enterprise risk services riesgos tecnológicos llevando a ......estratégicos de la empresa....
TRANSCRIPT
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Junio, 2013
Enterprise Risk Services – Riesgos Tecnológicos
Llevando a la Auditoría Interna de TI
al siguiente nivel
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿Por qué estamos aquí?
• Entender los factores que están impulsando a
cambiar la Auditoría Interna de TI
• Presentar el Punto de Vista de Deloitte respecto a
la Auditoria Interna de TI
• Conocer sobre las preocupaciones de cada uno
respecto a riesgos de TI
• Crear una comunidad de Auditoría Interna de TI
Enterprise Risk Services 2
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿Quiénes somos? (votación interactiva)
• ¿Cuál es su posición actual?
• ¿Cuántas personas forman el área de Auditoría Interna?
• ¿Su función de Auditoría Interna es local o global?
• ¿Su organización es pública o privada?
• ¿Qué porcentaje de función de Auditoría Interna está enfocada en AI de TI?
• ¿Cuál es su posición referente a la toma de decisiones sobre proyectos de Auditoría
Interna de TI dentro de su organización?
Enterprise Risk Services 3
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Factores que impulsan el cambio
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
La importancia de la función de Auditoría Interna
Las expectativas de la función de Auditoría Interna han cambiado y continúan
haciéndolo. Los altos ejecutivos, comités directivos, de riesgos y de auditoría
han aumentado las expectativas respecto a la profundidad y calidad del trabajo
que la función de Auditoría interna ha venido desempeñando en las
organizaciones. También los reguladores globales y locales están aplicando
mayor confianza sobre las funciones de Auditoría Interna, no solamente para
asegurar las reglas de “trabajo limpio” sino también para ser activamente
involucradas en temas relacionados a riesgos estratégicos de alto nivel y temas
asociados al gobierno corporativo.
“Queremos ver que sea tomada seriamente la función de auditoría interna en las
instituciones reguladas por nosotros. Que se tenga un perfil apropiado de
profesionales que permitan potencializar el trabajo realizado”.
Andrew Bailey, deputy governor for prudential regulation at
the Bank of the England and chief executive officer of the UK
Prudential Regulation Authority,
Entrevistado por la Revista Auditoría y Riesgo. Mayo 2012.
Enterprise Risk Services 5
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Dato personal Dato personal
sensible
Datos
financieros,
datos
patrimoniales
21 de diciembre de 2011
Publicación del reglamento
6 de julio de 2010
Entra en vigor la
LFPDPPP
6 de enero de 2012
Ejercicio de derechos ARCO
Inicia el procedimiento de
protección de derechos
6 de julio de 2011
Designación de Persona o Depto.
de Datos Personales
Avisos de privacidad a los
titulares
18 meses para diseñar e
implementar las medidas
de seguridad
administrativas, técnicas y
físicas
17 de enero 2013 Nuevos
lineamientos para avisos
de privacidad y
autorregulación de la SE
HOY
Existen diversos riesgos derivados del incumplimiento de esta Ley.
Daño severo a la
imagen
Multas de 100 a 640
mil días SMGV
Privación de la
libertad
Nueva regulación de privacidad en México
6 Enterprise Risk Services
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Regulares (PCAOB, CNBV) y Calidad de las Auditorías
7 Enterprise Risk Services
• El objetivo primario de los
reguladores es promover
la mejora en la calidad de
las auditorías de
compañías públicas
• Auditoría Interna puede
jugar un rol importante en
lograr mejoras en la
calidad
• Auditores externos
pueden confiar en el
trabajo realizado por
Auditoría Interna
Espectativas de los Reguladores
Nivel esperado
Calidad de las
Auditorías
Brecha entre
espectativas
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Punto de Vista Deloitte
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Introduccion —
Una estrategia de Auditoría Interna de TI, fresca y de altos vuelos
Auditor Interno de Riesgo Inteligente de TI
La función de Auditoría Interna de TI (AI de TI) puede proveer mayor valor a la organización extendiendo sus funciones de supervisión, abordando riesgos tecnológicos relacionados a la operación y estrategia que puedan tener un impacto sobre toda la organización.
• Riesgos Básicos
‒ Servicios Repetitivos
‒ Enfocados al Cumplimiento
‒ AI IT enfocada la mayor parte de su tiempo en este esfuerzo
• Riesgos Intermedios
‒ Tecnologías maduras en las que no se ha enfocado la atención
‒ Algunos aspectos de cumplimiento
‒ Mayor valor
• Riesgos Avanzados
‒ Nuevas tecnologías
‒ Riesgo de alta visibilidad
‒ Altamente estratégico
Enterprise Risk Services 9
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Enfoque de AI de TI
Riesgo
Valor
Nivel 1:
Básico
Nivel 2:
Intermedio
Nivel 3:
Avanzado
A
B C
D
E
F
G
H
I J
K
L
M
N O
P
Q
Enterprise Risk Services 10
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Tomando el vuelo de AI de TI
Nivel 1: Básico
Nivel 2: Intermedio
Nivel 3: Avanzado
Estado Actual Estado Futuro
A la deriva
Flotando
Volando
Valu
e
Enterprise Risk Services 11
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 1 – Auditorias Básicas
Perfil de la Auditoría Interna de TI:
El cumplimiento es importante. Los Controles Generales del Computador deben ser
probados para asegurarse que funcionan correctamente.
Eso puede estar bien para algunas empresas, pero si quiere progresar, si usted espera ver
los obstáculos antes de que estén encima, y si desea moverse por delante del resto, será
necesario ver los riesgos de TI de manera diferente... convirtiéndose al Riesgo Inteligente.
Ejemplos de auditorías básicas:
• Controles Generales del Computador
• Segregación de Funciones
• Controles de ERP
• Políticas y procedimientos de TI
• Controles de TI SOX Sec. 404
12 Enterprise Risk Services
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 2 – Auditoría Intermedia
Perfil de la Auditoría Interna de TI:
Auditoría Interna de TI trata los problemas más avanzados, como la implementación de
sistemas, temas relacionados con privacidad de la información y evaluación de riesgos de
TI. La función de Auditoría Interna de TI es respetada por el CFO y CIO, y se le mantiene
informada de los cambios importantes en la organización así como de los riesgos de TI
que el cambio puede generar.
Ejemplos de auditorías intermedias:
• Administración de Riesgos Tecnológicos
• Pruebas de penetración y hackeo
• Privacidad
• Planes de Recuperación de Desastres
• Gobierno de TI
13 Enterprise Risk Services
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 2 – Auditoría Intermedia
Pruebas de hackeo y penetración
• El crecimiento exponencial en el uso de tecnologías ha expuesto a mayores riesgos a
las organizaciones.
• Los hackers, los robos de información y los fraudes a través del uso de tecnología no
son ciencia ficción y suceden todo el tiempo.
Principales incidentes de seguridad en 2011 y 2012
Sitios hackeados
Debilidades en la programación de aplicaciones
Diseño y arquitectura de seguridad
14 Enterprise Risk Services
¿Qué tan vulnerable es su
organización a un ataque?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 2 – Auditoría Intermedia
Privacidad y protección de datos
Datos Sensibles:
• Información personal
• Indicadores
• Estrategias
• Secretos comerciales
El impacto de las regulaciones en combinación con la publicidad negativa está
promoviendo que las organizaciones adopten medidas para conocer la información
sensible que mantienen, cómo esta es controlada y cómo prevenir que se fugue.
15 Enterprise Risk Services
¿Su empresa está preparada para resguardar y proteger los datos
personales y de negocios?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 2 – Auditoría Intermedia
Planes de recuperación de negocio
Contar con un plan de recuperación de desastres le
permite a las empresas garantizar la continuidad de
su operación de TI ante los diferentes problemas que
puedan suceder.
• Servicios críticos en la empresa y periodo de
tiempo de recuperación para dichos servicios
• Prevenir, mitigar o evitar los escenarios originados
por fallas de los sistemas
• Minimizar las consecuencias económicas y
reputaciones
• Reducir los costos asociados a la interrupción
16 Enterprise Risk Services
Evitar pérdidas
millonarias como
resultado de la
interrupción de las
Tecnologías de la
Información y
Comunicaciones que
soportan los procesos
críticos del negocio
como resultado de
una contingencia o
desastre
¿Sabe como reaccionar a tiempo
en caso de un desastre natural o social?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 2 – Auditoría Intermedia
Administración de Riesgos Tecnológicos
• Nuevas tecnologías nuevos retos a las
organizaciones en administración de riesgos de TI
• Conocer los riesgos que asechan para estar
preparados en su administración
• Prevenir, detectar y remediar los riesgos
• Transparencia para informar a los órganos de
gobierno
17 Enterprise Risk Services
¿Sabe cómo impactan los
riesgos de TI a las actividades
operativas diarias?
Conocer y administrar los riesgos le proveen un nivel de confianza a
la dirección e inversionistas de que su negocio está siendo
debidamente resguardado
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 2 – Auditoría Intermedia
Gobierno de TI
• Contar con una metodología para identificar riesgos, evaluarlos y administrarlos
• El gobierno de TI siendo un gobierno del negocio con soporte de TI
• Alinear objetivos de TI con estratégicos de la organización
18 Enterprise Risk Services
¿Entiende el rol que desempeñan las Tecnologías de Información
(TI) para apoyar las estrategias de su negocio
y obtener el mayor beneficio de ellas?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 3 – Auditoría Avanzada
Perfil de Auditoría Interna de TI:
Auditoría Interna de TI aborda los riesgos de tecnologías nuevas o emergentes de una
manera proactiva, apoyando a la alta dirección en sus esfuerzos por cumplir los objetivos
estratégicos de la empresa. Auditoría Interna de TI está generando valor con su trabajo,
aplicando los principios de Inteligencia de Riesgos “Risk Intelligence” en las diferentes
áreas de la organización. La Auditoría Interna de TI aborda los riesgos tecnológicos antes
de que éstos se conviertan en un problema.
Ejemplos de auditorías avanzadas:
• Tecnología móvil
• Ciberterrorismo
• Redes Sociales
• Medios de pago
• Cómputo en la Nube
• Gobierno Riesgo y Cumplimiento
19 Enterprise Risk Services
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿Sabe que el malware para
dispositivos móviles se
encuentra en aumento?
Nivel 3 – Auditoría Avanzada
Tecnología móvil
Con mayor frecuencia, los empleados de las organizaciones utilizan sus propios
dispositivos móviles o tabletas para actividades profesionales, incrementando la necesidad
de controles específicos para la protección de información.
Principales Riesgos :
• Fuga de información
• Virus / malware
• Destrucción de información
Efectos en las organizaciones:
• Daño de imagen
• Reputación
• Credibilidad
20 Enterprise Risk Services
¿Su empresa está preparada para las nuevas modalidades de
comunicación laboral?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 3 – Auditoría Avanzada
Ciber Terrorismo
• El crimen organizado y los grupos de activistas ahora forman parte del problema
• Saber qué hacer en caso de ataque
• Capacidad para correlacionar eventos
21 Enterprise Risk Services
¿Su organización es capaz de identificar
oportunamente un ataque?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 3 – Auditoría Avanzada
Redes Sociales
Las redes sociales ofrecen grandes beneficios para compartir
contenidos, mantener conversaciones, colaborar, y construir
comunidades entre empleados, clientes, y socios comerciales. Si
su organización ya utiliza estas tecnologías, se han hecho las
siguientes preguntas:
• ¿Cuentan con una estrategia formal que defina su uso y
beneficios esperados?
• ¿Los usuarios están conscientes de las posibles implicaciones
en cuanto a la privacidad de datos, derechos de autor, daños a
la reputación o a la marca, hostigamiento, y otros riesgos de
seguridad a los que están expuestos cuando las utilizan?
22 Enterprise Risk Services
Ante la falta de una estrategia adecuada, un marco de gobierno, y medidas
de seguridad robustas, el uso de estas tecnologías de redes sociales
también puede representar un riesgo importante para su organización.
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 3 – Auditoría Avanzada
Medios de Pago
Todos los bancos y empresas relacionadas con medios
de pago son un objetivo atractivo de la cyber
delincuencia
Nuevas presiones para asegurar:
• Confidencialidad de los datos y transacciones con
las tarjetas bancarias
• Transacciones a través de medios móviles e Internet.
¿Su organización se encuentra preparada contra los
ataques del cyber crimen?
23 Enterprise Risk Services
Robo de Identidad y Fraude
cada vez más común
La concientización del cliente
de medios de pago es
imprescindible para la
disminución del fraude.
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 3 – Auditoría Avanzada
Cómputo en la nube
Principales interrogantes que se han generado:
• ¿Sabe qué tan segura se encontrará su información?
• ¿Quién tendrá acceso a ella?
• ¿Cómo se garantizará su disponibilidad, integridad y confidencialidad?
• ¿Cómo se mitigará el riesgo de puntos únicos de falla?
24 Enterprise Risk Services
“Cloud computing” no es seguro por su naturaleza misma, por lo que es de gran
relevancia definir una estrategia para saber cómo se enfocarán los esfuerzos del
equipo de Auditoría Interna de TI para evaluar los controles relacionados a los riesgos
existentes.
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Nivel 3 – Auditoría Avanzada
Gobierno, Riesgo y Cumplimiento
• Un modelo de gestión de Gobierno Riesgo y Cumplimiento permite:
• Asignar responsabilidades puntuales y coordinar esfuerzos
• Comunicar e integrar la información
• Perspectiva general de los riesgos
• Identificar oportunidades locales y globales de la compañía
• Mejores bases para toma de decisiones.
25 Enterprise Risk Services
¿Usted conoce los riesgos principales que afectan a su organización? ¿Sabe
cuáles son las regulaciones a las que debe dar cumplimiento? ¿Cuenta con
órganos de gobierno corporativo robustos?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿Qué considera riesgoso?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
¿En qué nivel de AI de TI se encuentra su organización?
27 Enterprise Risk Services
Estado Actual Estado Futuro
Nivel 1
Nivel 2
Nivel 3 Avanzado
Ayudando a mitigar riesgos originados de las nuevas tecnologías
Anticipando a los riesgos que traen consigo
Intermedio
Generando valor en la organización
Enfocando el esfuerzo en tecnologías con cierto nivel de madurez
Básico
Cumplimiento / Auditorías Repetitivas
Bajo riesgo y bajo valor a la organización
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Queremos saber tu experiencia (votación interactiva)
28 Enterprise Risk Services
• ¿Su organización cuenta con una estrategia de
Auditoría Interna de TI como la presentada el día de
hoy?
• ¿En qué nivel se encuentran las revisiones de su área
de Auditoría Interna de TI (Básico, Intermedio,
Avanzado)?
• ¿En su organización se realiza alguna actividad
relacionada a AI de TI diferente a la expuesta el día de
hoy?
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Construyendo una comunidad
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Siguientes pasos
1. Estaría interesado en participar en una comunidad de Auditores Internos de TI
2. ¿Con qué frecuencia le gustaría realizar dichas reuniones?
3. ¿Qué temas a abordar?
4. ¿Quién sería el anfitrión, quién presentaría?
5. Fecha de la siguiente reunión
30 Enterprise Risk Services
© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas
miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada
de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas
industrias. Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a
sus clientes, aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Los aproximadamente 182,000
profesionales de la firma están comprometidos con la visión de ser el modelo de excelencia.
Esta publicación es únicamente para distribución y uso interno del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus
respectivas afiliadas (en conjunto la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de la pérdida que pueda sufrir cualquier
persona que consulte esta publicación.
Enterprise Risk Services 31