Gestion de riesgos y la auditoria de sistemas[1].pdf
Jorge A. Serrano, CISA
Conferencia OLACEFS Santiago de Chile Junio 2006
Gestión de Riesgos y la Auditoria de Sistemas
Jorge A. Serrano, CISA
Conferencia OLACEFS Santiago de Chile Junio 2006
materias
• Los procesos de control y auditoria basados en riesgos
– cambios en la visión del control – impacto global del modelo COSO2 –evolución de tecnologías y modelos de control
• Modelos y enfoques metodológicos en uso para la auditoría enfocada a los riesgos • Herramientas automatizadas para la sustentación de los procesos de Auditoria. Beneficios • La auditoria de sistemas gubernamental – Alcances y Objetivos Anexo1: Cobit y los principales riesgos en TIs
Cambios en la visión del control
Pasado Presente Inspección y controldirecto - Potenciamiento del control en las líneas Orientación policial - Orientación a la mejora continua Orientación funcional - Orientación a los procesos Accionistas pasivos (pocos) - Accionistas activos (muchos) Controles externos - Controles integrados a los sistemas Acceso limitado a información - Acceso abierto a la información. Responsabilidad del Auditor - Responsabilidad de la AltaAdministración Orientación de auditorías - Orientación de las auditorias a Riesgos a los Procedimientos Independencia de acción - Uso de estándares y metodologías Control por líneas/temas - Gobierno Corporativo
COSO 2: Una visión Integrada del Control
Componentes del Control Interno: • • • • • El Ambiente de control La Evaluación de riesgos Las Actividades de control La Información y lasComunicaciones El Monitoreo ( evaluación - mantención del C.I.) Estos 5 componentes cruzan a los tres objetivos de control interno que establece COSO: Eficiencia y Eficacia de las Operaciones; Fiabilidad de la Información Financiera y Cumplimiento de Leyes y Normativas El gran cambio...
COSO: Relaciones de Componentes y Objetivos
ACTIVIDAD 2 ACTIVIDAD 1 UNIDAD B UNIDAD A
RE P FIN ORT E AN CIE S RO SCU MP LIM IEN TO OP ER AC IO NE S
Elementos del Control Interno
MONITOREO INFORMACION Y COMUNICACION ACTIVIDADES DE CONTROL EVALUACION DE RIESGOS AMBIENTE DE CONTROL
CO INF FIA OR BIL MA IDA CIO D N
ACTIVIDADES DE CONTROL
EF EF ICA ICI CI EN A & CIA
Objetivos del Control Interno
CU MP LIM IEN TO
La Evaluación de Riesgos según COSO
“La evaluación del riesgos consiste enla identificación y análisis de los factores que podrían afectar la consecución de los objetivos, y, en base a dicho análisis, determinar la forma en que los riesgos deben ser gestionados”.
Esta simple declaración es la base de la revolución del tratamiento de la gestión de riesgos, las metodologías de auditoria y la gestión del tema gobiernos corporativos...
Hitos en la evolución delControl y Gestión de Riesgos a partir de COSO 2
Cobit 4 Basilea2: 2001 Turnbull: UK Cobit: USA King: S.Africa Tecnologías de Risk Management COCO : Canada Cadbury: UK COSO: 1992 ISOs Autoevaluación (CSA) Modelos de Auditoría basados en riesgos Sarbanes -Oxley Gobiernos Corporativos 2006
Las evoluciones de los modelos de control y su impacto en la auditoria de sistemas
• Normas y metodologíasespecíficas para la gestión y control de las TIs:
• • • • • • BS7799 CMM, CMMI ISOs 9126, 15505, 17999 NIST ITIL COBIT 4
¿cuáles de ellas estamos aplicando?
Modelo base para gestinar Riesgos y Controles
Poniendo los riesgos y controles en el contexto de objetivos de la organización ... Objetivos + Riesgos - Control = Exposición
Impacto
Exposición inaceptable Precaució Precaució nExposició Exposició n aceptable
Incertidumbre
Exposición = Riesgo - Control (E = R-C)
Una Metodología de Auditoria basada en el modelamiento y evaluación de riesgos.
. 1
Comprensión del Problema-ámbito
6
Reportes y entrega de Resultados con Software de apoyo
Desarrollo modelos Riesgos - Controles por proceso – unidad – función automatizados c/ SW
2
Auditoria
5
Ejecución...
Regístrate para leer el documento completo.