auditoria de tecnología basada en riesgos 160813 [estudiantes]x
DESCRIPTION
auTRANSCRIPT
-
Copyright 2013 Ing. Ral Gonzlez CarrinAll rights reserved.
AUDITORA DE TECNOLOGA BASADA EN
RIESGOSAgosto, 2013
-
Auditora de Tecnologa Basada en RiesgosCONTENIDOInicio: Conceptos bsicos
1. Fundamentos de la gestin de riesgos corporativos1.1. Antecedentes: Metodologas de Control Interno1.2. Marcos metodolgicos de gestin de riesgos1.3. Definicin, objetivos y componentes de la gestin de riesgos1.4. Riesgo y Control
2. Gestin de riesgos de TI2.1. Algunos conceptos de Riesgos Tecnolgicos 2.2. Principales marcos para la Administracin de Riesgos de TI2.3. Riesgo Operativo2.4. The Risk intelligence Map2.5. Revisin marco COBIT 4.1 1
-
Auditora de Tecnologa Basada en RiesgosCONTENIDO
2.6. Metodologa para realizar un anlisis de riesgos de Confidencialidad, Integridad y Disponibilidad2.7. Continuidad del Negocio como parte de la evaluacin de riesgos2.8. Norma PCI2.9. Introduccin a ISO ISO/IEC 38500:2008
3. Estndar internacional de auditora3.1. Norma ISA 315 Identificacin y evaluacin del riesgo de error material a travs del conocimiento y la compresin de la entidad y de su entorno3.2. Controles Generales Relacionados con la Tecnologa3.3. Controles de Aplicacin3.4. Riesgos & Controles en Procesos de Negocios 2
-
Auditora de Tecnologa Basada en RiesgosCONTENIDO4. Metodologa Auditora de Tecnologas basada en riesgos
3
-
Conceptos bsicos Auditora:Es un examen objetivo, sistemtico y profesional practicado con posterioridad a la ejecucin de las operaciones o transacciones con el objeto de emitir un informe o diagnstico que derive comentarios, conclusiones y recomendaciones.
Auditora de Tecnologa:Proceso de recoleccin y evaluacin de evidencia para determinar si los SI y los recursos relacionados:
Salvaguardan adecuadamente los activos, Mantienen la integridad de los datos y del sistema, Proveen informacin relevante y confiable, Alcanzan efectivamente los objetivos organizacionales, Utilizan los recursos eficientemente, y Cuentan con controles internos que provean una seguridad razonable de que los objetivos
operacionales y de control sern satisfechos y de que los eventos no deseados sern prevenidos o detectados y corregidos de manera oportuna.
Fuente: ISACA.ORG4
-
Conceptos bsicos Riesgo:
Es el efecto de la incertidumbre en la consecucin de los objetivos [ISO 31000:2009] Combinacin de la probabilidad (posibilidad) de un evento y su consecuencia (Risk
Management: Vocabulary Guide 73 ISO) La posibilidad que algo suceda y que tenga impacto en el logro de los objetivos
(Australian/New Zealand Standard - 1999) Posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos
de consecuencias y posibilidad de ocurrencia. (NTC 5254 Gestin del Riesgo) Combinacin de la probabilidad y la(s) consecuencia(s) que ocurra un evento peligroso
especfico.( NTC OHSAS 18001 ) Riesgo es la posibilidad que algn evento ocurra y afecte adversamente el logro de los
objetivos (COSO ERM - 2004) Posibilidad de que ocurra un evento o acto que podra tener un efecto adverso en la
organizacin y sus sistemas de informacin [ISACA] Riesgo Probabilidad de que un evento o accin pueda afectar adversamente la
organizacin o actividad auditada [IIA]
Riesgo Es la exposicin potencial a situaciones que pueden afectar el logro de los objetivos de una organizacin, generar prdidas o mermar potenciales utilidades.[Deloitte] 5
-
FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.1. Antecedentes: Metodologas de Control Interno
6
-
La incertidumbre implica riesgos y oportunidades.
La administracin de riesgos corporativos permite a la direccin tratar efectivamente a la incertidumbre y sus riesgos y oportunidades asociadas, mejorando as la capacidad de generar valor.
La actualidad
7
-
En el contexto actual existen dos tendencias sumamente acentuadas: Globalizacin Tecnologa
Si bien ambas tendencias favorecen el crecimiento econmico y las inversiones, tambin implican mayores riesgos, principalmente por la accin de las diferentes variables que interactan.
Contexto
8
-
Qu es el control interno?:Es un proceso realizado por la Junta Directiva, Administradores y dems personal de la entidad, diseado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos de la organizacin en estas categoras: Promover la efectividad y eficiencia en las operaciones
(incluyendo la salvaguarda de activos).
1.1.1. Control Interno: Evaluacin y Evolucin
Asegurar la razonabilidad de los reportes financieros
Soportar el cumplimiento con las leyes y regulaciones aplicables
9
-
Evolucin reciente del control interno
10
COSO 2013
-
1.1.2. Control interno efectivo: Referentes internacionales
COSO I
COSO II
(ERM)
Basilea
Cobit
SOX
IIA
11
-
Un esquema comprensivo que nos genera:
Una definicin comn de Controles internos Discusin de responsabilidades
Estndares para evaluar el sistema de control interno Un modelo general de control interno
* Internal Control Integrated Framework, Committee of Sponsoring Organizations (COSO) of the Treadway Commission
1.1.3. Generacin del Control Interno
12
-
El control interno ayuda a una entidad a llegar a donde quiere llegar, evitar trampas y sorpresas que pueden ocurrir en el transcurso.
Proceso continuo. Es un medio no un fin en s
mismo.
Ejecutado por personas. No son solo polticas y manuales.
Proporciona seguridad razonable.
1.1.3. Generacin del Control Interno
13
-
Control InternoProceso
El control interno no es un evento o una circunstancia, esuna serie de acciones.
Constituye un medio para un fin, es administradomediante la planeacin, ejecucin y monitoreo.
Est entrelazado con las actividades de operacin de unaentidad y ES PARTE DE LA ESENCIA DE UNACOMPAA.
Personal
Es ejecutado por la Junta Directiva, Administradores, ydems personal de la entidad.
La gente debe conocer sus responsabilidades y sus lmitesde autoridad.
14
-
Control Interno
Seguridad Razonable
Existen limitaciones inherentes a todos los sistemas decontrol interno (juicios humanos en toma de decisiones,fallas humanas-errores y equivocaciones, colusin dedos o ms personas, entre otros).
Objetivos Misin, objetivos y estrategias de la Compaa paraalcanzarlos
15
-
1.1.4. Responsabilidades frente al sistema de control interno
Organizacin
Sistema de Control Interno
PresidenciaVicepresidencias
Gerenciasreas de Soporte
Dueos de ProcesoTodo el personal de
la organizacin
Junta Directiva Asamblea de Accionistas
Auditora Interna Revisora Fiscal
Responsables del sistema de control interno Responsabilidad de monitorear el sistema de control interno
Riesgos
Comit de
Auditora
16 16
-
Resumiendo:
Control Interno
Es un proceso que hace parte de los dems sistemas y procesos de la
empresa
Orientado a objetivos es un medio, no un fin en s mismo.
Es concebido y ejecutado por personas de todos los niveles de la
organizacin a travs de sus acciones y palabras.
Proporciona una seguridad razonable, ms que absoluta, de que se lograrn
los objetivos definidos.
17
-
Commitee of Sponsoring Organizations of the Treadway Commission en 1992 estableci el COSO I (The Internal Control Integrated Framework) Asociacin Contable Estadounidense
Instituto Estadounidense de CPA
Instituto de Ejecutivos Financieros
Instituto de Auditores Internos
Instituto de Contadores Gerenciales
1.1.5. Evaluacin del Control Interno: Mtodo COSO
COSOC comitte (comit)O of (de)S sponsorig (auspiciantes)O organizations (organizaciones)
18
-
Otros organismos profesionales de los pases industrializados han definido su enfoque sobre el control interno, basados en los criterios definidos en elInforme COSO, como los siguientes:
Criteria of Control (COCO), del Instituto Canadiense de Contadores Certificados (CICA de las siglas del ingls);
Cadbury del Instituto de Contadores del Reino Unido; King del Instituto de Contadores de Australia; Vienot de Francia;Entre los ms difundidos.
Adicionalmente existen regionalmente estos documentos: MICIL Marco Integrado de Control Interno para Latinoamrica (sntesis y
adaptacin de COSO I). CORRE Control de los Recursos y los Riesgos en Ecuador (sntesis de: COSO I,
COSO II (ERM), MICIL).
1.1.6. COSO I Referente para otras metodologas de Implementacin y evaluacin de CI.
19
-
El control interno se define como un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una entidad (todos), diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras:
El control interno consta de cinco componentes interrelacionados, que se derivan de como la administracin maneja el ente, y estn integrados a los procesos administrativos.
El control interno, no consiste en un proceso secuencia. Es un proceso multidireccional repetitivo y permanente.
El control interno difiere por ente y tamao y por sus culturas y filosofas de administracin.
1.1.7. COSO I Definicin de Control Interno
20
-
1.1.8. COSO I Marco Integrado de Control (Framework)
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de ControlU
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
Tres categoras de objetivos
C
i
n
c
o
C
o
m
p
o
n
e
n
t
e
s
NIVELES DE LA
ORGANIZACINUnidades-Actividades-Procesos 21
-
COSO I: Ambiente de Control
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
El Ambiente de Control da el tono de una organizacin influenciando la conciencia
de control de sus empleados, proporcionando disciplina y estructura. Es
el fundamento de los dems componentes del control interno.
Integridad y Valores ticos.Estructura OrganizativaAutoridad Asignada y Responsabilidad Asumida.Administracin de los Recursos Humanos.Competencia Profesional y Evaluacin del Desempeo Individual.Filosofa y Estilo de la Direccin.Consejo de Administracin y Comits.Rendicin de Cuentas y Transparencia.
22
-
COSO I: Evaluacin de Riesgos
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
La Valoracin de Riesgos es la identificacin y el anlisis de los riesgos relevantes que puedan afectar la consecucin de los
objetivos. Los continuos cambios de la economa, la industria, las
regulaciones y las condiciones de operacin, requieren mecanismos para identificar, tratar y administrar los riesgos asociados al negocio.
23
-
COSO I: Actividades de Control
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
Las Actividades de Control ayudan a asegurar que se estn llevando
a cabo las directrices administrativas y tomando las
acciones necesarias para manejar los riesgos hacia la
consecucin de los objetivos de la Entidad. Las actividades de control se dan a todo lo largo y
ancho de la Entidad, en todos los niveles y en todas la funciones.
24
-
COSO I: Informacin & Comunicacin
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
Los sistemas de Informacin producen reportes, contienen informacin
operacional, financiera y relacionada con el cumplimiento, que hace posible
operar y controlar el negocio, adicionalmente soportar la toma de
decisiones.La Comunicacin efectiva debe fluir en
un sentido amplio, hacia abajo, a lo largo y hacia arriba de la
organizacin, igualmente con las partes externas como clientes,
proveedores, reguladores y accionistas, entre otros.
25
-
COSO I: Monitoreo
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
El Monitoreo ongoing (ocurre en el curso de las operaciones), las
evaluaciones separadas (supervisin o ejecucin de
trabajos de Auditora) o combinaciones de ambas, deben efectuarse sobre el sistema de control interno, puesto que el monitoreo es un proceso que
valora la calidad del desempeo del sistema de control interno en
el tiempo.
26
-
COSO I
27
-
COSO Una frase para recordar
Un buen control interno NO garantiza el xito ...
PERO ... Un mal control interno SI garantiza el
fracaso.
28
-
FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.2. Marcos metodolgicos de gestin de riesgos
2929
-
1.2.1. Marcos metodolgicos de Gestin de RiesgosA continuacin se lista los principales marcos metodolgicos sobre gestin de riesgos:
Gestin de riesgos corporativos. Estndar AS NZS 4360:1999 de Gestin de Riesgos (Australiano Neozelands 1999) Estndar AS NZS 4360:2004 de Gestin de Riesgos (Australiano Neozelands 2004) COSO ERM /Enterprise Risk Management (2004) Basilea II Gestin de Riesgos en Entidades Financieras (2004) ISO 31000:2009 Gestin de Riesgos Principios y Directrices (2009) ISO 73:2009, el vocabulario de gestin de riesgos ISO/IEC 31010:2009 Risk management -- Risk assessment techniques
Gestin de riesgos de Tecnologa de la Informacin TI. COBIT Control Objectives for Information and related Technology (ISACA) IT Risk (ISACA) ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (Gobierno de Espaa) OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de Amenazas y Vulnerabilidades de
Recursos Crticos Operacionales (Carnegie Mellon University) NIST National Institute of Standards and Technology; Risk Management Guide for Information Technology Systems.
30
-
1.2.2. COSO II - ERMA raz de los grandes problemas en varias organizaciones empresariales se establecieron nuevas metodologas para lograr mayor compromiso de parte de toda la organizacin desde su junta directiva, administracin y dems personal. [Gobierno Corporativo]
Se cambiaron las reglas de planeacin y evaluaciones de controles internos por la necesidad primaria de lograr una administracin de riesgos habindose completado el COSO I por el ahora llamado COSO II (ERM)
El COSO II (ERM), es reconocido como el estndar para cumplir con la seccin 404 de la ley Sarbanes-Oxley. Seccin 404: Exige al CEO y CFO, anualmente, declarar su responsabilidad de establecer, mantener y evaluar la
estructura de control interno (modelo tipo COSO) y procedimientos de reporte financiero. Exige al Auditor Externo probar la validez de la declaracin de la Gerencia.
31
-
1.2.2.1 COSO II ERM : Fecha de publicacin En septiembre de 2004 se public la versin en ingls del COSO ERM (Enterprise
Risk Management Integrated Framework.
La traduccin al espaol del COSO ERM fue realizada por la firma auditora PricewaterhouseCoopers PWC y la Federacin Latinoamericana de Auditores Internos FLAI, y fue publicada en diciembre de 2005
32
-
1.2.2.2 COSO II ERM : AntecedentesCMO SE INICI ERM?
ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas
Por qu ah? En estas industrias los riesgos estn bien documentados y medidos. Comnmente se utilizan sofisticados modelos estadsticos. Existe entendimiento y supervisin sobre la sensibilidad del mercado y riesgos
33
-
FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.3. Definicin, objetivos y componentes de la gestin de riesgos
3434
-
1.3.1. COSO ERM Definicin La Gestin de Riesgos Corporativos es un proceso efectuado por la Junta
Directiva, administracin y dems personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventospotenciales que puedan afectar a la organizacin, administrar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.
1. ESTRATEGICO (esta categora no inclua COSO I).2. Eficiencia y efectividad de las Operaciones (OPERACIONES).3. Confiabilidad de la Informacin (REPORTES).4. Cumplimiento (CUMPLIMIENTO).
35
-
1.3.2. COSO ERM Conceptos Fundamentales
36
Conceptos fundamentales:
Un proceso, es un medio para
un fin, no un fin en si mismo.
Efectuado por gente no es
solamente poltica, estudio y
forma, sino que involucra
gente en cada nivel de una
organizacin.
Aplicado en la definicin de la
estrategia
Aplicado a travs de la
administracin en cada nivel y
unidad (incluye asumir el
punto de vista de portafolio de
los riesgos a nivel de la
entidad)
Diseado para identificar los
eventos que potencialmente
afectan la entidad y para
administrar los riesgos dentro
del apetito por los riesgos.
Provee seguridad razonable
para la administracin y para
la junta de una entidad
Orientado al logro de los
objetivos en una o ms
categoras separadas pero al
mismo tiempo se sobreponen
unas con otras.
-
1.3.3. COSO ERM ComponentesEl COSO - ERM est integrado por ocho componentes:1. Ambiente Interno.2. Establecimiento de Objetivos.3. Identificacin de Eventos.4. Evaluacin de Riesgos.5. Respuesta al Riesgo.6. Actividades de Control.7. Informacin y Comunicacin.8. Supervisin (Monitoreo).
37
-
1.3.4. COSO I vs COSO II (ERM)COSO (Internal
Control ) Framework
COSO ERM (Enterprise Risk Management)
Framework Vs
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
Se pas de tener 5 a tener 8 componentes
38
-
1.3.4. COSO I vs COSO II (ERM)Control Interno COSO
Control interno es un proceso ejecutado por el consejo directo, la administracin y otro personal de una entidad, designado para proporcionada seguridad razonable referente al logro de objetivos en las categoras:
1. Efectividad y eficacia de operaciones2. Confiabilidad en reportes financieros3. Cumplimiento con las leyes y
reglamentos aplicables
Administracin de Riesgos Empresariales ERM
La administracin de riesgos empresariales un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su apetito de riesgo, proporcionar seguridad razonable referente al logro de objetivos.
39
Monitoreo
Informacin &Comunicacin
Actividades de Control
Evaluacin de Riesgos
Ambiente de Control
U
n
i
d
a
d
A
U
n
i
d
a
d
B
P
r
o
c
e
s
o
1
A
c
t
i
v
i
d
a
d
1
-
1.3.5. COSO II ERM : Componentes
40
AMBIENTE INTERNO
Estableciendo el Tono de la organizacin, para influenciar la conciencia de control de su gente
Integridad y valores ticos
Estilo y filosofa de la administracin
Estructura Organizacional
Asignacin de autoridad y
responsabilidad
Polticas y prcticas de recurso humano
Junta Directiva Comit de Auditora
Compromiso hacia la competencia (habilidades y
conocimientos)
Factores que afectan el ambiente interno:
-
1.3.5. COSO II ERM : Componentes
41
AMBIENTE INTERNO
Principales consideraciones con relacin a TI:
TI se ve como una organizacin separada y por ende tiene un ambiente de control diferente
La complejidad de TI tambin afecta el control interno Mayor nfasis
La Tecnologa puede introducir nuevos riesgos o aumentar algunos lo cual puede requerir nuevas actividades de control
Se requiere conocimiento especializado. Confianza en proveedores crticos La propiedad de los Controles de TI puede
no ser clara
-
1.3.5. COSO II ERM : Componentes
42
FORMULACION DE OBJETIVOS
Corresponde a un proceso para definir objetivos y que estos apoyen y estn de acuerdo con la misin de la entidad y sean consistentes con su inters por los riesgos.
Objetivos estratgicosObjetivos relacionadosObjetivos seleccionadosRiesgo aceptadoTolerancia al riesgo
El establecimiento de objetivos es un requisito previo para el control interno Efectivo.
-
1.3.5. COSO II ERM : Componentes
43
IDENTIFICACION DE EVENTOS
Eventos con impacto negativo tanto internos como externos que afectan el logro de los objetivos, distinguiendo entre riesgos y oportunidades:
Factores de influencia estrategia y objetivosMetodologas y tcnicasAcontecimientos independientesCategoras de acontecimientosRiesgos y Oportunidades
Se tienen eventos a nivel :1. A nivel de la entidad2. A nivel de actividad
Evento: Incidente o suceso generado por una fuente interna o externa, que afecta a la aplicacin de una estrategia o el alcance de cualquier objetivo.
-
1.3.5. COSO II ERM : Componentes
44
EVALUACION DEL RIESGO
Incluye todas las actividades desarrolladas por laadministracin relacionadas con la evaluacin yaseguramiento de los procesos y riesgos financieros.
Administrando los riesgos de la organizacin:
Establecimiento de metas y objetivos- Factores crticos de xito- Plan estratgico- Anlisis de competitividad
Identificacin y anlisis de riesgos- Nivel entidad: Penetrantes- Nivel de actividad (proceso)- Anlisis y cuantificacin de riesgos
-
1.3.5. COSO II ERM : Componentes
45
RESPUESTA AL RIESGO
Corresponde a la seleccin ms apropiada para cubrir los riesgos desarrollando un conjunto de acciones para alinear los riesgos con las tolerancias de riesgos de la entidad y el inters o apetito por los mismos
Evaluacin de posibles respuestas (mitigar, transferir, aceptar, evitar)
Seleccin de respuesta
Manejo del cambio
-
1.3.5. COSO II ERM : Componentes
46
RESPUESTA AL RIESGO
Mitigar
Implementar
controles
(mitigar/reducir)
Por ejemplo.
Definir,
implementar
controles
apropiados para
reducir la
probabilidad o el
impacto del
riesgo
Transferir
Compartir,
asociacin con
alguien.
Por ejemplo,
compartir el
riesgo con socios
o transferirlo
mediante
cobertura de
seguro, acuerdo
contractual u
otros medios.
Aceptar
Monitorear
Reconocer
formalmente la
existencia del
riesgo y
monitorearlo.
Evitar
Eliminar
Por ejemplo,
donde sea
factible, escoger
no implementar
ciertas actividades
o procesos que
generen un riesgo
(es decir, eliminar
el riesgo al
eliminar la causa)
-
1.3.5. COSO II ERM : Componentes
47
RESPUESTA AL RIESGO
Mitigar
Transferir Evitar
Aceptar
Riesgo(Alto)
Riesgo(Medio)
Riesgo (medio)
Bajo (Riesgo)
Baja
Alta
Alta
IMPACTO
PROBABILIDAD
-
1.3.5. COSO II ERM : Componentes
48
Principales consideraciones con relacin a TI:
Los riesgos de TI son penetrantes a toda la organizacin, cuentas y procesos.
A nivel de entidad: Un sub-comit de planeacin de TI el cual
debera responder por el plan de implementacin de controles de TI, su seguimiento e integracin con el plan global de la organizacin.
Evaluacin de los riesgos de TI
A nivel de actividades : Evaluacin de riesgos como parte de
metodologas de desarrollo, y control de cambios en Infraestructura y operaciones.
RESPUESTA AL RIESGO
-
1.3.5. COSO II ERM : Componentes
49
ACTIVIDADES DE CONTROL
Las Actividades de Control son las polticas y losprocedimientos que ayudan a asegurar que seestn llevando a cabo las directivas administrativasnecesarias para manejar los riesgos.
Las actividades de control deben estarincorporadas en las operaciones del negocio.
Las actividades de control estn ligadas a laevaluacin de riesgos, ya que stas sirven comomedio para que el riesgo sea administradoapropiadamente.
Enfocadas a la prevencin, deteccin ycorreccin.
-
1.3.5. COSO II ERM : Componentes
50
Principales consideraciones con relacin a TI:
La informacin confiable es la base de la generacin de Estados Financieros
Existen dos grandes grupos de actividades de control:
Aplican a la mayora o todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operacin adecuada.
Controles generales relacionados con la
tecnologa
Incluyen pasos computarizados con la aplicacin de software y manuales de procedimientos relacionados para controlar el procesamiento de varios tipos de transacciones.
Controles de Aplicacin
ACTIVIDADES DE CONTROL
-
Controles generales relacionados con la tecnologa
51
Marco de referencia COBIT
Prestacin de Servicio y Soporte
Recursos de TIDatos, Aplicaciones
Tecnologa, Instalaciones, Recurso Humano
Req. InformacinEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad,
Cumplimiento, Confiabilidad
CobiT Planeacin y Organizacin
Adquisicin eImplementacin
Seguimiento
1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento independiente4. Proveer una auditora independiente
1. Identificacin de soluciones2. Adquisicin y mantenimiento de SW aplicativo3. Adquisicin y mantenimiento arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Instalacin y Acreditacin de sistemas6. Administracin de Cambios
1. Definir un plan estratgico de TI2. Definir la arquitectura de informacin3. Determinar la direccin tecnolgica4. Definir la organizacin y relaciones de TI5. Manejo de la inversin en TI6. Comunicacin de la directrices
Gerenciales7. Administracin del Recurso Humano8. Asegurar el cumplir requerimientos
externos9. Evaluacin de Riesgos
10. Administracin de Proyectos11. Administracin de Calidad
1.Definicin del nivel de servicio2.Admistracin del servicio de terceros3.Adm. de la capacidad y el desempeo4.Asegurar el servicio continuo5.Garantizar la seguridad del sistema6.Identificacin y asignacin de costos7.Capacitacin de usuarios8.Soporte a los clientes de TI9.Admistracin de la configuracin
10.Administracin de problemas e incidentes11.Administracin de datos12.Administracin de Instalaciones13.Administracin de Operaciones
Tomar en consideracin que ahora se tiene COBIT 5
-
Controles de aplicacin
52
Son los controles embebidos en los programas para prevenir o detectartransacciones no autorizadas.
Combinadas con controles manuales contribuyen al aseguramiento de laintegridad, validez y registro adecuado de la informacin.
Algunos Ejemplos: Balanceo de transacciones (reconciliaciones detectando errores en la
entrada de datos) Dgitos de chequeo Listas predefinidas (Precios, Materiales, Proveedores) Limites de rangos o de valores.
-
Relacin : Controles Generales Relacionados con la Tecnologay Controles de aplicacin
53
La relacin entre los controles de aplicacin y los controles generales relacionados con la tecnologa es tal que los Controles Generales son normalmente necesarios para soportar el funcionamiento de los controles de aplicacin, y ambos son normalmente necesarios para asegurar el procesamiento completo y preciso de informacin.
Centro de datos y operaciones de red.
Adquisicin, cambios y mantenimiento de aplicaciones.
Cambios en los programas.
Seguridad de accesos.
Adquisicin, desarrollo y mantenimiento de programas (sistemas)
-
1.3.5. COSO II ERM : Componentes
54
INFORMACION Y COMUNICACION
Informacin y Comunicacin representa el proceso por medio del cual se asegura que la informacin relevante es identificada y comunicada de manera adecuada y oportuna a todo el personal de la entidad.
-
1.3.5. COSO II ERM : Componentes
55
El Monitoreo es el proceso que evala la calidad del desarrollo del Control Interno en el tiempo, mediante una evaluacin continua de los controles, tomando las acciones correctivas necesarias. Monitoreo Ongoing
Actividades regulares de la administracin Corroboracin de informacin (interna vs externa) Estructura organizacional apropiada Actividades de supervisin de las funciones de
control Verificacin de informacin Informacin de auditores (externos e internos) Reuniones peridicas Auto control
Evaluaciones Separadas Efectividad del Sistema de Control Interno Efectividad de los procedimientos ongoing
Informacin de deficienciasOngoing: trmino tcnico que significa estar actualmente en proceso, en continuo movimiento, hacia delante
MONITOREO
-
Permite a la Direccin de la empresa poseer una visin global del riesgo y accionarlos planes para su correcta gestin.
Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de loscontroles implantados, lo que permite su adecuada gestin. Toma de decisionesms segura, facilitando la asignacin del capital.
Alinea los objetivos del Grupo con los objetivos de las diferentes unidades denegocio, as como los riesgos asumidos y los controles puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y control interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de nuevasprcticas de Gobierno Corporativo.
Fomenta que la gestin de riesgos pase a formar parte de la cultura del Grupo.
Beneficios COSO ERM
56
-
Reducir sorpresas y prdidas operativas
Proveer respuestas integradas a riesgos mltiples.
Aprovechar las oportunidades
La gestin de riesgos proporciona rigor para identificar los riesgos y seleccionarentre las posibles alternativas de respuestas a ellos: mitigar, transferir, aceptar oevitar.
Beneficios COSO ERM
57
-
COSO ERM no garantiza que la entidad ser exitosa y lograr todos sus objetivos Limitaciones:
Cambios en polticas o programas del Gobierno Competencia Condiciones econmicas Malas decisiones Errores y equivocaciones Gerentes incompetentes Omisin o debilitamiento de control interno, colusin, ignorar el ERM
ERM no refleja una adecuada relacin costo-beneficio. Transgregacin Gerencial: Un gerente puede eludir intencionalmente las prcticas
establecidas debido a fines inadecuados (inobservancia gerencial a las polticas oprocedimientos prescritos).
Colusin: Dos o ms personas pueden colaborar para quebrar controles(confabulacin).
Limitaciones de COSO ERM
58
-
Es un cralo-todo con el que se pueden tomar decisiones basados en informacin100% confiable y basada en informacin sin margen de error.
Slo sirve para catalogar o tomar un inventario de todos los riesgos que afectan auna organizacin.
Con l, las auditoras sern infalibles.
ERS es sobre seguros
Es un proceso independiente y aislado del resto de la organizacin
Cuesta demasiado implementarlo
Mitos sobre COSO ERM
59
-
El paso 14 de mayo del 2013, se public la actualizacin de COSO I. No ha sido una labor breve, El Committe ha efectuado las siguientes etapas:
2010. Evaluacin y encuestas a las partes interesadas.
2011. Diseo y estructura marco actualizado
2012. Exposicin pblica, evaluacin y mejoras 2013. Finalizacin.
De los 5 componentes de Control Interno no varan con respecto al Marco Original publicado en el 1992, sin embargo, los principios y puntos de enfoque han sufridos cambios claves en cada uno de los componentes, esto a fin de mejorar y facilitar la implantacin y mantenimiento. A continuacin se detallan los cambios: Se aplica un enfoque basado en 17 principios Aclara la necesidad de establecer los objetivos estratgicos como condicin previa a la fijacin de los objetivos de
Control Interno. Refleja la relevancia incrementada de la Tecnologa de Informacin. Fortalece los conceptos de Gobierno Corporativo. Ampla el objetivo de reporte financiero, pasando a ser reporte en general. Fortalece la consideracin de las expectativas contra el fraude
Considera los diferentes modelos de negocio y estructuras organizacionales.
1.3.6. Nuevo marco de Control Interno COSO 2013
Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE60
-
A continuacin se detalla los 17 principios con los que se implementa un adecuado Control Interno, relacionndolos con sus correspondientes elementos:
Entorno de Control1. La Organizacin ha de demostrar su compromiso con la integridad y los valores ticos.2. El Consejo de Administracin debe demostrar independencia en la gestin y ejercer la supervisin del
desarrollo y ejecucin del control interno.3. La alta direccin debe establecer, con la supervisin del Consejo de Administracin: la estructura,
lneas de reporting, autoridad y responsabilidad en la consecucin de objetivos.4. En sinfona con los objetivos, la Organizacin debe demostrar su compromiso para atraer, desarrollar,
y retener personas competentes.
5. En la consecucin de los objetivos, la Organizacin debe disponer de personas responsables para atender sus responsabilidades de Control Interno.
1.3.6. Nuevo marco de Control Interno COSO 2013
Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE61
-
Evaluacin de Riesgos6. La Organizacin ha de especificar los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de riesgos relacionados.7. La Organizacin debe identificar y evaluar sus riesgos.8. La Organizacin gestionar el riesgo de fraude.9. La Organizacin debe identificar y evaluar los cambios importantes que podran impactar en el Sistema
de Control Interno.
Actividades de Control10. La Organizacin ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigacin
de los riesgos para el logro de sus objetivos.11. La Organizacin seleccionar y desarrollar Controles Generales sobre la Tecnologa de la
Informacin.
12. La Organizacin implementa sus actividades de control a travs de polticas y procedimientos adecuados.
1.3.6. Nuevo marco de Control Interno COSO 2013
Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE62
-
Informacin y Comunicacin13. La Organizacin ha de generar la informacin relevante para respaldar el funcionamiento de los otros
componentes del Control Interno.14. La Organizacin compartir internamente la informacin, incluyendo los objetivos y responsabilidades
para el control interno, necesaria para respaldar el funcionamiento de los otros componentes del Control Interno.
15. La Organizacin comunicar externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno.
Actividad de Monitoreo15. La Organizacin llevar a cabo evaluaciones continuas e individuales, con el fin de comprobar si los
componentes del control interno estn presentes y estn funcionando.
16. La Organizacin evala y comunica las deficiencias del control interno.
1.3.6. Nuevo marco de Control Interno COSO 2013
Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE63
-
Se destaca que para la evaluacin de riesgos se ha incluido los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos: Velocidad del riesgo: rapidez con la que impacta un riesgo en la organizacin una vez se ha
materializado , es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.
Persistencia de un riesgo: duracin del impacto despus de que el riesgo se ha materializado.
Modificacin de Roles y Responsabilidades de los participantes del proceso (CEO , CFO, tipos de Comits por Campos de Accin, Otros participantes a parte de los Auditores Externos Medio Ambiente, Comercio Justo, Seguridad Laboral, Proveedores Externos).
El nuevo COSO no nos obligar a introducir cambios inesperados en los procedimientos de Control Interno aplicables en las Organizaciones, pues lo que esta nueva edicin representa la materializacin formal de los cambios que evolutivamente se haban observado necesarios introducir para hacer eficientes el Control Interno de nuestras empresas, sin olvidar la inter-relacin que existe entre el denominado COSO II (ERM) y el COSO I, que ahora se ve explcitamente reconocida.
1.3.6. Nuevo marco de Control Interno COSO 2013
Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE64
-
FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.4. Riesgo y Control
65
-
1.4.1. Riesgo
Cualquier asunto que podra evitar
alcanzar los objetivos
66
-
1.4.1. Riesgo (cont)En el sentido ms amplio significa:
Exposicin a la adversidad
frente a un resultado esperado o deseado
67
-
1.4.1. Riesgo (cont)Segn Glosario:
Riesgo Es la posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en trminos de consecuencias y probabilidad.
Riesgo Residual Son los riesgos que permanecen despus de que la Direccin haya realizado sus acciones para reducir el impacto y la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en respuesta de un riesgo.
Interpretacin acadmicaEs una medida de incertidumbre que involucra el logro de los objetivos institucionales, lo que incluye las consecuencias y probabilidad de que un evento negativo ocurra.
68
-
1.4.1. Riesgo (cont)Segn diccionario.
Es la posibilidad o proximidad de un peligro o contratiempo // cada uno de los hechosdesafortunados que puede cubrir un seguro // conjunto de circunstancias que puedendisminuir el beneficio empresarial// estar expuesto a que se frustre el resultado deseado o a padecer alguna desgracia.
El riesgo es por si mismo una condicin de la existencia, es inherente a cualquier recurso o actividad; por ello el riesgo no se crea ni se destruye; solo se transforma
69
-
1.4.1. Riesgo (cont)El problema como contingencia del riesgo
La gama de riesgos que se enfrentan en una entidad depende, entre otros, de los siguientes factores:
El volumen de los recursos. La complejidad de las actividades. Estructura organizativa. Magnitud de recursos y productos. Giro de la empresa. Nivel de tecnificacin alcanzado. Lapso y momento evolutivo de la entidad. Marco competitivo nacional e internacional. La velocidad con que se desenvuelve la entidad.
70
-
1.4.1. Riesgo (cont)DIFERENCIAS ENTRE PROBLEMAS Y RIESGOS
Caractersticas Problema Riesgos
Latencia en el tiempo Temporal Permanente
Controles insuficientemente aplicados Detectivos y correctivos Preventivos
Posibilidad de medicin Ms cuantificable Menos cuantificable
Existencia Real Posible
Elemento generadorAgentes externos e
internosPor naturaleza
Asignacin de prioridad a su estudio y
tratamiento
De acuerdo a
emergencia
Segn experiencia e
intuicin
Posibilidad de anlisis para
identificacin de causas y
repercusiones
Mayor Menor
Evidencia Existente Inexistente
Momento de aparicin Presente Futuro
71
-
1.4.1. Riesgo (cont)RIESGOS AGRUPADOS POR NIVEL JERRQUICO
Hechos / Causas Riesgos / Efectos
Directivo
Indecisin Estancamiento de la entidad
Desconocimiento del entorno Sanciones legales
Desconocimiento de la entidad Inaplicabilidad de directrices
Imprecisin organizativa Conflicto interfuncional
Gerencial
Descoordinacin Ineficiencia
Desvaloracin Desmotivacin
Irresponsabilidad Fuga de recursos
Desinformacin econmica Incosteabilidad
Especialista
Desactualizacin Inaplicabilidad
Desestandarizacin Discontinuidad
Descalificacin Inoperabilidad
Desorientacin Incompatibilidad
Incompetencia Incosteabilidad
Operativo
Desacato Conflicto operativo
Desconocimiento Errores
Deshosnetidad Fraude
Desinters Merma
Desobligacin Accidentes72
-
APETITO DE RIESGO: nivel de riesgo que una organizacin est preparada para aceptar, tolerar o soportar en un momento determinado de tiempo (cuantitativo o cualitativo).
EVALUACIN DE RIESGOS: actividades para determinar el nivel de exposicin de un proceso frente a sus riesgos. Esto con el propsito de desarrollar estrategias de mitigacin, a travs de la instauracin y fortalecimiento de controles. Los riesgos pueden ser operacionales, estratgicos, de reporte, regulatorios o cumplimiento y de gobierno.
1.4.2. Riesgo Algunos conceptos
73
-
ADMINISTRACIN DEL RIESGO: La cultura, procesos yestructuras para administrar efectivamente eventos potencialmentenegativos. (Como no es posible eliminarlos totalmente, el objetivo esreducirlos a un nivel aceptable).
1.4.2. Riesgo Algunos conceptos
74
-
1.4.3. Riesgo Tipos
75
RIESGO INHERENTE: nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.
Fallas
Efecto en los
recursos
Riesgo
Inherente
-
1.4.3. Riesgo Tipos
76
RIESGO RESIDUAL: nivel resultante del riesgo despus de aplicar los controles.
Riesgo Inherente
Controles
Riesgo
Residual
-
1.4.4. Control
77
CONTROL: mecanismo que permite atenuar el riesgo inherente, con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que dicho riesgo se materialice.
Caractersticas de los controles:
Estn embebidos en las operacionesdel negocio.
Estn enfocadas en prevencin,deteccin o correccin.
Pueden ser manuales o automticos.
Ejemplos: backups, mecanismos de seguridad, planes de evacuacin.
-
1.4.5. Control - Tipos
78
Se disean para cumplir varias funciones:
Preventivos: Anticipan eventos no deseados antes de quesucedan.Detectivos: Identifican los eventos en el momento en quese presentan.Correctivos: Aseguran que las acciones correctivas seantomadas para revertir un evento no deseado.
-
1.4.5.1 Control - Preventivo
79
Son ms rentables
Deben quedar incorporados en los sistemas
Evitan costos de correccin o reproceso
-
1.4.5.2 Control - Detectivo
80
Son ms costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapapreventiva
Incluyen revisiones y comparaciones (registro dedesempeo)
Conciliaciones, confirmaciones, conteos fsicos deinventarios, anlisis de variaciones, tcnicasautomatizadas,
Lmites de transacciones, passwords, edicin dereportes y auditora interna.
-
1.4.5.3 Control - Correctivo
81
Acciones y procedimientos de correccin (larecurrencia)
Documentacin y reportes que informan a laGerencia, supervisando los asuntos hasta queson corregidos o solucionados
-
1.4.6. Control: Manual | Automtico
82
Manuales: Controles que son efectuados fuera de cualquier aplicativo de TI (ej.: Control manual de acceso al centro de cmputo)
Automticos: Controles automticos encontrados en todos los tipos de ambientes, sin tener en cuenta la plataforma tecnolgica, el aplicativo o sistema que est siendo usado (ej.: validaciones, clculo, interfaz entre aplicaciones, reportes, accesos).
-
1.4.7. Riesgo y Control Visin del RiesgoPasado
El monitoreo de riesgo es un funcin exclusiva de los auditores internos.
El riesgo es un factor negativo a ser controlado
Los riesgos son administrador en forma aislada.
La medicin de riesgos es subjetiva
Las funciones de administracin de riesgos no estn estructuradas y son divergentes.
La revisin de riesgos se realiza peridicamente por auditora interna.
Presente y futuro El monitoreo de riesgo es responsabilidad
de todos.
El riesgo puede considerarse tambin como una oportunidad.
Los riesgos son administrados a travs de un proceso integrado.
El riesgo es casi siempre cuantificado.
La administracin de riesgos es implementada dentro de una estructura integrada.
La revisin de riesgos acontece a travs de auto evaluacin constante.
83
-
1.4.8. Riesgo y Control Metodologa de Gestin de Riesgos
84Fuente: COSO ERM
-
1.4.9. Derivados del Proceso de Administracin de Riesgos1. Mapa de Procesos (vinculado con los objetivos corporativos)
2. Inventario de Riesgos (general y detallado por procesos).
3. Anlisis sobre Impacto Probabilidad (votacin).
4. Mapa de Riesgos.
5. Matriz de Administracin de Riesgos (controles a implementarse para: evitar, reducir, compartir o aceptar el riesgo)
85
-
1.4.10. Mapa de Procesos Ejemplo de una compaa que lleva una red de pagos
86Fuente: Deloitte.
-
1.4.11. Mapa de Procesos Ejemplo de una compaa comercial
87Fuente: Deloitte.
-
1.4.12. Mapa de Procesos Ejemplo de una compaa minera
88
Adquisicin de Productos y
Servicios
Produccin y explotacin de
minas
-
Medio ambiente salud y seguridad industrial
Procesos de
gerenciamiento y
soporte
Jurdica fiscal y tributaria
Tecnologa
Tesorera
Contabilidad y reportes financieros
Recursos humanos
Administracin de inventarios y
control de produccin
Logstica y fletes
Ventas y facturacin
Activos fijos e inversiones
Planeacin estrategicaProcesosestrategico
Procesos CORE
Fuente: Deloitte.
-
1.4.13. Mapa de Procesos Ejemplo de una empresa de microfinanzas
89
-
1.4.14. Inventario de Riesgos Ejemplo de una compaa que lleva una red de pagos
90Fuente: Deloitte.
-
1.4.15. Inventario de Riesgos Ejemplo de una empresa de microfinanzas
91
-
1.4.16. Modelo de Riesgos: Fuente Protiviti.
92
-
1.4.17. Modelo de Riesgos: The Risk MapDeloitte & Touche
93Fuente: Deloitte.
-
1.4.18. Categoras de Riesgos del IIA.
94Fuente: IIA
-
1.4.18. Categoras de Riesgos del IIA.
95Fuente: IIA
-
1.4.19. Categoras de Riesgos: Fuente Deloitte & Touche
96Fuente: Deloitte.
-
1.4.20. Procesos de votacin - ProbabilidadEjemplo de criterios para definir la PROBABILIDAD de ocurrencia
Criterio Descripcin
5. Esperado En la ausencia de cualquier control puede ocurrir desfalco o errores severos en el ao o periodo.
4. Muy Probable En la ausencia de cualquier control, es muy probable que ocurra desfalco o errores por lo menos una vez al ao o periodo.
3. Probable En la ausencia de cualquier control, es probable que ocurra desfalco o errores por lo menos una vez al ao o periodo
2. No ProbableEn la ausencia de cualquier control, es baja la probabilidad de que el desfalco o errores ocurran por lo menos una vez al ao o periodo.
1. Leve En la ausencia de cualquier control, no se espera el desfalco o los errores en los prximos 1-2 aos o periodo.
97Fuente: Deloitte.
-
1.4.21. Procesos de votacin - ImpactoEjemplo de criterios para determinar el IMPACTO
Criterio Duracin Regulaciones y requerimientos estatutarios Fraude
5. Crtico Impacto potencialmente irreparable
Inhabilitado para cumplir con las regulaciones y requisitos estatutarios. Prdida de concesin y/o prdida del negocio.
El fraude a nivel ejecutivo tiene un impacto material directo a la organizacin y tambin al declive del precio accionario, el deterioro de la reputacin, el impacto legal y regulatorio, etc.
4. Significativo Recuperable a largo plazo
Significativos esfuerzos sonnecesarios para cumplir con regulaciones y requisitos estatutarios. Las multas son materiales y acarrean el deterioro de la reputacin.
El fraude por lo empleados, agentes, vendedores u otras personas tiene un impacto directo a la organizacin o a las unidades comerciales deteriorando la reputacin, impacto legal y regulatorio, etc.
3. Alto Recuperable a corto plazoMuchos recursos son necesarios para cumplir regulaciones y requisitos estatutarios. Gran distraccin para la organizacin.
No es potencialmente susceptible al fraude
2. Moderado Temporal
Algunos recursos son necesarios para cumplir regulaciones y requisitos estatutarios. Gran distraccin para la organizacin.
No es potencialmente susceptible al fraude
1. Bajo Impacto limitado No es potencialmente susceptible al fraude
98Fuente: Deloitte.
-
1.4.22. Procesos de votacin - EvaluacinEvaluacin
A Esperado 5
B Muy Probable 4
C Probable 3
D No Probable 2
E Leve 1
Probabilidad de ocurrencia
F Crtico 5
G Significativo 4
H Alto 3
I Moderado 2
J Bajo 1
Impacto
Actividad Calificacin
B x F 1 20
A x H 2 15
C x I 3 6
D x J 4 2
D x F 5 10
C x F 6 15
99http://www.sivagroup.co/
-
1.4.22. Procesos de votacin - Evaluacin1. Tormenta de ideas sobre riesgos y oportunidades2. Identificar de raz las causas y las correlaciones3. La mejor forma es tener sesiones de facilitacin4. Calcular el impacto del riesgo usando la misma medida de los objetivos5. Calcular los escenarios mnimo, mximo y probable6. Preparar un programa de riesgo7. Priorizar riesgos y oportunidades basados en su valor ponderado8. Identificar los riesgos clave que requieren atencin estratgica
Tormenta de ideas
Peso/Clculo
Priorizar
100Fuente: Deloitte.
-
1.4.23. Mapa de riesgos
Bajo impactoAlta probabilidad
Alto impactoBaja probabilidad
Alto impacto
Alta probabilidad
Bajo impactoBaja probabilidad
Riesgo (Alto)
Riesgo(Medio)
Riesgo (medio)
Bajo (Riesgo)
Baja
Alta
Alta
IMPACTO
PROBABILIDAD
101
-
1.4.23. Mapa de riesgos
102
1
1 52 3 4
2
3
4
5
Probabilidad
I
m
p
a
c
t
o
Riesgos clave
Posibilidad de que la magnitud del Riesgo afecte el cumplimiento de los objetivos o la eficacia de las estrategias de la compaa
Nivel de exposicin para que un riesgo se materialice, considerando la estructura de control actual de la compaa
Riesgos no aceptables
-
1.4.24. Matriz de riesgos Ejemplo de una empresa de microfinanzas
103
-
1.4.25. Matriz de riesgos Ejemplo de una empresa de comercial
104Fuente: Deloitte.
-
1.4.26. Matriz de riesgos Ejemplo de una compaa que lleva una red de pagos
105Fuente: Deloitte.
-
1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos IIA
Fuente: IIA106
-
1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos IIA
Fuente: IIA107
-
1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos de seguridad de la informacin
108Fuente: Deloitte.
-
1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos corporativos
109Fuente: Deloitte.
-
1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos de continuidad
110Fuente: Deloitte.
-
2. GESTIN DE RIESGOS DE TI2.1. Algunos conceptos de Riesgos Tecnolgicos
111
-
Riesgo tecnolgico: Su medicin como prioridad para el aseguramiento del negocio
El empleo de la tecnologa es una de las decisiones ms comunes en la eleccin de estrategias, incrementando la dependencia al uso de informacin electrnica dentro de las organizaciones.
La tecnologa deja de ser un miembro pasivo y se convierte en un elemento importante para la operacin de los negocios.
2.1.1. Riesgos Tecnolgicos - Antecedentes
112
-
2.1.2 Relacin de la tecnologa con los procesos de negocio
Para tener mayor claridad la relacin del riesgo tecnolgico con el negocio, se observa el flujo existente en la figura, en la que se detallan los vnculos directos entre los componentes de la tecnologa, los procesos, el logro de objetivos, el cumplimiento de metas y hasta la satisfaccin de los stakeholders.
Fuente: Gustavo A. Sols Montes, (CobiT User Convention-CobiT y la administracin de riesgos). 113
-
2.1.3. Riesgos Tecnolgicos La tecnologa se vuelve parte de la operacin y su funcionamiento no puede
aislarse de los dems elementos del proceso.
Todos los integrantes en conjunto tienen un solo objetivo.
Sin embargo, como en todo proceso, existe el factor llamado riesgo
El riesgo est presente en la tecnologa y como se puede observar en la siguiente figura 2, est inmerso dentro de la operacin del negocio.
114
-
2.1.4. Distribucin de los riesgos Riesgo Tecnolgicos
Fuente: Gustavo A. Sols Montes, (CobiT User Convention-CobiT y la administracin de riesgos). 115
-
2.1.5. Riesgo tecnolgico Definicin Riesgo tecnolgico: es aquella posibilidad de que ocurra un evento relacionado con la tecnologa y que afecte adversamente el logro de los objetivos del negocio.
116
Existen algunas guas o bases que se pueden utilizar sobre los riesgos tecnolgicos, como la que proporciona el ITGI (Information Technology GovernanceInstitute). Aunque: Depende de las caractersticas de cada una de las
compaas, El tipo de tecnologa que est utilizando. Procesos a los que sta est relacionada dentro de
la operacin.
(sin ser stos los nicos existentes, ya que dependen de la operacin de cada empresa y de la constante
innovacin tecnolgica que existe).
-
Controles automticos
Controles Generales Relacionados con la
Tecnologa
Fuente: Deloitte & Touche
2.1.6. Afectacin de la tecnologa con el ambiente de control
117
-
2.1.8 Tipo de eventos de riesgos con los aspectos de tecnologa relacionados (ejemplos)
Tipo de evento Aspecto de TIFraude Interno Manipulacin deliberada de los programas
Uso no autorizado de funciones para modificacin de programas.Manipulacin deliberada de las instrucciones del sistemaManipulacin deliberada del hardwareCambios deliberados a los sistemas y aplicaciones por medio de accesos internos no autorizados.Uso indebido de software no autorizado o sin licenciaEvasin interna de los privilegios de acceso
118
-
2.1.8 Tipo de eventos de riesgos con los aspectos de tecnologa relacionados (ejemplos)
Tipo de evento Aspecto de TIFraude externo Cambios deliberados a los sistemas y aplicaciones mediante
accesos externos no autorizadosObtencin de acceso por parte de intrusos hacia documentos fsicos o electrnicosEvasin externa de los privilegios de acceso Intercepcin de los canales de comunicacinContraseas comprometidasVirus
Contratacin y lugar de trabajo
Divulgacin de informacin sensitiva hacia terceros por parte de los empleadosAdministracin de proveedores
119
-
2.1.8 Tipo de eventos de riesgos con los aspectos de tecnologa relacionados (ejemplos)
Tipo de evento Aspecto de TIDao a activos fsicos
Daos intencionales o accidentales a la infraestructura fsica de tecnologa de informacin
Interrupcin del negocio y fallas en los sistemas
Mal funcionamiento de hardware o softwareFallas en las comunicacionesSabotaje de los empleadosPrdida de personal clave de tecnologaDestruccin de archivos de datos o softwareRobo de software o informacin sensitivaVirus computacionalesFallas en los respaldos de informacinAtaques para denegar el servicioErrores en la configuracin
120
-
2.1.8 Tipo de eventos de riesgos con los aspectos de tecnologa relacionados (ejemplos)
Tipo de evento Aspecto de TIAdministracinde procesos, ejecucin y entrega
Errores en la manipulacin de datos electrnicos Estaciones de trabajo sin atencinErrores al realizar cambios
Entradas de datos incompletas a las transacciones del sistemaErrores de entrada o salida de datosErrores de programacin o de pruebasErrores de operacinErrores de procesamiento manual
Fuente: ISACA, The IT Dimension of Basel II
121
-
La decisin de incorporar tecnologa en los procesos del negocio, trae consigo la decisin de administrar el
riesgo tecnolgico correspondiente
quien no arriesga, no gana
2.1.9. Administracin de riesgos
122
-
2.1.9. Administracin de riesgos Existen dos factores que no deben pasarse por alto al hablar de riesgo:
impacto (efectos que pueda tener para el negocio); y, probabilidad (posibilidad de que ocurra el evento);
La combinacin de estos factores proporcionarn un panorama sobre las consecuencias que pudiera llegar a sufrir el negocio.
Anlisis de riesgos. Es la etapa en la que se recopila la informacin acerca de la exposicin de la operacin al riesgo tecnolgico, con el fin de tomar decisiones y administrar los riesgos de forma apropiada.
123
-
2.1.10. Proceso de administracin de riesgo
Fuente: Gustavo A. Sols Montes, (CobiT User Convention-CobiT y la administracin de riesgos). 124
-
2.1.11. Tratamiento de riesgo
125
-
2.1.12. Efecto esperado de las acciones de tratamiento
Fuente: Gustavo A. Sols Montes, (CobiT User Convention-CobiT y la administracin de riesgos). 126
-
2.1.13. Medicin de un riesgo tecnolgico Para medir un riesgo tecnolgico es importante:
Cualitativo: magnitud de las consecuencias relacionadas con el riesgo Cuantitativo: cantidad de ocurrencias relacionadas con el riesgo
Con cada una se puede hacer la medicin y determinar los valores que proporcionen la severidad del impacto y la probabilidad de ocurrencia.
Con la administracin del riesgo se podr dar un tratamiento a cada uno de los casos que se presenten, con base en su impacto y probabilidad.
Sin embargo, hay que preguntar:
quin va a medir los riesgos tecnolgicos? Y de quin es la responsabilidad?
127
-
2.1.13. Medicin de un riesgo tecnolgicoLa participacin de los stakeholders dentro de la medicin
del riesgo tecnolgico debe ser una prioridad para el negocio?
Quiz la respuesta sera, si se trata de riesgos de tecnologa, que la responsabilidad es de las reas de Tecnologas de Informacin (TI); aunque, surge otra pregunta cmo va a determinar el personal de TI la magnitud del impacto al proceso de negocio y a los objetivos de la empresa?, porque a pesar de formar parte de la operacin, no conforma todo el proceso.
Por eso la participacin de los stakeholders dentro de la medicin del riesgo tecnolgico debe ser una prioridad para el negocio, con la finalidad de identificarcon claridad los riesgos, las consecuencias, las actividades requeridas para su administracin, as como medir y determinar la prdida (en nmeros), en caso de que se materialice el riesgo.
128
-
Importancia de la participacin de los stakeholders:
Encuesta realizada por el ITGI a 200 profesionales de TI, en 14 pases (incluyendo el continente americano), de la totalidad de encuestados:
Slo en 37% de las compaas, los stakeholders de las unidades de negocio participan en el proceso de
administracin de riesgos tecnolgicos.
2.1.13. Medicin de un riesgo tecnolgico
129
-
2. GESTIN DE RIESGOS DE TI2.2. Principales marcos para la Administracin de Riesgos de TI
130
-
2.2. Principales marcos para la Administracin de Riesgos de TI COBIT Control Objectives for Information and related Technology (ISACA).
ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin.
AS/NZS 4360 [Australia/Estndares Nueva Zelanda]
IT Risk (ISACA).
MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (Gobierno de Espaa).
OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de Amenazasy Vulnerabilidades de Recursos Crticos Operacionales (Carnegie MellonUniversity).
NIST National Institute of Standards and Technology; Risk Management Guide for InformationTechnology Systems.
131
-
2. GESTIN DE RIESGOS DE TI2.3. Riesgo Operativo
132
-
El riesgo operativo es la posibilidad de ocurrencia de prdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnologa de informacin y por eventos externos.
El riesgo operativo incluye el riesgo legal en los trminos establecidos en la norma. (fallas o deficiencias en el cumplimiento de las disposiciones legales)
El riesgo operativo no trata sobre la posibilidad de prdidas originadas en cambios inesperados en el entorno poltico, econmico y social.
2.3. Riesgo OperativoQu es?
Resolucin No JB-2005-834 de 20 de octubre del 2005133
-
Con el propsito de que se minimice la probabilidad de incurrir en prdidas financieras atribuibles al riesgo operativo, deben ser adecuadamente administrados los siguientes aspectos, los cuales se interrelacionan entre s:
2.3. Riesgo OperativoFactores del Riesgo Operativo
Procesos Personas
Tecnologa de Informacin Eventos Externos
Factores de Riesgo
Definir criterios
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Mitigar riesgos
Monito
rear y
Revisa
r
Com
unica
r y
Consulta
r
Etapas de la Administracin del Riesgo Operativo
134Resolucin No JB-2005-834 de 20 de octubre del 2005
-
Con el objeto de garantizar la optimizacin de los recursos y la estandarizacin de las actividades, las instituciones controladas deben contar con procesos definidos de conformidad con la estrategia y las polticas adoptadas, que debern ser agrupados de la siguiente manera:
Procesos gobernantes o estratgicos.
Procesos productivos, fundamentales u operativos.
Procesos habilitantes, de soporte o apoyo.
2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]
135Resolucin No JB-2005-834 de 20 de octubre del 2005
-
2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]Ejemplo de una compaa comercial
136Resolucin No JB-2005-834 de 20 de octubre del 2005
-
2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]Ejemplo de una compaa comercial
137Resolucin No JB-2005-834 de 20 de octubre del 2005
-
2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]Ejemplo de una compaa minera
Adquisicin de Productos y
Servicios
Produccin y explotacin de
minas
-
Medio ambiente salud y seguridad industrial
Procesos de
gerenciamiento y soporte
Jurdica fiscal y tributaria
Tecnologa
Tesorera
Contabilidad y reportes financieros
Recursos humanos
Administracin de inventarios y
control de produccin
Logstica y fletes Ventas y facturacin
Activos fijos e inversiones
Planeacin estrategicaProcesosestrategico
Procesos CORE
138Resolucin No JB-2005-834 de 20 de octubre del 2005
-
Las polticas deben referirse por lo menos a: 1. diseo claro de los procesos.2. descripcin en secuencia lgica y ordenada
de las actividades, tareas, y controles; 3. determinacin de los responsables de los
procesos.4. difusin y comunicacin de los procesos.5. actualizacin y mejora continua.
Las instituciones controladas debern mantener inventarios actualizados de los procesos existentes, que cuenten, como mnimo con la siguiente
informacin: tipo de proceso (gobernante, productivo y de
apoyo), nombre del proceso, responsable, productos y servicios que genera el proceso, clientes internos y externos, fecha de aprobacin, fecha de actualizacin, adems de sealar si se trata de un proceso
crtico.
2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]
139Resolucin No JB-2005-834 de 20 de octubre del 2005
-
Identificar apropiadamente las fallas o insuficiencias asociadas al factor personas, tales como:
falta de personal adecuado, negligencia, error humano, nepotismo de conformidad con las disposiciones legales vigentes, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los trminos de contratacin del personal, entre otros.
Se deber definir formalmente polticas, procesos y procedimientos que contemplen:Procesos de incorporacinProcesos de permanenciaProcesos de desvinculacin
2.3. Riesgo OperativoFactores del Riesgo Operativo [Personas]
140Resolucin No JB-2005-834 de 20 de octubre del 2005
-
Contar con la tecnologa de informacin que garantice la captura, procesamiento, almacenamiento y transmisin de la informacin de manera oportuna y confiable;
Evitar interrupciones del negocio; y,
Lograr que la informacin, inclusive aquella bajo la modalidad de servicios provistos por terceros, sea ntegra, confidencial y est disponible para una apropiada toma de decisiones.
2.3. Riesgo OperativoFactores del Riesgo Operativo [Tecnologa de Informacin]
141Resolucin No JB-2005-834 de 20 de octubre del 2005
-
Se debe definir formalmente polticas, procesos y procedimientos que aseguren la adecuada planificacin y administracin de la tecnologa de informacin, se debe considerar al menos lo siguiente:
Soporte adecuadamente los requerimientos de operacin actuales y futuros de la entidad.Satisfagan los requerimientos de la entidad.Que el sistema de administracin de seguridad satisfaga las necesidades de la entidad para salvaguardar la informacin contra el uso, revelacin y modificacin no autorizados, as como daos y prdidas.Garantizar la continuidad de las operaciones.Garantizar que el proceso de adquisicin, desarrollo, implementacin y mantenimiento de las aplicaciones satisfagan los objetivos del negocio.Garantizar que la infraestructura tecnolgica que soporta las operaciones, sea administrada, monitoreada y documentada de forma adecuada.Seguridad en canales electrnicosCajeros automticosPuntos de ventaBanca electrnicaBanca mvilSistemas de audito respuestasCorresponsales no bancarios
2.3. Riesgo OperativoFactores del Riesgo Operativo [Tecnologa de Informacin]
142Resolucin No JB-2005-834 de 20 de octubre del 2005
-
En la administracin del riesgo operativo, las instituciones controladas deben considerar la posibilidad de prdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como:
fallas en los servicios pblicos, ocurrencia de desastres naturales, atentados y otros actos delictivos,
Los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.
2.3. Riesgo OperativoFactores del Riesgo Operativo [Eventos Externos]
143Resolucin No JB-2005-834 de 20 de octubre del 2005
-
2.3. Riesgo OperativoFactores del Riesgo Operativo [Resumen]
Personas
Tecnologa de informacin
Procesos
Inversin en TecnologaDesarrollo de sistemas
Seguridad en los sistemasCapacidad/Fallas
Fraude de empleados
Leyes laboralesFalta de personal
clave
Tasas o plazos Procesamiento de
transaccionesDocumentacin
ProveedoresDesastres naturales
Atentados
Internos Eventos Externos
144Resolucin No JB-2005-834 de 20 de octubre del 2005
-
El diseo del proceso de administracin de riesgo operativo deber permitir
2.3. Riesgo OperativoAdministracin del riesgo operativo
Identificar Medir Controlar Monitorear
Exposiciones
145Resolucin No JB-2005-834 de 20 de octubre del 2005
-
2. GESTIN DE RIESGOS DE TI2.4. The Risk intelligence Map
146
-
2.4. The Risk intelligence Map
El Risk Intelligence Map es una recopilacin de situaciones (QUE) que pueden existir en una organizacin, pueden existir ms.
La estructura del Risk intelligence Map se deriva de COSO ERM. 147Fuente: Deloitte.
-
2.4. The Risk intelligence Map
148
Fuente: Deloitte.
-
2.4. The Risk intelligence Map
149
Fuente: Deloitte.
-
2. GESTIN DE RIESGOS DE TI2.5. Revisin marco COBIT 4.1
150
-
Evolucin
151Fuente: ISACA.ORG
-
Relacin entre marcos y normas
152Fuente: ISACA.ORG
-
Dnde encaja COBIT?
153Fuente: ISACA.ORG
-
Procesos de Tecnologa de la Informacin -COBIT COBIT establece los procesos de gestin de la Tecnologa de la Informacin.
Estos procesos permiten realizar todas las actividades necesarias para lograr efectividad y eficiencia en las operaciones de Tecnologa de la Informacin.
Adicionalmente, provee un modelo de madurez para identificar la situacin de la Gestin de Tecnologa de la Informacin.
154
-
Marco de Trabajo COBIT El Marco de Trabajo COBIT fue creado con las siguientes caractersticas
principales: Enfocado al Negocio Orientado a Procesos Basado en Controles Dirigido por Mediciones
COBIT es el acrnimo de Control Objectives for Information and related Technology.
155
-
COBIT: Premisa El marco de trabajo COBIT est basado en la premisa que la tecnologa de la
informacin debe entregar la informacin que la empresa requiera, para alcanzar sus objetivos.
El Marco de Trabajo COBIT ayuda a alinear la tecnologa de la informacin con el negocio, enfocndose en los requerimientos de informacin del negocio y organizando los recursos de TI. COBIT provee el marco de referencia y la gua para implementar el gobierno de TI
156Fuente: ISACA.ORG
-
COBIT: Principio El Principio del Marco de Trabajo COBIT; es unir las expectativas que la alta
direccin tiene de tecnologa con las responsabilidades administrativas. El objetivo, es facilitar el Gobierno de TI para entregar valor mientras se administran sus riesgos tecnolgicos.
157Fuente: ISACA.ORG
-
Marco de Trabajo COBIT 4.1 Como Marco de referencia de control y gobierno para TI, COBIT se enfoca en dos
reas claves: Proveyendo la informacin requerida para soportar los objetivos y requerimientos
de la organizacin. Tratando la informacin como resultado de la aplicacin combinada de recursos
relacionados con TI que necesitan ser administrados por procesos De TI.
Procesos de TI
Requerimientos de la organizacin
Enfoque de control
Consideraciones
Criterios de informacinEfectividadEficienciaConfidencialidadIntegridadDisponibilidadConformidadConfiabilidad
158Fuente: ISACA.ORG
-
Cubo COBIT 4.1 COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios:
Planear y Organizar Adquirir e Implementar Entrega y Soporte Monitorear y Evaluar
Procesos son series de actividades con lmites de control naturales. Existen 34 procesos a travs de cuatro dominios. Estos procesos especifican lo que el negocio necesita para cumplir sus objetivos. La entrega de informacin es controlada por los 34 procesos de TI.
Actividades son acciones que son requeridas para alcanzar resultados medibles. Incluso, las actividades tienen ciclos de vida e incluyen muchas tareas discretas.
159Fuente: ISACA.ORG
-
COBIT 4.1
160Fuente: ISACA.ORG
-
Cubo COBIT 4.1: Dominios de TIPlanear y Organizar(PO) Objetivos:
Formular estrategias y tcticas Identificar como la TI puede contribuir a alcanzar los objetivos de la
organizacin. Planear, comunicar y administrar la realizacin de la visin estratgica. Implementar la infraestructura organizacional y tecnolgica.
Enfoque: Estn la TI y la organizacin estratgicamente alineados? Est logrando la organizacin un ptimo uso de sus recursos? Todo mundo en la organizacin entiende los objetivos de TI? Los riesgos de TI estn siendo entendidos y administrados? La calidad de los sistemas de TI es apropiada para las necesidades de
la organizacin?
161
-
Cubo COBIT 4.1: Dominios de TIAdquirir e Implementar (AI) Objetivos:
Identificar, desarrollar o adquirir, implementar e integrar las soluciones de TI.
Cambios y mantenimiento de los sistemas existentes. Enfoque:
Los nuevos proyectos entregarn soluciones que satisfagan las necesidades de negocio?
Los nuevos proyectos se entregarn a tiempo y dentro del presupuesto?
Funcionarn los nuevos sistemas apropiadamente cuando se implementen?
Los cambios sern hechos sin afectar las actuales operaciones de negocios?
162
-
Cubo COBIT 4.1: Dominios de TIEntrega y Soporte (DS) Objetivos:
El proceso de entrega de los servicios requeridos. La administracin de la Seguridad, continuidad, datos e instalaciones
operativas. Servicio de soporte para usuarios.
Enfoque: Los servicios de TI son entregados de acuerdo a las prioridades
institucionales? Los costos de TI estn optimizados? La fuerza laboral es capaz de utilizar los sistemas TI de forma
productiva y segura? Son adecuadas la confidencialidad, integridad y disponibilidad de los
sistemas?
163
-
Cubo COBIT 4.1: Dominios de TIMonitorear and Evaluar (ME) Objetivos:
Administracin del Desempeo Monitoreo del Control Interno Garantizar el cumplimiento regulatorio Proveer gobierno de TI
Enfoque: El desempeo de TI es medido para detectar problemas antes que sea
demasiado tarde? La administracin asegura que los controles sean efectivos y
eficientes? Puede vincularse el desempeo de TI a las metas de negocio? Los riesgos, controles, incumplimientos y desempeo son medidos y
reportados?164
-
Modelo de Madurez de COBIT
0 El proceso no es realizado. 1 El proceso es realizado sin planificacin. 2 El proceso se realiza siguiendo un patrn regular. 3 El proceso est documentado y comunicado. 4 El proceso es monitoreado y medido. 5 Las prcticas lderes son seguidas y automatizadas.
165
Nivel de Documentacin y Concientizacin
N
i
v
e
l
d
e
E
f
e
c
t
i
v
i
d
a
d
y
C
u
m
p
l
i
m
i
e
n
t
o
Grado de Supervisin de la GerenciaNivel de Confianza en los ControlesSofisticacin de las Actividades de Monitoreo
Estado empresarial actual
Estndar internacional
Mejor prctica en la industria
Estrategia empresarial
-
COBIT 5
166Fuente: ISACA.ORG
-
Principales diferencias entre COBIT 4.1 y COBIT 5
Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado EDM Evaluar, Dirigir & Monitorear y que cubre el antiguo proceso ME4 de COBIT 4.
La cantidad de procesos se ha incrementado de 34 a 37
Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:
PO10 Administrar los proyectos, pas al Dominio BAI. AI5 Procurar recursos de IT, pas al Dominio APO. DS1 Definir y Administrar los niveles de servicio, pas al Dominio APO. DS2 Administrar los servicios de Terceros, pas al Dominio APO. DS3 Administrar el desempeo y la capacidad, pas al Dominio BAI. DS6 Identificar y asignar costos, pas al Dominio APO. DS7 Educar y Entrenar a los usuarios, pas al Dominio APO.
En el dominio APO Administrar, Planear y Organizar, se observa mayor reorganizacin interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.
El proceso DS12 Administrar el Ambiente Fsico ahora forma parte del DSS5 Gestionar los Servicios de Seguridad
Existen nuevos procesos cuyo contenido es en su mayora producto de COBIT 5, como mencionamos EDM1 Definir el Framework para el Gobierno APO1 Definir el Framework para el Administracin APO4 Gestionar Innovacin APO13 Gestionar Seguridad (tambin hay un Proceso DSS05 Gestionar los Servicios de Seguridad) BAI8 Gestin del Conocimiento
167Fuente: ISACA.ORG
-
COBIT 5: Principios
COBIT 5 permite que la informacin y la tecnologa relacionada pueda ser gobernada y administrada de manera integral para toda la empresa, teniendo en cuenta los intereses relacionados con TI de las partes interesadas internas y externas.
Los 5 principios de COBIT y los facilitadores son de carcter genrico y til para las empresas de todos los tamaos, ya sea comercial, sin fines de lucro o en el sector pblico.
168Fuente: ISACA.ORG
-
2. GESTIN DE RIESGOS DE TI2.6. Metodologa para realizar un anlisis de riesgos de Confidencialidad, Integridad y Disponibilidad
169
-
Objetivos
Brindar los conceptos bsicos relacionados con el anlisis de riesgos de los activos de informacin electrnica
Presentar la Metodologa de Anlisis de Riesgos
170
-
La seguridad informtica no es un esfuerzode una sola vez
IT Governance Institute, 2005
171
-
2.6.1. Conceptos bsicos Activo de informacin : en medio electrnico, magntico, ptico, papel u otro que
almacena o procesa informacin
172
-
2.6.1. Conceptos bsicosInventario de activos de informacin electrnica: Existen diferentes enfoques para obtener un inventario de activos de informacin Especficamente nos interesa un inventario que permita relacionar:
Proceso de la compaa Activo de la informacin Tipo de activo Dueo Nivel de impacto por prdida de:
Confidencialidad Integridad Disponibilidad
173
-
2.6.2. Metodologa de Anlisis de RiesgosEnfoque normativo
Las actividades a realizar se han definido con base en el estndar ISO27001:2005
Porqu basarse en este estndar?
Conocer el nivel de seguridad existente en la informacin de la compaa
Tener suficientes elementos para abordar inversiones futuras siguiendo no slo criterios de capacidad sino tambin de seguridad.
Provee un modelo para establecer y administrar un sistema de gestin de la seguridad de la informacin (ISMS) efectivo
174
-
2.6.2. Metodologa de Anlisis de RiesgosEnfoque normativo
175
PHVAPDCA
-
2.6.2. Metodologa de Anlisis de RiesgosEnfoque normativoPLAN: Establecer el ISMS: Definir el alcance del ISMS Definir una poltica de ISMS Definir un enfoque de anlisis de riesgos Identificar los riesgos Analizar y evaluar los riesgos Identificar y evaluar las opciones de tratamiento de riesgos Seleccionar los objetivos de control y los controles para el tratamiento de riesgos Obtener la aprobacin del riesgo residual Autorizar la implementacin y operacin del ISMS Preparar una declaracin de aplicabilidad
Actividades de Anlisis de Riesgos que permiten identificar los requerimientos de seguridad de la informacin del negocio
176ISMS: Information Security Management System
-
2.6.2. Metodologa de Anlisis de RiesgosLa metodologa La metodologa de evaluacin de riesgos es la siguiente:
FASE I:
Identificar y calificar los activos de informacin
FASE II:
Identificar y evaluar los riesgos
FASE III:
Identificar y seleccionar
alternativas de tratamiento de los
riesgos
177Fuente: Deloitte.
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin
Esta fase se realiza por procesos de negocio de la compaa.
Mediante la realizacin de entrevistas con los dueos de la informacin se ejecutan las siguientes actividades:
Obtener entendimiento de los procesos Identificar la informacin necesaria para el desarrollo de los
procesos y la informacin generada por las actividades que componen los procesos.
Identificar los activos de informacin que almacenan o procesan la informacin identificada.
Determinar el nivel cualitativo (o cuantitativo) de impacto asociado a la Confidencialidad, Integridad y Disponibilidad para cada activo.
178
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin Se califica el nivel de impacto por prdida de confidencialidad, integridad y
disponibilidad para cada uno de los criterios:
Financiero prdidas econmicas para la
compaa.
Eficiencia del procesoReejecucin o ejecucin lenta de los procesos de
negocio.
Servicio al cliente Afectacin de la imagen o de la calidad del servicio a los clientes de la compaa.
179
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin Los dueos de la informacin califican el nivel de impacto en una escala de 1 a 5,
siendo: 5 la calificacin ms alta (mayor impacto) 1 la calificacin ms baja (menor impacto)
Las calificaciones se promedian y se obtiene una calificacin nica por activo
Nivel de Impacto (1-5)
Activo Confidencialidad promedio
Integridad promedio
Disponibilidad promedio
Calificacin promedio
Activo 1 4.33 1.33 3 2.89
Activo 2 2.33 4 4 3.11
Activo n 3.33 5 3.67 4.00
180
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin
181Fuente: Deloitte.
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin
La calificacin numrica se convierte a una escala de Alto, Medio yBajo
Las calificaciones de los activos de informacin electrnica puedeasimilarse como un fenmeno que sigue un modelo normal dedistribucin de probabilidad.
182
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCon base en este hecho se clasifican los activos:
: Media: Desviacin estndar
Para cada uno de los activos que obtienen una clasificacin de impacto Alto seejecutan las Fases II y III de la metodologa que se definen en lminas siguientes.
Clasificacin Calificacin de impacto
Alto Mayor o igual a +
Medio Mayor a
Menor a +
Bajo Menor o igual a -
183
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCuestionario identificacin de activos
184Fuente: Deloitte.
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCuestionario identificacin de activos
185Fuente: Deloitte.
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCuestionario identificacin de activos
186Fuente: Deloitte.
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCuestionario identificacin de activos
187Fuente: Deloitte.
-
2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin Formulario 1 - Inventario de Activos de informacin por proceso con clasificacin
188
-
2.6.2. Metodologa de Anlisis de RiesgosLa metodologa La siguiente fase es Identificar y evaluar los riesgos:
FASE I:
Identificar y calificar los activos de informacin
FASE II:
Identificar y evaluar los riesgos
FASE III:
Identificar y seleccionar
alternativas de tratamiento de los
riesgos
189
-
2.6.2. Metodologa de Anlisis de RiesgosFASE II: Identificar y evaluar los riesgos
El primer objetivo de esta etapa es la identificacin de vulnerabilidades que pueden ser explotadas por una fuente de amenaza para cada uno de los activos de informacin.
Para la identificacin de vulnerabilidades del sistema se define y aplica de una lista de chequeo de requerimientos de seguridad.
El tipo de vulnerabilidad varia dependiendo de la naturaleza del activo.
190
-
2.6.2. Metodologa de Anlisis de RiesgosFASE II: Identificar y evaluar los riesgos
Lista de Chequeo de Controles: Contiene los estndares bsicos de seguridad y se utiliza para evaluar e identificar sistemticamente las vulnerabilidades asociadas a los activos. Son controles relacionados con:
Seguridad administrativa Seguridad operativa Seguridad tcnica
Es esencial mantener actualizadas las listas de chequeo para reflejar cambios en el ambiente de control de una organizacin.
191
-
2.6.2. Metodologa de Anlisis de RiesgosFASE II: Identificar y evaluar los riesgos La valoracin del impacto de una vulnerabilidad se realiza utilizando la siguiente
clasificacin:
Nivel Definicin
Alto La explotacin de la vulnerabilidad (1) puede causar una prdida, de alto costo, de importantes activos y/o recursos tangibles (2) puede violar, daar o impedir significativamente la misin, la reputacin o los intereses de la organizacin (3) puede causar muerte de personas o lesiones severas.
Medio (1) puede causar la prdida costosa de los activos y/o recursos tangibles