gtag 01 global technology audit guide
DESCRIPTION
Presentación que resume en contenido de la primera guia GLOBAL TECHNOLOGY AUDIT GUIDE, del instituto de Auditores Internos.TRANSCRIPT
Global Technology Audit Guide
GUIA 01:
Controles de Tecnología de información
GTAG – Global Technology Audit Guide
Acercamiento
• Las guías son para ejecutivos no especializados en tecnologías de información.
• No es necesario ser técnico en los temas.
• Saber es cada vez mas importante.
• El Auditor que no maneja conceptos de TI pierde terreno.
GTAG – Global Technology Audit Guide
Introducción
• ¿Para que los Controles?
• ¿Qué debe ser protegido?
• ¿Dónde son aplicados los controles?
• ¿Quién es responsable?
• ¿Cuándo se debe evaluar el control?
• ¿Cuánto se debe controlar?
GTAG – Global Technology Audit Guide
Objetivos de la guía
• Definir TI para ejecutivos.
• Describir la importancia de los controles de TI dentro del abanico de actividades de control interno.
• Describir roles y responsabilidades para el manejo de TI.
GTAG – Global Technology Audit Guide
• Describir los conceptos de riesgo inherente en el uso y manejo de tecnología.
• Describir el conocimiento y comprensión básicas que debe tener un CAE (Chief Audit Executive), para la evaluación de controles.
• Definir los elementos relevantes de la evaluación de controles de TI por parte de Auditores internos.
GTAG – Global Technology Audit Guide
Comprender los controles
• ¿Qué es un control?
• ¿Qué se debe controlar?
• Dos tipos de componentes:– Automatización de Controles de negocios.– Control de TI.
GTAG – Global Technology Audit Guide
Marco a la medida
1. Cumplir con regulación.
2. Consistente con los objetivos de la organización.
3. Seguridad razonable de que se cumplen las políticas de gobierno corporativo.
GTAG – Global Technology Audit Guide
• ¿Qué significan?• ¿Para que son
necesarios?• ¿Quién es el
responsable?• ¿Cuándo?• ¿Donde?• ¿Cómo aplicamos
evaluaciones?
GTAG – Global Technology Audit Guide
• Comprender los controles.
• Importancia de los controles.
• Roles y responsabilidades.
• Basado en riesgo.
• Monitoreo y técnicas.
• Evaluaciones.
GTAG – Global Technology Audit Guide
Control Interno
• COSO define control interno como:– Proceso diseñado para entregar seguridad
en:• Efectividad y eficiencia en las operaciones.• Seguridad en reportes financieros.• Cumplimiento de leyes y regulaciones.
GTAG – Global Technology Audit Guide
Clasificación de controles
• Clasificación:– Generales.– De aplicación.
• Clasificación:– Preventivo.– Detectivo.– Correctivo.
• Clasificación:– Gobierno.– Administración.– Técnicos.
GTAG – Global Technology Audit Guide
POLITICAS:A nivel
Directores
ESTANDARES:Forma definida
de políticasORGANIZACIÓN Y ADMINISTRACION:Líneas de reporte y
responsabilidad
CONTROLES FISICOS AMBIENTE:
Protección física de Activos
SOFTWARE DE SISTEMAS:
Control sobre SO, configuraciones, Software
DESARROLLO Y ADQ.:Control sobre la
creación o aplicación de software de terceros.
BASADOS EN APLICACION.:
Se administran los datos manejados por usuario
mediante software
GTAG – Global Technology Audit Guide
Seguridad de la información
• Confidencialidad.
• Integridad.
• Disponibilidad.
GTAG – Global Technology Audit Guide
Importancia de los controles
• Necesidades:– Controlar los costos.– Permanecer competitivos.– Protección de la infamación mediante
evaluaciones.– Cumplimiento de leyes y regulaciones.
• Implementar controles efectivos permite mejorar la eficiencia y obtener mayor evidencia comprobatoria.
GTAG – Global Technology Audit Guide
Auditoria
• Auditoria Interna y CAE:– Entre principales tareas esta:
• Informar al comité de Auditoria y Gerencia sobre temas relacionados con TI.
• Asegurarse que los temas de TI son tomados en cuenta dentro del universo auditable y del plan de Auditoria anual.
• Confirmar que el riesgo TI esta considerado para la asignación de recursos necesarios.
GTAG – Global Technology Audit Guide
• Determinar “que” constituye evidencia comprobatoria veraz.
• Realizar controles a nivel empresa.• Realizar controles específicos.• Realizar controles de aplicaciones.
GTAG – Global Technology Audit Guide
Riesgo determina respuestas
• Riesgo:– “Posibilidad de que un hecho ocurra, el cual
tiene directa relación con los objetivos de la entidad.”
• Apetito de riesgo:– “Nivel de riesgo que la entidad esta dispuesta
a aceptar para lograr sus objetivos.”
GTAG – Global Technology Audit Guide
• Tolerancia del riesgo:– “Niveles de variación relativa para el alcance
de los objetivos. Se debe considerar la importancia relativa de los objetivos relacionados y alinear la tolerancia con el apetito al riesgo.”
GTAG – Global Technology Audit Guide
Consideraciones
• Infraestructura.
• La organización encara el riesgo.
• Apetito y tolerancia.
• Análisis de riesgo.
• Controles TI apropiados.
GTAG – Global Technology Audit Guide
Mitigación del riesgo
• Aceptar.
• Eliminar [Cambiar].
• Compartir.
• Controlar/Mitigar.
GTAG – Global Technology Audit Guide
Monitorear y evaluar
• Elegir un marco referencial.
• Metodología apropiada.
• Tipo de monitoreos:– Diario o periódico.– Por eventos.– Continuos.
GTAG – Global Technology Audit Guide
Evaluaciones
• ¿Que metodología utilizar?– TI cada vez mas desarrollada en la empresa.– Delgada línea divisoria.– Cambio en las actividades de Auditoria.
• Fraude.• Cumplimiento con las regulaciones.• Desarrollo de controles.• Revisión de controles.
GTAG – Global Technology Audit Guide
¿Preguntas?