Upload
james-murphy
View
216
Download
0
Embed Size (px)
Citation preview
7/23/2019 gobiernocorporativo-131107001103-phpapp02
1/61
LOGO
Gobierno Corporativo
7/23/2019 gobiernocorporativo-131107001103-phpapp02
2/61
LOGO II-unidad: Contenido
Qu es gobierno corporativo Practicas de monitoreo y aseguramiento para la JD y
la gerencia
Estrategia de sistemas de informacin Polticas y procedimientosAdministracin del riesgo tica Plan de Contingencia
7/23/2019 gobiernocorporativo-131107001103-phpapp02
3/61
LOGO Gobierno Corporativo
Qu es?
El obierno Corporativo es el sistema por el cual las sociedades son dirigidas y
controladas! "a estructura del obierno Corporativo especifica la distribucin de losderec#os y responsabilidades entre los diferentes participantes de la sociedad$ talescomo el directorio$ los gerentes$ los accionistas y otros agentes econmicos %uemantengan alg&n inters en la empresa!
El obierno Corporativo tambin provee la estructura a travs de la cual seestablecen los ob'etivos de la empresa$ los medios para alcan(ar estos ob'etivos y laforma de #acer un seguimiento a su desempe)o!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
4/61
LOGO Qu es gobierno corporativo?
Son las Reglas y rocedi!ientos para to!ar decisiones en los asuntoscorporativos"
ro!oci#n de la $usticia corporativa% la transparencia y la rendici#n de
cuentas"
(J. Wolfensohn, President, World Bank)
7/23/2019 gobiernocorporativo-131107001103-phpapp02
5/61
LOGO *Qu es gobierno corporativo+
Gobierno Corporativo significa hacer todo de una forma ms adecuada, con el
objetivo de mejorar las relaciones entre la compaa y sus accionistas;
mejorar la calidad de los miembros de la Junta irectiva; animar a la
administraci!n a pensar a largo pla"o; asegurar #ue la informaci!n financieraes apropiada; asegurar #ue la gerencia es fiscali"ada en el mejor inter$s de
los accionistas%&
'epa (amesam,Governor, )eserve *an+ of ndia
7/23/2019 gobiernocorporativo-131107001103-phpapp02
6/61
LOGO Qu es gobierno corporativo?
El gobierno corporativo se define como un comportamientocorporativo tico por parte de los directores u otros encargados delgobierno$ para la creacin y entrega de los beneficios para todaslas partes interesadas!
-a distribuci!n de derechos y responsabilidades entre los
diferentes participantes en la corporaci!n tales como la junta, los
gerentes, los accionistas y otras partes interesadas, y e.plica las
reglas y procedimientos para tomar decisiones sobre los asuntos
corporativos%
&anual de preparaci#n al e'a!en CIS(
7/23/2019 gobiernocorporativo-131107001103-phpapp02
7/61
LOGO Gobierno Corporativo
or )u es bueno?
El gobierno corporativo comprende diferentes aspectos regulatorios
y organi(acionales %ue$ en la medida %ue sean adecuadamenteimplementados en una empresa$ le permitir, a sta atraer y retenercapital financiero y #umano$ funcionar en forma eficiente y$ as$crear valor econmico para la corporacin y sus accionistas!
Esto es importante por%ue$ en un ,mbito cada ve( m,s global$ las
empresas no slo compiten en los mercados de consumo o deservicios sino %ue tambin compiten por inversin en los mercadosde capitales!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
8/61
LOGO Gobierno Corporativo
Qu es un *uen Gobierno Corporativo?
El buen gobierno corporativo es un concepto %ue est, cobrandocada ve( m,s importancia en el ,mbito local e internacional debido
a su reconocimiento como un valioso medio para alcan(armercados m,s confiables y eficientes!
-n gobierno corporativo es bueno cuando protege los derec#os detodos sus accionistas y asegura un trato e%uitativo! Adem,s$ cuentacon me'ores polticas de directorio$ es transparente en la calidad de
la informacin de la empresa$ cuenta con una estructura gerencialdefinida y genera buenas relaciones con el entorno e.terno einterno /incluyendo a empleados$ proveedores$ clientes y a lacomunidad0!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
9/61
LOGOracticas de !onitoreo y asegura!iento para
la +, y la gerencia
El gobierno de 12 es un trmino incluyente %ue abarca sistemas deinformacin$ tecnologa y comunicacin3 negocios$ aspectos legalesy otros3 y todas las partes interesadas$ los directores$ la alta
gerencia$ los propietarios de los procesos$ los proveedores de 12$los usuarios y los auditores! El gobierno ayuda a asegurar elalineamiento de 12 con los ob'etivos de la empresa!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
10/61
LOGOracticas de !onitoreo y asegura!iento para
la +, y la gerencia
El gobierno corporativo efectivo concentra la pericia y e.perienciaindividual y de grupo en ,reas especificas$ donde ellos puedan serm,s efectivos! "a 1ecnologa de informacin$ considerada por
muc#o tiempo slo un #abilitador de la estrategia de unaorgani(acin$ es a#ora considerada como parte integral de esaestrategia!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
11/61
LOGOracticas de !onitoreo y
asegura!iento para la +, y la gerencia
"os especialistas est,n de acuerdo en %ue la concordancia estratgicaentre los ob'etivos de 12 y los de la empresa son un factor crtico de.ito!
El gobierno de 12 ayuda a alcan(ar este factor critico de .itodesplegando de manera eficiente y efectiva informacin segura$confiable y tecnologa aplicada!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
12/61
LOGOracticas de !onitoreo y
asegura!iento para la +, y la gerencia
4undamentalmente al gobierno de 12 le incumben dos aspectos5%ue 12 entregue valor al negocio y %ue los riesgos de 12 seanadministrados!
I!pulsado por
el alinea!iento de
I con el negocio
I!pulsado por
la integraci#n de la
responsabilidaden la e!presa"
7/23/2019 gobiernocorporativo-131107001103-phpapp02
13/61
LOGO Preguntas
El gobierno de 12 asegura %ue una organi(acin se alinee suestrategia de 12 con5
a! "os ob'etivos de la empresa
b! "os ob'etivos de 12c! "os ob'etivos de auditoria
d! "os ob'etivos de control
7/23/2019 gobiernocorporativo-131107001103-phpapp02
14/61
LOGO&e$ores racticas para el gobierno de
I
El gobierno de 12 es un con'unto de responsabilidades y practicasusadas por la gerencia de una organi(acin para proveer direccinestratgica3 de ese modo$ asegurando %ue las metas seanalcan(ables$ los riesgos sean debidamente considerados y los
recursos organi(acionales sean debidamente utili(ados!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
15/61
LOGORol de la auditoria en el gobierno
de I
"a manera de aplicar 12 dentro de la empresa tendr, un efectoenorme sobre si la empresa lograr, su misin$ visin$ o metasestratgicas!
Por esta ra(n$ una empresa necesita evaluar su gobierno de 12$ ya
%ue se est, volviendo una parte cada ve( m,s importante delgobierno total de la empresa!
"a auditoria tiene un rol significativo en una implementacin e.itosadel gobierno de 12 dentro de una organi(acin! 6u posicin lepermite recomendar practicas lideres a la alta gerencia para
me'orar la calidad y efectividad de las iniciativas de gobierno de 12implementadas!
"a auditoria ayuda a asegurar el cumplimiento de las iniciativas degobierno de 12 implementadas dentro de una organi(acin!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
16/61
LOGORol de la auditoria en el gobierno
de I
7eportar sobre el gobierno de 12 implica auditar al m,s alto nivel enla organi(acin$ y puede cru(ar los limites de divisin$ de funcioneso departamentos! El auditor debe confirmar %ue los trminos dereferencia estable(can5
El alcance del traba'o$ incluyendo una clara definicin de las,reas y aspectos funcionales %ue se cubrir,n!
El nivel al %ue se entregara el informe$ donde est,n identificados
los temas de gobierno 12 al mas alto nivel de la organi(acin!
El derec#o de acceso a la informacin para el auditor de 62!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
17/61
LOGORol de la auditoria en el gobierno
de I
De acuerdo con el rol definido del auditor$ se necesita evaluar lossiguientes aspectos relacionados con el gobierno de 125
El alineamiento de la funcin de 62 con la misin$ la visin$ los valores$los ob'etivos y las estrategias de la organi(acin!
El logro por parte de la funcin de 62 de los ob'etivos de desempe)oestablecidos por el negocio!
"os re%uerimientos legales$ ambientales$ de calidad de informacin y de
seguridad!
El entorno de control de la organi(acin
"os riesgos in#erentes dentro del entorno de 62
7/23/2019 gobiernocorporativo-131107001103-phpapp02
18/61
LOGO Co!it de estrategia de I
"a creacin de un comit de estrategia de 12 es una me'or practicade la industria! 6in embargo$ el comit necesita ampliar su radio deaccin para incluir no solo asesoramiento sobre estrategia cuandoapoya a la JD en sus responsabilidades de gobierno de 12$ sinotambin concentrarse en el valor de 12$ los riesgos y el desempe)o!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
19/61
LOGO Co!it de estrategia de I
8itiga la falta de comunicacin y entendimiento %ue se establece entre eldepartamento de 12 y el resto de la misma! El comit de 12 es el primer lugar de encuentro dentro de la empresa de
los inform,ticos y sus usuarios! Permite a los usuarios conocer las necesidades inform,ticas del con'unto
de la organi(acin y no solo las de su ,rea$ participando en la fi'acin de
prioridades! 6e evitan acusaciones de favoritismos entre un ,rea y la otra! 6e promueve la me'or utili(acin de los recursos inform,ticos$
tradicionalmente escasos! "a direccin de inform,tica se #a de convertir en el principal impulsor de
la e.istencia de dic#o comit!
Debera estar formado por pocas personas y presidido por el directorm,s alto de la empresa! El director de inform,tica debera actuar como secretario y las grandes
,reas usuarias deberan estar representadas al nivel de sus directoresm,s altos!
El director de auditoria interna debera ser miembro del comit de 12!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
20/61
LOGO .voluci#n de CO*I
obierno de 12
Cobit 9
:;;??@Auditoria
Cobit >>??
CO*I da soporte al gobierno
,e I al brindar un !arco deraba$o )ue garanti/a:BAlineacin estratgicaBEntrega de valorBAdministracin de recursosBAdministracin de riegos
B8edicin del desempe)o
7/23/2019 gobiernocorporativo-131107001103-phpapp02
21/61
LOGO
El gobierno de 12 es responsabilidad de la 'unta directiva y de lagerencia e'ecutiva! "as practicas clave del gobierno de 12 son5 elcomit de estrategias de 12$ la administracin de riesgos y elbalanced scorecard de 12 /6C0
7/23/2019 gobiernocorporativo-131107001103-phpapp02
22/61
LOGO *alance Scorecard de I
El 6C$ es una tcnica evaluativa %ue puede aplicarse al procesode gobierno de 12 para evaluar las funciones y los procesos de 12!
El 6C de 12$ va m,s all, de la evaluacin financiera tradicional$complementadola con medidas %ue conciernen a la satisfaccin delcliente /-suario0$ procesos internos /operativos0 y la capacidad deinnovar! Estas medidas adicionales impulsan a la organi(acin#acia el uso ptimo de 12$ el cual est, alineado con las metasestratgicas de la organi(acin!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
23/61
LOGO *alance Scorecard de I
Para aplicarlo a 12$ se usa una estructura de tres capas para tratar las cuatroperspectivas5
8isin$ por e'emplo5B Convertirse en el proveedor preferido de 62!B Entregar aplicaciones y servicios de 12 eficientes y efectivos!
B btener una contribucin ra(onable de las inversiones en 12 para elnegocioB Desarrollar oportunidades %ue respondan a los futuros desafos!
Estrategias$ por e'emplo5B Desarrollar aplicaciones y operaciones superiores
B Desarrollar alian(as con los usuarios y me'ores servicios para losclientesB Proveer valor de negocio a los proyectos de 12B Proveer nuevas capacidades de negocioB Entrenar y educar al personal de 12 y promover la e.celencia!B Proveer soporte para la investigacin y el desarrollo!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
24/61
LOGO *alance Scorecard de I
8edidas$ por e'emplo5
B Proveer un con'unto balanceado de medidas para guiar lasdecisiones de 12 orientadas a negocios!
6C es uno de los medios m,s efectivos para ayudar al comit deestrategia de 12 y a la gerencia a lograr el alineamiento de 12 y elnegocio! "os ob'etivos son establecer un ve#iculo para la informacingerencial a la 'unta$ estimular el consenso entre los interesados clavesobre los ob'etivos estratgicos de 12$ demostrar la efectividad y elvalor agregado de 12$ y comunicar el desempe)o$ los riesgos y lascapacidades de 12!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
25/61
LOGO Definir b'etivos
8e'or
aryrealin
ear
8edicindelog
ro
Directri( de desempe)o
8antener lareputacin
de la empresay el lidera(go
Asegurar de %uelos servicios de 12pueden resistir y
recuperarse de losata%ues
Detectary resolver
los accesos einformacin
no autori(ados$aplicaciones
e infraestructura
Comprenderlos re%uerimientos
De seguridad$ulnerabilidades
y amena(as
F&mero deincidentes %ue
efecten la imagenp&blica
F&mero deincidentes %ue
efecten laimagenp&blica
Fumero deviolaciones de
acceso
"a frecuenciade la revisinde los tiposde eventos
de seguridad%ue son
monitoreados
G2 mtrica de negocios GP2
G2 mtricas de 12 GP2
GP2 mtricas de procesos G2
Ob$etivos de negocioOb$etivos de I
Ob$etivos de
rocesos
Ob$etivos de
(ctividad
.s !edido por .s !edido por .s !edido por .s !edido por
7/23/2019 gobiernocorporativo-131107001103-phpapp02
26/61
LOGO.strategia de siste!as de
in0or!aci#n
Planeacin estratgica Desde el punto de vista de sistemas de informacin$ se
relaciona con la direccin a largo pla(o %ue una organi(acin%uiere seguir para apalancar con 12 la me'ora de sus procesos
de negocio! a'o la responsabilidad de la alta gerencia$ losfactores a considerar incluyen5
B 2dentificar soluciones de 12 eficientes en costos a fin deenfrentar problemas y oportunidades para la organi(acin ydesarrollar planes de accin para identificar y ad%uirir losrecursos %ue se necesitan!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
27/61
LOGO .strategia de siste!as de in0or!aci#n
Planeacin estratgica
Para desarrollar planes estratgicos$ generalmente de tres acinco a)os de duracin$ las organi(aciones deben asegurarse
de %ue los mismos estn plenamente acorde$ y son consistentescon todas las metas y ob'etivos de la organi(acin!
-na planeacin estratgica efectiva de 12 involucra tener enconsideracin l demanda de 12 de la organi(acin y la
capacidad de proveer 12!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
28/61
LOGO .strategia de siste!as de in0or!aci#n
Planeacin estratgica Es importante %ue el proceso de planificacin estratgica
abar%ue no solo la entrega de nuevos sistemas y tecnologa$sino %ue considere los retornos %ue se logran de la inversin en
12 e.istente!
/n muchas organi"aciones el gasto en los
sistemas, infraestructura y el soporte, representa
el 012 o ms del gasto total anual de 3&
7/23/2019 gobiernocorporativo-131107001103-phpapp02
29/61
LOGO .strategia de siste!as de in0or!aci#n
El auditor de 62 debe prestar total atencin a la importancia de laplaneacin estratgica de 12$ considerando las practicas de controlgerencial! Adem,s$ %ue los planes estratgicos de 12 estn en
sincroni(acin con toda la estrategia de negocio!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
30/61
LOGO .strategia de siste!as de in0or!aci#n
-n auditor de 12 debe enfocarse en5
"a importancia del proceso de planeacin estratgica o en elmarco de planeacion!
Prestar particular atencin a la necesidad de notar losre%uerimientos de convertir los planes operativos o t,cticos de12 desde el negocio y las estrategias de 12$ contenidos deplanes$ re%uerimientos para actuali(ar y comunicar planes$ y
re%uerimientos de monitoreo y evaluacin!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
31/61
LOGO regunta
*Cu,l de lo siguiente estara incluido en un plan estratgico delnegocio+
a! Especificaciones para compras planeadas de #ardHareb! An,lisis de los ob'etivos futuros del negocioc! 4ec#as ob'etivo para los proyectos de desarrollod! b'etivos presupuestarios anuales para el departamento de 62
7/23/2019 gobiernocorporativo-131107001103-phpapp02
32/61
LOGO regunta
*Cu,l de lo siguiente describe 8EJ7 un proceso deplaneacion estratgica del departamento de 12+
a! El departamento de 12 tendr, o bien planes de corto alcance o delargo alcance dependiendo de los planes y ob'etivos mas ampliosde la organi(acin!
b! El plan estratgico del departamento de 12 debe estar orientado altiempo y al proyecto$ pero no tan detallado como para resolver yayudar a %ue determinadas prioridades satisfagan las necesidadesdel negocio!
c! "a planeacion de largo alcance para el departamento de 12 debereconocer las metas organi(acionales$ los adelantos tecnolgicos y
los re%uerimientos regulatorios!d! "a planeacion de corto alcance para el departamento de 12 nonecesita estar integrada en los planes de corto alcance de laorgani(acin ya %ue los adelantos tecnolgicos impulsaran losplanes del departamento de 12 muc#o mas r,pido %ue los planesorgani(acionales!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
33/61
LOGO ol1ticas y rocedi!ientos
7efle'an la gua y orientacin de la gerencia para desarrollar controlessobre los sistemas de informacin y recursos relacionados!
"as polticas son documentos de alto nivel! Ellas representan la
filosofa corporativa de una organi(acin y el pensamientoestratgico de la alta gerencia y de los due)os de los procesos denegocio! "a polticas deben ser claras y concisas para %ue seanefectivas!
"a administracin debe crear un ambiente de control positivo$asumiendo la responsabilidad de formular$ desarrollar$ documentar$promulgar y controlar las polticas %ue abarcan las metas y lasdirectrices generales!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
34/61
LOGO ol1ticas
"a gerencia debe emprender las acciones necesarias para asegurar %ue losempleados afectados por una poltica especifica reciban una e.plicacincompleta de la poltica y entiendan cual es su propsito! Adem,s$ las polticaspueden tambin aplicarse a terceros y a outsourcers$ %uienes necesitaranestar vinculados para seguir las polticas!
"as polticas de menor nivel deben ser consistentes con las polticas a nivelcorporativo!
"a administracin debe revisar todas las polticas peridicamente!
"os auditores deben alcan(ar un entendimiento de las polticas como parte delproceso de auditoria y comprobar si estas se cumplen!
"os controles de 62 deben de fluir de las polticas$ y los auditores de 62 debenusar las polticas como un punto de referencia para evaluar el cumplimiento!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
35/61
LOGO ol1ticas
El costo de un control nunca debe e.ceder el beneficio %ue seespera obtener!
"a poltica debe ser aprobada por la alta gerencia! Debe serdocumentada y comunicada a todos los empleados y proveedoresde servicio$ seg&n sea pertinente!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
36/61
LOGO ,ocu!ento de pol1tica de seguridad
El documento de poltica debe contener5
-na definicin de seguridad de informacin$ sus ob'etivos generalesy su alcance$ y la importancia de la seguridad como un mecanismo%ue permite %ue se comparta la informacin!
-na declaracin de la intencin de la gerencia$ soportando lasmetas y los principios de la seguridad de informacin en lnea con laestrategia y los ob'etivos del negocio!
-n marco para fi'ar los ob'etivos de control y los controles$incluyendo la estructura de la evaluacin del riesgo y laadministracin del riesgo!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
37/61
LOGO ,ocu!ento de pol1tica de seguridad
El documento de poltica debe contener5
-na breve e.plicacin de las polticas de seguridad$ losprincipios$ los est,ndares y los re%uisitos de cumplimiento departicular importancia para la organi(acin$ incluyendo5
B Cumplimiento de los re%uisitos legislativos$ regulatorios ycontractuales
B 7e%uisitos de educacin entrenamiento y conciencia de laseguridad!
B Administracin de la continuidad de negocio!
B Consecuencias de las violaciones de la poltica de seguridadde informacin
7/23/2019 gobiernocorporativo-131107001103-phpapp02
38/61
LOGO ,ocu!ento de pol1tica de seguridad
El documento de poltica debe contener5
-na definicin de las responsabilidades generales y especificaspara la gerencia de seguridad de informacin$ incluyendoreportar incidentes de seguridad de informacin!
7eferencias a la documentacin %ue puede soportar la poltica$polticas y procedimientos mas detallados de seguridad parasistemas de informacin o reglas de seguridad especificas %uedeben ser cumplidos por los usuarios!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
39/61
LOGO Revisi#n de la pol1tica de seguridad
"a poltica debe ser revisada a intervalos planeados o si ocurrierancambios significativos$ para asegurar %ue siga siendo apropiada$adecuada y efectiva!
El mantenimiento de la poltica de seguridad debe tomar en cuentalos resultados de estas revisiones!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
40/61
LOGO rocedi!ientos
6on documentos detallados! Deben derivarse de la poltica madre eimplementar el espritu de la aseveracin de la poltica! "osprocedimientos deben ser escritos en una forma clara y concisa$ demodo %ue sean comprendidos f,cil y correctamente por todos los
%ue se deben regir por ellos!
"os procedimientos documentan procesos de negocio y loscontroles integrados en los mismos! "os procedimientos sonformulados por la gerencia media como una traduccin efectiva delas polticas!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
41/61
LOGO rocedi!ientos
"os auditores revisan los procedimientos para identificar$ evaluar ydespus de ello probar los controles sobre los procesos delnegocio!
-n procedimiento %ue no es conocido completamente por elpersonal %ue lo tiene %ue usar$ es esencialmente inefectivo!
El revisor debe mantener su independencia en todo momento y nodebe ser influenciado por nadie del grupo %ue est, siendoinspeccionado!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
42/61
LOGO (d!inistraci#n de riesgo
"a administracin del riesgo es el proceso de identificar lasdebilidades y las amena(as para los recursos de informacinutili(ados por una organi(acin para lograr los ob'etivos delnegocio$ y decidir %ue contramedidas tomar$ si #ubiera alguna$ parareducir el nivel de riesgo #asta un nivel aceptable basado en el
valor del recurso de informacin para la organi(acin!
"a administracin efectiva de riesgo comien(a con un claroentendimiento del apetito de riesgos de la organi(acin!
"a administracin de riesgos abarca identificar$ anali(ar$ evaluar$tratar$ monitorear y comunicar el impacto del riesgo sobre losprocesos de 12!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
43/61
LOGO (d!inistraci#n de riesgo
Dependiendo del tipo de riesgo y su importancia para el negocio$ laadministracin y la 'unta pueden optar por5
Evitar$ por e'emplo$ donde sea factible$ escoger no implementarciertas actividades o procesos %ue incurriran en un riesgomayor!
8itigar$ por e'emplo$ definir e implementar controles paraproteger la infraestructura de 12
1ransferir$ por e'emplo$ compartir el riesgo con socios$ otransferirlo a cobertura del seguro
Aceptar$ es decir$ reconocer formalmente la e.istencia del riesgoy monitorearlo
Eliminar$ es decir$ donde sea posible$ eliminar la fuente delriesgo!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
44/61
LOGO (d!inistraci#n de riesgo
El riesgo puede ser transferido$ rec#a(ado$ reducido$ o evitado!
1ransferidoII Compra de seguros 7ec#a(arII 2gnor,ndolo /peligroso0
7educidoII 2mplementacin o me'ora de controles yprocedimientos de seguridad EvitarII Eliminando el origen del riesgo!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
45/61
LOGO,esarrollo de un progra!a de
ad!inistraci#n del riesgo
Para desarrollar un programa de administracin del riesgo5
Establecer el propsito del programa
Asignar responsabilidad para el plan de administracin delriesgo
7/23/2019 gobiernocorporativo-131107001103-phpapp02
46/61
LOGO roceso de ad!inistraci#n de riesgos
Paso >5 2dentificacin y clasificacin de los recursos de informacin ode los activos %ue necesitan proteccin$ por%ue son vulnerables a lasamena(as! E'emplos de activos tpicos asociados con la informaciny con 125
2nformacin y datos
ardHare 6oftHare 6ervicios Documentos Personal
tros activos de negocio
Edificios$ el efectivo$ inventario y activos menos tangiblesimagenKreputacion
7/23/2019 gobiernocorporativo-131107001103-phpapp02
47/61
LOGO roceso de ad!inistraci#n de riesgos
Paso :5 Estudiar las amena(as y vulnerabilidades asociadas con el recursode informacin y la probabilidad de %ue ocurran!
B Amena(as es cual%uier circunstancia o evento con el potencial deda)ar un recurso de informacin$ tales como destruccin$divulgacin$ modificacin de datos! "as clases comunes deamena(a /errores$ fraude$ robo$ falla del e%uipamientoKsoftHare0
B "as amena(as ocurren por causa de las vulnerabilidades! "asvulnerabilidades con caractersticas de los recursos de informacin%ue pueden ser e.plotadas por una amena(a para causar da)o!/4alta de conocimiento del usuario$ falta de conocimiento delusuario$ falta de funcionalidad de la seguridad$ eleccin deficientede contrase)as$ tecnologa no aprobada0
B El resultado de cual%uiera de las amena(as se denomina 28PAC1
7/23/2019 gobiernocorporativo-131107001103-phpapp02
48/61
LOGO racticas de gerencia de SI
"as practicas de gerencia de 62 refle'an la implementacin depolticas y procedimientos desarrollados para diversas actividadesgerenciales relacionadas con 62!
"as actividades de la gerencia para revisar las formulaciones depolticas y procedimientos y su efectividad dentro del departamentode 62 incluira practicas tales como5
Administracin de personal
Contratacin /manual de conducta0 Administracin de cambios de 12 /1erceri(acin0
7/23/2019 gobiernocorporativo-131107001103-phpapp02
49/61
LOGO racticas de gerencia de SI
Cada organi(acin %ue usa los servicios de terceros debe tener unsistema de administracin de entrega de servicios para implementar ymantener el nivel apropiado de seguridad de informacin y entrega deservicio en lnea con contratos de entrega de servicios de terceros!
"a organi(acin debe verificar la implementacin de los contratos$monitorear el cumplimiento de los contratos y administrar los cambiospara asegurar %ue los servicios entregados satisfagan los re%uisitos
acordados con el tercero!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
50/61
LOGO.structura Organi/acional y
responsabilidades de SI
-n departamento de sistemas de informacin est, generalmente
estructurado como se muestra en la figura siguiente5
7/23/2019 gobiernocorporativo-131107001103-phpapp02
51/61
LOGO.structura Organi/acional y
responsabilidades de SI
erente Kdirector de 12
6eguridad y
calidad Aplicaciones Data 6oporte tcnico
Administrador de D
peraciones
Administrador deoperaciones
perador decomputadora
Analistas de sistemasProgramadores
Administrador deseguridad
Control de Calidad
Administrador de7edes
Administrador de
6istema operativo
Programadores de6istemas/sistemas
operativos0
7/23/2019 gobiernocorporativo-131107001103-phpapp02
52/61
LOGO.structura Organi/acional y
responsabilidades de SI
"os cuadros de estructura organi(acional u organigramas son
elementos importantes %ue deben tener todos los empleados$ ya %ue
ellos proveen una definicin clara de la 'erar%ua y autoridad del
departamento!
"as descripciones de los puestos de traba'o brindan a los empleados
del departamento de 62 una orientacin clara respecto a sus roles y
responsabilidades!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
53/61
LOGO.structura Organi/acional y
responsabilidades de SI
"a segregacin de funciones evita la posibilidad de %ue una solapersona pueda ser responsable de funciones diversas y criticas de talforma %ue pudieran ocurrir errores o apropiaciones indebidas y no serdetectadas oportunamente$ en el curso normal de los procesos de
negocio!
"a segregacin de funciones es un importante medio por el cual sepueden prevenir y disuadir actos fraudulentos o maliciosos!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
54/61
LOGO.structura Organi/acional y
responsabilidades de SI
"as funciones %ue deben ser segregadas incluyen5 Custodia de activos Autori(acin 7egistro de transacciones
6i no e.iste segregacin podra ocurrir lo siguiente5
Apropiacin indebida de activos
Estados financieros falsos Documentacin ine.acta -so indebido de fondos o la modificacin de datos podra pasar
inadvertida!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
55/61
LOGO reguntas
*Cu,l de las siguientes tareas pueden ser e'ecutadas por la mismapersona en un centro de computo de procesamiento de informacinbien controlado+
a! Administracin de seguridad y administracin de cambiosb! peraciones de computo y desarrollo de sistemasc! Desarrollo de sistemas y administracin de cambiosd! Desarrollo de sistemas y mantenimiento de sistemas
7/23/2019 gobiernocorporativo-131107001103-phpapp02
56/61
LOGO reguntas
*Cu,l de lo siguiente es el control 8A6 critico sobre la administracinde la base de datos+
a! Aprobacin de las actividades de DAb! 6egregacin de tareasc! 7evisin de registros /logs0 de acceso y actividadesd! 7evisin del uso de las #erramientas de la base de datos
7/23/2019 gobiernocorporativo-131107001103-phpapp02
57/61
LOGO(uditoria de la estructura e
i!ple!entaci#n de gobierno de I
Aun%ue son muc#os los aspectos %ue le preocupan al auditor$ algunos de
los indicadores m,s significativos de los problemas potenciales5
Actitudes desfavorables del usuario final Costos e.cesivos Presupuesto e.cedido Proyectos demorados 7otacin elevada de personal Personal 2ne.perto Errores frecuentes de #ardHare K softHare "ista e.cesiva de solicitudes de usuarios en espera "argo tiempo de respuesta de computadora Fumerosos proyectos de desarrollo abortados o suspendidos Compras de #ardHare K softHare sin soporte o sin autori(acin! 4recuentes ampliaciones de capacidad de #ardHare K softHare E.tensos reportes de e.cepciones Poca motivacin Confian(a en miembros claves del personal
4alta de entrenamiento adecuado
7/23/2019 gobiernocorporativo-131107001103-phpapp02
58/61
LOGO Revisi#n de docu!entaci#n
"a siguiente documentacin debe ser revisada5
Estrategias$ planes y presupuestos de 12 Documentacin de polticas de seguridad Cuadros organi(ativos K funcionales "as descripciones de los puestos de traba'o
"os reportes del comit de direccin "os procedimientos de desarrollo de sistemas y de cambio de
programas! Procedimientos de operaciones 8anuales de recursos #umanos Procedimientos de aseguramiento de la calidad
7evisin de compromisos contractuales
Fiveles de servicio Penali(aciones por incumplimiento Proteccin de informacin
7/23/2019 gobiernocorporativo-131107001103-phpapp02
59/61
LOGO .studio de caso
A un auditor de 62 se le #a pedido %ue revise el borrador de un contrato deoutsourcing y %ue recomiende cual%uier cambio o se)ale cual%uierpreocupacin antes de %ue estos sean presentados a la alta gerencia parasu aprobacin final! El contrato incluye soporte de LindoHs y de laadministracin del servidor -F2M y la administracin de redes a un tercero!"os servidores ser,n reubicados a la instalacin del outsourcer %ue est,ubicada en otro pas$ y se establecer, la conectividad usando la 2nternet! 6eaumentar, la capacidad del softHare del sistema operativo dos veces por
a)o$ pero stos no ser,n entregados en custodia!
1odas las solicitudes de adicin o eliminacin de cuentas de usuario ser,nprocesadas dentro de tres das #,biles! El softHare de deteccin de intrusosser, monitoreado continuamente por el outsourcer y el cliente notificar, poremail si se detectara cual%uier anomala! "os nuevos empeladoscontratados dentro de los <imos tres a)os estuvieron su'etos a
verificaciones de antecedentes antes de eso no #aba polticas establecidas!Est, establecida una cl,usula de derec#o a auditoria pero se re%uiere unaviso de :9 #oras antes de una visita al establecimiento! 6i se encontrara%ue outsourcer esta en violacin de cual%uiera de los trminos o condicionesdel contrato$ este tendr, >; das #,biles para corregir la deficiencia! Eloutsoucer no tiene un auditor de 62! Pero es auditado por una firma regionalde contadores p&blicos!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
60/61
LOGO reguntas de caso
*Cual de los siguientes sera de 8AN7 preocupacin para elauditor de 62+
a! "os cambios de cuenta de usuario son procesados dentro de =das #,biles!
b! 6e re%uiere un aviso con :9 #oras de anticipacin para una visitaal establecimiento!
c! El outsoucer no tiene una funcin de auditoria de 62!d! El escroH /puesta en custodia0 no est, incluido en el contrato!
7/23/2019 gobiernocorporativo-131107001103-phpapp02
61/61
LOGO reguntas de caso
*Cual de los siguientes seria el problema 8A6 significativo pararesolver si los servidores contuvieran informacin de clienteidentificable personalmente %ue es accesado regularmente yactuali(ado por los usuarios finales+
a! El pas en el %ue el terceri(ador o outsourcer est, establecidopro#be el uso de encripcin fuerte para los datos transmitidos!b! El outsourcer limita su responsabilidad si toma medidas
ra(onables para proteger los datos de cliente!c! El outsourcer no efectu verificaciones de antecedentes para los
empleados contratados #ace m,s de tres a)os!
d! El softHare de sistemas solo se actuali(a una ve( cada seismeses!