17/02/2011 IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 Integración de la Auditoría de Sistemas de Información en las Fiscalizaciones Antonio Minguillón Roy Sindicatura de Cuentas de la CV Contenido • ¿Por qué es necesaria la Auditoría de Sistemas de Información? • Adopción del enfoque de riesgo • Integración de la ASI‐Fiscalizaciones • Planteamiento de la Sindicatura • Experiencia (2007‐2010) • Principales dificultades • Futuro IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 2 1 17/02/2011 ¿Por qué es necesaria la Auditoría de Sistemas de Información? … lo exigen las normas técnicas de auditoría IV Foro Tecnológico de los OCEX 3 Valencia, 14‐15 de febrero de 2011 ¿Por qué es necesaria la Auditoría de Sistemas de Información? … es la única forma de reducir el riesgo de auditoría a un nivel aceptable. + e‐admin + riesgo TI ‐ + ASI IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 4 2 17/02/2011 Adopción del enfoque de riesgo • La ASI por sí misma puede ser un área de trabajo válida e independiente, encuadrable entre los objetivos generales de los OCEX. Pero no es esto lo que nos ha movido en la Sindicatura. • La principal motivación para desarrollar la ASI, ha sido reducir los riesgos de auditoría. Para ello es absolutamente necesario integrar la metodología de AF y ASI, mediante la adopción del enfoque de riesgo. IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 5 Integración de la ASI en las Fiscalizaciones Quiere decir entender cómo y por qué los AFs y los AIs deben trabajar juntos IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 6 3 17/02/2011 Trabajar de forma integrada Si no se introduce la metodología ASI de forma integrada con la AF las fiscalizaciones serán, con seguridad, ineficientes y, cada vez en mayor medida, ineficaces. Esta integración solo se puede conseguir adoptando un enfoque de auditoría basado en el análisis de los riesgos. IV Foro Tecnológico de los OCEX 7 Valencia, 14‐15 de febrero de 2011 Adopción del enfoque de riesgo e integración de la ASI en las fiscalizaciones Área de eficiencia Universo TI Información financiera Riesgo de Manifestaciones Erróneas Significativas IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 8 4 17/02/2011 Niveles de riesgo General Planteamiento plurianual del OCEX Mapa anual entidades/áreas de riesgo Específico Entidad‐Cuentas anuales RMES (saldos, transacciones, información) Procesos de gestión/negocio IV Foro Tecnológico de los OCEX 9 Valencia, 14‐15 de febrero de 2011 Estudio detallado de los sistemas de información AF AI IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 10 5 17/02/2011 Planteamiento a largo plazo • Permite abordar los problemas con la perspectiva necesaria. • No es un proceso fácil. • La inclusión de la ASI como objetivo estratégico permite introducir dos factores clave para el éxito de un proyecto de esta naturaleza: decisión política y liderazgo. • Concienciación y formación. IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 11 Planteamiento de la Sindicatura • • • • • Definir para qué queremos la ASI Especialización: la UASI Colaboración externa: vital Normas técnicas ASI: identificar y concretar Desarrollo de metodología IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 12 6 17/02/2011 Experiencia (2007‐2010) «Retorno los orígenes» Mejora en la eficiencia Mejora en la calidad Mejora en el conocimiento de las entidades y procesos auditados • Mejora de las relaciones con los fiscalizados • Colaboración externa indispensable • • • • IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 13 Principales dificultades experimentadas al introducir la ASI • Falta de conocimientos y formación • Falta de experiencia en el entorno público (y poca en el privado) • Ausencia de literatura técnica • Elementos de trabajo «intangibles», no visibles • Dificultad para definir objetivos concretos • Dificultad para definir el ámbito de colaboración concreto con los expertos externos (qué contratar) IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 14 7 17/02/2011 Futuro: adaptación a un mundo digital Las presentaciones en este Foro relacionadas con la e‐admin, y nuestra experiencia cotidiana en la fiscalizaciones, nos permiten concluir que SOLO SI introducimos en nuestras fiscalizaciones la metodología ASI adaptada a los nuevos tiempos PODREMOS realizarlas con un grado aceptable de riesgo y de eficacia. IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 15 Futuro: perspectivas en la Sindicatura • Hemos pasado de 1 (2008) a 3 (2011) personas • Vamos a continuar colaborando con expertos externos (en áreas/tecnologías nuevas) • Se va a difundir progresivamente la metodología del enfoque de riesgo en las auditorías en entornos TI complejos: Guías de fiscalización • Aprovechamiento de herramientas como TeamRisk IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 16 8 17/02/2011 Futuro NO HAY OTRO CAMINO: Continuidad y profundización en la línea de trabajo iniciada en 2007 IV Foro Tecnológico de los OCEX Valencia, 14‐15 de febrero de 2011 17 9