. • La función de auditoría de sistemas de información.
Auditoría y Peritaje: Tema 1. 91
La función de auditoría
• Se establece un modelo de control interno basado en la comparación de lo deseable con lo obtenido.
• Se establece un determinado nivel de temperatura (Objetivo de control) para el sistema de acondicionamiento de aire (Proceso). El termostato medirá continuamente la temperatura del ambiente (Salida) y la comparará con la temperatura deseada (Objetivo de control) e indicará cual es la acción a realizar (acción de control)
Auditoría y Peritaje: Tema 1. 92
Objetivos de control y controles
• El control mide si los procesos generan las salidas correctas en relación a los objetivos planteados.
Entradas Salidas Proceso
Control
ObjeMvo de control
Auditoría y Peritaje: Tema 1. 93
La función de auditoría
Auditoría y Peritaje: Tema 1. 94
Objetivos de control y controles
• Un objetivo de control TI es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad TI en particular.
• Un control se define como las políticas, normas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos previstos serán prevenidos o detectados o corregidos.
Auditoría y Peritaje: Tema 1. 95
La función de auditoría
• Se establecen diferentes objetivos de control para el área de Tecnologías de la Información y se comparan los servicios o productos que se obtienen con los resultados deseables, en base a la valoración de los registros de funcionamiento que establecen los diferentes controles implantados.
• Los controles son como sensores de funcionamiento que proporcionan información para tomar acciones de control.
Auditoría y Peritaje: Tema 1. 96
Control interno y auditoría TI
• Son tareas similares con objetivos comunes aunque algunas diferencias
Control Interno Auditoría
Similitudes Personal Interno Conocimientos especializados en Tecnologías de la Información.
Verificación del cumplimiento de las normaKvas y procedimientos establecidos sobre los sistema de información.
Diferencias Análisis de los controles día a día Informa a la Dirección del
Departamento de informáKca Personal Interno
Análisis de los controles en un momento dado.
Informa a la Dirección de la Organización. Personal interno o externo.
Auditoría y Peritaje: Tema 1. 97
La función de auditoría TI
• Es quien verifica el correcto funcionamiento de los controles y valora el nivel de cumplimento de los objetivos de control para dar una opinión a la Dirección del estado de los elementos auditados en base a unos criterios de auditoría establecidos.
Auditoría y Peritaje: Tema 1. 98