serie de normas iso 27000 e iso 31000: implicancias para ... correa iso... · la iso/iec 27001 es...
TRANSCRIPT
SERIE DE NORMAS ISO 27000 E ISO 31000:
IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL
VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA – 2011MONTEVIDEO - URUGUAY
Ricardo Correa F. - CIA, CGAP, CCSA, MCAGDaniella Caldana F. - CIA, CGAP, CCSA, MCAGCarlos Lobos M - CISA, CISM, CCSA, MTILeonardo Olea C. - CICA, MCAG
Grupo de Investigación de Gobierno Corporativo y Auditoría Interna
1. Conceptos sobre Gobernanza en el Sector Público2. Conceptos sobre Auditoría Interna Gubernamental 3. Visión General de las Normas ISO en el Gobierno4. Norma ISO 31000:20095. Serie de Normas ISO 270006. Casos de Aplicaciones de Normas ISO en el Gobierno7. Conclusiones
VII Jornadas Rioplatenses de Auditoría Interna - 2011
El Gobierno Corporativo es el sistema por el cual las sociedades del sector público yprivado son dirigidas y controladas. La estructura del Gobierno Corporativo especificala distribución de los derechos y de las responsabilidades entre los diversos actoresde la empresa, como por ejemplo, el Consejo de Administración, el Presidente y losDirectores, accionistas y otros terceros proveedores de recursos (OCDE)
Gobernanza en el sector público es el cumplimiento dela responsabilidad propia en nombre de la comunidad
En otras palabras, la gobernanza es el ejercicio de laautoridad, la dirección y el control sobre unaorganización (1)
(1) Fuente: Theiia - CGAP
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Algunas Consideraciones
Concepto difícil de aplicar completamente en el sector público Realidades distintas en los países Diversas estructuras…que cumplen en mayor o menor medida con principios
de Buen Gobierno Corporativo
Elementos Comunes y Relevantes de la Gobernanza en el Sector Público
Probidad y Transparencia Accountability – Rendición de Cuentas Estructura Normativa y Regulaciones Gestión de Riesgos Auditoría Interna Evaluación del Desempeño Código Ético o de Conducta
VII Jornadas Rioplatenses de Auditoría Interna - 2011
(1) Fuente: Theiia
La definición de Auditoría Interna declara el propósito fundamental, naturaleza yalcance de la auditoría interna:
“La Auditoría Interna es una actividad independiente y objetiva de aseguramientoy consulta, concebida para agregar valor y mejorar las operaciones de unaorganización. Ayuda a una organización a cumplir sus objetivos aportando unenfoque sistemático y disciplinado para evaluar y mejorar la eficacia de losprocesos de gestión de riesgos, control y gobierno” (1)
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Algunas Consideraciones
Base para la confianza del público en el Gobierno Se ve muy afectada por los mandatos del Gobierno:
Atribuciones y responsabilidades específicas Restricciones legales en su accionar: Aseguramiento y Consultoría
Diferentes tipos de relaciones de trabajo con lasEntidades de Fiscalización Superior - EFS
El marco normativo y reglamentario es fundamental -cumplimiento
Obligación de protección de la confidencialidad de lainformación auditada
En países de la OCDE la auditoría de gobierno muestrarealidades distintas, especialmente en sudependencia, no tanto en la forma de realizar eltrabajo
VII Jornadas Rioplatenses de Auditoría Interna - 2011
La información es un activo de valor sensible en todos los Gobiernos. Implicariesgos de alto impacto
Se requieren políticas, procedimientos, prácticas, estructurasorganizacionales y funciones de software sólidas para proteger lainformación
Es responsabilidad de la auditoría interna dar aseguramiento y consultoríasobre la calidad de la información y además es la base para realizar sutrabajo
Para que un gobierno sea transparente, eficiente,resguarde la información reservada, identifique ytrate los riesgos proactivamente, se requiere contarcon controles claves que aseguren la integridad,confidencialidad y disponibilidad de la información
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Las normas ISO son publicadas por la Organización Internacional para laEstandarización, que se encarga de establecer estándares internacionales,con el propósito de facilitar el comercio, facilitar el intercambio deinformación y contribuir a la transferencia de tecnologías
Son un modelo, un patrón, ejemplo o criterio a seguir. Tienen valor indicativoy de guía
Una norma tiene por finalidad definir las características que debe poseer unobjeto y los productos que han de tener una compatibilidad para ser usados anivel internacional
Normas ISO más conocidas: 9000, 14000, 22000,26000, 27000, 31000, entre otras
Algunas son certificables: 9001, 14001, 27001,entre otras
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Algunas Consideraciones
Las Normas ISO pueden ayudar al Gobierno en la tarea de satisfacer las necesidadesy expectativas de los ciudadanos y otras partes interesadas, a través de laorientación, coordinación y simplificación de la información y mejora en el uso delos recursos públicos
Las normas señalan expresamente que pueden ser usadas en el sector público La adopción de Normas ISO es una decisión estratégica en el Gobierno. Puede
tener principalmente los siguientes enfoques:
Adopción legal y cumplimiento total respecto delcontenido de la norma
Adopción legal y cumplimiento parcial respecto delcontenido de la norma
Sólo utilizada como buena práctica
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Beneficios Potenciales
Involucrar a las autoridades en los temas de gestión institucional, seguridad dela información y gestión de riesgos
Involucrar a todos los actores institucionales en el proceso de mejoramiento dela gestión
Mejorar las prácticas y procesos institucionales con el apoyo de especialistasexternos
Adecuados registros y documentación de las actividades…
Dificultades Reales
Lentitud en la incorporación de una cultura de mejoramiento continuo Lentitud para involucrar a las autoridades en los temas de gestión institucional Riesgo de que la implementación de las normas se vea como un aspecto
burocrático para cumplir con las formas y no para mejorar el desempeño y laseguridad de la información…
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Tiene su origen en el Estándar AS/NZS 4360, enfoque de procesos y está basadaen el Ciclo Deming (PDCA). No exige certificación
Normas relacionadas: ISO 31010, ISO 73 e ISO 31004 (en desarrollo)
Proporciona directrices sobre cómo establecer y mantener un marco de gestiónde riesgos de carácter oficial que puede ser adoptado por cualquier tipo deorganización
Proporciona un enfoque común en favor de otras normativas que tratan sobreriesgos específicos y/o sectores, y no las sustituye
ISO 31000:2009 Gestión del Riesgo - Principios y Directrices
Puede ser aplicada a lo largo de la vida de unaorganización, así como una variada gama deactividades, estrategias, procesos, funciones,proyectos, productos, servicios , activos, etc.
VII Jornadas Rioplatenses de Auditoría Interna - 2011
El enfoque está estructurado en 3 elementos claves para una efectiva gestión del riesgo:
Evaluación de Riesgos
Identificar Riesgos
Analizar Riesgos
Evaluar Riesgos
Tratar los Riesgos
Mo
nito
reo
y R
evisió
n
Co
mu
nic
aci
ón
y C
on
sult
a
Establecer el
Contextoa.-Crea Valor
b.- Está Integrada en los Procesos de la
Organización
c.-Forma parte de la toma de decisiones
d.- Trata explícitamente la
incertidumbre
e.- Es sistemática, estructurada y
adecuada
f.- Está basada en la mejor información
disponible
g.- Está hecha a medida
h.- Tiene en cuenta factores humanos y
culturales
i.- Es transparente e inclusiva
j.- Es dinámica, iterativa y sensible al
cambio
k.- Facilita la mejora continua en la
organización
Proceso de Gestión de RiesgosPrincipios de Gestión del Riesgo Marco de Trabajo para la Gestión del Riesgo
Implementación
de la Gestión del
Riesgo
Mejoramiento
Continuo del
Marco
Diseño del
Marco de
Gestión de
Riesgos
Compromiso
de la Dirección
Seguimiento y
Revisión del
Marco
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Primeros Pasos para la Aplicación de la Norma ISO 31000 en el Sector Público
En abril 2011, una serie de organizaciones de Suecia, Holanda, Bélgica, Italia, Francia yEspaña han realizado un estudio sobre Gestión de Riesgos en el Sector Público ypublicado el documento denominado "Preparing the local public sector for riskgovernance: First steps towards an ISO 31000 framework"
Además de describir la Norma, en eldocumento se señala, que los participantesacordaron una lista de los 10 primeros pasosque permitiría la aplicación de una gestióneficaz de los riesgos en el sector público, bajoISO 31000:2009
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Anexo A – Comparación de Técnicas de Evaluación de Riesgos
Tipos de Técnicas
Factores que influyen en la selección
Anexo B – Técnicas de Evaluación de Riesgos
31 Técnicas descritas: Brainstorming, Delphi, Entrevistas, Análisis CausaRaíz, Matriz de P-I , Árbol de Decisiones, etc.
ISO /IEC 31010:2009. Gestión del Riesgo - Técnicas de Evaluación del Riesgo
Complementa la norma ISO 31000:2009 y provee una guía para la elección yaplicación de técnicas sistemáticas para evaluación de riesgos. ISO 31010:2009. Noexige certificación
VII Jornadas Rioplatenses de Auditoría Interna - 2011
ISO 73:2009. Gestión del Riesgo - Vocabulario
Complementa la norma ISO 31000:2009 y provee vocabulario básico para desarrollarun entendimiento en conceptos y términos relacionados con la gestión de riesgos
Conceptos y términos relacionados, entre otros, con los siguientes:
Riesgo Riesgo Aceptado Gestión de Riesgos Proceso de Gestión de Riesgos Comunicación y Consulta Contexto Evaluación de Riesgos Identificación de Riesgos Análisis de Riesgos Tratamiento de Riesgos Monitoreo y Medición
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Describen como usar la ISO 31000:2009, entre otrasopciones, para:
Desarrollar un programa y una estrategiabasada en riesgos
Planificar un trabajo de aseguramiento
Informar sobre el programa de aseguramiento
Hacer seguimiento a los planes de tratamiento
Evaluar la calidad de la documentación
El IIA advierte que otros marcos también pueden serusados para desarrollar la evaluación de riesgos
Guía para la Práctica (2010) del IIA Global y Handbook(2010) del IIA Australia
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Potencial rol de consultor sobre aplicación de la gestión deriesgo en la entidad gubernamental – depende del mandato
Obliga a considerar roles permitidos, con salvaguardia y nopermitidos en la gestión de riesgos, según el IIA
Evaluación del trabajo e impacto de los consultores en gestiónde riesgos en las entidades gubernamentales
¿Contenidos serán parte de la nueva designación“Certificación en Aseguramiento de Gestión de Riesgos(CRMA)” del IIA?
Directas e Indirectas en el Trabajo de Aseguramiento o Consultoría (la lista no es taxativa):
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Código y Normas del Theiia: Comprensión de la Norma ISO 31000. Generación oactualización de competencias
Fuente de Información para formular el Plan Anual de Auditoría
Metodología y criterios para el programa de auditoría para aseguramiento delproceso de gestión de riesgos: Mejora de los resultados de la auditoría
Conjunto de normas desarrolladas o en fase de desarrollo por ISO e IEC (InternationalElectrotechnical Commission) que proporcionan un marco de gestión de la seguridad dela información (SGSI) utilizable por cualquier tipo de organización
27003
27001
Fundamentos y Vocabulario
Gestión de Riesgos SGSIDom., Obj. y Controles SGSIRequisitos del SGSI
Métricas y Técnicas Eficacia SGSI
Implementación de SGSIGuías de Auditoría
Requisitos para Acreditación
Otras27000
2700727008
2008 - 201120052005
2009
2010
20092007
2011
2700427006
27002 27005
Serie 27000
27000
VII Jornadas Rioplatenses de Auditoría Interna - 2011
ISO 27001:2005 - Sistema de Gestión de Seguridad de la Información
La norma es muy útil si la protección de la informaciónes crítica, como en finanzas, salud, sector público ytecnología de la información (TI)
Contiene en forma resumida los objetivos y controles dela ISO 27002, que podrían ser seleccionados aldesarrollar un SGSI. Se debe Justificar cualquierexclusión del alcance de los controles a aplicar
La ISO/IEC 27001 es certificable, y específica los requisitos para la implantación decontroles adaptados a las necesidades de la organización o partes de las mismas
Es una norma adecuada para cualquier organización, grande o pequeña, de cualquiersector o parte del mundo
VII Jornadas Rioplatenses de Auditoría Interna - 2011
•Compromiso de la Dirección
•Planificación
•Fechas
•Responsables
•Definir Alcance del SGSI
•Definir Política de Seguridad
•Metodología de Evaluación de Riesgos
•Inventarios de Activos
•Identificar Amenazas y Vulnerabilidades
•Identificar Impactos
•Análisis y Evaluaciones de Riesgos
•Selección de Controles y SOA
•Definir Plan de Tratamiento de Riesgos
•Implantar Plan de Tratamiento de Riesgos
•Implementar los Controles
•Formación y Concienciación
•Operar el SGSI
•Revisar el SGSI
•Medir Eficacia de los Controles
•Revisar Riesgos Residuales
•Realizar Auditorías Internas del SGSI
•Registrar Acciones y Eventos
•Implantar Mejoras
•Acciones Correctivas
•Acciones Preventivas
•Comprobar Eficacia de las Acciones
DO
ACT
CH
ECK
Ciclo Deming (PDCA) en Norma ISO 27001
Link con Gestión de
Riesgos
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Ex Norma ISO 17799. Guía de Buenas Prácticas sobre Seguridad de laInformación. Define 11 dominios, 39 Objetivos de Control y 133 Controles deSeguridad
Política de seguridad Aspectos organizativos para la seguridad Gestión de activos Seguridad ligada a los recursos humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad Gestión de continuidad del negocio Cumplimiento
ISO 27002:2005 - Conjunto de Buenas Prácticas y Controles de Seguridad
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Fuente: IT Governance Institute de ISACA (ITGI) y La Oficina Gubernamental de Comercio (OGC)
Alineando COBIT 4.1, ITIL V3 e ISO/IEC 27002 en Beneficio del Negocio
El documento contiene el mapeo entreITIL, ISO/IEC 27002 y COBIT
En el Apéndice I, cada uno de los 34procesos de TI y los objetivos de controlde COBIT han sido mapeados a seccionesespecíficas de ITIL e ISO/IEC 27002
En el apéndice III, se realiza un mapeoreverso que muestra cómo es que lasclasificaciones de ISO/IEC 27002 mapeana COBIT
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Se ajusta a los requerimientos del sistema degestión de riesgo definido en la ISO 27001
En relación al riesgo tecnológico se basa en laguía de NIST 800-30 de gestión de riesgopara las tecnologías de información
No provee un método específico paragestionar riesgos de TI
Es aplicable a todo tipo de organizaciones
La versión 2008 se basó en el AS/NZ 4360
Versión ISO 27005:2008 acaba de alinearsecon ISO 31000:2009 (julio 2011)
Evaluación de Riesgos
Identificar Riesgos
Analizar Riesgos
Evaluar Riesgos
Tratar los Riesgos
Mo
nito
reo
y R
evisió
n
Co
mu
nic
aci
ón
y C
on
sult
a
Establecer el
Contexto
Aceptar los Riesgos
Decisión de Riesgo Punto 1Evaluación Satisfactoria
Decisión de Riesgo Punto 2Tratamiento Satisfactorio
SI
NO
NO
SI
Fin o Principio de Iteraciones subsecuentes
ISO 27005:2011 - Gestión de Riesgos
VII Jornadas Rioplatenses de Auditoría Interna - 2011
La mayor parte de la información está en sistemas información(TI), por lo que es necesario considerar los controles señaladosen las Normas 27001 y 27002:
Evaluación del cumplimiento de normas, en el caso quesea obligatorio
Buenas prácticas como recomendación, si no es obligatorio
Países con normas de control interno formales en general usanMarco COSO I. Actualizar en base a Normas ISO vigentes para TI
Directas e Indirectas en el Trabajo de Aseguramiento o Consultoría (la lista no es taxativa):
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Código y Normas del Theiia: Mayor conocimiento de la normas 27000.Generación o actualización de competencias
Conformación de equipos de trabajo con profesionales con distintascompetencias. ¿Recursos disponibles?, ¿mandato?
Potencial rol de consultor sobre aplicación de controles ygestión de riesgo en SGSI – depende del mandato ycompetencias
Rol de encargado de seguridad. ¿Independencia yobjetividad?, ¿competencias?, ¿mandato?
Evaluación del trabajo e impacto de los consultores en lasentidades gubernamentales
¿Obtener la certificación Auditor Interno ISO 27001, AuditorLíder ISO 27001?
Directas e Indirectas en el Trabajo de Aseguramiento o Consultoría (continúa…):
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Nivel de Confiabilidad de la evidencia de auditoría en formato electrónico
Fraude. Controles preventivos para mitigar la ocurrencia del fraude. Esquemas defraude: corrupción, malversación de activos y estados financieros
Conclusiones
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Aplicación de Norma ISO 31000 y Serie de Normas ISO 27000 es de grancomplejidad y exige coordinación en la entidad y participaciónmultidisciplinaria, incluida auditoría interna
Las normas están muy relacionadas en temas de gestión de riesgos, y ambastienen implicancias directas e indirectas en el trabajo de aseguramiento yconsultoría del auditor interno gubernamental
Obligación para auditoría interna de conocimiento y compresión de estasNormas ISO. Generación o actualización de competencias
Potenciales mejoras en la planificación general, planificación del trabajo einforme de auditoría interna
¿Interacción o realización de la auditoría interna de calidad según normasISO?, ¿Alcance del trabajo?, ¿Objetividad?
¿Oportunidad de nuevo rol de certificador de Normas ISO 9001, ISO 27001,otras?, ¿Pronunciamiento del IIA Global?
¿Contenidos ISO 31000 serán parte de la nueva designación “Certificación enAseguramiento de Gestión de Riesgos (CRMA )” del IIA?
VII Jornadas Rioplatenses de Auditoría Interna – 2011r
VII Jornadas Rioplatenses de Auditoría Interna – 2011
Carlos Peña G.
Los cargos públicos no son dignidades queensalzan sino servidumbres que exponen, ponen aquien los ejerce dentro del escrutinio ciudadano yno fuera de su alcance…
¿Preguntas?
VII Jornadas Rioplatenses de Auditoría Interna - 2011
Grupo de Investigación de Gobierno Corporativo y Auditoría Interna