SlideShare una empresa de Scribd logo

Enfrentando el desafío - La Auditoría Interna ante un panorama volátil de riesgos

Descargar como PPTX, PDF
EY Perú
EY Perú

Presentación de Jorge Acosta, Socio Líder de Consultoría de EY Perú, acerca del rol de auditoría interna ante un panorama volátil de riesgos.

Empresariales
1 de 54
Enfrentando el desafío La Auditoría Interna ante un panorama volátil de riesgos Jorge Acosta Socio Líder de Consultoría Setiembre de 2014
1Presentando a Pepe 2Los riesgos 3Tareas de la Auditoría Interna 4 Contenido
Presentando a Pepe
Pepe … un Gerente de una empresa de reconocido prestigio Enfrentando el desafío Setiembre de 2014 Página 3 1 2 3 4 Libro de caras Pepe ¡Tengo mi Piñaphone 9, que salió hace 15 días al mercado, con el correo y apps de mi empresa instalados! ¡Logré tercerizar los servicios de TI y así generar ahorros… los correos de la compañía están en la Nube! ¡Reduje los costos al poner los programas de pedidos y ventas en la nube! Di acceso a todos mis empleados desde sus smartphones! ¡Ganaré un concurso del Estado para un proyecto que representará el 40% de mi facturación! ¡ESTOY FELIZ!
Es domingo en la mañana, y Pepe… 3 Enfrentando el desafío Setiembre de 2014 Página 4 Recibe una llamada al teléfono fijo del Gerente de Ventas con malas noticias… El celular no funciona y el proveedor no recibe reclamos por ser domingo. Para colmo de males… “Pepeleaks, lobby en compras del Estado” 2 4 La cuenta de correo de Pepe fue hackeada y accedieron a 5000 correos, uno de ellos de su “socio estratégico”. 1 Pepe Pedidos perdidos en la nube, debido a una falla en los sistemas. En el Acuerdo de Servicios del proveedor tercerizado no existe una cláusula que solucione el problema.
Pepe no contempló 7 riesgos que hoy enfrenta una organización: Enfrentando el desafío Setiembre de 2014 ¿Qué pasó? Página 5
Adoptar el rol de asesor en la organización. Su función de Auditoría Interna debe estar preparada para responder lo siguiente: Enfrentando el desafío Setiembre de 2014 … y Auditoría Interna La función de Auditoría Interna debe: ¿Puede esas brechas de seguridad revisadas pasar en nuestra compañía? Página 6 ¿Nuestros proveedores han adoptado nuestra cultura ética y cumplen con las leyes y regulaciones? ¿Con qué rapidez podemos responder a los desastres naturales u otras interrupciones en el negocio? ¿Nuestros empleados entienden los riesgos del uso de las redes sociales? Focalizarse 1 en las actividades básicas y centrales. 2 3 Ser capaz de “mirar a la vuelta de la esquina”. 4 Realizar múltiples actividades de forma simultánea.
Los riesgos
Enfrentando el desafío Setiembre de 2014 Página 8
Enfrentando el desafío Setiembre de 2014 1. Redes sociales Ingreso a redes sociales 72% Página 9 de los adultos que utilizan internet entran a páginas de redes sociales (con potencial un impacto negativo en la marca de una empresa). Fuente: Pew Research Center’s Internet & American Life Project, Agosto 2013. Facebook 12.4 MM de usuarios de Facebook en el Perú. Fuente: Gestión, Enero 2014. “75% de los millennials utiliza su móvil para conectarse a plataformas sociales, básicamente a Facebook y a Whats-App.” Fuente: El Comercio, Abril 2014. Conexión a Internet 38.2% de peruanos se conectan a internet diariamente. Fuente: El Comercio, Mayo 2014. Twitter y Linkdin 500 MM de Tweets mundiales al día. 259 MM de miembros en Linkdin en el mundo. Fuente: Richard Holt, “Twitter in Numbers,” Telegraph, Marzo 2013.
Enfrentando el desafío Setiembre de 2014 1. Redes sociales Página 10 Riesgos de redes sociales Divulgación de información sensible Hackers que descifran datos confidenciales Plataformas con mayor acceso a virus Software malicioso Suplantación de identidad en la web Secuencias de comandos cruzados
Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 11 Respuestas de Auditoría Evaluación de riesgos en las redes sociales  Colaborar con el área de sistemas de información para la evaluación de las actividades en las redes sociales dentro de la empresa.  Trabajar con los proveedores de servicios clave buscando fortalecer la administración de riesgos en la organización.  Evaluar las amenazas a la seguridad de la información a través del uso de las redes sociales. 1. Redes sociales Preguntas asociadas ¿La organización comprende los riesgos relacionados con las redes sociales? ¿Los procesos de mitigación son adecuados y ágiles?
Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 12 Respuestas de Auditoría Auditoría del gobierno de las redes sociales  Evaluar el diseño de las políticas y procedimientos para administrar las redes sociales dentro de la organización.  Revisar las políticas y procedimientos con respecto a las prácticas líderes.  Evaluar el programa de capacitación en redes sociales. 1. Redes sociales Preguntas asociadas ¿Existe un proceso de gobierno para redes sociales dentro de la empresa? ¿Incluye a las principales áreas funcionales? ¿Existen políticas sobre redes sociales? ¿Cuán bien conocidas por los empleados son las políticas sobre redes sociales?
Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 13 Respuestas de Auditoría Auditoría de actividades en las redes sociales  Revisar las actividades en las redes sociales de la organización y a sus usuarios, con respecto a las políticas, procedimientos y capacitación implementadas. 1. Redes sociales Preguntas asociadas ¿Qué acciones correctivas se necesita implementar en función de la actividad? ¿El programa de capacitación proporciona un entrenamiento adecuado para los usuarios?
Enfrentando el desafío Setiembre de 2014 Página 14
2. Dispositivos móviles Teléfonos inteligentes 5.5 MM Enfrentando el desafío Setiembre de 2014 Página 15 de teléfonos inteligentes están operativos en el Perú y la mayoría de ellos es usada por jóvenes de entre 20 y 29 años. Fuente: El Comercio, Abril 2014. Población “Smart” 20% mundo Fuente: El Comercio, Abril 2014. 18% Perú Fuente: El Comercio, Abril 2014. “Tablets” 1.2 MM de unidades, es la proyección de ventas de tablets en el Perú para el 2014. Fuente: El Comercio, Febrero 2014. Memoria USB 561 MM De unidades, es el tamaño de mercado proyectado para las memorias USB hacia el 2018. Fuente: www.mynewsdesk.com, Diciembre 2013.
2. Dispositivos móviles Enfrentando el desafío Setiembre de 2014 Página 16 Mejorar la productividad Extendiendo el alcance del uso de las aplicaciones existentes (p.e. hojas de trabajo móviles). Acceso a los empleados Permitir el acceso a los empleados a procesos empresariales nuevos o más eficientes (p.e. soporte de campo móvil). Nuevos negocios Apuntar a nuevos mercados u ofrecer nuevos productos/servicios a los clientes (p.e. aplicaciones de comercio móvil). ¿Qué es lo que impulsan los sistemas de información móviles?
2. Dispositivos móviles Pérdida potencial de información importante Enfrentando el desafío Setiembre de 2014 Página 17 Riesgos de Dispositivos móviles Mayor seguridad debido a la gama de dispositivos y vulnerabilidades de los sistemas Robo de un dispositivo móvil debido a su pequeño tamaño Privacidad y monitoreo entre el uso personal y empresarial del dispositivo Cumplimiento con las regulaciones de privacidad
2. Dispositivos móviles Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 18 Revisión de la configuración del dispositivo móvil  Identificar los riesgos y vulnerabilidades de la configuración actual del dispositivo móvil.  Evaluar las plataformas de clientes, la arquitectura de la red de soporte, implementación de políticas, manejo de dispositivos perdidos o robados e identificación de vulnerabilidades a través de la accesibilidad de la red y la configuración de las políticas. ¿Cómo ha implementado la organización la política “traiga su propio dispositivo” (BYOD por sus siglas en inglés)? ¿Se han implementado políticas / estrategias móviles apropiadas? ¿Cómo detectan dispositivos no autorizados? ¿Los parámetros de configuración son seguros y parametrizados de acuerdo con las políticas?
2. Dispositivos móviles Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 19 Evaluación de caja negra (“black-box”) de las aplicaciones móviles  Realizar una auditoría utilizando diferentes estrategias de pruebas front-end: analizar vulnerabilidades utilizando diversas herramientas y verificar manualmente los resultados del análisis.  Intentar explotar las vulnerabilidades identificadas en las aplicaciones web móviles. ¿Qué vulnerabilidades pueden ser explotadas con éxito? ¿Cuál es la respuesta cuando se explotan?, ¿Existe conocimiento de que ha ocurrido una intrusión?
2. Dispositivos móviles Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 20 Evaluación de caja gris (“gray-box”) de las aplicaciones móviles  Combinar las revisiones de código fuente tradicionales (pruebas de caja blanca – “White-box”) con técnicas de pruebas front-end (caja negra – “black-box”) para identificar áreas críticas de funcionalidad y síntomas de malas prácticas comunes.  Cada uno de estos puntos (“hotspots”) en el código deben ser enlazados con la instancia en vivo de la aplicación donde las técnicas de explotación manual pueden verificar la existencia de una vulnerabilidad de seguridad. ¿Cuán sólido es el código fuente asociado con las aplicaciones móviles utilizadas dentro de la organización? ¿Qué vulnerabilidades pueden explotarse dentro del código?
Enfrentando el desafío Setiembre de 2014 Página 21
3. Sistemas de información en la nube Enfrentando el desafío Setiembre de 2014 Operación en la nube 50% Página 22 de las empresas del Perú que facturan más de US$ 40 millones ya tienen por lo menos un servicio u operación en la nube. Fuente: Gestión, Febrero 2014. Estimación 2015 $200MM Es lo que se prevé que el referido mercado llegue a hacer negocios. Fuente: Gestión, Febrero 2014. Factores clave : • Agilidad empresarial • Pagar por lo utilizado versus instalar y ser propietario • Ahorro de costos • Plataformas innovadoras para el crecimiento • Utilización de infraestructura • Inversión pública • Estudio de mercado • Seguridad • Esfuerzos de estandarización • Riesgos de pérdida de información
3. Sistemas de información en la nube Enfrentando el desafío Setiembre de 2014 Página 23 Riesgos de infraestructura Riesgos de información en la nube y arquitectura Riesgos de estándares e inoperabilidad Riesgos regulatorios y de cumplimiento Gobierno sobre el proveedor de servicios de nube Alineamiento de estrategias y gobierno Riesgos de continuidad del negocio
3. Sistemas de información en la nube Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 24 Estrategia y gobierno de los sistemas de información en la nube  Evaluar la estrategia de la organización para el uso de sistemas de información en la nube.  Determinar si se han desarrollado políticas y controles apropiados para brindar soporte al despliegue de la estrategia.  Evaluar el alineamiento de la estrategia con los objetivos generales de la empresa y el nivel de aprestamiento que debe adoptarse dentro de la empresa. ¿Existe una estrategia entorno al uso de proveedores de servicios de sistemas de información en la nube? ¿Existen políticas de soporte a seguir cuando se utiliza un proveedor de servicios de sistemas de información en la nube?
3. Sistemas de información en la nube Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 25 Seguridad y privacidad en la nube  Evaluar las prácticas y procedimientos de seguridad de la información del proveedor de servicios de sistemas de información en la nube. Esto puede ser una revisión de los informes SOC 1, 2 y / o 3 -como el SSAE 116-, una revisión de los acuerdos de nivel de servicios de seguridad y / o una auditoría “in situ” del proveedor.  Determinar si la Gerencia de Sistemas de Información trabajó para negociar requerimientos de seguridad en el marco de su contrato con el proveedor.  Revisar los procedimientos para evaluaciones de seguridad periódicas del / de los proveedor(es) de servicios, y determinar qué medidas de seguridad interna se han tomado para proteger la información y datos de la empresa. ¿Se ha realizado una evaluación de impacto sobre las operaciones del negocio para los servicios que se desplazan a la nube? ¿Su organización tiene protocolos de autenticación seguros para los usuarios que trabajan en la nube?
3. Sistemas de información en la nube Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 26 Evaluar el servicio del proveedor de sistemas de información en la nube  Evaluar la capacidad del proveedor de satisfacer o sobrepasar los acuerdos de nivel de servicios establecidos en el contrato.  Las áreas de consideración deben incluir Tecnología, Legal, Gobierno, Cumplimiento, Seguridad y Privacidad.  Asimismo, evaluar qué planes de contingencia existen en caso de desperfectos, acuerdos de responsabilidad, soporte extendido, y la inclusión de otros términos y condiciones como parte de los contratos de servicio, así como la gestión y modularidad de la disponibilidad, incidentes y capacidad. ¿Qué acuerdos de nivel de servicio están implementados para el tiempo de disponibilidad real, resolución de problemas y servicio general? ¿El proveedor de servicios ha satisfecho o sobrepasado los acuerdos de nivel de servicio? ¿Qué problemas han tenido?
Enfrentando el desafío Setiembre de 2014 Página 27
4. Seguridad de sistemas de información Enfrentando el desafío Setiembre de 2014 Página 28 Función de seguridad 83% Reportaron que su función de seguridad de información no satisfacía plenamente las necesidades de la organización. Incidentes de seguridad 31% Reportaron que el número de incidentes de seguridad dentro de su organización se había incrementado en por lo menos 5% durante el último año. Necesidad presupuestaria 65% Citaron necesidades presupuestarias como su obstáculo número uno para la entrega de valor al negocio. Encuesta global de EY sobre Seguridad de la Información, 2013 (“Under ciber-attack”)
4. Seguridad de sistemas de información ¿Cómo reforzar los controles de seguridad de la información? Implementar un adecuado balance de controles preventivos y detectivos. Enfrentando el desafío Setiembre de 2014 Página 29 Identificar las “joyas de 1 la corona” y establecer controles diferenciales. 2 3 Fortalecer y complicar los controles.
4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 30 Evaluación del programa de seguridad de la información  Evaluar el programa de seguridad de la información de la organización utilizando un marco alineado con estándares generalmente aceptados.  Proporcionar una imagen clara de cómo está preparada la empresa para proteger los activos de información clave de ésta. ¿Cuán bien se ha adaptado la empresa al panorama cambiante de las amenazas, tanto en el mundo de hoy como en el futuro desconocido? ¿La estrategia de seguridad de la información de la empresa es apropiada para proteger sus activos de información crítica?
4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 31 Respuestas de Auditoría Evaluación de la ciber-amenaza  Adoptando la mentalidad, herramientas y técnicas de un atacante malicioso, haga las pruebas para determinar si los activos de información clave de la empresa corren riesgos.  Enfocarse en activos de información y negocios o “trofeos”, no en la tecnología, en un cambio notable de las pruebas históricas de “ataque y penetración”.  Identificar cuales son las alertas que generan las intrusiones y su priorización. Preguntas asociadas ¿Qué vulnerabilidades existen?, ¿se ha detectado aprovechamiento de estas vulnerabilidades? ¿La información sobre las amenazas internas y externas está considerada en las prácticas de seguridad? Cuando se detecta una intrusión, ¿el tiempo de respuesta de la organización es apropiado?
4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 32 Respuestas de Auditoría Evaluación de gestión de identidades y accesos  Revisar los procesos de la empresa para regir quien tiene acceso a los sistemas y cómo se controla dicho acceso.  Enfocarse en el proceso de otorgamiento de accesos, fiscalización y certificación, gestión de roles / reglas y reportes y analítica. Preguntas asociadas ¿La empresa está otorgando apropiadamente el acceso a usuarios internos y externos? ¿Está siendo controlado el acceso a las cuentas privilegiadas? ¿La empresa está en capacidad de identificar y reaccionar a accesos inapropiados o no autorizados?
4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 33 Respuestas de Auditoría Evaluación de la protección de datos  Evaluar la manera en que la empresa ha identificado, definido y clasificado sus datos, incluyendo los mecanismos de protección de datos. Preguntas asociadas ¿La empresa está protegiendo sus activos de información clave a lo largo del ciclo de vida completo de los datos (es decir, datos en reposo, en uso, en movimiento)? ¿La empresa está cumpliendo con sus requerimientos regulatorios para proteger datos?
Enfrentando el desafío Setiembre de 2014 Página 34
5. Gestión de riesgos de procesos tercerizados Enfrentando el desafío Setiembre de 2014 Página 35 Riesgos de procesos tercerizados Daño a la marca y reputación Riesgos de servicios y productos Riesgos de operación y de cadena de abastec. Responsabilidad legal / obligaciones contractuales Uso inapropiado de secretos comerciales Seguridad de la información y privacidad
5. Gestión de riesgos de procesos tercerizados Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 36 Programa general de gestión de riesgos de procesos tercerizados  Evaluar la consistencia del programa implementado para manejar el riesgo de procesos ejecutados por terceros en la organización.  Incluir los criterios del proceso de evaluación de riesgos, propiedad del programa, roles y responsabilidades de los diversos gerentes / departamentos, protocolos de comunicación, autoridades de aprobación, protocolos de exención, políticas y procedimientos, incluyendo difusión y capacitación, y un programa de monitoreo en curso. ¿Cuán consistente es el proceso global de gestión de riesgos de proveedores de servicios de procesos tercerizados? ¿La propiedad, roles y responsabilidades están claramente entendidos?
5. Gestión de riesgos de procesos tercerizados Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 37 Proceso de gestión de contratos  Auditar la propiedad del proceso y las responsabilidades de control y fiscalización; el proceso general para la firma de nuevos contratos y para renovar contratos existentes; y el proceso de cumplimiento, incluyendo la política legal, regulatoria y de empresa.  Revisión de los Acuerdo de Nivel Servicio ¿La organización tiene un proceso bien comunicado para mantener y administrar contratos? ¿Se ha establecido las métricas y criterios para las revisiones periódicas?
5. Gestión de riesgos de procesos tercerizados Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 38 Programa de gestión de proveedores de servicios de procesos tercerizados  Incluir revisiones del sitio del proveedor, según sea lo apropiado, en relación con la política de seguridad; privacidad y gestión de datos (p.e., fuga y protección); seguridad del personal; control de accesos; seguridad física y medioambiental; desarrollo y mantenimiento de sistemas; evaluación de contratos y / o cumplimiento con contratos, acuerdos sobre estándares o nivel de servicio; evaluación financiera; mapeo y evaluación de proceso, riesgo y control; cumplimiento con leyes y regulaciones; y planificación de contingencias / continuidad del negocio. ¿La organización tiene un proceso exhaustivo que es comunicado internamente y a los proveedores? ¿Se ha desarrollado criterios y métricas que identifiquen temprano problemas potenciales?
Enfrentando el desafío Setiembre de 2014 Página 39
Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014. de empresas en el mundo NO cuenta con él. Enfrentando el desafío Setiembre de 2014 6. Anti-corrupción Página 40 Corrupción 40% de los países encuestados; es decir, más de la mitad de los encuestados, indicaron que la corrupción estaba generalizada. Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Política Anti soborno 1de cada 5empresas aún no cuenta con una política antisoborno / anticorrupción. Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Debida diligencia anti corrupción Menos del 1/3 de las empresas encuestadas indicaron que están llevando a cabo la debida diligencia anticorrupción como parte de sus procesos de fusión y adquisición Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Sistema de denuncias 43% de empresas peruanas NO cuenta con él. 45% Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Línea Ética
de los encuestados no se siente seguro respecto de la suficiencia y efectividad de sus controles anti-fraude. Enfrentando el desafío Setiembre de 2014 6. Anti-corrupción Página 41 22% de las empresas víctimas de fraude en los últimos cinco años, sufrieron pérdidas de más de $100,000 por evento. 81%de los casos de fraude fueron perpetuados por el propio personal. 83% Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014. 67% de encuestados cuya organización sufrió eventos de fraude, cree que estos eventos pueden volver a suceder. 55% de las organizaciones fueron víctimas de fraude 45% de las organizaciones defraudadas sufrieron más de un caso de fraude por año Fraude
Enfrentando el desafío Setiembre de 2014 6. Anti-corrupción Página 42 Riesgos de Fraude y corrupción Pérdida de proveedores clave por tener una relación de soborno Pérdida de clientes clave e ingresos asociados Pagos impropios Terceros que realizan pagos impropios y tienen conductas inapropiadas
Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 ¿Cuál es el proceso para aceptar nuevos proveedores? Página 43 Respuestas de Auditoría Evaluación del programa anticorrupción  Evaluar el proceso que la gerencia ha implementado para calificar y aceptar a proveedores.  Centrarse en los controles para verificar que las políticas y procedimientos de la empresa están implementados y son seguidos de manera consistente.  Enfocarse en la estrategia de la empresa para rastrear y gestionar al proveedor en las localidades con alto riesgo. Esto incluirá una revisión de la aceptación del proveedor y un proceso periódico de revisión de la continuación del proveedor. 6. Anti-corrupción Preguntas asociadas ¿En qué mercados con alto riesgo opera la organización? ¿Quién está involucrado en el proceso y cuáles son los controles implementados?
6. Anti-corrupción Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 44 Evaluación de la protección de datos  Revisar la posición de la empresa respecto al cumplimiento de las regulaciones y normas anticorrupción.  Emprender una revisión detallada de la política, procedimientos y controles internos implementados para seguir cumpliendo.  Revisar los programas de capacitación y educación para los empleados y terceros, así como el enfoque de la empresa para seguir al día con las leyes y regulaciones aplicables. ¿Quién es el propietario y responsable del cumplimiento de las regulaciones y normas anticorrupción? ¿Cuál es el proceso de la organización para la evaluación de riesgos de los países / áreas en los cuales opera?
Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 45 Respuestas de Auditoría Auditoría de denuncias internas  Centrarse en el programa de cumplimiento de la empresa, con un énfasis en las políticas, procedimientos y controles internos del programa.  Revisar la “hotline” de denuncias internas o línea ética, la respuesta de la gerencia sobre nuevas acusaciones y el procedimiento para seguir problemas potenciales identificados hasta su culminación.  También centrarse en los controles implementados para verificar el anonimato del denunciante interno. 6. Anti-corrupción Preguntas asociadas ¿Quién es el propietario y responsable del programa de cumplimiento de la empresa? ¿Cuál es el proceso para que un denunciante interno proporcione información a la empresa? ¿Qué controles han sido implementados para verificar que el programa promueva la confidencialidad de aquellos que contactan la “hotline” de denuncias internas o línea ética?
Enfrentando el desafío Setiembre de 2014 Página 46
7. Gestión de continuidad de negocio Enfrentando el desafío Setiembre de 2014 Página 47 BCM Políticas claras entendidas por los empleados Plan de recuperación de desastres Gobierno del programa Plan de crisis
7. Gestión de continuidad de negocio Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 ¿Cómo se compara el plan con las prácticas de vanguardia? Página 48 Integración y gobierno del programa de continuidad del negocio  Evaluar el plan general de continuidad del negocio de la organización, incluyendo el gobierno del programa, las políticas, evaluaciones de riesgos, análisis de impacto en el negocio, evaluación del vendedor / tercero, estrategia / plan, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia. ¿La organización ha implementado un plan holístico de continuidad del negocio? ¿El plan ha sido probado y comunicado apropiadamente?
7. Gestión de continuidad de negocio Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 ¿Las pruebas dan la seguridad que los sistemas puedan ser efectivamente recuperados? Página 49 Recuperación de desastres  Evaluar la capacidad de tecnología de la información de recuperar efectivamente los sistemas y reanudar el desempeño normal de los sistemas en el caso de una perturbación o desastre. ¿Los planes de recuperación de desastres están alineados con planes de continuidad del negocio más amplios? ¿Están incluidos los sistemas críticos? ¿Están definidos?
7. Gestión de continuidad de negocio Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 50 Gestión de crisis  Revisar los planes de gestión de crisis de la organización, incluyendo el plan / estrategia general, protección de activos, seguridad del personal, métodos de comunicación, relaciones públicas, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia. ¿Los planes de gestión de crisis están alineados con planes de continuidad del negocio más amplios? ¿Los planes han sido bien comunicados y probados?
Tareas de la Auditoría Interna
Tareas de la Auditoría Interna Lista de actividades que la función de Auditoría Interna debiera ejecutar: Enfrentando el desafío Setiembre de 2014 Actividades de la Auditoría Interna Página 52 Aplicar una evaluación de riesgos dinámica y un plan de auditoría flexible. Incluir información de la Gerencia y relacionarla directamente con la estrategia y la gestión de riesgos de la empresa. Incorporar el análisis de datos en el proceso de la auditoría. Identificar los controles redundantes o ineficaces y recomendar mejoras y ahorros de costos. Realizar proyectos de asesoría que incluyan proactivamente el diseño de los controles y la eficiencia y eficacia de los procesos. Coordinar los objetivos, el alcance y la cronología de los reportes al Directorio y Gerencia, con las otras funciones de riesgos y cumplimiento. Buscar el mayor valor en el trabajo de otras funciones de auditoría y cumplimiento.
Enfrentando el desafío La Auditoría Interna ante un panorama volátil de riesgos Jorge Acosta Socio Líder de Consultoría Setiembre de 2014

Recomendados

Adelántese a los delitos cibernéticos
Adelántese a los delitos cibernéticosAdelántese a los delitos cibernéticos
Adelántese a los delitos cibernéticosEY Perú
 
Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...
Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...
Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...Pablo Sánchez Kohn
 
Insight Communities en América Latina
Insight Communities en América LatinaInsight Communities en América Latina
Insight Communities en América LatinaPablo Sánchez Kohn
 
Analytics: Transforme el futuro con su información
Analytics: Transforme el futuro con su informaciónAnalytics: Transforme el futuro con su información
Analytics: Transforme el futuro con su informaciónEY Perú
 
El diablo está en los detalles: Calidad a través de las pruebas funcionales y...
El diablo está en los detalles: Calidad a través de las pruebas funcionales y...El diablo está en los detalles: Calidad a través de las pruebas funcionales y...
El diablo está en los detalles: Calidad a través de las pruebas funcionales y...EY Perú
 
Infografía EOY
Infografía EOYInfografía EOY
Infografía EOYEY Perú
 
Perspectivas Tributarias - Setiembre 2015
Perspectivas Tributarias - Setiembre 2015Perspectivas Tributarias - Setiembre 2015
Perspectivas Tributarias - Setiembre 2015EY Perú
 
Recomendaciones prácticas para un efectivo cierre contable
Recomendaciones prácticas para un efectivo cierre contableRecomendaciones prácticas para un efectivo cierre contable
Recomendaciones prácticas para un efectivo cierre contableEY Perú
 

Recomendados

Adelántese a los delitos cibernéticos
Adelántese a los delitos cibernéticosAdelántese a los delitos cibernéticos
Adelántese a los delitos cibernéticosEY Perú
 
Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...
Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...
Redes Semánticas de "Insight" e "Innovación" - Ponencia presentada en IIEX L...Pablo Sánchez Kohn
 
Insight Communities en América Latina
Insight Communities en América LatinaInsight Communities en América Latina
Insight Communities en América LatinaPablo Sánchez Kohn
 
Analytics: Transforme el futuro con su información
Analytics: Transforme el futuro con su informaciónAnalytics: Transforme el futuro con su información
Analytics: Transforme el futuro con su informaciónEY Perú
 
El diablo está en los detalles: Calidad a través de las pruebas funcionales y...
El diablo está en los detalles: Calidad a través de las pruebas funcionales y...El diablo está en los detalles: Calidad a través de las pruebas funcionales y...
El diablo está en los detalles: Calidad a través de las pruebas funcionales y...EY Perú
 
Infografía EOY
Infografía EOYInfografía EOY
Infografía EOYEY Perú
 
Perspectivas Tributarias - Setiembre 2015
Perspectivas Tributarias - Setiembre 2015Perspectivas Tributarias - Setiembre 2015
Perspectivas Tributarias - Setiembre 2015EY Perú
 
Recomendaciones prácticas para un efectivo cierre contable
Recomendaciones prácticas para un efectivo cierre contableRecomendaciones prácticas para un efectivo cierre contable
Recomendaciones prácticas para un efectivo cierre contableEY Perú
 
Estudio "APPlicate" presentado durante el Foro AMITI 2013
Estudio "APPlicate" presentado durante el Foro AMITI 2013Estudio "APPlicate" presentado durante el Foro AMITI 2013
Estudio "APPlicate" presentado durante el Foro AMITI 2013Agency Of Communication Services
 
Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011Ibermatica Social Business y CRM
 
Litebi estudio lite mobile -2012
Litebi estudio lite mobile -2012Litebi estudio lite mobile -2012
Litebi estudio lite mobile -2012Social You, S.L.
 
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...Customer Centric
 
Mobile marketing y apps
Mobile marketing y appsMobile marketing y apps
Mobile marketing y appsBrox Technology
 
Mobile marketing y apps
Mobile marketing y appsMobile marketing y apps
Mobile marketing y appsBrox Technology
 
10.1 Aplicaciones (apps)
10.1 Aplicaciones (apps)10.1 Aplicaciones (apps)
10.1 Aplicaciones (apps)Brox Technology
 
9.1 Marketing móvil
9.1 Marketing móvil9.1 Marketing móvil
9.1 Marketing móvilBrox Technology
 
Integración Multicanal: Nueva frontera de la usabilidad
Integración Multicanal: Nueva frontera de la usabilidadIntegración Multicanal: Nueva frontera de la usabilidad
Integración Multicanal: Nueva frontera de la usabilidadjorgegarrido
 
Plan digitalización PYME & Plan inicial de Social Media
Plan digitalización PYME & Plan inicial de Social MediaPlan digitalización PYME & Plan inicial de Social Media
Plan digitalización PYME & Plan inicial de Social MediaJose Carlos Agrela Romero
 
Presentación Proyecto
Presentación ProyectoPresentación Proyecto
Presentación Proyectonarlyrivera
 
T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2Jhon Stiven Grimaldos Valencia
 
T aller investigativo jhongrimaldos
T aller investigativo jhongrimaldosT aller investigativo jhongrimaldos
T aller investigativo jhongrimaldosJhon Stiven Grimaldos Valencia
 
Web estratégica (versión en línea)
Web estratégica (versión en línea)Web estratégica (versión en línea)
Web estratégica (versión en línea)Guillermo Reyes Fierro
 
guia powerapp
guia powerappguia powerapp
guia powerappssuser22bea5
 
IF - 21-021124-01- Simba - V2.pptx
IF - 21-021124-01- Simba - V2.pptxIF - 21-021124-01- Simba - V2.pptx
IF - 21-021124-01- Simba - V2.pptxAlMartnez4
 
Diseño de Apps educativas
Diseño de Apps educativasDiseño de Apps educativas
Diseño de Apps educativasJaume Vila Rosas
 
Aplicaciones moviles ventajas y desventajas
Aplicaciones moviles ventajas y desventajasAplicaciones moviles ventajas y desventajas
Aplicaciones moviles ventajas y desventajaspaola vescance
 
Social Brand Presence
Social Brand PresenceSocial Brand Presence
Social Brand PresenceShirika
 
Club De Marketing
Club De MarketingClub De Marketing
Club De MarketingIsrael Garcia
 
Cierre Fiscal 2019 | 2da sesión
Cierre Fiscal 2019 | 2da sesión Cierre Fiscal 2019 | 2da sesión
Cierre Fiscal 2019 | 2da sesión EY Perú
 
Cierre Fiscal 2019
Cierre Fiscal 2019Cierre Fiscal 2019
Cierre Fiscal 2019EY Perú
 

Más contenido relacionado

Similar a Enfrentando el desafío - La Auditoría Interna ante un panorama volátil de riesgos

Litebi estudio lite mobile -2012
Litebi estudio lite mobile -2012Litebi estudio lite mobile -2012
Litebi estudio lite mobile -2012Social You, S.L.
 
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...Customer Centric
 
10.1 Aplicaciones (apps)
10.1 Aplicaciones (apps)10.1 Aplicaciones (apps)
10.1 Aplicaciones (apps)Brox Technology
 
Integración Multicanal: Nueva frontera de la usabilidad
Integración Multicanal: Nueva frontera de la usabilidadIntegración Multicanal: Nueva frontera de la usabilidad
Integración Multicanal: Nueva frontera de la usabilidadjorgegarrido
 
Plan digitalización PYME & Plan inicial de Social Media
Plan digitalización PYME & Plan inicial de Social MediaPlan digitalización PYME & Plan inicial de Social Media
Plan digitalización PYME & Plan inicial de Social MediaJose Carlos Agrela Romero
 
Presentación Proyecto
Presentación ProyectoPresentación Proyecto
Presentación Proyectonarlyrivera
 
IF - 21-021124-01- Simba - V2.pptx
IF - 21-021124-01- Simba - V2.pptxIF - 21-021124-01- Simba - V2.pptx
IF - 21-021124-01- Simba - V2.pptxAlMartnez4
 
Diseño de Apps educativas
Diseño de Apps educativasDiseño de Apps educativas
Diseño de Apps educativasJaume Vila Rosas
 
Aplicaciones moviles ventajas y desventajas
Aplicaciones moviles ventajas y desventajasAplicaciones moviles ventajas y desventajas
Aplicaciones moviles ventajas y desventajaspaola vescance
 
Social Brand Presence
Social Brand PresenceSocial Brand Presence
Social Brand PresenceShirika
 

Similar a Enfrentando el desafío - La Auditoría Interna ante un panorama volátil de riesgos (20)

Estudio "APPlicate" presentado durante el Foro AMITI 2013
Estudio "APPlicate" presentado durante el Foro AMITI 2013Estudio "APPlicate" presentado durante el Foro AMITI 2013
Estudio "APPlicate" presentado durante el Foro AMITI 2013
 
Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011Webinar Empresa Extendida 2.0 abril 2011
Webinar Empresa Extendida 2.0 abril 2011
 
Litebi estudio lite mobile -2012
Litebi estudio lite mobile -2012Litebi estudio lite mobile -2012
Litebi estudio lite mobile -2012
 
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
Customer Service Experience y las Tendencias Tecnológicas claves que impactar...
 
Mobile marketing y apps
Mobile marketing y appsMobile marketing y apps
Mobile marketing y apps
 
Mobile marketing y apps
Mobile marketing y appsMobile marketing y apps
Mobile marketing y apps
 
10.1 Aplicaciones (apps)
10.1 Aplicaciones (apps)10.1 Aplicaciones (apps)
10.1 Aplicaciones (apps)
 
9.1 Marketing móvil
9.1 Marketing móvil9.1 Marketing móvil
9.1 Marketing móvil
 
Integración Multicanal: Nueva frontera de la usabilidad
Integración Multicanal: Nueva frontera de la usabilidadIntegración Multicanal: Nueva frontera de la usabilidad
Integración Multicanal: Nueva frontera de la usabilidad
 
Plan digitalización PYME & Plan inicial de Social Media
Plan digitalización PYME & Plan inicial de Social MediaPlan digitalización PYME & Plan inicial de Social Media
Plan digitalización PYME & Plan inicial de Social Media
 
Presentación Proyecto
Presentación ProyectoPresentación Proyecto
Presentación Proyecto
 
T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2T aller investigativo jhongrimaldos2
T aller investigativo jhongrimaldos2
 
T aller investigativo jhongrimaldos
T aller investigativo jhongrimaldosT aller investigativo jhongrimaldos
T aller investigativo jhongrimaldos
 
Web estratégica (versión en línea)
Web estratégica (versión en línea)Web estratégica (versión en línea)
Web estratégica (versión en línea)
 
guia powerapp
guia powerappguia powerapp
guia powerapp
 
IF - 21-021124-01- Simba - V2.pptx
IF - 21-021124-01- Simba - V2.pptxIF - 21-021124-01- Simba - V2.pptx
IF - 21-021124-01- Simba - V2.pptx
 
Diseño de Apps educativas
Diseño de Apps educativasDiseño de Apps educativas
Diseño de Apps educativas
 
Aplicaciones moviles ventajas y desventajas
Aplicaciones moviles ventajas y desventajasAplicaciones moviles ventajas y desventajas
Aplicaciones moviles ventajas y desventajas
 
Social Brand Presence
Social Brand PresenceSocial Brand Presence
Social Brand Presence
 
Club De Marketing
Club De MarketingClub De Marketing
Club De Marketing
 

Más de EY Perú

Cierre Fiscal 2019 | 2da sesión
Cierre Fiscal 2019 | 2da sesión Cierre Fiscal 2019 | 2da sesión
Cierre Fiscal 2019 | 2da sesión EY Perú
 
Cierre Fiscal 2019
Cierre Fiscal 2019Cierre Fiscal 2019
Cierre Fiscal 2019EY Perú
 
IFD y Mercado de Valores
IFD y Mercado de ValoresIFD y Mercado de Valores
IFD y Mercado de ValoresEY Perú
 
Corporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael HuamánCorporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael HuamánEY Perú
 
Empresas de servicios y comercio podrían trasladarse a EE.UU.
Empresas de servicios y comercio podrían trasladarse a EE.UU.Empresas de servicios y comercio podrían trasladarse a EE.UU.
Empresas de servicios y comercio podrían trasladarse a EE.UU.EY Perú
 
Gestión de riesgos financieros con derivados y su impacto tributario
Gestión de riesgos financieros con derivados y su impacto tributarioGestión de riesgos financieros con derivados y su impacto tributario
Gestión de riesgos financieros con derivados y su impacto tributarioEY Perú
 
Corporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael HuamánCorporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael HuamánEY Perú
 
Infografía EY Perú Como Empresa Socialmente Responsable
Infografía EY Perú Como Empresa Socialmente ResponsableInfografía EY Perú Como Empresa Socialmente Responsable
Infografía EY Perú Como Empresa Socialmente ResponsableEY Perú
 
Ey hot topic_robotics
Ey hot topic_roboticsEy hot topic_robotics
Ey hot topic_roboticsEY Perú
 
Ey hot topic_drones (2)
Ey hot topic_drones (2)Ey hot topic_drones (2)
Ey hot topic_drones (2)EY Perú
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia ArtificialEY Perú
 
Preparando Organizaciones Eficientes en momentos de incertidumbre
Preparando Organizaciones Eficientes en momentos de incertidumbrePreparando Organizaciones Eficientes en momentos de incertidumbre
Preparando Organizaciones Eficientes en momentos de incertidumbreEY Perú
 
Realidad Aumentada
Realidad Aumentada Realidad Aumentada
Realidad Aumentada EY Perú
 
[Infografía] Personas Jurídicas
[Infografía] Personas Jurídicas[Infografía] Personas Jurídicas
[Infografía] Personas JurídicasEY Perú
 
Premio LEC 2016
Premio LEC 2016Premio LEC 2016
Premio LEC 2016EY Perú
 
"Cómo es la carga fiscal minera en latinoamérica"
"Cómo es la carga fiscal minera en latinoamérica""Cómo es la carga fiscal minera en latinoamérica"
"Cómo es la carga fiscal minera en latinoamérica"EY Perú
 
En arca abierta, el justo peca
En arca abierta, el justo pecaEn arca abierta, el justo peca
En arca abierta, el justo pecaEY Perú
 
Riesgos de la Industria Minera
Riesgos de la Industria Minera Riesgos de la Industria Minera
Riesgos de la Industria Minera EY Perú
 
"Perspectives and opportunities in the Peruvian financial sector"
"Perspectives and opportunities in the Peruvian financial sector""Perspectives and opportunities in the Peruvian financial sector"
"Perspectives and opportunities in the Peruvian financial sector"EY Perú
 
Entrevista a Paulo Pantigoso, Country Managing Partner de EY Perú
Entrevista a Paulo Pantigoso, Country Managing Partner de EY PerúEntrevista a Paulo Pantigoso, Country Managing Partner de EY Perú
Entrevista a Paulo Pantigoso, Country Managing Partner de EY PerúEY Perú
 

Más de EY Perú (20)

Cierre Fiscal 2019 | 2da sesión
Cierre Fiscal 2019 | 2da sesión Cierre Fiscal 2019 | 2da sesión
Cierre Fiscal 2019 | 2da sesión
 
Cierre Fiscal 2019
Cierre Fiscal 2019Cierre Fiscal 2019
Cierre Fiscal 2019
 
IFD y Mercado de Valores
IFD y Mercado de ValoresIFD y Mercado de Valores
IFD y Mercado de Valores
 
Corporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael HuamánCorporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2018 - entrevista a Rafael Huamán
 
Empresas de servicios y comercio podrían trasladarse a EE.UU.
Empresas de servicios y comercio podrían trasladarse a EE.UU.Empresas de servicios y comercio podrían trasladarse a EE.UU.
Empresas de servicios y comercio podrían trasladarse a EE.UU.
 
Gestión de riesgos financieros con derivados y su impacto tributario
Gestión de riesgos financieros con derivados y su impacto tributarioGestión de riesgos financieros con derivados y su impacto tributario
Gestión de riesgos financieros con derivados y su impacto tributario
 
Corporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael HuamánCorporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael Huamán
Corporate Fraud & Corruption Annual Review 2016 - entrevista a Rafael Huamán
 
Infografía EY Perú Como Empresa Socialmente Responsable
Infografía EY Perú Como Empresa Socialmente ResponsableInfografía EY Perú Como Empresa Socialmente Responsable
Infografía EY Perú Como Empresa Socialmente Responsable
 
Ey hot topic_robotics
Ey hot topic_roboticsEy hot topic_robotics
Ey hot topic_robotics
 
Ey hot topic_drones (2)
Ey hot topic_drones (2)Ey hot topic_drones (2)
Ey hot topic_drones (2)
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Preparando Organizaciones Eficientes en momentos de incertidumbre
Preparando Organizaciones Eficientes en momentos de incertidumbrePreparando Organizaciones Eficientes en momentos de incertidumbre
Preparando Organizaciones Eficientes en momentos de incertidumbre
 
Realidad Aumentada
Realidad Aumentada Realidad Aumentada
Realidad Aumentada
 
[Infografía] Personas Jurídicas
[Infografía] Personas Jurídicas[Infografía] Personas Jurídicas
[Infografía] Personas Jurídicas
 
Premio LEC 2016
Premio LEC 2016Premio LEC 2016
Premio LEC 2016
 
"Cómo es la carga fiscal minera en latinoamérica"
"Cómo es la carga fiscal minera en latinoamérica""Cómo es la carga fiscal minera en latinoamérica"
"Cómo es la carga fiscal minera en latinoamérica"
 
En arca abierta, el justo peca
En arca abierta, el justo pecaEn arca abierta, el justo peca
En arca abierta, el justo peca
 
Riesgos de la Industria Minera
Riesgos de la Industria Minera Riesgos de la Industria Minera
Riesgos de la Industria Minera
 
"Perspectives and opportunities in the Peruvian financial sector"
"Perspectives and opportunities in the Peruvian financial sector""Perspectives and opportunities in the Peruvian financial sector"
"Perspectives and opportunities in the Peruvian financial sector"
 
Entrevista a Paulo Pantigoso, Country Managing Partner de EY Perú
Entrevista a Paulo Pantigoso, Country Managing Partner de EY PerúEntrevista a Paulo Pantigoso, Country Managing Partner de EY Perú
Entrevista a Paulo Pantigoso, Country Managing Partner de EY Perú
 

Último

instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantessuperamigo2014
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzassuperamigo2014
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESADanielAndresBrand
 
fracturas de antebhbunununrazo [II].pptx
fracturas de antebhbunununrazo [II].pptxfracturas de antebhbunununrazo [II].pptx
fracturas de antebhbunununrazo [II].pptxkarlagonzalez159945
 
Continex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosContinex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosFundación YOD YOD
 
Presentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptxPresentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptxDanielFerreiraDuran1
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
Régimen Depósito Aduanero_20200203 V1.pptx
Régimen Depósito Aduanero_20200203 V1.pptxRégimen Depósito Aduanero_20200203 V1.pptx
Régimen Depósito Aduanero_20200203 V1.pptxDavesGirao
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..JoseRamirez247144
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHilldanilojaviersantiago
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxCORPORACIONJURIDICA
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfConstructiva
 
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptxTEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptxFrancoSGonzales
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxgabyardon485
 
exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassJhonnyvalenssYupanqu
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfdanilojaviersantiago
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 

Último (20)

instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantes
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzas
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESACOPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
COPASST Y COMITE DE CONVIVENCIA.pptx DE LA EMPRESA
 
fracturas de antebhbunununrazo [II].pptx
fracturas de antebhbunununrazo [II].pptxfracturas de antebhbunununrazo [II].pptx
fracturas de antebhbunununrazo [II].pptx
 
Continex para educación, Portafolio de servicios
Continex para educación, Portafolio de serviciosContinex para educación, Portafolio de servicios
Continex para educación, Portafolio de servicios
 
Presentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptxPresentación La mujer en la Esperanza AC.pptx
Presentación La mujer en la Esperanza AC.pptx
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
Régimen Depósito Aduanero_20200203 V1.pptx
Régimen Depósito Aduanero_20200203 V1.pptxRégimen Depósito Aduanero_20200203 V1.pptx
Régimen Depósito Aduanero_20200203 V1.pptx
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHill
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
 
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptxTEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
TEMA 6.- MAXIMIZACION DE LA CONDUCTA DEL PRODUCTOR.pptx
 
Walmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdfWalmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdf
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptx
 
exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hass
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdf
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 

Enfrentando el desafío - La Auditoría Interna ante un panorama volátil de riesgos

  • 1. Enfrentando el desafío La Auditoría Interna ante un panorama volátil de riesgos Jorge Acosta Socio Líder de Consultoría Setiembre de 2014
  • 2. 1Presentando a Pepe 2Los riesgos 3Tareas de la Auditoría Interna 4 Contenido
  • 4. Pepe … un Gerente de una empresa de reconocido prestigio Enfrentando el desafío Setiembre de 2014 Página 3 1 2 3 4 Libro de caras Pepe ¡Tengo mi Piñaphone 9, que salió hace 15 días al mercado, con el correo y apps de mi empresa instalados! ¡Logré tercerizar los servicios de TI y así generar ahorros… los correos de la compañía están en la Nube! ¡Reduje los costos al poner los programas de pedidos y ventas en la nube! Di acceso a todos mis empleados desde sus smartphones! ¡Ganaré un concurso del Estado para un proyecto que representará el 40% de mi facturación! ¡ESTOY FELIZ!
  • 5. Es domingo en la mañana, y Pepe… 3 Enfrentando el desafío Setiembre de 2014 Página 4 Recibe una llamada al teléfono fijo del Gerente de Ventas con malas noticias… El celular no funciona y el proveedor no recibe reclamos por ser domingo. Para colmo de males… “Pepeleaks, lobby en compras del Estado” 2 4 La cuenta de correo de Pepe fue hackeada y accedieron a 5000 correos, uno de ellos de su “socio estratégico”. 1 Pepe Pedidos perdidos en la nube, debido a una falla en los sistemas. En el Acuerdo de Servicios del proveedor tercerizado no existe una cláusula que solucione el problema.
  • 6. Pepe no contempló 7 riesgos que hoy enfrenta una organización: Enfrentando el desafío Setiembre de 2014 ¿Qué pasó? Página 5
  • 7. Adoptar el rol de asesor en la organización. Su función de Auditoría Interna debe estar preparada para responder lo siguiente: Enfrentando el desafío Setiembre de 2014 … y Auditoría Interna La función de Auditoría Interna debe: ¿Puede esas brechas de seguridad revisadas pasar en nuestra compañía? Página 6 ¿Nuestros proveedores han adoptado nuestra cultura ética y cumplen con las leyes y regulaciones? ¿Con qué rapidez podemos responder a los desastres naturales u otras interrupciones en el negocio? ¿Nuestros empleados entienden los riesgos del uso de las redes sociales? Focalizarse 1 en las actividades básicas y centrales. 2 3 Ser capaz de “mirar a la vuelta de la esquina”. 4 Realizar múltiples actividades de forma simultánea.
  • 9. Enfrentando el desafío Setiembre de 2014 Página 8
  • 10. Enfrentando el desafío Setiembre de 2014 1. Redes sociales Ingreso a redes sociales 72% Página 9 de los adultos que utilizan internet entran a páginas de redes sociales (con potencial un impacto negativo en la marca de una empresa). Fuente: Pew Research Center’s Internet & American Life Project, Agosto 2013. Facebook 12.4 MM de usuarios de Facebook en el Perú. Fuente: Gestión, Enero 2014. “75% de los millennials utiliza su móvil para conectarse a plataformas sociales, básicamente a Facebook y a Whats-App.” Fuente: El Comercio, Abril 2014. Conexión a Internet 38.2% de peruanos se conectan a internet diariamente. Fuente: El Comercio, Mayo 2014. Twitter y Linkdin 500 MM de Tweets mundiales al día. 259 MM de miembros en Linkdin en el mundo. Fuente: Richard Holt, “Twitter in Numbers,” Telegraph, Marzo 2013.
  • 11. Enfrentando el desafío Setiembre de 2014 1. Redes sociales Página 10 Riesgos de redes sociales Divulgación de información sensible Hackers que descifran datos confidenciales Plataformas con mayor acceso a virus Software malicioso Suplantación de identidad en la web Secuencias de comandos cruzados
  • 12. Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 11 Respuestas de Auditoría Evaluación de riesgos en las redes sociales  Colaborar con el área de sistemas de información para la evaluación de las actividades en las redes sociales dentro de la empresa.  Trabajar con los proveedores de servicios clave buscando fortalecer la administración de riesgos en la organización.  Evaluar las amenazas a la seguridad de la información a través del uso de las redes sociales. 1. Redes sociales Preguntas asociadas ¿La organización comprende los riesgos relacionados con las redes sociales? ¿Los procesos de mitigación son adecuados y ágiles?
  • 13. Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 12 Respuestas de Auditoría Auditoría del gobierno de las redes sociales  Evaluar el diseño de las políticas y procedimientos para administrar las redes sociales dentro de la organización.  Revisar las políticas y procedimientos con respecto a las prácticas líderes.  Evaluar el programa de capacitación en redes sociales. 1. Redes sociales Preguntas asociadas ¿Existe un proceso de gobierno para redes sociales dentro de la empresa? ¿Incluye a las principales áreas funcionales? ¿Existen políticas sobre redes sociales? ¿Cuán bien conocidas por los empleados son las políticas sobre redes sociales?
  • 14. Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 13 Respuestas de Auditoría Auditoría de actividades en las redes sociales  Revisar las actividades en las redes sociales de la organización y a sus usuarios, con respecto a las políticas, procedimientos y capacitación implementadas. 1. Redes sociales Preguntas asociadas ¿Qué acciones correctivas se necesita implementar en función de la actividad? ¿El programa de capacitación proporciona un entrenamiento adecuado para los usuarios?
  • 15. Enfrentando el desafío Setiembre de 2014 Página 14
  • 16. 2. Dispositivos móviles Teléfonos inteligentes 5.5 MM Enfrentando el desafío Setiembre de 2014 Página 15 de teléfonos inteligentes están operativos en el Perú y la mayoría de ellos es usada por jóvenes de entre 20 y 29 años. Fuente: El Comercio, Abril 2014. Población “Smart” 20% mundo Fuente: El Comercio, Abril 2014. 18% Perú Fuente: El Comercio, Abril 2014. “Tablets” 1.2 MM de unidades, es la proyección de ventas de tablets en el Perú para el 2014. Fuente: El Comercio, Febrero 2014. Memoria USB 561 MM De unidades, es el tamaño de mercado proyectado para las memorias USB hacia el 2018. Fuente: www.mynewsdesk.com, Diciembre 2013.
  • 17. 2. Dispositivos móviles Enfrentando el desafío Setiembre de 2014 Página 16 Mejorar la productividad Extendiendo el alcance del uso de las aplicaciones existentes (p.e. hojas de trabajo móviles). Acceso a los empleados Permitir el acceso a los empleados a procesos empresariales nuevos o más eficientes (p.e. soporte de campo móvil). Nuevos negocios Apuntar a nuevos mercados u ofrecer nuevos productos/servicios a los clientes (p.e. aplicaciones de comercio móvil). ¿Qué es lo que impulsan los sistemas de información móviles?
  • 18. 2. Dispositivos móviles Pérdida potencial de información importante Enfrentando el desafío Setiembre de 2014 Página 17 Riesgos de Dispositivos móviles Mayor seguridad debido a la gama de dispositivos y vulnerabilidades de los sistemas Robo de un dispositivo móvil debido a su pequeño tamaño Privacidad y monitoreo entre el uso personal y empresarial del dispositivo Cumplimiento con las regulaciones de privacidad
  • 19. 2. Dispositivos móviles Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 18 Revisión de la configuración del dispositivo móvil  Identificar los riesgos y vulnerabilidades de la configuración actual del dispositivo móvil.  Evaluar las plataformas de clientes, la arquitectura de la red de soporte, implementación de políticas, manejo de dispositivos perdidos o robados e identificación de vulnerabilidades a través de la accesibilidad de la red y la configuración de las políticas. ¿Cómo ha implementado la organización la política “traiga su propio dispositivo” (BYOD por sus siglas en inglés)? ¿Se han implementado políticas / estrategias móviles apropiadas? ¿Cómo detectan dispositivos no autorizados? ¿Los parámetros de configuración son seguros y parametrizados de acuerdo con las políticas?
  • 20. 2. Dispositivos móviles Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 19 Evaluación de caja negra (“black-box”) de las aplicaciones móviles  Realizar una auditoría utilizando diferentes estrategias de pruebas front-end: analizar vulnerabilidades utilizando diversas herramientas y verificar manualmente los resultados del análisis.  Intentar explotar las vulnerabilidades identificadas en las aplicaciones web móviles. ¿Qué vulnerabilidades pueden ser explotadas con éxito? ¿Cuál es la respuesta cuando se explotan?, ¿Existe conocimiento de que ha ocurrido una intrusión?
  • 21. 2. Dispositivos móviles Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 20 Evaluación de caja gris (“gray-box”) de las aplicaciones móviles  Combinar las revisiones de código fuente tradicionales (pruebas de caja blanca – “White-box”) con técnicas de pruebas front-end (caja negra – “black-box”) para identificar áreas críticas de funcionalidad y síntomas de malas prácticas comunes.  Cada uno de estos puntos (“hotspots”) en el código deben ser enlazados con la instancia en vivo de la aplicación donde las técnicas de explotación manual pueden verificar la existencia de una vulnerabilidad de seguridad. ¿Cuán sólido es el código fuente asociado con las aplicaciones móviles utilizadas dentro de la organización? ¿Qué vulnerabilidades pueden explotarse dentro del código?
  • 22. Enfrentando el desafío Setiembre de 2014 Página 21
  • 23. 3. Sistemas de información en la nube Enfrentando el desafío Setiembre de 2014 Operación en la nube 50% Página 22 de las empresas del Perú que facturan más de US$ 40 millones ya tienen por lo menos un servicio u operación en la nube. Fuente: Gestión, Febrero 2014. Estimación 2015 $200MM Es lo que se prevé que el referido mercado llegue a hacer negocios. Fuente: Gestión, Febrero 2014. Factores clave : • Agilidad empresarial • Pagar por lo utilizado versus instalar y ser propietario • Ahorro de costos • Plataformas innovadoras para el crecimiento • Utilización de infraestructura • Inversión pública • Estudio de mercado • Seguridad • Esfuerzos de estandarización • Riesgos de pérdida de información
  • 24. 3. Sistemas de información en la nube Enfrentando el desafío Setiembre de 2014 Página 23 Riesgos de infraestructura Riesgos de información en la nube y arquitectura Riesgos de estándares e inoperabilidad Riesgos regulatorios y de cumplimiento Gobierno sobre el proveedor de servicios de nube Alineamiento de estrategias y gobierno Riesgos de continuidad del negocio
  • 25. 3. Sistemas de información en la nube Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 24 Estrategia y gobierno de los sistemas de información en la nube  Evaluar la estrategia de la organización para el uso de sistemas de información en la nube.  Determinar si se han desarrollado políticas y controles apropiados para brindar soporte al despliegue de la estrategia.  Evaluar el alineamiento de la estrategia con los objetivos generales de la empresa y el nivel de aprestamiento que debe adoptarse dentro de la empresa. ¿Existe una estrategia entorno al uso de proveedores de servicios de sistemas de información en la nube? ¿Existen políticas de soporte a seguir cuando se utiliza un proveedor de servicios de sistemas de información en la nube?
  • 26. 3. Sistemas de información en la nube Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 25 Seguridad y privacidad en la nube  Evaluar las prácticas y procedimientos de seguridad de la información del proveedor de servicios de sistemas de información en la nube. Esto puede ser una revisión de los informes SOC 1, 2 y / o 3 -como el SSAE 116-, una revisión de los acuerdos de nivel de servicios de seguridad y / o una auditoría “in situ” del proveedor.  Determinar si la Gerencia de Sistemas de Información trabajó para negociar requerimientos de seguridad en el marco de su contrato con el proveedor.  Revisar los procedimientos para evaluaciones de seguridad periódicas del / de los proveedor(es) de servicios, y determinar qué medidas de seguridad interna se han tomado para proteger la información y datos de la empresa. ¿Se ha realizado una evaluación de impacto sobre las operaciones del negocio para los servicios que se desplazan a la nube? ¿Su organización tiene protocolos de autenticación seguros para los usuarios que trabajan en la nube?
  • 27. 3. Sistemas de información en la nube Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 26 Evaluar el servicio del proveedor de sistemas de información en la nube  Evaluar la capacidad del proveedor de satisfacer o sobrepasar los acuerdos de nivel de servicios establecidos en el contrato.  Las áreas de consideración deben incluir Tecnología, Legal, Gobierno, Cumplimiento, Seguridad y Privacidad.  Asimismo, evaluar qué planes de contingencia existen en caso de desperfectos, acuerdos de responsabilidad, soporte extendido, y la inclusión de otros términos y condiciones como parte de los contratos de servicio, así como la gestión y modularidad de la disponibilidad, incidentes y capacidad. ¿Qué acuerdos de nivel de servicio están implementados para el tiempo de disponibilidad real, resolución de problemas y servicio general? ¿El proveedor de servicios ha satisfecho o sobrepasado los acuerdos de nivel de servicio? ¿Qué problemas han tenido?
  • 28. Enfrentando el desafío Setiembre de 2014 Página 27
  • 29. 4. Seguridad de sistemas de información Enfrentando el desafío Setiembre de 2014 Página 28 Función de seguridad 83% Reportaron que su función de seguridad de información no satisfacía plenamente las necesidades de la organización. Incidentes de seguridad 31% Reportaron que el número de incidentes de seguridad dentro de su organización se había incrementado en por lo menos 5% durante el último año. Necesidad presupuestaria 65% Citaron necesidades presupuestarias como su obstáculo número uno para la entrega de valor al negocio. Encuesta global de EY sobre Seguridad de la Información, 2013 (“Under ciber-attack”)
  • 30. 4. Seguridad de sistemas de información ¿Cómo reforzar los controles de seguridad de la información? Implementar un adecuado balance de controles preventivos y detectivos. Enfrentando el desafío Setiembre de 2014 Página 29 Identificar las “joyas de 1 la corona” y establecer controles diferenciales. 2 3 Fortalecer y complicar los controles.
  • 31. 4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 30 Evaluación del programa de seguridad de la información  Evaluar el programa de seguridad de la información de la organización utilizando un marco alineado con estándares generalmente aceptados.  Proporcionar una imagen clara de cómo está preparada la empresa para proteger los activos de información clave de ésta. ¿Cuán bien se ha adaptado la empresa al panorama cambiante de las amenazas, tanto en el mundo de hoy como en el futuro desconocido? ¿La estrategia de seguridad de la información de la empresa es apropiada para proteger sus activos de información crítica?
  • 32. 4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 31 Respuestas de Auditoría Evaluación de la ciber-amenaza  Adoptando la mentalidad, herramientas y técnicas de un atacante malicioso, haga las pruebas para determinar si los activos de información clave de la empresa corren riesgos.  Enfocarse en activos de información y negocios o “trofeos”, no en la tecnología, en un cambio notable de las pruebas históricas de “ataque y penetración”.  Identificar cuales son las alertas que generan las intrusiones y su priorización. Preguntas asociadas ¿Qué vulnerabilidades existen?, ¿se ha detectado aprovechamiento de estas vulnerabilidades? ¿La información sobre las amenazas internas y externas está considerada en las prácticas de seguridad? Cuando se detecta una intrusión, ¿el tiempo de respuesta de la organización es apropiado?
  • 33. 4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 32 Respuestas de Auditoría Evaluación de gestión de identidades y accesos  Revisar los procesos de la empresa para regir quien tiene acceso a los sistemas y cómo se controla dicho acceso.  Enfocarse en el proceso de otorgamiento de accesos, fiscalización y certificación, gestión de roles / reglas y reportes y analítica. Preguntas asociadas ¿La empresa está otorgando apropiadamente el acceso a usuarios internos y externos? ¿Está siendo controlado el acceso a las cuentas privilegiadas? ¿La empresa está en capacidad de identificar y reaccionar a accesos inapropiados o no autorizados?
  • 34. 4. Seguridad de sistemas de información Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 33 Respuestas de Auditoría Evaluación de la protección de datos  Evaluar la manera en que la empresa ha identificado, definido y clasificado sus datos, incluyendo los mecanismos de protección de datos. Preguntas asociadas ¿La empresa está protegiendo sus activos de información clave a lo largo del ciclo de vida completo de los datos (es decir, datos en reposo, en uso, en movimiento)? ¿La empresa está cumpliendo con sus requerimientos regulatorios para proteger datos?
  • 35. Enfrentando el desafío Setiembre de 2014 Página 34
  • 36. 5. Gestión de riesgos de procesos tercerizados Enfrentando el desafío Setiembre de 2014 Página 35 Riesgos de procesos tercerizados Daño a la marca y reputación Riesgos de servicios y productos Riesgos de operación y de cadena de abastec. Responsabilidad legal / obligaciones contractuales Uso inapropiado de secretos comerciales Seguridad de la información y privacidad
  • 37. 5. Gestión de riesgos de procesos tercerizados Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 36 Programa general de gestión de riesgos de procesos tercerizados  Evaluar la consistencia del programa implementado para manejar el riesgo de procesos ejecutados por terceros en la organización.  Incluir los criterios del proceso de evaluación de riesgos, propiedad del programa, roles y responsabilidades de los diversos gerentes / departamentos, protocolos de comunicación, autoridades de aprobación, protocolos de exención, políticas y procedimientos, incluyendo difusión y capacitación, y un programa de monitoreo en curso. ¿Cuán consistente es el proceso global de gestión de riesgos de proveedores de servicios de procesos tercerizados? ¿La propiedad, roles y responsabilidades están claramente entendidos?
  • 38. 5. Gestión de riesgos de procesos tercerizados Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 37 Proceso de gestión de contratos  Auditar la propiedad del proceso y las responsabilidades de control y fiscalización; el proceso general para la firma de nuevos contratos y para renovar contratos existentes; y el proceso de cumplimiento, incluyendo la política legal, regulatoria y de empresa.  Revisión de los Acuerdo de Nivel Servicio ¿La organización tiene un proceso bien comunicado para mantener y administrar contratos? ¿Se ha establecido las métricas y criterios para las revisiones periódicas?
  • 39. 5. Gestión de riesgos de procesos tercerizados Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 38 Programa de gestión de proveedores de servicios de procesos tercerizados  Incluir revisiones del sitio del proveedor, según sea lo apropiado, en relación con la política de seguridad; privacidad y gestión de datos (p.e., fuga y protección); seguridad del personal; control de accesos; seguridad física y medioambiental; desarrollo y mantenimiento de sistemas; evaluación de contratos y / o cumplimiento con contratos, acuerdos sobre estándares o nivel de servicio; evaluación financiera; mapeo y evaluación de proceso, riesgo y control; cumplimiento con leyes y regulaciones; y planificación de contingencias / continuidad del negocio. ¿La organización tiene un proceso exhaustivo que es comunicado internamente y a los proveedores? ¿Se ha desarrollado criterios y métricas que identifiquen temprano problemas potenciales?
  • 40. Enfrentando el desafío Setiembre de 2014 Página 39
  • 41. Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014. de empresas en el mundo NO cuenta con él. Enfrentando el desafío Setiembre de 2014 6. Anti-corrupción Página 40 Corrupción 40% de los países encuestados; es decir, más de la mitad de los encuestados, indicaron que la corrupción estaba generalizada. Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Política Anti soborno 1de cada 5empresas aún no cuenta con una política antisoborno / anticorrupción. Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Debida diligencia anti corrupción Menos del 1/3 de las empresas encuestadas indicaron que están llevando a cabo la debida diligencia anticorrupción como parte de sus procesos de fusión y adquisición Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Sistema de denuncias 43% de empresas peruanas NO cuenta con él. 45% Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014. Línea Ética
  • 42. de los encuestados no se siente seguro respecto de la suficiencia y efectividad de sus controles anti-fraude. Enfrentando el desafío Setiembre de 2014 6. Anti-corrupción Página 41 22% de las empresas víctimas de fraude en los últimos cinco años, sufrieron pérdidas de más de $100,000 por evento. 81%de los casos de fraude fueron perpetuados por el propio personal. 83% Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014. 67% de encuestados cuya organización sufrió eventos de fraude, cree que estos eventos pueden volver a suceder. 55% de las organizaciones fueron víctimas de fraude 45% de las organizaciones defraudadas sufrieron más de un caso de fraude por año Fraude
  • 43. Enfrentando el desafío Setiembre de 2014 6. Anti-corrupción Página 42 Riesgos de Fraude y corrupción Pérdida de proveedores clave por tener una relación de soborno Pérdida de clientes clave e ingresos asociados Pagos impropios Terceros que realizan pagos impropios y tienen conductas inapropiadas
  • 44. Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 ¿Cuál es el proceso para aceptar nuevos proveedores? Página 43 Respuestas de Auditoría Evaluación del programa anticorrupción  Evaluar el proceso que la gerencia ha implementado para calificar y aceptar a proveedores.  Centrarse en los controles para verificar que las políticas y procedimientos de la empresa están implementados y son seguidos de manera consistente.  Enfocarse en la estrategia de la empresa para rastrear y gestionar al proveedor en las localidades con alto riesgo. Esto incluirá una revisión de la aceptación del proveedor y un proceso periódico de revisión de la continuación del proveedor. 6. Anti-corrupción Preguntas asociadas ¿En qué mercados con alto riesgo opera la organización? ¿Quién está involucrado en el proceso y cuáles son los controles implementados?
  • 45. 6. Anti-corrupción Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 44 Evaluación de la protección de datos  Revisar la posición de la empresa respecto al cumplimiento de las regulaciones y normas anticorrupción.  Emprender una revisión detallada de la política, procedimientos y controles internos implementados para seguir cumpliendo.  Revisar los programas de capacitación y educación para los empleados y terceros, así como el enfoque de la empresa para seguir al día con las leyes y regulaciones aplicables. ¿Quién es el propietario y responsable del cumplimiento de las regulaciones y normas anticorrupción? ¿Cuál es el proceso de la organización para la evaluación de riesgos de los países / áreas en los cuales opera?
  • 46. Aspectos Clave a considerar durante la auditoría: Enfrentando el desafío Setiembre de 2014 Página 45 Respuestas de Auditoría Auditoría de denuncias internas  Centrarse en el programa de cumplimiento de la empresa, con un énfasis en las políticas, procedimientos y controles internos del programa.  Revisar la “hotline” de denuncias internas o línea ética, la respuesta de la gerencia sobre nuevas acusaciones y el procedimiento para seguir problemas potenciales identificados hasta su culminación.  También centrarse en los controles implementados para verificar el anonimato del denunciante interno. 6. Anti-corrupción Preguntas asociadas ¿Quién es el propietario y responsable del programa de cumplimiento de la empresa? ¿Cuál es el proceso para que un denunciante interno proporcione información a la empresa? ¿Qué controles han sido implementados para verificar que el programa promueva la confidencialidad de aquellos que contactan la “hotline” de denuncias internas o línea ética?
  • 47. Enfrentando el desafío Setiembre de 2014 Página 46
  • 48. 7. Gestión de continuidad de negocio Enfrentando el desafío Setiembre de 2014 Página 47 BCM Políticas claras entendidas por los empleados Plan de recuperación de desastres Gobierno del programa Plan de crisis
  • 49. 7. Gestión de continuidad de negocio Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 ¿Cómo se compara el plan con las prácticas de vanguardia? Página 48 Integración y gobierno del programa de continuidad del negocio  Evaluar el plan general de continuidad del negocio de la organización, incluyendo el gobierno del programa, las políticas, evaluaciones de riesgos, análisis de impacto en el negocio, evaluación del vendedor / tercero, estrategia / plan, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia. ¿La organización ha implementado un plan holístico de continuidad del negocio? ¿El plan ha sido probado y comunicado apropiadamente?
  • 50. 7. Gestión de continuidad de negocio Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 ¿Las pruebas dan la seguridad que los sistemas puedan ser efectivamente recuperados? Página 49 Recuperación de desastres  Evaluar la capacidad de tecnología de la información de recuperar efectivamente los sistemas y reanudar el desempeño normal de los sistemas en el caso de una perturbación o desastre. ¿Los planes de recuperación de desastres están alineados con planes de continuidad del negocio más amplios? ¿Están incluidos los sistemas críticos? ¿Están definidos?
  • 51. 7. Gestión de continuidad de negocio Aspectos Clave a considerar durante la auditoría: Preguntas asociadas Respuestas de Auditoría Enfrentando el desafío Setiembre de 2014 Página 50 Gestión de crisis  Revisar los planes de gestión de crisis de la organización, incluyendo el plan / estrategia general, protección de activos, seguridad del personal, métodos de comunicación, relaciones públicas, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia. ¿Los planes de gestión de crisis están alineados con planes de continuidad del negocio más amplios? ¿Los planes han sido bien comunicados y probados?
  • 52. Tareas de la Auditoría Interna
  • 53. Tareas de la Auditoría Interna Lista de actividades que la función de Auditoría Interna debiera ejecutar: Enfrentando el desafío Setiembre de 2014 Actividades de la Auditoría Interna Página 52 Aplicar una evaluación de riesgos dinámica y un plan de auditoría flexible. Incluir información de la Gerencia y relacionarla directamente con la estrategia y la gestión de riesgos de la empresa. Incorporar el análisis de datos en el proceso de la auditoría. Identificar los controles redundantes o ineficaces y recomendar mejoras y ahorros de costos. Realizar proyectos de asesoría que incluyan proactivamente el diseño de los controles y la eficiencia y eficacia de los procesos. Coordinar los objetivos, el alcance y la cronología de los reportes al Directorio y Gerencia, con las otras funciones de riesgos y cumplimiento. Buscar el mayor valor en el trabajo de otras funciones de auditoría y cumplimiento.
  • 54. Enfrentando el desafío La Auditoría Interna ante un panorama volátil de riesgos Jorge Acosta Socio Líder de Consultoría Setiembre de 2014