RAI – Visión de Auditoría Interna en la Continuidad

Anuncio
RAI – Visión de Auditoría Interna
en la Continuidad de Negocios
23 Marzo 200
Contenido
• Conceptos
• Buenas prácticas / estándares de referencia
• Componentes típicos
• Rol del Auditor Interno
• Auditoría del Plan
• Preguntas
2
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Conceptos
Objetivos Generales de Continuidad de Negocios
Objetivos de
Continuidad
de Negocios
3
Risk Consulting
Viabilidad
Mantener a la compañía en el negocio
Proteger Ingresos/Ganancias
Proteger los compromisos financieros de la compañía
Continuidad de los nuevos negocios
Preservar la capacidad de vender en el mercado
Proteger la Marca
Evitar la reprobación y pérdida de credibilidad pública
© 2009 Deloitte Touche Tohmatsu
Conceptos
Predictive
Modeling
Anticipating the effects of
emergencies before they
happen
Business Value
Business
Continuity
Management
Disaster
Recovery Plan
Contingency
Plan
Backups
Plan for the recovery
of data processing
facilities
Business
Continuity
Plan
Building availability
into management
processes
Plan for recovering
Business operations
Resilience
Procedures to follow
after operational
mishaps
Hardening the
enterprise against
all foreseeable
emergencies
Making exact copies
of electronic data
Continuous
Availability
Automatic rollover
of information
systems
Vision
© 2009 Deloitte Touche Tohmatsu
Conceptos
PHASE 1
PHASE 2
PHASE 3
PHASE 4
PHASE 5
PHASE 6
Emergency
Response
to Disruption
Mobilization
/Failover to
Recovery Site
Environment
Restoration at
Alternate Site
Application
Restoration at
Alternate Site
Data-Flow
Restoration
& Recreation
Business
Function
Restoration
Business Recovery Operations
Mobilize
Business
Recovery
Team
EVENT
Restore
Workspace
& Manage
Backlog
Execute
Contingency
Work Around
Procedures
Manual
Data
Re-Entry &
Validation
Re-Synch
& Resume
Business
Operations
Recovery Voice & Data Network
IT Recovery Operations
Mobilize IT
Recovery
Team
Vital
Records
& Data
Recovery Point
Restore IT
Systems,
Applications,
and Data
Validate
System &
Application
Integrity
Recreate
Lost
Transactions
& Data
Backlogged Transactions
Recovery Time
© 2009 Deloitte Touche Tohmatsu
Buenas prácticas / estándares de referencia
Desarrollo e implementación
• BS 25999
• DRII
• BCI
Gestión
• ITIL
• ISO 2700x
Evaluación / Auditoría
• Modelos de Madurez
• BS 25999
• COBIT
6
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Componentes típicos
Contenidos estándar
• Análisis de Impacto / Análisis de riesgos
• Plan de emergencias
• Plan de gestión crisis
• Árboles de llamada
• Plan de recuperación de desastres
• Plan de operación alternativa
• Plan de recuperación de comunicaciones
• Programas de capacitación y entrenamiento
• Planes de prueba
7
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Normativas que pueden aplicar
• BCCH Cap. III. J.1 (Emisión / Operación Tarjetas de Créditos)
• BCCH Cap III. H.5 (Cámaras de Compensación de Pagos de Alto Valor)
• SBIF Circular 17 ((Emisión / Operación Tarjetas de Créditos)
• SBIF Cap. 1-13 (Clasificación Gestión y Solvencia)
• SBIF Cap 1 -7 (Transferencia electrónica de información y fondos)
• SBIF Cap 20 -7 (Procesamiento de datos. Servicios prestados o recibidos)
• Superintendencia de Pensiones
• Decreto supremo N°83: “Norma Técnica para los Órganos de la Administración del
Estado sobre Seguridad y Confidencialidad de los Documentos Electrónicos
• SUBTEL Circular 72 (infraestructura crítica de las empresas de telecomunicaciones, para
el ingreso de Chile en la OECD)
8
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Rol del Auditor Interno
Aspectos relevantes de participación del Auditor Interno
• Velar y promover la existencia de los planes
• Verificar que en su preparación se consideren los objetivos del negocio
• Velar que se haya asignado la responsabilidad por la elaboración y mantenimiento de los
planes
• Verificar que los planes estén vigentes y actualizados
• Verificar que la organización revise y pruebe los planes de manera periódica
• Velar por que los resultados de las pruebas sean incorporados al ciclo de mantenimiento
y mejora de los planes.
• Participar como observador en las pruebas del plan
9
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Auditoría del plan
Perspectiva COBIT
Para la elaboración de un plan de Auditoría
al Plan de Continuidad de Negocios,
basado en COBIT, se debiera
• Seleccionar los objetivos de control que
tengan como requerimiento de negocio
la Disponibilidad (Availability)
• El plan debiera identificar las actividades
de control asociadas al cumplimiento del
objetivo, para todas las dimensiones de
recursos de TI que apliquen
• Correspondería, a continuación evaluar
tanto el diseño de la actividad como su
eficacia operativa.
• Finalmente se pueden presentar las
conclusiones y recomendaciones por
dominio (PO, AI, DS, MO)
10
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Auditoría del plan
Revisión basada en un Modelo de Madurez
Para la elaboración de un plan de Auditoría
al Plan de Continuidad de Negocios,
basado en un Modelo de Madurez
• Se establecen los niveles esperados de
cumplimiento
• Se evalúa cada dominios en base a las
categorías definidas, asignándole un
nivel de cumplimiento y evidenciando el
respaldo de la evaluación.
• Se establece el gap y las
recomendaciones de remediación
11
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
¿Preguntas?
12
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Contactos
Si tienes alguna duda o requieres más
información, no dudes en contactarnos.
Fernando Gaziano
Socio de Auditoría Interna
fpgaziano@deloitte.com
Fono: 729 8281
Rodrigo Dantas
Gerente de Risk Consulting
rdantas@deloitte.com
Fono: 729 8615
Deloitte® se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro,
cada una como una entidad única e independiente. Por favor, vea en www.deloitte.cl/acerca de la
descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.
©
Dulcamara Rodriguez
Gerente de Risk Consulting
durodriguez@deloitte.com
Fono: 729 8684
2009 Deloitte. Miembro de Deloitte Touche Tohmatsu
Todos los derechos reservados.
13
Risk Consulting
© 2009 Deloitte Touche Tohmatsu
Descargar