Embed Size (px)
Citation preview
www.isaca.orgPag.1
Sesión # 311
Midiendo la Madurez del Control Interno de TI en las Organizaciones
Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP Socio de Ernst & Young en la práctica de Asesoría para
México y Centroamérica
2009 Costa Rica
www.isaca.orgPag.2
Agenda
• Objetivo • Disección rápida de COBIT • ¿Cómo medir la efectividad del control interno en TI? • ¿Cómo saber dónde está su organización? • ¿Cómo saber a dónde necesita llevarla? • El modelo de madurez de COBIT • Midiendo la madurez de su organización con COBIT • Estableciendo los pasos para llevar a su organización a donde lo
requiere • Caso práctico • Conclusiones
www.isaca.orgPag.3
Objetivo
• Comprender los marcos referenciales de control interno en TI.
• Conocer técnicas y recomendaciones para medir la efectividad del control interno en su organización.
• Conocer técnicas y recomendaciones para estimar el nivel de madurez del control interno de TI basado en COBIT.
www.isaca.orgPag.4
Disección Rápida de COBIT
• ¿Qué es control interno? • ¿Cómo beneficia a las áreas de TI? • ¿Qué es el Gobierno de TI? • ¿Qué relación tiene con los modelos de
Gobierno Corporativo? • ¿Genera valor? • ¿Cómo se mide?
www.isaca.orgPag.5
Disección Rápida de COBIT
Fuente: COBIT 4.1
www.isaca.orgPag.6
Disección Rápida de COBIT
Fuente: COBIT 4.1
www.isaca.orgPag.7
¿Cómo medir la efectividad del control interno de TI?
www.isaca.orgPag.8
¿Cómo medir la efectividad del control interno de TI?
1Entender la estrategia
de la organización
Identificar los procesos críticos que las
soportan
Identificar riesgos, amenazas y
vulnerabilidades en los componentes de TI
Evaluar y categorizar los riesgos de TI
Evaluar la efectividad de los controles para
administrar los riesgos de TI
Establecer planes de acción y monitorear
2
3
4
7
6
5
Identificar los componentes de TI que sustentan la operación de los procesos críticos
Fuente: Ernst & Young
www.isaca.orgPag.9
¿Cómo medir la efectividad del control interno de TI?
1 Entender la Estrategia de la Organización
Cobertura de Riesgos y Seguridad VigilanciaEnfoque
ENFOQUE COORDINADO PARA RIESGOS
CONF
IDENC
IALIDA
D INTEGRIDAD
DISPONIBILIDAD
Estrategias del Negocio
Gobierno, Políticas y Estándares
Programa de Cumplimiento de Seguridad, Monitoreo y Reporteo
Arquitectura Técnica de Seguridad
Procesos y Prácticas de la
OperaciónEspecificaciones
Técnicas
Perfil de Activos
Gente y Administración Organizacional
COBIT
ITIL
ISO 17799
Marcos de Referencia
Alta Dirección
Consejo
Comité de Auditoría
Comité de Riesgos
SOX
Regulaciones Locales
RegulacionesLograr los
Objetivos del Negocio
Evaluar
Monitorear
Mejorar
Fuente: Ernst & Young
www.isaca.orgPag.10
¿Cómo medir la efectividad del control interno de TI?
2 Identificar los Procesos Críticos
Objetivo 1 Objetivo 2 Objetivo 3
Proceso 1 ✓ ✓ ✓Proceso 2 ✓ ✓Proceso 3 ✓Proceso 4 ✓Proceso 5
Cuentas Significativas
?¿Que puede fallar? ControlesProceso
Crítico
2005 Estados Financieros
Estados Financieros Evaluación/Monitoreo
Fuente: Ernst & Young
www.isaca.orgPag.11
¿Cómo medir la efectividad del control interno de TI?
3 Identificar los Componentes de TI que Sustentan la Operación de los Procesos Críticos
Proceso Crítico
Fuente: Ernst & Young
• Alineación • Complejidad en procesos TI• Madurez en Ambiente TI• Niveles de Servicio TI• Costo en Servicios TI
• Priorizar• Tiempo• Recursos• Funcionalidad
Gobierno de TIGobierno de TI
ProyectosProyectos
• Sistemas Operativos, Bases de Datos• Infraestructura / Seguridad• Controles Generales de TI / Operaciones TI• Administración de Proveedores de Servicio• Administración de Licencias / Software• Cumplimientos regulatorios
• Disponibilidad / Accesibilidad• Confidencialidad• Integridad /Confiabilidad• Efectividad / Funcionalidad / Viabilidad• Eficiencia / Complejidad
APLICACIONESAPLICACIONESAPLICACIONES
Ambiente de TIAmbiente de TI
www.isaca.orgPag.12
¿Cómo medir la efectividad del control interno de TI?
4 Identificar Riesgos, Amenazas y Vulnerabilidades en los Componentes de TI
Errores Operativos o de Procesamiento Vulnerabilidades
Amen
azas
Ries
gos
Fuente: COBIT 4.1
www.isaca.orgPag.13
¿Cómo medir la efectividad del control interno de TI?
5 Evaluar y Categorizar los Riesgos de TI
Estimar la probabilidad de ocurrencia e impacto de los riesgos identificados para efectos de priorizarlos e identificar las posibles acciones de mitigación y control
www.isaca.orgPag.14
¿Cómo medir la efectividad del control interno de TI?
6 Evaluar la Efectividad de los Controles para Administrar los Riesgos de TI
Consideraciones: • Tipo • Forma • Frecuencia • Alcance • Operación • Segregación de
funciones • Competencias y
experiencia técnica del personal
• Relaciones con terceros
www.isaca.orgPag.15
¿Cómo medir la efectividad del control interno de TI?
7 Establecer Planes de Acción y Monitorear • La comparación del estado actual de la efectividad del control interno de TI con marcos referenciales de reconocimiento mundial revelarán las brechas que requieren cerrarse.
• El conjunto de brechas identificadas requiere traducirse en un Plan de Acción con tareas específicas que permitirán mitigar los riesgos observados.
• Habiendo llevado a cabo la implantación de los controles y acciones de mitigación y con base en el propio análisis de riesgos, se hace posible establecer monitoreos periódicos y regulares a través del tiempo, para verificar la calidad y suficiencia de todos los procesos de TI, en cuanto a sus requerimientos de control, integridad y efectividad.
www.isaca.orgPag.16
¿Cómo saber dónde está su organización?
• ¿Qué resultados debiera generar un análisis de riesgos? – La identificación de los riesgos. – La identificación de los controles. – La estimación de la efectividad de los controles. – El entendimiento de la brecha.
• Un ejercicio de Benchmark puede resultar de utilidad (COBIT on Line, Encuesta Global de Seguridad de la Información de Ernst & Young).
www.isaca.orgPag.17
¿Cómo saber a dónde necesita llevarla?
Fuente: COBIT 4.1
• Usando el modelo de Madurez propuesto por COBIT una organización podría:• Comprender su “hoy”. • Ubicar a su industria.
• Ubicar su “estado ideal”. • Estimar el nivel de esfuerzo
requerido para llegar.
www.isaca.orgPag.18
El modelo de madurez de COBIT
Fuente: COBIT On Line
www.isaca.orgPag.19
El modelo de madurez de COBIT
Fuente: COBIT On Line
www.isaca.orgPag.20
Midiendo la madurez de su organización con COBIT
¡Establece un PROPÓSITO!
www.isaca.orgPag.21
Estableciendo los pasos para llevar a su organización a donde lo requiere
• Alineación • Complejidad en procesos TI• Madurez en Ambiente TI• Niveles de Servicio TI• Costo en Servicios TI
• Priorizar• Tiempo• Recursos• Funcionalidad
Gobierno de TIGobierno de TI
ProyectosProyectos
• Sistemas Operativos, Bases de Datos• Infraestructura / Seguridad• Controles Generales de TI / Operaciones TI• Administración de Proveedores de Servicio• Administración de Licencias / Software• Cumplimientos regulatorios
• Disponibilidad / Accesibilidad• Confidencialidad• Integridad /Confiabilidad• Efectividad / Funcionalidad / Viabilidad• Eficiencia / Complejidad
APLICACIONESAPLICACIONESAPLICACIONES
Ambiente de TIAmbiente de TI
www.isaca.orgPag.22
Caso Práctico
www.isaca.orgPag.23
Conclusiones
www.isaca.orgPag.24
2008 Santiago Chile
Preguntas
Midiendo la Madurez del Control Interno de TI en las
Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP
Socio Asesoría México y Centroamérica Tel: +52-55-11016414
Tel (2): +52-55-52831326 [email protected]
http://www.linkedin.com/in/carloschalico
Sesión # 311
www.isaca.orgPag.25
Gracias, lo esperamos en…
Cancun, México Julio de 2010
Bogotá, Colombia
Marzo de 2010
