4. Pepe …
un Gerente de una empresa de reconocido prestigio
Enfrentando el desafío
Setiembre de 2014
Página 3
1
2
3
4
Libro de caras
Pepe
¡Tengo mi Piñaphone 9, que salió
hace 15 días al mercado, con el
correo y apps de mi empresa
instalados!
¡Logré tercerizar los servicios
de TI y así generar ahorros…
los correos de la compañía
están en la Nube!
¡Reduje los costos al poner los
programas de pedidos y ventas
en la nube! Di acceso a todos
mis empleados desde sus
smartphones!
¡Ganaré un concurso del Estado para
un proyecto que representará el 40%
de mi facturación!
¡ESTOY FELIZ!
5. Es domingo en la mañana, y Pepe…
3
Enfrentando el desafío
Setiembre de 2014
Página 4
Recibe una llamada
al teléfono fijo del
Gerente de Ventas
con malas noticias…
El celular no funciona y el
proveedor no recibe reclamos por
ser domingo.
Para colmo de males…
“Pepeleaks,
lobby en compras
del Estado”
2
4
La cuenta de correo de Pepe fue hackeada y
accedieron a 5000 correos, uno de ellos de su
“socio estratégico”.
1
Pepe
Pedidos perdidos en la nube, debido a
una falla en los sistemas.
En el Acuerdo de Servicios del
proveedor tercerizado no existe una
cláusula que solucione el problema.
6. Pepe no contempló 7 riesgos que hoy enfrenta una organización:
Enfrentando el desafío
Setiembre de 2014
¿Qué pasó?
Página 5
7. Adoptar el rol de asesor en la organización.
Su función de Auditoría Interna debe estar preparada para responder lo siguiente:
Enfrentando el desafío
Setiembre de 2014
… y Auditoría Interna
La función de Auditoría Interna debe:
¿Puede esas
brechas de
seguridad revisadas
pasar en nuestra
compañía?
Página 6
¿Nuestros
proveedores han
adoptado nuestra
cultura ética y
cumplen con las
leyes y
regulaciones?
¿Con qué rapidez
podemos responder
a los desastres
naturales u otras
interrupciones en el
negocio?
¿Nuestros
empleados
entienden los riesgos
del uso de las redes
sociales?
Focalizarse 1 en las actividades básicas y centrales.
2
3 Ser capaz de “mirar a la vuelta de la esquina”.
4 Realizar múltiples actividades de forma simultánea.
10. Enfrentando el desafío
Setiembre de 2014
1. Redes sociales
Ingreso a
redes sociales 72%
Página 9
de los adultos que utilizan internet
entran a páginas de redes sociales
(con potencial un impacto negativo
en la marca de una empresa).
Fuente: Pew Research Center’s Internet &
American Life Project, Agosto 2013.
Facebook 12.4 MM
de usuarios de Facebook en el Perú.
Fuente: Gestión, Enero 2014.
“75% de los millennials utiliza su móvil
para conectarse a plataformas sociales,
básicamente a Facebook y a Whats-App.”
Fuente: El Comercio, Abril 2014.
Conexión a
Internet 38.2%
de peruanos se conectan a internet
diariamente.
Fuente: El Comercio, Mayo 2014.
Twitter y
Linkdin 500 MM
de Tweets mundiales al día.
259 MM
de miembros en Linkdin en el mundo.
Fuente: Richard Holt, “Twitter in
Numbers,” Telegraph, Marzo 2013.
11. Enfrentando el desafío
Setiembre de 2014
1. Redes sociales
Página 10
Riesgos
de redes
sociales
Divulgación de
información sensible
Hackers que descifran
datos confidenciales
Plataformas con
mayor acceso a virus
Software
malicioso
Suplantación de
identidad en la web
Secuencias de
comandos
cruzados
12. Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 11
Respuestas de Auditoría
Evaluación de riesgos en las redes
sociales
Colaborar con el área de sistemas de información
para la evaluación de las actividades en las redes
sociales dentro de la empresa.
Trabajar con los proveedores de servicios clave
buscando fortalecer la administración de riesgos
en la organización.
Evaluar las amenazas a la seguridad de la
información a través del uso de las redes sociales.
1. Redes sociales
Preguntas asociadas
¿La organización comprende los
riesgos relacionados con las
redes sociales?
¿Los procesos de mitigación
son adecuados y ágiles?
13. Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 12
Respuestas de Auditoría
Auditoría del gobierno de las redes
sociales
Evaluar el diseño de las políticas y procedimientos
para administrar las redes sociales dentro de la
organización.
Revisar las políticas y procedimientos con
respecto a las prácticas líderes.
Evaluar el programa de capacitación en redes
sociales.
1. Redes sociales
Preguntas asociadas
¿Existe un proceso de gobierno
para redes sociales dentro de la
empresa? ¿Incluye a las
principales áreas funcionales?
¿Existen políticas sobre redes
sociales?
¿Cuán bien conocidas por los
empleados son las políticas
sobre redes sociales?
14. Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 13
Respuestas de Auditoría
Auditoría de actividades en las redes
sociales
Revisar las actividades en las redes sociales de la
organización y a sus usuarios, con respecto a las
políticas, procedimientos y capacitación
implementadas.
1. Redes sociales
Preguntas asociadas
¿Qué acciones correctivas se
necesita implementar en función
de la actividad?
¿El programa de capacitación
proporciona un entrenamiento
adecuado para los usuarios?
16. 2. Dispositivos móviles
Teléfonos
inteligentes 5.5 MM
Enfrentando el desafío
Setiembre de 2014
Página 15
de teléfonos inteligentes están
operativos en el Perú y la mayoría de
ellos es usada por jóvenes de entre
20 y 29 años.
Fuente: El Comercio, Abril 2014.
Población
“Smart” 20% mundo
Fuente: El Comercio, Abril 2014.
18% Perú
Fuente: El Comercio, Abril 2014.
“Tablets” 1.2 MM
de unidades, es la proyección de
ventas de tablets en el Perú para el
2014.
Fuente: El Comercio, Febrero 2014.
Memoria
USB 561 MM
De unidades, es el tamaño de
mercado proyectado para las
memorias USB hacia el 2018.
Fuente: www.mynewsdesk.com,
Diciembre 2013.
17. 2. Dispositivos móviles
Enfrentando el desafío
Setiembre de 2014
Página 16
Mejorar la
productividad
Extendiendo el alcance del uso de
las aplicaciones existentes (p.e.
hojas de trabajo móviles).
Acceso a los
empleados
Permitir el acceso a los empleados
a procesos empresariales nuevos o
más eficientes (p.e. soporte de
campo móvil).
Nuevos negocios
Apuntar a nuevos mercados u
ofrecer nuevos productos/servicios
a los clientes (p.e. aplicaciones de
comercio móvil).
¿Qué es lo que impulsan
los sistemas de
información móviles?
18. 2. Dispositivos móviles
Pérdida potencial de
información importante
Enfrentando el desafío
Setiembre de 2014
Página 17
Riesgos de
Dispositivos
móviles
Mayor seguridad debido a
la gama de dispositivos y
vulnerabilidades de los
sistemas
Robo de un dispositivo
móvil debido a su
pequeño tamaño
Privacidad y monitoreo
entre el uso personal y
empresarial del dispositivo
Cumplimiento con las
regulaciones de
privacidad
19. 2. Dispositivos móviles
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 18
Revisión de la configuración del
dispositivo móvil
Identificar los riesgos y vulnerabilidades de la
configuración actual del dispositivo móvil.
Evaluar las plataformas de clientes, la arquitectura
de la red de soporte, implementación de políticas,
manejo de dispositivos perdidos o robados e
identificación de vulnerabilidades a través de la
accesibilidad de la red y la configuración de las
políticas.
¿Cómo ha implementado la
organización la política “traiga
su propio dispositivo” (BYOD
por sus siglas en inglés)?
¿Se han implementado políticas /
estrategias móviles apropiadas?
¿Cómo detectan dispositivos no
autorizados?
¿Los parámetros de configuración
son seguros y parametrizados de
acuerdo con las políticas?
20. 2. Dispositivos móviles
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 19
Evaluación de caja negra (“black-box”) de
las aplicaciones móviles
Realizar una auditoría utilizando diferentes
estrategias de pruebas front-end: analizar
vulnerabilidades utilizando diversas herramientas
y verificar manualmente los resultados del
análisis.
Intentar explotar las vulnerabilidades identificadas
en las aplicaciones web móviles.
¿Qué vulnerabilidades pueden
ser explotadas con éxito?
¿Cuál es la respuesta cuando se
explotan?, ¿Existe conocimiento
de que ha ocurrido una intrusión?
21. 2. Dispositivos móviles
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 20
Evaluación de caja gris (“gray-box”) de
las aplicaciones móviles
Combinar las revisiones de código fuente
tradicionales (pruebas de caja blanca – “White-box”)
con técnicas de pruebas front-end (caja
negra – “black-box”) para identificar áreas críticas
de funcionalidad y síntomas de malas prácticas
comunes.
Cada uno de estos puntos (“hotspots”) en el
código deben ser enlazados con la instancia en
vivo de la aplicación donde las técnicas de
explotación manual pueden verificar la existencia
de una vulnerabilidad de seguridad.
¿Cuán sólido es el código
fuente asociado con las
aplicaciones móviles utilizadas
dentro de la organización?
¿Qué vulnerabilidades pueden
explotarse dentro del código?
23. 3. Sistemas de información en la nube
Enfrentando el desafío
Setiembre de 2014
Operación
en la nube 50%
Página 22
de las empresas del Perú que
facturan más de US$ 40 millones ya
tienen por lo menos un servicio u
operación en la nube.
Fuente: Gestión, Febrero 2014.
Estimación
2015 $200MM
Es lo que se prevé que el referido
mercado llegue a hacer negocios.
Fuente: Gestión, Febrero 2014.
Factores clave :
• Agilidad empresarial
• Pagar por lo utilizado versus instalar y
ser propietario
• Ahorro de costos
• Plataformas innovadoras para el
crecimiento
• Utilización de infraestructura
• Inversión pública
• Estudio de mercado
• Seguridad
• Esfuerzos de estandarización
• Riesgos de pérdida de información
24. 3. Sistemas de información en la nube
Enfrentando el desafío
Setiembre de 2014
Página 23
Riesgos de infraestructura
Riesgos de
información
en la nube
y arquitectura
Riesgos de estándares
e inoperabilidad
Riesgos regulatorios
y de cumplimiento
Gobierno sobre el
proveedor de
servicios de nube
Alineamiento de
estrategias y gobierno
Riesgos de
continuidad del
negocio
25. 3. Sistemas de información en la nube
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 24
Estrategia y gobierno de los sistemas de
información en la nube
Evaluar la estrategia de la organización para el
uso de sistemas de información en la nube.
Determinar si se han desarrollado políticas y
controles apropiados para brindar soporte al
despliegue de la estrategia.
Evaluar el alineamiento de la estrategia con los
objetivos generales de la empresa y el nivel de
aprestamiento que debe adoptarse dentro de la
empresa.
¿Existe una estrategia entorno
al uso de proveedores de
servicios de sistemas de
información en la nube?
¿Existen políticas de soporte a
seguir cuando se utiliza un
proveedor de servicios de sistemas
de información en la nube?
26. 3. Sistemas de información en la nube
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 25
Seguridad y privacidad en la nube
Evaluar las prácticas y procedimientos de seguridad de la
información del proveedor de servicios de sistemas de
información en la nube. Esto puede ser una revisión de los
informes SOC 1, 2 y / o 3 -como el SSAE 116-, una revisión
de los acuerdos de nivel de servicios de seguridad y / o una
auditoría “in situ” del proveedor.
Determinar si la Gerencia de Sistemas de Información trabajó
para negociar requerimientos de seguridad en el marco de su
contrato con el proveedor.
Revisar los procedimientos para evaluaciones de seguridad
periódicas del / de los proveedor(es) de servicios, y
determinar qué medidas de seguridad interna se han tomado
para proteger la información y datos de la empresa.
¿Se ha realizado una
evaluación de impacto
sobre las operaciones del
negocio para los servicios
que se desplazan a la nube?
¿Su organización tiene
protocolos de autenticación
seguros para los usuarios que
trabajan en la nube?
27. 3. Sistemas de información en la nube
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 26
Evaluar el servicio del proveedor de sistemas de
información en la nube
Evaluar la capacidad del proveedor de satisfacer o
sobrepasar los acuerdos de nivel de servicios establecidos
en el contrato.
Las áreas de consideración deben incluir Tecnología, Legal,
Gobierno, Cumplimiento, Seguridad y Privacidad.
Asimismo, evaluar qué planes de contingencia existen en
caso de desperfectos, acuerdos de responsabilidad, soporte
extendido, y la inclusión de otros términos y condiciones
como parte de los contratos de servicio, así como la gestión y
modularidad de la disponibilidad, incidentes y capacidad.
¿Qué acuerdos de nivel de
servicio están implementados
para el tiempo de
disponibilidad real, resolución
de problemas y servicio
general?
¿El proveedor de servicios ha
satisfecho o sobrepasado los
acuerdos de nivel de servicio?
¿Qué problemas han tenido?
29. 4. Seguridad de sistemas de información
Enfrentando el desafío
Setiembre de 2014
Página 28
Función de
seguridad 83%
Reportaron que su función de
seguridad de información no
satisfacía plenamente las
necesidades de la organización.
Incidentes de
seguridad 31%
Reportaron que el número de
incidentes de seguridad dentro de
su organización se había
incrementado en por lo menos
5% durante el último año.
Necesidad
presupuestaria 65%
Citaron necesidades presupuestarias
como su obstáculo número uno para
la entrega de valor al negocio.
Encuesta global de EY
sobre Seguridad de la
Información, 2013
(“Under ciber-attack”)
30. 4. Seguridad de sistemas de información
¿Cómo reforzar los controles de seguridad de la información?
Implementar un adecuado balance de controles preventivos y detectivos.
Enfrentando el desafío
Setiembre de 2014
Página 29
Identificar las “joyas de 1 la corona” y establecer controles diferenciales.
2
3 Fortalecer y complicar los controles.
31. 4. Seguridad de sistemas de información
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 30
Evaluación del programa de seguridad de
la información
Evaluar el programa de seguridad de la
información de la organización utilizando un marco
alineado con estándares generalmente aceptados.
Proporcionar una imagen clara de cómo está
preparada la empresa para proteger los activos de
información clave de ésta.
¿Cuán bien se ha adaptado la
empresa al panorama cambiante
de las amenazas, tanto en el
mundo de hoy como en el futuro
desconocido?
¿La estrategia de seguridad de la
información de la empresa es
apropiada para proteger sus
activos de información crítica?
32. 4. Seguridad de sistemas de información
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 31
Respuestas de Auditoría
Evaluación de la ciber-amenaza
Adoptando la mentalidad, herramientas y técnicas
de un atacante malicioso, haga las pruebas para
determinar si los activos de información clave de
la empresa corren riesgos.
Enfocarse en activos de información y negocios o
“trofeos”, no en la tecnología, en un cambio
notable de las pruebas históricas de “ataque y
penetración”.
Identificar cuales son las alertas que generan las
intrusiones y su priorización.
Preguntas asociadas
¿Qué vulnerabilidades existen?,
¿se ha detectado
aprovechamiento de estas
vulnerabilidades?
¿La información sobre las
amenazas internas y externas está
considerada en las prácticas de
seguridad?
Cuando se detecta una intrusión,
¿el tiempo de respuesta de la
organización es apropiado?
33. 4. Seguridad de sistemas de información
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 32
Respuestas de Auditoría
Evaluación de gestión de identidades y
accesos
Revisar los procesos de la empresa para regir
quien tiene acceso a los sistemas y cómo se
controla dicho acceso.
Enfocarse en el proceso de otorgamiento de
accesos, fiscalización y certificación, gestión de
roles / reglas y reportes y analítica.
Preguntas asociadas
¿La empresa está otorgando
apropiadamente el acceso a
usuarios internos y externos?
¿Está siendo controlado el acceso
a las cuentas privilegiadas?
¿La empresa está en capacidad de
identificar y reaccionar a
accesos inapropiados o no
autorizados?
34. 4. Seguridad de sistemas de información
Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 33
Respuestas de Auditoría
Evaluación de la protección de datos
Evaluar la manera en que la empresa ha
identificado, definido y clasificado sus datos,
incluyendo los mecanismos de protección de
datos.
Preguntas asociadas
¿La empresa está protegiendo
sus activos de información
clave a lo largo del ciclo de vida
completo de los datos (es decir,
datos en reposo, en uso, en
movimiento)?
¿La empresa está cumpliendo con
sus requerimientos regulatorios
para proteger datos?
36. 5. Gestión de riesgos de procesos tercerizados
Enfrentando el desafío
Setiembre de 2014
Página 35
Riesgos de
procesos
tercerizados
Daño a la marca y
reputación
Riesgos de servicios y
productos
Riesgos de
operación y de
cadena de abastec.
Responsabilidad
legal / obligaciones
contractuales
Uso inapropiado de
secretos comerciales
Seguridad de la
información y
privacidad
37. 5. Gestión de riesgos de procesos tercerizados
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 36
Programa general de gestión de riesgos de
procesos tercerizados
Evaluar la consistencia del programa implementado para
manejar el riesgo de procesos ejecutados por terceros en la
organización.
Incluir los criterios del proceso de evaluación de riesgos,
propiedad del programa, roles y responsabilidades de los
diversos gerentes / departamentos, protocolos de
comunicación, autoridades de aprobación, protocolos de
exención, políticas y procedimientos, incluyendo difusión y
capacitación, y un programa de monitoreo en curso.
¿Cuán consistente es el proceso
global de gestión de riesgos de
proveedores de servicios de
procesos tercerizados?
¿La propiedad, roles y
responsabilidades están
claramente entendidos?
38. 5. Gestión de riesgos de procesos tercerizados
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 37
Proceso de gestión de contratos
Auditar la propiedad del proceso y las
responsabilidades de control y fiscalización; el
proceso general para la firma de nuevos contratos
y para renovar contratos existentes; y el proceso
de cumplimiento, incluyendo la política legal,
regulatoria y de empresa.
Revisión de los Acuerdo de Nivel Servicio
¿La organización tiene un
proceso bien comunicado para
mantener y administrar
contratos?
¿Se ha establecido las métricas
y criterios para las revisiones
periódicas?
39. 5. Gestión de riesgos de procesos tercerizados
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 38
Programa de gestión de proveedores de servicios
de procesos tercerizados
Incluir revisiones del sitio del proveedor, según sea lo
apropiado, en relación con la política de seguridad;
privacidad y gestión de datos (p.e., fuga y protección);
seguridad del personal; control de accesos; seguridad física
y medioambiental; desarrollo y mantenimiento de sistemas;
evaluación de contratos y / o cumplimiento con contratos,
acuerdos sobre estándares o nivel de servicio; evaluación
financiera; mapeo y evaluación de proceso, riesgo y control;
cumplimiento con leyes y regulaciones; y planificación de
contingencias / continuidad del negocio.
¿La organización tiene un
proceso exhaustivo que
es comunicado
internamente y a los
proveedores?
¿Se ha desarrollado criterios
y métricas que identifiquen
temprano problemas
potenciales?
41. Fuente: Estudio sobre el riesgo de
fraude en el Perú, Enero 2014.
de empresas en el
mundo NO cuenta
con él.
Enfrentando el desafío
Setiembre de 2014
6. Anti-corrupción
Página 40
Corrupción 40%
de los países encuestados; es decir,
más de la mitad de los encuestados,
indicaron que la corrupción estaba
generalizada.
Fuente: 13° Encuesta Mundial sobre
el Fraude de EY, 2014.
Política
Anti
soborno 1de cada 5empresas
aún no cuenta con una política
antisoborno / anticorrupción.
Fuente: 13° Encuesta Mundial sobre
el Fraude de EY, 2014.
Debida
diligencia
anti
corrupción
Menos del 1/3
de las empresas encuestadas
indicaron que están llevando a cabo
la debida diligencia anticorrupción
como parte de sus procesos de
fusión y adquisición
Fuente: 13° Encuesta Mundial sobre
el Fraude de EY, 2014.
Sistema de
denuncias 43% de empresas
peruanas NO
cuenta con él.
45%
Fuente: 13° Encuesta Mundial sobre el
Fraude de EY, 2014.
Línea Ética
42. de los encuestados no se
siente seguro respecto
de la suficiencia y
efectividad de sus
controles anti-fraude.
Enfrentando el desafío
Setiembre de 2014
6. Anti-corrupción
Página 41
22%
de las empresas víctimas
de fraude en los últimos
cinco años, sufrieron
pérdidas de más de
$100,000 por evento.
81%de los casos de fraude
fueron perpetuados por el
propio personal.
83%
Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014.
67%
de encuestados cuya
organización sufrió eventos
de fraude, cree que estos
eventos pueden volver a
suceder.
55%
de las organizaciones fueron
víctimas de fraude
45%
de las organizaciones
defraudadas sufrieron más de
un caso de fraude por año
Fraude
43. Enfrentando el desafío
Setiembre de 2014
6. Anti-corrupción
Página 42
Riesgos de
Fraude y
corrupción
Pérdida de proveedores
clave por tener una
relación de soborno
Pérdida de clientes
clave e ingresos
asociados
Pagos impropios
Terceros que
realizan pagos
impropios y tienen
conductas
inapropiadas
44. Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
¿Cuál es el proceso para
aceptar nuevos proveedores?
Página 43
Respuestas de Auditoría
Evaluación del programa anticorrupción
Evaluar el proceso que la gerencia ha implementado
para calificar y aceptar a proveedores.
Centrarse en los controles para verificar que las
políticas y procedimientos de la empresa están
implementados y son seguidos de manera
consistente.
Enfocarse en la estrategia de la empresa para
rastrear y gestionar al proveedor en las localidades
con alto riesgo. Esto incluirá una revisión de la
aceptación del proveedor y un proceso periódico de
revisión de la continuación del proveedor.
6. Anti-corrupción
Preguntas asociadas
¿En qué mercados con alto
riesgo opera la organización?
¿Quién está involucrado en el
proceso y cuáles son los
controles implementados?
45. 6. Anti-corrupción
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 44
Evaluación de la protección de datos
Revisar la posición de la empresa respecto al cumplimiento
de las regulaciones y normas anticorrupción.
Emprender una revisión detallada de la política,
procedimientos y controles internos implementados para
seguir cumpliendo.
Revisar los programas de capacitación y educación para los
empleados y terceros, así como el enfoque de la empresa
para seguir al día con las leyes y regulaciones aplicables.
¿Quién es el propietario y
responsable del cumplimiento
de las regulaciones y normas
anticorrupción?
¿Cuál es el proceso de la
organización para la
evaluación de riesgos de los
países / áreas en los cuales
opera?
46. Aspectos Clave a considerar durante la auditoría:
Enfrentando el desafío
Setiembre de 2014
Página 45
Respuestas de Auditoría
Auditoría de denuncias internas
Centrarse en el programa de cumplimiento de la
empresa, con un énfasis en las políticas,
procedimientos y controles internos del programa.
Revisar la “hotline” de denuncias internas o línea ética,
la respuesta de la gerencia sobre nuevas acusaciones
y el procedimiento para seguir problemas potenciales
identificados hasta su culminación.
También centrarse en los controles implementados
para verificar el anonimato del denunciante interno.
6. Anti-corrupción
Preguntas asociadas
¿Quién es el propietario y
responsable del programa de
cumplimiento de la empresa?
¿Cuál es el proceso para que un
denunciante interno proporcione
información a la empresa?
¿Qué controles han sido
implementados para verificar que
el programa promueva la
confidencialidad de aquellos que
contactan la “hotline” de
denuncias internas o línea ética?
48. 7. Gestión de continuidad de negocio
Enfrentando el desafío
Setiembre de 2014
Página 47
BCM
Políticas claras
entendidas por los
empleados
Plan de recuperación
de desastres
Gobierno del
programa
Plan de crisis
49. 7. Gestión de continuidad de negocio
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
¿Cómo se compara el plan con
las prácticas de vanguardia?
Página 48
Integración y gobierno del programa de
continuidad del negocio
Evaluar el plan general de continuidad del negocio de
la organización, incluyendo el gobierno del programa,
las políticas, evaluaciones de riesgos, análisis de
impacto en el negocio, evaluación del vendedor /
tercero, estrategia / plan, pruebas, mantenimiento,
gestión de cambios y capacitación / toma de
consciencia.
¿La organización ha
implementado un plan holístico
de continuidad del negocio?
¿El plan ha sido probado y
comunicado apropiadamente?
50. 7. Gestión de continuidad de negocio
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
¿Las pruebas dan la seguridad
que los sistemas puedan ser
efectivamente recuperados?
Página 49
Recuperación de desastres
Evaluar la capacidad de tecnología de la información
de recuperar efectivamente los sistemas y reanudar
el desempeño normal de los sistemas en el caso de
una perturbación o desastre.
¿Los planes de recuperación de
desastres están alineados con
planes de continuidad del
negocio más amplios?
¿Están incluidos los sistemas
críticos? ¿Están definidos?
51. 7. Gestión de continuidad de negocio
Aspectos Clave a considerar durante la auditoría:
Preguntas asociadas Respuestas de Auditoría
Enfrentando el desafío
Setiembre de 2014
Página 50
Gestión de crisis
Revisar los planes de gestión de crisis de la
organización, incluyendo el plan / estrategia general,
protección de activos, seguridad del personal,
métodos de comunicación, relaciones públicas,
pruebas, mantenimiento, gestión de cambios y
capacitación / toma de consciencia.
¿Los planes de gestión de crisis
están alineados con planes de
continuidad del negocio más
amplios?
¿Los planes han sido bien
comunicados y probados?
53. Tareas de la Auditoría Interna
Lista de actividades que la función de Auditoría Interna debiera ejecutar:
Enfrentando el desafío
Setiembre de 2014
Actividades de
la Auditoría
Interna
Página 52
Aplicar una evaluación de riesgos dinámica y un plan de auditoría
flexible.
Incluir información de la Gerencia y relacionarla directamente
con la estrategia y la gestión de riesgos de la empresa.
Incorporar el análisis de datos en el proceso de la auditoría.
Identificar los controles redundantes o ineficaces y
recomendar mejoras y ahorros de costos.
Realizar proyectos de asesoría que incluyan proactivamente el
diseño de los controles y la eficiencia y eficacia de los procesos.
Coordinar los objetivos, el alcance y la cronología de los reportes al
Directorio y Gerencia, con las otras funciones de riesgos y
cumplimiento. Buscar el mayor valor en el trabajo de otras funciones
de auditoría y cumplimiento.
54. Enfrentando el desafío
La Auditoría Interna ante un panorama
volátil de riesgos
Jorge Acosta
Socio Líder de Consultoría
Setiembre de 2014