gobiernocorporativo-131107001103-phpapp02

7/23/2019 gobiernocorporativo-131107001103-phpapp02

1/61

LOGO

Gobierno Corporativo


2/61

LOGO II-unidad: Contenido

Qu es gobierno corporativo Practicas de monitoreo y aseguramiento para la JD y

la gerencia

Estrategia de sistemas de informacin Polticas y procedimientosAdministracin del riesgo tica Plan de Contingencia


3/61

LOGO Gobierno Corporativo

Qu es?

El obierno Corporativo es el sistema por el cual las sociedades son dirigidas y

controladas! "a estructura del obierno Corporativo especifica la distribucin de losderec#os y responsabilidades entre los diferentes participantes de la sociedad$ talescomo el directorio$ los gerentes$ los accionistas y otros agentes econmicos %uemantengan alg&n inters en la empresa!

El obierno Corporativo tambin provee la estructura a travs de la cual seestablecen los ob'etivos de la empresa$ los medios para alcan(ar estos ob'etivos y laforma de #acer un seguimiento a su desempe)o!


4/61

LOGO Qu es gobierno corporativo?

Son las Reglas y rocedi!ientos para to!ar decisiones en los asuntoscorporativos"

ro!oci#n de la $usticia corporativa% la transparencia y la rendici#n de

cuentas"

(J. Wolfensohn, President, World Bank)


5/61

LOGO *Qu es gobierno corporativo+

Gobierno Corporativo significa hacer todo de una forma ms adecuada, con el

objetivo de mejorar las relaciones entre la compaa y sus accionistas;

mejorar la calidad de los miembros de la Junta irectiva; animar a la

administraci!n a pensar a largo pla"o; asegurar #ue la informaci!n financieraes apropiada; asegurar #ue la gerencia es fiscali"ada en el mejor inter$s de

los accionistas%&

'epa (amesam,Governor, )eserve *an+ of ndia


6/61

LOGO Qu es gobierno corporativo?

El gobierno corporativo se define como un comportamientocorporativo tico por parte de los directores u otros encargados delgobierno$ para la creacin y entrega de los beneficios para todaslas partes interesadas!

-a distribuci!n de derechos y responsabilidades entre los

diferentes participantes en la corporaci!n tales como la junta, los

gerentes, los accionistas y otras partes interesadas, y e.plica las

reglas y procedimientos para tomar decisiones sobre los asuntos

corporativos%

&anual de preparaci#n al e'a!en CIS(


7/61


or )u es bueno?

El gobierno corporativo comprende diferentes aspectos regulatorios

y organi(acionales %ue$ en la medida %ue sean adecuadamenteimplementados en una empresa$ le permitir, a sta atraer y retenercapital financiero y #umano$ funcionar en forma eficiente y$ as$crear valor econmico para la corporacin y sus accionistas!

Esto es importante por%ue$ en un ,mbito cada ve( m,s global$ las

empresas no slo compiten en los mercados de consumo o deservicios sino %ue tambin compiten por inversin en los mercadosde capitales!


8/61


Qu es un *uen Gobierno Corporativo?

El buen gobierno corporativo es un concepto %ue est, cobrandocada ve( m,s importancia en el ,mbito local e internacional debido

a su reconocimiento como un valioso medio para alcan(armercados m,s confiables y eficientes!

-n gobierno corporativo es bueno cuando protege los derec#os detodos sus accionistas y asegura un trato e%uitativo! Adem,s$ cuentacon me'ores polticas de directorio$ es transparente en la calidad de

la informacin de la empresa$ cuenta con una estructura gerencialdefinida y genera buenas relaciones con el entorno e.terno einterno /incluyendo a empleados$ proveedores$ clientes y a lacomunidad0!


9/61

LOGOracticas de !onitoreo y asegura!iento para

la +, y la gerencia

El gobierno de 12 es un trmino incluyente %ue abarca sistemas deinformacin$ tecnologa y comunicacin3 negocios$ aspectos legalesy otros3 y todas las partes interesadas$ los directores$ la alta

gerencia$ los propietarios de los procesos$ los proveedores de 12$los usuarios y los auditores! El gobierno ayuda a asegurar elalineamiento de 12 con los ob'etivos de la empresa!


10/61

LOGOracticas de !onitoreo y asegura!iento para

la +, y la gerencia

El gobierno corporativo efectivo concentra la pericia y e.perienciaindividual y de grupo en ,reas especificas$ donde ellos puedan serm,s efectivos! "a 1ecnologa de informacin$ considerada por

muc#o tiempo slo un #abilitador de la estrategia de unaorgani(acin$ es a#ora considerada como parte integral de esaestrategia!


11/61

LOGOracticas de !onitoreo y

asegura!iento para la +, y la gerencia

"os especialistas est,n de acuerdo en %ue la concordancia estratgicaentre los ob'etivos de 12 y los de la empresa son un factor crtico de.ito!

El gobierno de 12 ayuda a alcan(ar este factor critico de .itodesplegando de manera eficiente y efectiva informacin segura$confiable y tecnologa aplicada!


12/61

LOGOracticas de !onitoreo y

asegura!iento para la +, y la gerencia

4undamentalmente al gobierno de 12 le incumben dos aspectos5%ue 12 entregue valor al negocio y %ue los riesgos de 12 seanadministrados!

I!pulsado por

el alinea!iento de

I con el negocio

I!pulsado por

la integraci#n de la

responsabilidaden la e!presa"


13/61

LOGO Preguntas

El gobierno de 12 asegura %ue una organi(acin se alinee suestrategia de 12 con5

a! "os ob'etivos de la empresa

b! "os ob'etivos de 12c! "os ob'etivos de auditoria

d! "os ob'etivos de control


14/61

LOGO&e$ores racticas para el gobierno de

I

El gobierno de 12 es un con'unto de responsabilidades y practicasusadas por la gerencia de una organi(acin para proveer direccinestratgica3 de ese modo$ asegurando %ue las metas seanalcan(ables$ los riesgos sean debidamente considerados y los

recursos organi(acionales sean debidamente utili(ados!


15/61

LOGORol de la auditoria en el gobierno

de I

"a manera de aplicar 12 dentro de la empresa tendr, un efectoenorme sobre si la empresa lograr, su misin$ visin$ o metasestratgicas!

Por esta ra(n$ una empresa necesita evaluar su gobierno de 12$ ya

%ue se est, volviendo una parte cada ve( m,s importante delgobierno total de la empresa!

"a auditoria tiene un rol significativo en una implementacin e.itosadel gobierno de 12 dentro de una organi(acin! 6u posicin lepermite recomendar practicas lideres a la alta gerencia para

me'orar la calidad y efectividad de las iniciativas de gobierno de 12implementadas!

"a auditoria ayuda a asegurar el cumplimiento de las iniciativas degobierno de 12 implementadas dentro de una organi(acin!


16/61


de I

7eportar sobre el gobierno de 12 implica auditar al m,s alto nivel enla organi(acin$ y puede cru(ar los limites de divisin$ de funcioneso departamentos! El auditor debe confirmar %ue los trminos dereferencia estable(can5

El alcance del traba'o$ incluyendo una clara definicin de las,reas y aspectos funcionales %ue se cubrir,n!

El nivel al %ue se entregara el informe$ donde est,n identificados

los temas de gobierno 12 al mas alto nivel de la organi(acin!

El derec#o de acceso a la informacin para el auditor de 62!


17/61


de I

De acuerdo con el rol definido del auditor$ se necesita evaluar lossiguientes aspectos relacionados con el gobierno de 125

El alineamiento de la funcin de 62 con la misin$ la visin$ los valores$los ob'etivos y las estrategias de la organi(acin!

El logro por parte de la funcin de 62 de los ob'etivos de desempe)oestablecidos por el negocio!

"os re%uerimientos legales$ ambientales$ de calidad de informacin y de

seguridad!

El entorno de control de la organi(acin

"os riesgos in#erentes dentro del entorno de 62


18/61

LOGO Co!it de estrategia de I

"a creacin de un comit de estrategia de 12 es una me'or practicade la industria! 6in embargo$ el comit necesita ampliar su radio deaccin para incluir no solo asesoramiento sobre estrategia cuandoapoya a la JD en sus responsabilidades de gobierno de 12$ sinotambin concentrarse en el valor de 12$ los riesgos y el desempe)o!


19/61

LOGO Co!it de estrategia de I

8itiga la falta de comunicacin y entendimiento %ue se establece entre eldepartamento de 12 y el resto de la misma! El comit de 12 es el primer lugar de encuentro dentro de la empresa de

los inform,ticos y sus usuarios! Permite a los usuarios conocer las necesidades inform,ticas del con'unto

de la organi(acin y no solo las de su ,rea$ participando en la fi'acin de

prioridades! 6e evitan acusaciones de favoritismos entre un ,rea y la otra! 6e promueve la me'or utili(acin de los recursos inform,ticos$

tradicionalmente escasos! "a direccin de inform,tica se #a de convertir en el principal impulsor de

la e.istencia de dic#o comit!

Debera estar formado por pocas personas y presidido por el directorm,s alto de la empresa! El director de inform,tica debera actuar como secretario y las grandes

,reas usuarias deberan estar representadas al nivel de sus directoresm,s altos!

El director de auditoria interna debera ser miembro del comit de 12!


20/61

LOGO .voluci#n de CO*I

obierno de 12

Cobit 9

:;;??@Auditoria

Cobit >>??

CO*I da soporte al gobierno

,e I al brindar un !arco deraba$o )ue garanti/a:BAlineacin estratgicaBEntrega de valorBAdministracin de recursosBAdministracin de riegos

B8edicin del desempe)o


21/61

LOGO

El gobierno de 12 es responsabilidad de la 'unta directiva y de lagerencia e'ecutiva! "as practicas clave del gobierno de 12 son5 elcomit de estrategias de 12$ la administracin de riesgos y elbalanced scorecard de 12 /6C0


22/61

LOGO *alance Scorecard de I

El 6C$ es una tcnica evaluativa %ue puede aplicarse al procesode gobierno de 12 para evaluar las funciones y los procesos de 12!

El 6C de 12$ va m,s all, de la evaluacin financiera tradicional$complementadola con medidas %ue conciernen a la satisfaccin delcliente /-suario0$ procesos internos /operativos0 y la capacidad deinnovar! Estas medidas adicionales impulsan a la organi(acin#acia el uso ptimo de 12$ el cual est, alineado con las metasestratgicas de la organi(acin!


23/61


Para aplicarlo a 12$ se usa una estructura de tres capas para tratar las cuatroperspectivas5

8isin$ por e'emplo5B Convertirse en el proveedor preferido de 62!B Entregar aplicaciones y servicios de 12 eficientes y efectivos!

B btener una contribucin ra(onable de las inversiones en 12 para elnegocioB Desarrollar oportunidades %ue respondan a los futuros desafos!

Estrategias$ por e'emplo5B Desarrollar aplicaciones y operaciones superiores

B Desarrollar alian(as con los usuarios y me'ores servicios para losclientesB Proveer valor de negocio a los proyectos de 12B Proveer nuevas capacidades de negocioB Entrenar y educar al personal de 12 y promover la e.celencia!B Proveer soporte para la investigacin y el desarrollo!


24/61


8edidas$ por e'emplo5

B Proveer un con'unto balanceado de medidas para guiar lasdecisiones de 12 orientadas a negocios!

6C es uno de los medios m,s efectivos para ayudar al comit deestrategia de 12 y a la gerencia a lograr el alineamiento de 12 y elnegocio! "os ob'etivos son establecer un ve#iculo para la informacingerencial a la 'unta$ estimular el consenso entre los interesados clavesobre los ob'etivos estratgicos de 12$ demostrar la efectividad y elvalor agregado de 12$ y comunicar el desempe)o$ los riesgos y lascapacidades de 12!


25/61

LOGO Definir b'etivos

8e'or

aryrealin

ear

8edicindelog

ro

Directri( de desempe)o

8antener lareputacin

de la empresay el lidera(go

Asegurar de %uelos servicios de 12pueden resistir y

recuperarse de losata%ues

Detectary resolver

los accesos einformacin

no autori(ados$aplicaciones

e infraestructura

Comprenderlos re%uerimientos

De seguridad$ulnerabilidades

y amena(as

F&mero deincidentes %ue

efecten la imagenp&blica

F&mero deincidentes %ue

efecten laimagenp&blica

Fumero deviolaciones de

acceso

"a frecuenciade la revisinde los tiposde eventos

de seguridad%ue son

monitoreados

G2 mtrica de negocios GP2

G2 mtricas de 12 GP2

GP2 mtricas de procesos G2

Ob$etivos de negocioOb$etivos de I

Ob$etivos de

rocesos

Ob$etivos de

(ctividad

.s !edido por .s !edido por .s !edido por .s !edido por


26/61

LOGO.strategia de siste!as de

in0or!aci#n

Planeacin estratgica Desde el punto de vista de sistemas de informacin$ se

relaciona con la direccin a largo pla(o %ue una organi(acin%uiere seguir para apalancar con 12 la me'ora de sus procesos

de negocio! a'o la responsabilidad de la alta gerencia$ losfactores a considerar incluyen5

B 2dentificar soluciones de 12 eficientes en costos a fin deenfrentar problemas y oportunidades para la organi(acin ydesarrollar planes de accin para identificar y ad%uirir losrecursos %ue se necesitan!


27/61

LOGO .strategia de siste!as de in0or!aci#n

Planeacin estratgica

Para desarrollar planes estratgicos$ generalmente de tres acinco a)os de duracin$ las organi(aciones deben asegurarse

de %ue los mismos estn plenamente acorde$ y son consistentescon todas las metas y ob'etivos de la organi(acin!

-na planeacin estratgica efectiva de 12 involucra tener enconsideracin l demanda de 12 de la organi(acin y la

capacidad de proveer 12!


28/61


Planeacin estratgica Es importante %ue el proceso de planificacin estratgica

abar%ue no solo la entrega de nuevos sistemas y tecnologa$sino %ue considere los retornos %ue se logran de la inversin en

12 e.istente!

/n muchas organi"aciones el gasto en los

sistemas, infraestructura y el soporte, representa

el 012 o ms del gasto total anual de 3&


29/61


El auditor de 62 debe prestar total atencin a la importancia de laplaneacin estratgica de 12$ considerando las practicas de controlgerencial! Adem,s$ %ue los planes estratgicos de 12 estn en

sincroni(acin con toda la estrategia de negocio!


30/61


-n auditor de 12 debe enfocarse en5

"a importancia del proceso de planeacin estratgica o en elmarco de planeacion!

Prestar particular atencin a la necesidad de notar losre%uerimientos de convertir los planes operativos o t,cticos de12 desde el negocio y las estrategias de 12$ contenidos deplanes$ re%uerimientos para actuali(ar y comunicar planes$ y

re%uerimientos de monitoreo y evaluacin!


31/61

LOGO regunta

*Cu,l de lo siguiente estara incluido en un plan estratgico delnegocio+

a! Especificaciones para compras planeadas de #ardHareb! An,lisis de los ob'etivos futuros del negocioc! 4ec#as ob'etivo para los proyectos de desarrollod! b'etivos presupuestarios anuales para el departamento de 62


32/61

LOGO regunta

*Cu,l de lo siguiente describe 8EJ7 un proceso deplaneacion estratgica del departamento de 12+

a! El departamento de 12 tendr, o bien planes de corto alcance o delargo alcance dependiendo de los planes y ob'etivos mas ampliosde la organi(acin!

b! El plan estratgico del departamento de 12 debe estar orientado altiempo y al proyecto$ pero no tan detallado como para resolver yayudar a %ue determinadas prioridades satisfagan las necesidadesdel negocio!

c! "a planeacion de largo alcance para el departamento de 12 debereconocer las metas organi(acionales$ los adelantos tecnolgicos y

los re%uerimientos regulatorios!d! "a planeacion de corto alcance para el departamento de 12 nonecesita estar integrada en los planes de corto alcance de laorgani(acin ya %ue los adelantos tecnolgicos impulsaran losplanes del departamento de 12 muc#o mas r,pido %ue los planesorgani(acionales!


33/61

LOGO ol1ticas y rocedi!ientos

7efle'an la gua y orientacin de la gerencia para desarrollar controlessobre los sistemas de informacin y recursos relacionados!

"as polticas son documentos de alto nivel! Ellas representan la

filosofa corporativa de una organi(acin y el pensamientoestratgico de la alta gerencia y de los due)os de los procesos denegocio! "a polticas deben ser claras y concisas para %ue seanefectivas!

"a administracin debe crear un ambiente de control positivo$asumiendo la responsabilidad de formular$ desarrollar$ documentar$promulgar y controlar las polticas %ue abarcan las metas y lasdirectrices generales!


34/61

LOGO ol1ticas

"a gerencia debe emprender las acciones necesarias para asegurar %ue losempleados afectados por una poltica especifica reciban una e.plicacincompleta de la poltica y entiendan cual es su propsito! Adem,s$ las polticaspueden tambin aplicarse a terceros y a outsourcers$ %uienes necesitaranestar vinculados para seguir las polticas!

"as polticas de menor nivel deben ser consistentes con las polticas a nivelcorporativo!

"a administracin debe revisar todas las polticas peridicamente!

"os auditores deben alcan(ar un entendimiento de las polticas como parte delproceso de auditoria y comprobar si estas se cumplen!

"os controles de 62 deben de fluir de las polticas$ y los auditores de 62 debenusar las polticas como un punto de referencia para evaluar el cumplimiento!


35/61

LOGO ol1ticas

El costo de un control nunca debe e.ceder el beneficio %ue seespera obtener!

"a poltica debe ser aprobada por la alta gerencia! Debe serdocumentada y comunicada a todos los empleados y proveedoresde servicio$ seg&n sea pertinente!


36/61

LOGO ,ocu!ento de pol1tica de seguridad

El documento de poltica debe contener5

-na definicin de seguridad de informacin$ sus ob'etivos generalesy su alcance$ y la importancia de la seguridad como un mecanismo%ue permite %ue se comparta la informacin!

-na declaracin de la intencin de la gerencia$ soportando lasmetas y los principios de la seguridad de informacin en lnea con laestrategia y los ob'etivos del negocio!

-n marco para fi'ar los ob'etivos de control y los controles$incluyendo la estructura de la evaluacin del riesgo y laadministracin del riesgo!


37/61



-na breve e.plicacin de las polticas de seguridad$ losprincipios$ los est,ndares y los re%uisitos de cumplimiento departicular importancia para la organi(acin$ incluyendo5

B Cumplimiento de los re%uisitos legislativos$ regulatorios ycontractuales

B 7e%uisitos de educacin entrenamiento y conciencia de laseguridad!

B Administracin de la continuidad de negocio!

B Consecuencias de las violaciones de la poltica de seguridadde informacin


38/61



-na definicin de las responsabilidades generales y especificaspara la gerencia de seguridad de informacin$ incluyendoreportar incidentes de seguridad de informacin!

7eferencias a la documentacin %ue puede soportar la poltica$polticas y procedimientos mas detallados de seguridad parasistemas de informacin o reglas de seguridad especificas %uedeben ser cumplidos por los usuarios!


39/61

LOGO Revisi#n de la pol1tica de seguridad

"a poltica debe ser revisada a intervalos planeados o si ocurrierancambios significativos$ para asegurar %ue siga siendo apropiada$adecuada y efectiva!

El mantenimiento de la poltica de seguridad debe tomar en cuentalos resultados de estas revisiones!


40/61

LOGO rocedi!ientos

6on documentos detallados! Deben derivarse de la poltica madre eimplementar el espritu de la aseveracin de la poltica! "osprocedimientos deben ser escritos en una forma clara y concisa$ demodo %ue sean comprendidos f,cil y correctamente por todos los

%ue se deben regir por ellos!

"os procedimientos documentan procesos de negocio y loscontroles integrados en los mismos! "os procedimientos sonformulados por la gerencia media como una traduccin efectiva delas polticas!


41/61

LOGO rocedi!ientos

"os auditores revisan los procedimientos para identificar$ evaluar ydespus de ello probar los controles sobre los procesos delnegocio!

-n procedimiento %ue no es conocido completamente por elpersonal %ue lo tiene %ue usar$ es esencialmente inefectivo!

El revisor debe mantener su independencia en todo momento y nodebe ser influenciado por nadie del grupo %ue est, siendoinspeccionado!


42/61

LOGO (d!inistraci#n de riesgo

"a administracin del riesgo es el proceso de identificar lasdebilidades y las amena(as para los recursos de informacinutili(ados por una organi(acin para lograr los ob'etivos delnegocio$ y decidir %ue contramedidas tomar$ si #ubiera alguna$ parareducir el nivel de riesgo #asta un nivel aceptable basado en el

valor del recurso de informacin para la organi(acin!

"a administracin efectiva de riesgo comien(a con un claroentendimiento del apetito de riesgos de la organi(acin!

"a administracin de riesgos abarca identificar$ anali(ar$ evaluar$tratar$ monitorear y comunicar el impacto del riesgo sobre losprocesos de 12!


43/61


Dependiendo del tipo de riesgo y su importancia para el negocio$ laadministracin y la 'unta pueden optar por5

Evitar$ por e'emplo$ donde sea factible$ escoger no implementarciertas actividades o procesos %ue incurriran en un riesgomayor!

8itigar$ por e'emplo$ definir e implementar controles paraproteger la infraestructura de 12

1ransferir$ por e'emplo$ compartir el riesgo con socios$ otransferirlo a cobertura del seguro

Aceptar$ es decir$ reconocer formalmente la e.istencia del riesgoy monitorearlo

Eliminar$ es decir$ donde sea posible$ eliminar la fuente delriesgo!


44/61


El riesgo puede ser transferido$ rec#a(ado$ reducido$ o evitado!

1ransferidoII Compra de seguros 7ec#a(arII 2gnor,ndolo /peligroso0

7educidoII 2mplementacin o me'ora de controles yprocedimientos de seguridad EvitarII Eliminando el origen del riesgo!


45/61

LOGO,esarrollo de un progra!a de

ad!inistraci#n del riesgo

Para desarrollar un programa de administracin del riesgo5

Establecer el propsito del programa

Asignar responsabilidad para el plan de administracin delriesgo


46/61

LOGO roceso de ad!inistraci#n de riesgos

Paso >5 2dentificacin y clasificacin de los recursos de informacin ode los activos %ue necesitan proteccin$ por%ue son vulnerables a lasamena(as! E'emplos de activos tpicos asociados con la informaciny con 125

2nformacin y datos

ardHare 6oftHare 6ervicios Documentos Personal

tros activos de negocio

Edificios$ el efectivo$ inventario y activos menos tangiblesimagenKreputacion


47/61

LOGO roceso de ad!inistraci#n de riesgos

Paso :5 Estudiar las amena(as y vulnerabilidades asociadas con el recursode informacin y la probabilidad de %ue ocurran!

B Amena(as es cual%uier circunstancia o evento con el potencial deda)ar un recurso de informacin$ tales como destruccin$divulgacin$ modificacin de datos! "as clases comunes deamena(a /errores$ fraude$ robo$ falla del e%uipamientoKsoftHare0

B "as amena(as ocurren por causa de las vulnerabilidades! "asvulnerabilidades con caractersticas de los recursos de informacin%ue pueden ser e.plotadas por una amena(a para causar da)o!/4alta de conocimiento del usuario$ falta de conocimiento delusuario$ falta de funcionalidad de la seguridad$ eleccin deficientede contrase)as$ tecnologa no aprobada0

B El resultado de cual%uiera de las amena(as se denomina 28PAC1


48/61

LOGO racticas de gerencia de SI

"as practicas de gerencia de 62 refle'an la implementacin depolticas y procedimientos desarrollados para diversas actividadesgerenciales relacionadas con 62!

"as actividades de la gerencia para revisar las formulaciones depolticas y procedimientos y su efectividad dentro del departamentode 62 incluira practicas tales como5

Administracin de personal

Contratacin /manual de conducta0 Administracin de cambios de 12 /1erceri(acin0


49/61

LOGO racticas de gerencia de SI

Cada organi(acin %ue usa los servicios de terceros debe tener unsistema de administracin de entrega de servicios para implementar ymantener el nivel apropiado de seguridad de informacin y entrega deservicio en lnea con contratos de entrega de servicios de terceros!

"a organi(acin debe verificar la implementacin de los contratos$monitorear el cumplimiento de los contratos y administrar los cambiospara asegurar %ue los servicios entregados satisfagan los re%uisitos

acordados con el tercero!


50/61

LOGO.structura Organi/acional y

responsabilidades de SI

-n departamento de sistemas de informacin est, generalmente

estructurado como se muestra en la figura siguiente5


51/61



erente Kdirector de 12

6eguridad y

calidad Aplicaciones Data 6oporte tcnico

Administrador de D

peraciones

Administrador deoperaciones

perador decomputadora

Analistas de sistemasProgramadores

Administrador deseguridad

Control de Calidad

Administrador de7edes

Administrador de

6istema operativo

Programadores de6istemas/sistemas

operativos0


52/61



"os cuadros de estructura organi(acional u organigramas son

elementos importantes %ue deben tener todos los empleados$ ya %ue

ellos proveen una definicin clara de la 'erar%ua y autoridad del

departamento!

"as descripciones de los puestos de traba'o brindan a los empleados

del departamento de 62 una orientacin clara respecto a sus roles y

responsabilidades!


53/61



"a segregacin de funciones evita la posibilidad de %ue una solapersona pueda ser responsable de funciones diversas y criticas de talforma %ue pudieran ocurrir errores o apropiaciones indebidas y no serdetectadas oportunamente$ en el curso normal de los procesos de

negocio!

"a segregacin de funciones es un importante medio por el cual sepueden prevenir y disuadir actos fraudulentos o maliciosos!


54/61



"as funciones %ue deben ser segregadas incluyen5 Custodia de activos Autori(acin 7egistro de transacciones

6i no e.iste segregacin podra ocurrir lo siguiente5

Apropiacin indebida de activos

Estados financieros falsos Documentacin ine.acta -so indebido de fondos o la modificacin de datos podra pasar

inadvertida!


55/61

LOGO reguntas

*Cu,l de las siguientes tareas pueden ser e'ecutadas por la mismapersona en un centro de computo de procesamiento de informacinbien controlado+

a! Administracin de seguridad y administracin de cambiosb! peraciones de computo y desarrollo de sistemasc! Desarrollo de sistemas y administracin de cambiosd! Desarrollo de sistemas y mantenimiento de sistemas


56/61

LOGO reguntas

*Cu,l de lo siguiente es el control 8A6 critico sobre la administracinde la base de datos+

a! Aprobacin de las actividades de DAb! 6egregacin de tareasc! 7evisin de registros /logs0 de acceso y actividadesd! 7evisin del uso de las #erramientas de la base de datos


57/61

LOGO(uditoria de la estructura e

i!ple!entaci#n de gobierno de I

Aun%ue son muc#os los aspectos %ue le preocupan al auditor$ algunos de

los indicadores m,s significativos de los problemas potenciales5

Actitudes desfavorables del usuario final Costos e.cesivos Presupuesto e.cedido Proyectos demorados 7otacin elevada de personal Personal 2ne.perto Errores frecuentes de #ardHare K softHare "ista e.cesiva de solicitudes de usuarios en espera "argo tiempo de respuesta de computadora Fumerosos proyectos de desarrollo abortados o suspendidos Compras de #ardHare K softHare sin soporte o sin autori(acin! 4recuentes ampliaciones de capacidad de #ardHare K softHare E.tensos reportes de e.cepciones Poca motivacin Confian(a en miembros claves del personal

4alta de entrenamiento adecuado


58/61

LOGO Revisi#n de docu!entaci#n

"a siguiente documentacin debe ser revisada5

Estrategias$ planes y presupuestos de 12 Documentacin de polticas de seguridad Cuadros organi(ativos K funcionales "as descripciones de los puestos de traba'o

"os reportes del comit de direccin "os procedimientos de desarrollo de sistemas y de cambio de

programas! Procedimientos de operaciones 8anuales de recursos #umanos Procedimientos de aseguramiento de la calidad

7evisin de compromisos contractuales

Fiveles de servicio Penali(aciones por incumplimiento Proteccin de informacin


59/61

LOGO .studio de caso

A un auditor de 62 se le #a pedido %ue revise el borrador de un contrato deoutsourcing y %ue recomiende cual%uier cambio o se)ale cual%uierpreocupacin antes de %ue estos sean presentados a la alta gerencia parasu aprobacin final! El contrato incluye soporte de LindoHs y de laadministracin del servidor -F2M y la administracin de redes a un tercero!"os servidores ser,n reubicados a la instalacin del outsourcer %ue est,ubicada en otro pas$ y se establecer, la conectividad usando la 2nternet! 6eaumentar, la capacidad del softHare del sistema operativo dos veces por

a)o$ pero stos no ser,n entregados en custodia!

1odas las solicitudes de adicin o eliminacin de cuentas de usuario ser,nprocesadas dentro de tres das #,biles! El softHare de deteccin de intrusosser, monitoreado continuamente por el outsourcer y el cliente notificar, poremail si se detectara cual%uier anomala! "os nuevos empeladoscontratados dentro de los &ltimos tres a)os estuvieron su'etos a

verificaciones de antecedentes antes de eso no #aba polticas establecidas!Est, establecida una cl,usula de derec#o a auditoria pero se re%uiere unaviso de :9 #oras antes de una visita al establecimiento! 6i se encontrara%ue outsourcer esta en violacin de cual%uiera de los trminos o condicionesdel contrato$ este tendr, >; das #,biles para corregir la deficiencia! Eloutsoucer no tiene un auditor de 62! Pero es auditado por una firma regionalde contadores p&blicos!


60/61

LOGO reguntas de caso

*Cual de los siguientes sera de 8AN7 preocupacin para elauditor de 62+

a! "os cambios de cuenta de usuario son procesados dentro de =das #,biles!

b! 6e re%uiere un aviso con :9 #oras de anticipacin para una visitaal establecimiento!

c! El outsoucer no tiene una funcin de auditoria de 62!d! El escroH /puesta en custodia0 no est, incluido en el contrato!


61/61

LOGO reguntas de caso

*Cual de los siguientes seria el problema 8A6 significativo pararesolver si los servidores contuvieran informacin de clienteidentificable personalmente %ue es accesado regularmente yactuali(ado por los usuarios finales+

a! El pas en el %ue el terceri(ador o outsourcer est, establecidopro#be el uso de encripcin fuerte para los datos transmitidos!b! El outsourcer limita su responsabilidad si toma medidas

ra(onables para proteger los datos de cliente!c! El outsourcer no efectu verificaciones de antecedentes para los

empleados contratados #ace m,s de tres a)os!

d! El softHare de sistemas solo se actuali(a una ve( cada seismeses!

Documents

gobiernocorporativo-131107001103-phpapp02