Latin CACS 2009 Carlos Chalico
-
Upload
carlos-chalico -
Category
Technology
-
view
41 -
download
0
Transcript of Latin CACS 2009 Carlos Chalico
![Page 1: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/1.jpg)
www.isaca.orgPag.1
Sesión # 311
Midiendo la Madurez del Control Interno de TI en las Organizaciones
Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP Socio de Ernst & Young en la práctica de Asesoría para
México y Centroamérica
2009 Costa Rica
![Page 2: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/2.jpg)
www.isaca.orgPag.2
Agenda
• Objetivo • Disección rápida de COBIT • ¿Cómo medir la efectividad del control interno en TI? • ¿Cómo saber dónde está su organización? • ¿Cómo saber a dónde necesita llevarla? • El modelo de madurez de COBIT • Midiendo la madurez de su organización con COBIT • Estableciendo los pasos para llevar a su organización a donde lo
requiere • Caso práctico • Conclusiones
![Page 3: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/3.jpg)
www.isaca.orgPag.3
Objetivo
• Comprender los marcos referenciales de control interno en TI.
• Conocer técnicas y recomendaciones para medir la efectividad del control interno en su organización.
• Conocer técnicas y recomendaciones para estimar el nivel de madurez del control interno de TI basado en COBIT.
![Page 4: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/4.jpg)
www.isaca.orgPag.4
Disección Rápida de COBIT
• ¿Qué es control interno? • ¿Cómo beneficia a las áreas de TI? • ¿Qué es el Gobierno de TI? • ¿Qué relación tiene con los modelos de
Gobierno Corporativo? • ¿Genera valor? • ¿Cómo se mide?
![Page 5: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/5.jpg)
www.isaca.orgPag.5
Disección Rápida de COBIT
Fuente: COBIT 4.1
![Page 6: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/6.jpg)
www.isaca.orgPag.6
Disección Rápida de COBIT
Fuente: COBIT 4.1
![Page 7: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/7.jpg)
www.isaca.orgPag.7
¿Cómo medir la efectividad del control interno de TI?
![Page 8: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/8.jpg)
www.isaca.orgPag.8
¿Cómo medir la efectividad del control interno de TI?
1Entender la estrategia
de la organización
Identificar los procesos críticos que las
soportan
Identificar riesgos, amenazas y
vulnerabilidades en los componentes de TI
Evaluar y categorizar los riesgos de TI
Evaluar la efectividad de los controles para
administrar los riesgos de TI
Establecer planes de acción y monitorear
2
3
4
7
6
5
Identificar los componentes de TI que sustentan la operación de los procesos críticos
Fuente: Ernst & Young
![Page 9: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/9.jpg)
www.isaca.orgPag.9
¿Cómo medir la efectividad del control interno de TI?
1 Entender la Estrategia de la Organización
Cobertura de Riesgos y Seguridad VigilanciaEnfoque
ENFOQUE COORDINADO PARA RIESGOS
CONF
IDENC
IALIDA
D INTEGRIDAD
DISPONIBILIDAD
Estrategias del Negocio
Gobierno, Políticas y Estándares
Programa de Cumplimiento de Seguridad, Monitoreo y Reporteo
Arquitectura Técnica de Seguridad
Procesos y Prácticas de la
OperaciónEspecificaciones
Técnicas
Perfil de Activos
Gente y Administración Organizacional
COBIT
ITIL
ISO 17799
Marcos de Referencia
Alta Dirección
Consejo
Comité de Auditoría
Comité de Riesgos
SOX
Regulaciones Locales
RegulacionesLograr los
Objetivos del Negocio
Evaluar
Monitorear
Mejorar
Fuente: Ernst & Young
![Page 10: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/10.jpg)
www.isaca.orgPag.10
¿Cómo medir la efectividad del control interno de TI?
2 Identificar los Procesos Críticos
Objetivo 1 Objetivo 2 Objetivo 3
Proceso 1 ✓ ✓ ✓Proceso 2 ✓ ✓Proceso 3 ✓Proceso 4 ✓Proceso 5
Cuentas Significativas
?¿Que puede fallar? ControlesProceso
Crítico
2005 Estados Financieros
Estados Financieros Evaluación/Monitoreo
Fuente: Ernst & Young
![Page 11: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/11.jpg)
www.isaca.orgPag.11
¿Cómo medir la efectividad del control interno de TI?
3 Identificar los Componentes de TI que Sustentan la Operación de los Procesos Críticos
Proceso Crítico
Fuente: Ernst & Young
• Alineación • Complejidad en procesos TI• Madurez en Ambiente TI• Niveles de Servicio TI• Costo en Servicios TI
• Priorizar• Tiempo• Recursos• Funcionalidad
Gobierno de TIGobierno de TI
ProyectosProyectos
• Sistemas Operativos, Bases de Datos• Infraestructura / Seguridad• Controles Generales de TI / Operaciones TI• Administración de Proveedores de Servicio• Administración de Licencias / Software• Cumplimientos regulatorios
• Disponibilidad / Accesibilidad• Confidencialidad• Integridad /Confiabilidad• Efectividad / Funcionalidad / Viabilidad• Eficiencia / Complejidad
APLICACIONESAPLICACIONESAPLICACIONES
Ambiente de TIAmbiente de TI
![Page 12: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/12.jpg)
www.isaca.orgPag.12
¿Cómo medir la efectividad del control interno de TI?
4 Identificar Riesgos, Amenazas y Vulnerabilidades en los Componentes de TI
Errores Operativos o de Procesamiento Vulnerabilidades
Amen
azas
Ries
gos
Fuente: COBIT 4.1
![Page 13: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/13.jpg)
www.isaca.orgPag.13
¿Cómo medir la efectividad del control interno de TI?
5 Evaluar y Categorizar los Riesgos de TI
Estimar la probabilidad de ocurrencia e impacto de los riesgos identificados para efectos de priorizarlos e identificar las posibles acciones de mitigación y control
![Page 14: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/14.jpg)
www.isaca.orgPag.14
¿Cómo medir la efectividad del control interno de TI?
6 Evaluar la Efectividad de los Controles para Administrar los Riesgos de TI
Consideraciones: • Tipo • Forma • Frecuencia • Alcance • Operación • Segregación de
funciones • Competencias y
experiencia técnica del personal
• Relaciones con terceros
![Page 15: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/15.jpg)
www.isaca.orgPag.15
¿Cómo medir la efectividad del control interno de TI?
7 Establecer Planes de Acción y Monitorear • La comparación del estado actual de la efectividad del control interno de TI con marcos referenciales de reconocimiento mundial revelarán las brechas que requieren cerrarse.
• El conjunto de brechas identificadas requiere traducirse en un Plan de Acción con tareas específicas que permitirán mitigar los riesgos observados.
• Habiendo llevado a cabo la implantación de los controles y acciones de mitigación y con base en el propio análisis de riesgos, se hace posible establecer monitoreos periódicos y regulares a través del tiempo, para verificar la calidad y suficiencia de todos los procesos de TI, en cuanto a sus requerimientos de control, integridad y efectividad.
![Page 16: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/16.jpg)
www.isaca.orgPag.16
¿Cómo saber dónde está su organización?
• ¿Qué resultados debiera generar un análisis de riesgos? – La identificación de los riesgos. – La identificación de los controles. – La estimación de la efectividad de los controles. – El entendimiento de la brecha.
• Un ejercicio de Benchmark puede resultar de utilidad (COBIT on Line, Encuesta Global de Seguridad de la Información de Ernst & Young).
![Page 17: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/17.jpg)
www.isaca.orgPag.17
¿Cómo saber a dónde necesita llevarla?
Fuente: COBIT 4.1
• Usando el modelo de Madurez propuesto por COBIT una organización podría:• Comprender su “hoy”. • Ubicar a su industria.
• Ubicar su “estado ideal”. • Estimar el nivel de esfuerzo
requerido para llegar.
![Page 18: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/18.jpg)
www.isaca.orgPag.18
El modelo de madurez de COBIT
Fuente: COBIT On Line
![Page 19: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/19.jpg)
www.isaca.orgPag.19
El modelo de madurez de COBIT
Fuente: COBIT On Line
![Page 20: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/20.jpg)
www.isaca.orgPag.20
Midiendo la madurez de su organización con COBIT
¡Establece un PROPÓSITO!
![Page 21: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/21.jpg)
www.isaca.orgPag.21
Estableciendo los pasos para llevar a su organización a donde lo requiere
• Alineación • Complejidad en procesos TI• Madurez en Ambiente TI• Niveles de Servicio TI• Costo en Servicios TI
• Priorizar• Tiempo• Recursos• Funcionalidad
Gobierno de TIGobierno de TI
ProyectosProyectos
• Sistemas Operativos, Bases de Datos• Infraestructura / Seguridad• Controles Generales de TI / Operaciones TI• Administración de Proveedores de Servicio• Administración de Licencias / Software• Cumplimientos regulatorios
• Disponibilidad / Accesibilidad• Confidencialidad• Integridad /Confiabilidad• Efectividad / Funcionalidad / Viabilidad• Eficiencia / Complejidad
APLICACIONESAPLICACIONESAPLICACIONES
Ambiente de TIAmbiente de TI
![Page 22: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/22.jpg)
www.isaca.orgPag.22
Caso Práctico
![Page 23: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/23.jpg)
www.isaca.orgPag.23
Conclusiones
![Page 24: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/24.jpg)
www.isaca.orgPag.24
2008 Santiago Chile
Preguntas
Midiendo la Madurez del Control Interno de TI en las
Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP
Socio Asesoría México y Centroamérica Tel: +52-55-11016414
Tel (2): +52-55-52831326 [email protected]
http://www.linkedin.com/in/carloschalico
Sesión # 311
![Page 25: Latin CACS 2009 Carlos Chalico](https://reader030.fdocuments.ec/reader030/viewer/2022032616/55a80b791a28abba118b45f9/html5/thumbnails/25.jpg)
www.isaca.orgPag.25
Gracias, lo esperamos en…
Cancun, México Julio de 2010
Bogotá, Colombia
Marzo de 2010