EL ROL DEL AUDITOR INTERNO EN GOBIERNO DE TECNOLOGÍA DE … · Gobierno de TI Global Advisory Solutions, S.A. Todos los derechos reservados. Prohibida su reproducción no autorizada

EL ROL DEL AUDITOR INTERNO EN GOBIERNODE TECNOLOGÍA DE LA INFORMACIÓN

EXPOSITOR:

LICDO. JUAN A. FRAGO GERENTE

GLOBAL ADVISORY SOLUTIONS

Panamá, 19 de mayo 2016

XIII Seminario Regional Interamericano de Contabilidad 2016

Rol del Auditor Interno en Gobierno de Tecnología de la Información

XIII SEMINARIO REGIONAL INTERAMERICANO DE CONTABILIDAD 2016

Juan A. Frago,MBA, ISO 27001:2007, Cobit 5 Foundation, ITIL.

GerenteGlobal Advisory Solutions

Global Advisory Solutions, S.A. Todos los derechos reservados. Prohibida su reproducción no autorizada.


Agenda1.Introducción2. Conceptos – Gobierno Corporativo3. Conceptos – Gobierno de TI4. COSO – 2013 (Principal Marco de Referencia para Gob. Corporativo)5. COBIT 5 (Principal Marcos de Referencia para Gob. de TI)6. Estándares del IIA y el perfil del auditor interno7. Señales de un sistema de Gobierno de TI deficiente8. El Rol del Auditor Interno en Gobierno de TI9.Guía general de auditoría de Gobierno de TI 10.Conclusiones



Rol del Auditor Interno


IntroducciónEl desarrollo acelerado de las tecnologías obligan al auditor interno a estar preparado para responder constantemente a cambios y nuevos retos que se encuentran ante los recursos y activos de tecnología. Gobierno de TI puede ayudar al auditor interno a facilitar el proceso de Auditoría y hacer recomendaciones que ayuden a la organización en temas tales como:

• Alinear objetivos de tecnología con objetivos del negocio.• Identificar riesgos dentro de los procesos de tecnología.• Establecer mejores controles.• Cumplir con las leyes y regulaciones.


GOBIERNO CORPORATIVO



Gobierno Corporativo¿Qué es?Gobierno corporativo es el sistema mediante el cual la organización es dirigida y administrada. Tiene influencia sobre cómo los objetivos de negocio son establecidos y alcanzados, cómo los riesgos son monitoreados y como el rendimiento es optimizado.

Instituto de Auditores Internos Internacional (IIA) define al gobierno corporativo como:• “La combinación de procesos y estructuras

implantados por el Consejo de Administración para informar, dirigir, gestionar y vigilar las actividades de la organización con el fin de lograr sus objetivos.”



• Velar por los mejores intereses y objetivos de todos los interesados en laorganización (“stakeholders”).

• Reforzar y facilitar las funciones de supervisión y monitoreo de la Alta Gerencia.

• Mantener y supervisar un buen ambiente de control y las actividades de administración de riesgos.


Gobierno CorporativoPrincipales objetivos de un buen Gobierno Corporativo


• Junta Directiva• Accionistas• Alta Gerencia• Auditoría Interna• Gerencia de Negocios• Equipo de trabajo• Reguladores• Cliente• Proveedores• Todos aquellos afectados por las

actividades de la organización

Gobierno Corporativo


Responsables del Gobierno Corporativo


TRANSPARENCIA

EQUIDAD

RESPONSABILIDAD PERSONAL

RESPONSABILIDAD CORPORATIVA


Gobierno CorporativoPrincipios del Gobierno Corporativo


GOBIERNO DE TI



La capacidad de lograr el alineamiento de la estrategia del negocio con la eficiencia y eficacia de los procesos de tecnología de información (TI) y seguridad, mediante la integración de métricas y controles dentro del ambiente tecnológico para establecer la mejora continua y proporcionar valor a la organización.

Gobierno de TI


¿Qué es?


• Alinear las iniciativas y proyectos de tecnología con la estrategia y objetivos de negocio.

• Lograr que los recursos de tecnología agreguen valor al negocio.• Informar a los interesados (“Stakeholders”) que los recursos de

tecnología están siendo bien utilizados.

Gobierno de TI


Objetivos del Buen Gobierno de TI


Junta DirectivaGerencia de NegociosGerencia de Tecnología de InformaciónAuditoría Interna

Gerencia de Seguridad de la Información Gerencia de Riesgos y Cumplimiento

Gobierno de TIResponsables del Gobierno de TI



Está compuesto por:

• Alineación estratégica• Agregar valor• Administración de riesgo• Administración de recursos• Medición de desempeño

Gobierno de TIPrincipios de Gobierno de TI


2%


28%

43%

27%

50%

45%

40%

35%

30%

25%

20%

15%

10%

5%

0%No Sabe / No Respondio

Bajo Moderado Alto

Como usted describiría el nivel de participación en el manejo de negocios y gobierno de TI? (n=249)

FUENTE: “Governance of Enterprise IT (GEIT) Survey, Latin America Edition 2012, www.isaca.org”


Gobierno de TINivel de Involucramiento de la Gerencia en GEIT

http://www.isaca.org/

35%


54%

0%

10%

30%

20%

10%

40%

50%

60%

No Sabe No Si

FUENTE: Governance of Enterprise IT (GEIT) Survey, Latin America Edition 2012, www.isaca.org


Gobierno de TIUso de Estándares o Marcos de Referencia para GEIT

Usa su empresa un marco de referencia o estándar para el gobierno y manejode los recursos y servicios de TI? (n=250)

http://www.isaca.org/


MARCOS DE REFERENCIA



GOBERNABILIDAD

GOBIERNO CORPORATIVO

GOBIERNO DE TI

Marcos de Referencia



COSO – 2013 (PRINCIPAL MARCO DE REFERENCIA PARA GOBIERNO

CORPORATIVO)



COSO COSO ERM

COSO 2013

COSO - 2013


Principal Marco de Referencia para Gobierno Corporativo

Transición de COSO - 2013


Es un marco de referencia para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno.

COSO¿Qué es?



• A raíz de los escándalos con estas empresas en Estados Unidos nació la Ley Sarbanes-Oxley de 2002.

• COSO ERM, entró en vigor en el año 2005 con la finalidad de proveer un marco de control interno enfocado a la Administración del Riesgo.

COSO ERM


¿Qué es?


COSO 2013 nace a partir de la necesidad de mejorar el modelo del control interno para servicios a terceros y toma en consideración aspectos de TI en el sistema de control interno.

COSO 2013Transición



Los cambios principales son:

Nuevo enfoque basado en 17 principios de control interno.

Reafirma el establecer los objetivos estratégicos como requerimiento de los objetivos de Control Interno.

Mayor enfoque hacia Gobierno Corporativo.

Más relevancia en cuanto a la Tecnología de la Información

El reporte financiero pasa a ser reporte en general.

Mayor consideración de las actividades para prevención del fraude.

Amplia la posibilidad de diferentes modelos de negocio y estructuras organizacionales.


COSO 2013Cambios Principales


COBIT 5 (PRINCIPAL MARCO DE REFERENCIA PARA GOBIERNO DE TECNOLOGÍA DE LA

INFORMACIÓN)



COBIT 5 une principios que permiten a la Organización construir un marco efectivo de Gobierno y Administración basado en una serie holística de siete habilitadores, que optimizan la inversión en tecnología e información así como su uso en beneficio de las partes interesadas.

GOBIT 5¿Qué es?



Gobierno Corporativo de TI

Gobierno de TI

COBIT4.0/4.1 COBIT 5

Administración

COBIT3

Control

COBIT2

Auditoría

COBIT1

Evol

ució

n de

l Alc

ance

1996

Val IT 2.0(2008)

Risk IT(2009)

1998 2000 2005/72012

Marco Empresarial de ISACA, en www.isaca.org/cobit


COBIT 5Marcos de Referencia Gobierno de TI

http://www.isaca.org/cobit


Cobit 5 es un marco compuesto de los siguientes elementos Grupos de procesos (2)

• Gobierno y AdministraciónDominios (5)

• Evaluar, dirigir y controlar (EDM) – Proceso de Gobierno

• Alinear, planificar y organizar (APO) – Proceso de Adm.

• Construir, adquirir e implementar (BAI) – Proceso de Adm.

• Entregar , servir y proveer soporte (DSS) – Proceso de Adm.

• Evaluar y valorar (MEA) – Proceso de Adm.Procesos (37)


COBIT 5Marcos de Referencia Gobierno de TI


COBIT 5Composición del marco COBIT



Principios de

COBIT 5

1. Satisfacer las

necesidades de

las partesinteresadas

2. Cubrir la empresa de extremo a

extremo

3. Aplicar un único marco de

referencia integrado

4. Habilitar un enfoque holístico

5. Distinguirentre gobierno

y administración


COBIT 5Principios de COBIT 5


ESTANDARES DEL IIA Y EL PERFIL DEL AUDITOR INTERNO



La Junta de Directores del Instituto de Auditores Internos aprobó la siguiente definición de auditoría interna:

“La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.”

Auditoría InternaDefinición



El MIPP (Marco Internacional para la Práctica Profesional) contiene la “Misión de Auditoría Interna”. Esta misión describe lo que se aspira de la función de auditoria interna:

“MEJORAR Y PROTEGER EL VALOR DE LA ORGANIZACIÓN

PROPORCIONANDO A LAS PARTES INTERESADAS

ASEGURAMIENTO, CONSEJO Y VISIÓN OBJETIVOS,

CONFIABLES Y BASADOS EN RIESGOS”


Estándares del IIAMisión de MIPP


El MIPP define 10 principios de la función de auditoría interna.

1Demostrar integridad

4Alineado con las

estrategias, objetivos y riesgos de la organización

3Ser objetivo y

libre de influencias

8Proporciona

aseguramiento basado en

riesgos7Se comunica

efectivamente

6Demuestra

calidad y mejora continua

5Está

adecuadamente posicionado en la organización y tiene recursos

apropiados

2Demostrar

competencia y cuidado

profesional

9Demuestravisión, pro actividad y orientación

hacia el futuro

10Promueve la mejora a nivel

organizacional


Perfil del Auditor Moderno


Normas de Auditoría InternaGobernabilidad

Normas de la práctica profesional de Auditoría Interna:1220.A1 - El auditor interno debe ejercer el debido cuidado profesional alconsiderar:El alcance necesario para alcanzar los objetivos del trabajo;La adecuación y eficacia de los procesos de gobierno, gestión de riesgos ycontrol;



Normas de Auditoría Interna


GobernabilidadNormas de la práctica profesional de Auditoría Interna:2110 GobiernoLa actividad de auditoría interna debe evaluar y hacer recomendaciones apropiadas para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:• Promover la ética y los valores apropiados dentro de la organización.• Asegurar la gestión y responsabilidad eficaces en el desempeño de la

organización.• Comunicar eficazmente la información de riesgo y control a las

áreas adecuadas de la organización.• Coordinar eficazmente las actividades y la información de comunicación

entre el Consejo de Administración, los auditores internos y externos y la dirección.


Normas de la práctica profesional de Auditoría Interna:2201 – Consideraciones sobre planificación

Al planificar el trabajo, los auditores internos deben considerar:• La adecuación y eficacia de los procesos de gobierno, gestión de riesgos

y control de la actividad comparados con un enfoque o modelo de control relevante; y

• Las oportunidades de introducir mejoras significativas en los procesos degobierno, gestión de riesgos y control de la actividad.


Normas de Auditoría InternaGobernabilidad


PASADO Y PRESENTE FUTURO

Control Conocimiento de riesgos

Evaluación de Control Auto Evaluaciones

Detective Prevención

Auditorias operacionales Auditorías estratégicas

Imposición Valor agregado

Independencia Conocimiento del negocio

Conocimiento de Auditoría Habilitador de cambio

Conciencia de Control Gobierno corporativo

Nuevas Expectativas de AuditoríaInterna



SEÑALES DE UN SISTEMA DE GOBIERNO DE TI DEFICIENTE



• Proyectos de TI que no cumplen con sus fechas prometidas.• Incapacidad para identificar y asignar costos.• Ineficiencias en las operaciones.• La función de TI es “apaga fuego” y sólo reacciona ante

situaciones.

Gobierno de TI


Señales de un sistema de Gobierno de TI Deficiente


• Discusiones constantes sobre decisiones de TI.• El portafolio de inversiones y aplicaciones crece sin límite.• Problemas en el cumplimiento regulatorio y con leyes.• Falta de información para la toma de decisiones.

Gobierno de TI


Señales de un sistema de Gobierno de TI Deficiente


ROL DEL AUDITOR INTERNO EN GOBIERNO DE TI



• Asegurar la participación de Auditoría durante todo el proceso de Gobiernode TI en la organización.

• Evaluar y aceptar el nivel y alcance de su participación.• Proporcionar asesoría en la identificación de necesidades, mediante su

experiencia, informes de auditoría y conocimiento de la organización.• Proporcionar recomendaciones que permitan que las decisiones tomadas

sean objetivas y mantengan un nivel de balance entre TI y el negocio.


1 Gobierno de TI – IdentificarNecesidadesRol del Auditor Interno


• Apoyar en el proceso de la identificación de brechas para establecer objetivos de acuerdo a los resultados de la evaluación de la situación actual.

• Verificar (de manera independiente) los resultados de la evaluación de la situación actual.

2 Gobierno de TI – Establecer Objetivos




3 Gobierno de TI – Planeación



• Validar las justificaciones y casos de negocio para asegurar que seanobjetivos y presentados de manera adecuada.

• Evaluar que los planes presentados sean realistas y alcanzables.• Resaltar la necesidad de asesoramiento externo cuando sea necesario.


• Proporcionar asesoría para verificar que las acciones que se esténejecutando sean mediante decisiones balanceadas.

• Revisar continuamente que el proceso de implementación se esté realizando de manera correcta.

• Emitir recomendaciones sobre los controles existentes y requeridos.

• Evaluar las prácticas de administración de riesgo y proponer mejoras.


4 Gobierno de TI – ImplementaciónRol del Auditor Interno


• Desarrollar un plan de auditoría de TI para monitoreo continuo de las estructuras de Gobierno de TI, basado en un criterio que integre TI y el negocio.

• Proporcionar críticas constructivas y recomendaciones sobre la estructura y responsabilidades de Gobierno de TI.

• Alentar la implementación de Auto-Evaluaciones.• Proporcionar confianza a la Alta Gerencia de que el Gobierno de TI está

funcionando efectivamente, para lograr mayor confianza en TI.


5 Gobierno de TI – MonitoreoRol del Auditor Interno


Algunas consideraciones para el Comité de Auditoría:

El Comité de Auditoría debe solicitar informes sobre la situación global de Gobierno Corporativo, Gobierno de TI y el ambiente de control interno, que contengan como mínimo:

a) Las conclusiones de las pruebas efectuadas;b) Las recomendaciones de eventuales deficiencias con el

establecimientode un cronograma para subsanar las mismas;

c) La manifestación de los responsables por las correspondientes áreas respecto de las deficiencias encontradas en verificaciones anteriores y de las medidas efectivamente adoptadas para subsanarlas.


Gobierno de TIRol del Auditor Interno


GUÍA GENERAL DE AUDITORÍA DE GOBIERNO DE TI



REPORTE Y SEGUIMIENTO

FASE 5

1. Preparar informe de resultados para hablar con las áreas involucradas.

2. Presentar informe final al Comité de Auditoría y la Alta Gerencia.

3. Establecer fechas de seguimiento para las recomendaciones

EJECUCIÓN DE TRABAJO

FASE 4

1. El auditor debe considerar revisar:

• Los objetivos y metas del negocio

• Planes estratégicos y tácticos de TI

• Controles operacionales de TI

• Administración del portafolio de inversiones de TI

ESTABLECER ALCANCE

FASE 3

1. Debe incluir el proceso para planificar y organizar Gobierno de TI, así como monitorear esta actividad.

2. Establecer personal requerido para la auditoría y confirmar las capacidades para hacer el trabajo.

ESTABLECER OBJETIVOS

FASE 2

1. Reportar sobre la eficiencia y efectividad del sistema de Gobierno de TI de la organización.

PLANEACIÓN

FASE I

1. Obtener información general de la estructura de Gobierno de TI.

2. Obtener información general sobre la estrategia de la empresa, unidades de negocio relacionadas y tecnología que la soporta (incluyendo planes a largo, mediano y corto plazo de ambas áreas)

INDEPENDENCIA


Gobierno de TIGuía General de Auditoría de Gobierno de TI

INDEPENDENCIA


1 - OBJETIVOS

• Evaluar el nivel de eficiencia de la estructura de Gobierno de TI de la ORGANIZACIÓN

• Evaluar el nivel de alineamiento e integración entre las estrategias de TI y las estrategias del negocio.

Gobierno de TIEjemplo general: Como Auditar Gobierno de TI (Cont.)



2 - ANTECEDENTESEl actual clima económico ha incrementado la revisión y supervisión denuestra organización, conllevando a la necesidad de mayor control sobre las inversiones, proyectos y costos de TI. El balance sobre la innovación y el control sobre TI es importante para impulsar el crecimiento del negocio bajo un esquema de mejora continua, administración de riesgos y control interno.

Estos y muchos otros factores contribuyen a la necesidad de implementar y monitorear la estructura de Gobierno de TI de ORGANIZACIÓN, por lo cual se ha planificado una auditoría anual para evaluar de manera objetiva e independiente la adecuación de esta estructura y su alineamiento con los planes de negocio.




3 - ALCANCEEl alcance de esta auditoría cubre todas las actividades relacionadas con laestructura de Gobierno de TI para el año 2015 en las oficinas principales de la ORGANIZACIÓN, incluyendo todos los procedimientos de Gobierno de TI y el alineamiento con las estrategias de negocio. Cabe señalar, el proceso de implementación y sostenibilidad de Gobierno de TI es un proceso de mejora y crecimiento continuo para ajustar la organización y el área de TI a nuevas tecnologías y demandas del mercado de acuerdo a su plan estratégico.




4 - METODOLOGÍA DE TRABAJOComo parte de esta auditoría realizamos las siguientes actividades• Revisión del plan estratégico y objetivos de negocio para el año 2015• Revisión de los objetivos que están soportados por tecnología.• Revisión y análisis de documentación, políticas y

procedimientosexistentes.• Realización de entrevistas con la Gerencia de Tecnología y personal clave.• Revisión de acuerdo a mejoras prácticas y temas emergentes en Gobierno

de TI.

Los criterios de esta auditoría están basados en las guías de ORGANIZACIÓN, marcos de referencia de la industria (Cobit) y las prácticas de auditoría interna de sistemas mundialmente aceptadas.




CONCLUSIONES



• El auditor interna agrega valor a su organización realizando sus funciones y velando por sus responsabilidades dentro Gobierno Corporativo y Gobierno de TI respectivamente.

• El auditor interno debe participar de todo el proceso para ayudar a crear un ambiente de mejora continua en los procesos de TI.

• Los marcos de referencia COSO 2013 y Cobit 5 proponen guías y referencias para poder auditar e implementar Gobierno Corporativo y Gobierno de TI.

• Auditoría interna debe reafirmar su posición y perfildentro de la organización.

El Auditor Interno y Gobierno de TI


Conclusiones


[email protected] A. Frago,

MBA, ISO 27001:2007, Cobit 5 Foundation, ITIL.Gerente

Global Advisory Solutions


¡Gracias por su Atención!

mailto:[email protected]

Documents

EL ROL DEL AUDITOR INTERNO EN GOBIERNO DE TECNOLOGÍA DE … · Gobierno de TI Global Advisory Solutions, S.A. Todos los derechos reservados. Prohibida su reproducción no autorizada