resultados del primer ciclo de auditoría sobre la ... · proceso cobit promedio de valoración de...
TRANSCRIPT
Agenda
O Objetivo del Acuerdo SUGEF 14-09
O Ciclo de auditoría (Revisión del
cumplimiento)
O Expectativas del regulador
O Resultados de la primera auditoría
O Lecciones aprendidas
O Perspectivas de la normativa
Agenda
O Objetivo del Acuerdo SUGEF 14-09
O Ciclo de auditoría (Revisión del
cumplimiento)
O Expectativas del regulador
O Resultados de la primera auditoría
O Lecciones aprendidas
O Perspectivas de la normativa
Escenario de gestión de TI
O El aumento de la dependencia tecnológica
caracteriza a las actividades financieras
O Los costos de las inversiones en sistemas
de información pueden ser considerables
O La proliferación de amenazas y eventos no
deseados es constatable
O Las tecnologías poseen potencial para
cambiar drásticamente los procesos de
negocio de las organizaciones
Objetivo del Acuerdo SUGEF 14-09
O Definir un marco de gestión del riesgo
tecnológico de acuerdo con las mejores
prácticas en la materia.
O Actualizar el enfoque normativo de la
superintendencia, analizando la normativa
de anterior vigencia (CONASSIF 347-2002) y
considerando los criterios de entes
especializados en materia de auditoría de
gestión de TI y supervisión financiera.
Agenda
O Objetivo del Acuerdo SUGEF 14-09
O Ciclo de supervisión (Revisión del
cumplimiento)
O Resultados de la primera auditoría
O Conclusiones
O Perspectivas de la normativa
Remisión a la SUGEF del
Perfil Tecnológico
Comunicación a la entidad del alcance de la
revisión externa
Revisión externa y
remisión a SUGEF del resultado
Comunicado a la entidad –
calificación de la Gestión de TI
Remisión a SUGEF del
plan correctivo - preventivo
Seguimiento y monitoreo SUGEF
Ciclo de Supervisión
Agenda
O Objetivo del Acuerdo SUGEF 14-09
O Ciclo de supervisión (Revisión del
cumplimiento)
O Resultados de la primera auditoría
O Conclusiones
O Perspectivas de la normativa
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Adquirir e
Implementar Dar Soporte
Monitorear y Evaluar
Planificar y Organizar
40%
33%
30% 34%
73%
64%72%
68%
Nota
de G
esti
ón
de T
I
Dominio CobiT
Gestión de TI por dominio CobiT - Sector Financiero
Costarricense
Cooperativas Sector Financiero(sin Cooperativas)
Normalidad (X> =85)Irregularidad 1
(70>X<85) Irregularidad 2
(55>X<70) Irregularidad 3 (X<55)
0
5
10
15
20
25
30
0 2
2
27
Coop
era
tiva
s
Normalidad (X> =85) Irregularidad 1 (70>X<85) Irregularidad 2 (55>X<70) Irregularidad 3 (X<55)
Cantidad 0 2 2 27
Cooperativas de ahorro y crédito: Distribución de notas de gestión según escala del Acuerdo 14-09
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
PO 1 Definir un
Plan Estratégicode TI
PO 10 Admin.
Proyectos PO 3 Determinar
DirecciónTecnológica
PO 5 Admin.
Inversión en TI PO 9 Evaluar y
Admin. Riesgosde TI
39%
31%30%
44%
26%
Pro
med
io
Proceso CobiT
Promedio de valoración de procesos CobiT del dominio
Planear y Organizar para cooperativas de ahorro y
crédito
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
DS 10 Admin.
ProblemasDS 11 Admin.
Datos DS 12 Admin.
Ambiente
Físico
DS 2 Admin.
Servicios de
Terceros
DS 3 Admin.
Desem. y
Capacidad
DS 4
Garantizar
Cont. del
Servicio
DS 5
Garantizar
Seguridad de
los Sistemas
DS 9 Admin.
la
Configuración
26%35%
55%
30%
25%
19%
41%
31%
Pro
med
io
Proceso CobiT
Promedio de valoración de procesos CobiT del dominio
Dar Soporte para cooperativas de ahorro y crédito
Brecha de cumplimiento en cooperativas de ahorro y crédito
0%
20%
40%
60%
80%
100%
AI 3 Adquirir y Mantener Infr. Tec.
AI 5 Adquirir Recursos de TI
AI 6 Admin. Cambios
DS 10 Admin. Problemas
DS 11 Admin. Datos
DS 12 Admin. Ambiente Físico
DS 2 Admin. Servicios de Terceros
DS 3 Admin. Desem. y Capacidad
DS 4 Garantizar Cont. del ServicioDS 5 Garantizar Seguridad de los Sistemas
DS 9 Admin. la Configuración
ME 2 Monitorear y Evaluar Control Interno
PO 1 Definir un Plan Estratégico de TI
PO 10 Admin. Proyectos
PO 3 Determinar Dirección Tecnológica
PO 5 Admin. Inversión en TI
PO 9 Evaluar y Admin. Riesgos de TI
0.00 0.50 1.00 1.50 2.00 2.50 3.00
PO 1 Definir un Plan Estratégico de TI
PO 3 Determinar la Dirección Tecnológica
PO 5 Administrar la Inversión en TI
PO 9 Evaluar y Administrar los Riesgos de TI
PO 10 Administrar Proyectos
1.00
0.68
1.32
0.61
0.77
Nivel de Madurez
Pla
nific
ar
y O
rga
niz
ar
Cooperativas de ahorro y crédito: valoración de niveles de madurez para el dominio Planificar y Organizar
0.00 0.50 1.00 1.50 2.00 2.50 3.00
DS 2 Administrar los Servicios de Terceros
DS 3 Administrar el Desempeño y la Capacidad
DS 4 Garantizar la Continuidad del Servicio
DS 5 Garantizar la Seguridad de los Sistemas
DS 9 Administrar la Configuración
DS 10 Administración de Problemas
DS 11 Administración de Datos
DS 12 Administración del Ambiente Físico
0.81
0.87
0.48
0.84
0.81
0.58
0.48
1.10
Nivel de Madurez
Da
r S
op
ort
e
Cooperativas de ahorro y crédito: valoración de niveles de madurez para el dominio Dar Soporte
0.00
1.00
2.00
3.00
4.00
5.00
AI 3 Adquirir y Mantener Infr. Tecnológica
AI 5 Adquirir Recursos de TI
AI 6 Administrar Cambios
DS 2 Administrar los Servicios de
Terceros
DS 3 Administrar el Desempeño y la
Capacidad
DS 4 Garantizar la Continuidad del
Servicio
DS 5 Garantizar la Seguridad de los
Sistemas
DS 9 Administrar la Configuración
DS 10 Administración de ProblemasDS 11 Administración de Datos
DS 12 Administración del Ambiente Físico
ME 2 Monitorear y Evaluar el Control
Interno
PO 1 Definir un Plan Estratégico de TI
PO 3 Determinar la Dirección Tecnológica
PO 5 Administrar la Inversión en TI
PO 9 Evaluar y Administrar los Riesgos de
TI
PO 10 Administrar Proyectos
Cooperativas de ahorro y crédito: Brecha de valoración de
niveles de madurez
Obtenido Requerido Máximo
Aspectos relevantes
O 0% de las entidades cooperativas alcanzanel grado de “Normalidad” dispuesto en lanormativa.
O 1 proceso alcanza el grado de Irregularidad2 (de un total de 17).
O Próximo ciclo de auditoría inicia en agostode 2012.
O Las entidades requieren esfuerzo de granmagnitud para alcanzar un grado deevaluación de “Normal” en el corto plazo.
Agenda
O Objetivo del Acuerdo SUGEF 14-09
O Ciclo de supervisión (Revisión del
cumplimiento)
O Resultados de la primera auditoría
O Conclusiones
O Perspectivas de la normativa
Conclusiones
O Las entidades deben establecer los
mecanismos de gestión necesarios para
que los productos de auditoría, previo a la
entrega a la superintendencia:
O Cumplan en plazo y forma lo establecido en
los lineamientos.
O Reflejen las particularidades de la gestión de
sus procesos de gestión de TI.
0
5
10
15
20
25
30
1
2
3
4
14
12
4
1
Ca
nti
dad
de c
oop
era
tiva
s
Cantidad de envíos
Cooperativas de ahorro y crédito: Reemplazo de
productos de auditoría de TI
Conclusiones
O Se requiere una identificación adecuada del
alcance e impacto de las acciones derivadas
de la implementación del Acuerdo SUGEF
14-09, así como una debida asignación de
responsabilidades.
O El potencial del área de TI de la organización
para ejecutar la totalidad de acciones
requeridas es limitado, por lo que se
requiere un mayor involucramiento de la
administración como facilitador y enlace.
Conclusiones
O Una entidad debe evitar que sus actividades
se desarrollen con un enfoque tradicional de
cumplimiento regulatorio. El enfoque debe
ser sobre el valor que genera cada acción a
sus procesos de gestión.
O La entidad no debe esperar una auditoría
externa requerida por el Acuerdo 14-09
como detonante de sus acciones de
implementación.
Conclusiones
O La entidad debe valorar conforme se
ejecuten las acciones del plan de acción si
las mismas:
O Determinan todas las acciones necesarias
O Se fundamentan únicamente en las observaciones
del informe de auditoría o incluyen también una
evaluación proactiva de la gestión de TI
O Cuenta con el plazo necesario para que las
acciones generen evidencia suficiente en términos
de la próxima auditoría
Agenda
O Objetivo del Acuerdo SUGEF 14-09
O Ciclo de supervisión (Revisión del
cumplimiento)
O Resultados de la primera auditoría
O Conclusiones
O Perspectivas de la normativa
Modificaciones a la normativa
O Homologación de normativa para todas las
superintendencias (Acuerdo Conassif 8-
2012).
O Incluye la experiencia del primer ciclo de
auditoría y permite mejoras en el proceso y
forma de evaluación, que aporten mayor
valor al auditado y al supervisor.
Resultados del primer ciclo de auditoría sobre
la gestión de TICooperativas de Ahorro y Crédito
Carlos Mauricio Gómez Aguilar [email protected]
Osvaldo Sánchez Chaves [email protected]