Riesgos de tecnologa de
informacin implicaciones
y retos para la auditoria
Agenda
Mitos y realidades del Auditor de T.I.
El proceso de Auditora de T.I.
Proceso para Anlisis de Riesgo.
Evaluacin del Riesgo.
Caso para Anlisis de Riesgos
Preguntas & Respuestas.
Mitos y
realidades
No es un accesorio!!!.
No es un requisito regulatorio!!!.
Ciclo de
Administracin
del riesgo
Evaluacin de Riesgo
Evaluacin de riesgo
Evaluacin de riesgos
Evaluacin de
Riesgo
Evaluacin de riesgo
Uno de los elementos ms importantes que fortalecen el anlisis
del riesgo es la definicin de los factores que inciden de manera
general en cada uno de los procesos TI.
Evaluacin de
riesgo
Evaluacin de riesgo
Evaluacin de
riesgo
Identificacin de
Riesgos
10
Evaluacin de riesgo
1. Anlisis de Riesgos:
Evaluacin de
riesgo
Resultados
11
Evaluacin de riesgo
Por lo importante que son los controles internos en los ambientes
informticos proponemos en esta fase el anlisis de Diseo,
Implementacin y Efectividad Operativa de los CGC, comparando
los resultados con las mejores practicas de la industria financiera.
Los CGC tienen especial importancia por la confianza que estos
aportan a los Entes de Gobierno Corporativo (Comit de Auditoria,
Alta Gerencia y Junta Directiva) sobre el proceso de generacin de
los estados financieros y dems informacin financiera. De igual
manera los controles generales del computador auxilian a mitigar
riesgos tales como los de continuidad del negocio, dao a la
imagen y los de fraude.
Evaluacin de
riesgo
Controles
Generales del
Computador
12
Arquitectura
Continuidad del Negocio
Contratacin & Externalizacin
Recursos Humanos TI
Seguridad de la Informacin
Privacidad & Proteccin de Datos
Gestin de Proyectos
Gestin de registros
Gestin de Activos
Gestin del Cambio
Gestin del Riesgo TI
Operaciones
Seguridad Fsica & Ambiental
Gestin de Problemas
Licenciamiento de Tecnologa
Gobernabilidad de TI
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgos
Los riesgos para cada rea funcional se representan en el modelo de Impacto /
vulnerabilidad. Este modelo se utiliza para ayudar a la auditora y gestin interna
en la determinacin de la respuesta global del riesgo
Resultados de
la Evaluacin
de Riesgos
Tabla
MARCI
Areas Funcionales
1) Arquitectura
2) Continuidad del Negocio
3) Contratacin & Externalizacin
4) Recursos Humanos TI
5) Seguridad de la Informacin
6) Privacidad & Proteccin de Datos
7) Gestin de Proyectos
8) Gestin deregistros
9) Gestin de Activos
10) Gestin del Cambio
11) Gestin del Riesgo TI
12) Operaciones
13) Seguridad Fsica & Ambiental
14) Gestin de Problemas
15) Licenciamiento de Tecnologa
16) Gobernabilidad de TI
13
Principales
Riesgos
14
rea Funcional de TI
Seguridad de la
Informacin
Seguridad de la
Informacin
Seguridad de la
Informacin
Seguridad de la
Informacin
Seguridad de la
Informacin
Seguridad de la
Informacin, RRHH,
Contratacin &
Externalizacin
Seguridad de la
Informacin
Gestin de Activos
Proteccin de Privacidad
& Datos
Proteccin de Privacidad
& Datos
Principales
Riesgos
15
Area Funcional de TI
10
Contratacin &
Externalizacin
11
Gestin de Activos
Equipo de gestin de activos no tiene visibilidad a las prcticas de gestin de activos (por
ejemplo, el aprovisionamiento, activos jubilados trituracin de, discos duros, desinfeccin)
12
13
Adquisicion e
Integracin de TI
Existe un riesgo de que las entidades adquiridas por Compaa no estn integradas y dichas
entidades no tienen los adecuados controles de TI en marcha. Adems, para aquellas entidades
que se integran a la Compaa, existe un riesgo de que la integracin no se lleve a cabo de una
manera controlada.
14
Continuidad del
Negocio
Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarroll en las
oficinas centrales y ahora est en proceso de ser desplegado a las sucursales no se despliegue
correctamente.
15
Tecnologas
Emergentes
Existe el riesgo de que las nuevas tecnologas (por ejemplo, tecnologa basadas en la nube,
aplicaciones de movilidad y dispositivos) no se desarrollen o se utilicen de una manera
controlada.
16
Preguntas?
Contctenos
Barrio Dent, San Pedro,
3667-1000
San Jos, Costa Rica
Mauricio Solano R.
Director
Enterprise Risk Services
17