SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA ... Correa ISO... · La ISO/IEC 27001 es certificable, y específica los requisitos para la implantación de controles adaptados

SERIE DE NORMAS ISO 27000 E ISO 31000:

IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA – 2011MONTEVIDEO - URUGUAY

Ricardo Correa F. - CIA, CGAP, CCSA, MCAGDaniella Caldana F. - CIA, CGAP, CCSA, MCAGCarlos Lobos M - CISA, CISM, CCSA, MTILeonardo Olea C. - CICA, MCAG

Grupo de Investigación de Gobierno Corporativo y Auditoría Interna

1. Conceptos sobre Gobernanza en el Sector Público2. Conceptos sobre Auditoría Interna Gubernamental 3. Visión General de las Normas ISO en el Gobierno4. Norma ISO 31000:20095. Serie de Normas ISO 270006. Casos de Aplicaciones de Normas ISO en el Gobierno7. Conclusiones

VII Jornadas Rioplatenses de Auditoría Interna - 2011

El Gobierno Corporativo es el sistema por el cual las sociedades del sector público yprivado son dirigidas y controladas. La estructura del Gobierno Corporativo especificala distribución de los derechos y de las responsabilidades entre los diversos actoresde la empresa, como por ejemplo, el Consejo de Administración, el Presidente y losDirectores, accionistas y otros terceros proveedores de recursos (OCDE)

Gobernanza en el sector público es el cumplimiento dela responsabilidad propia en nombre de la comunidad

En otras palabras, la gobernanza es el ejercicio de laautoridad, la dirección y el control sobre unaorganización (1)

(1) Fuente: Theiia - CGAP


Algunas Consideraciones

Concepto difícil de aplicar completamente en el sector público Realidades distintas en los países Diversas estructuras…que cumplen en mayor o menor medida con principios

de Buen Gobierno Corporativo

Elementos Comunes y Relevantes de la Gobernanza en el Sector Público

Probidad y Transparencia Accountability – Rendición de Cuentas Estructura Normativa y Regulaciones Gestión de Riesgos Auditoría Interna Evaluación del Desempeño Código Ético o de Conducta


(1) Fuente: Theiia

La definición de Auditoría Interna declara el propósito fundamental, naturaleza yalcance de la auditoría interna:

“La Auditoría Interna es una actividad independiente y objetiva de aseguramientoy consulta, concebida para agregar valor y mejorar las operaciones de unaorganización. Ayuda a una organización a cumplir sus objetivos aportando unenfoque sistemático y disciplinado para evaluar y mejorar la eficacia de losprocesos de gestión de riesgos, control y gobierno” (1)



Base para la confianza del público en el Gobierno Se ve muy afectada por los mandatos del Gobierno:

Atribuciones y responsabilidades específicas Restricciones legales en su accionar: Aseguramiento y Consultoría

Diferentes tipos de relaciones de trabajo con lasEntidades de Fiscalización Superior - EFS

El marco normativo y reglamentario es fundamental -cumplimiento

Obligación de protección de la confidencialidad de lainformación auditada

En países de la OCDE la auditoría de gobierno muestrarealidades distintas, especialmente en sudependencia, no tanto en la forma de realizar eltrabajo


La información es un activo de valor sensible en todos los Gobiernos. Implicariesgos de alto impacto

Se requieren políticas, procedimientos, prácticas, estructurasorganizacionales y funciones de software sólidas para proteger lainformación

Es responsabilidad de la auditoría interna dar aseguramiento y consultoríasobre la calidad de la información y además es la base para realizar sutrabajo

Para que un gobierno sea transparente, eficiente,resguarde la información reservada, identifique ytrate los riesgos proactivamente, se requiere contarcon controles claves que aseguren la integridad,confidencialidad y disponibilidad de la información


Las normas ISO son publicadas por la Organización Internacional para laEstandarización, que se encarga de establecer estándares internacionales,con el propósito de facilitar el comercio, facilitar el intercambio deinformación y contribuir a la transferencia de tecnologías

Son un modelo, un patrón, ejemplo o criterio a seguir. Tienen valor indicativoy de guía

Una norma tiene por finalidad definir las características que debe poseer unobjeto y los productos que han de tener una compatibilidad para ser usados anivel internacional

Normas ISO más conocidas: 9000, 14000, 22000,26000, 27000, 31000, entre otras

Algunas son certificables: 9001, 14001, 27001,entre otras



Las Normas ISO pueden ayudar al Gobierno en la tarea de satisfacer las necesidadesy expectativas de los ciudadanos y otras partes interesadas, a través de laorientación, coordinación y simplificación de la información y mejora en el uso delos recursos públicos

Las normas señalan expresamente que pueden ser usadas en el sector público La adopción de Normas ISO es una decisión estratégica en el Gobierno. Puede

tener principalmente los siguientes enfoques:

Adopción legal y cumplimiento total respecto delcontenido de la norma

Adopción legal y cumplimiento parcial respecto delcontenido de la norma

Sólo utilizada como buena práctica


Beneficios Potenciales

Involucrar a las autoridades en los temas de gestión institucional, seguridad dela información y gestión de riesgos

Involucrar a todos los actores institucionales en el proceso de mejoramiento dela gestión

Mejorar las prácticas y procesos institucionales con el apoyo de especialistasexternos

Adecuados registros y documentación de las actividades…

Dificultades Reales

Lentitud en la incorporación de una cultura de mejoramiento continuo Lentitud para involucrar a las autoridades en los temas de gestión institucional Riesgo de que la implementación de las normas se vea como un aspecto

burocrático para cumplir con las formas y no para mejorar el desempeño y laseguridad de la información…


Tiene su origen en el Estándar AS/NZS 4360, enfoque de procesos y está basadaen el Ciclo Deming (PDCA). No exige certificación

Normas relacionadas: ISO 31010, ISO 73 e ISO 31004 (en desarrollo)

Proporciona directrices sobre cómo establecer y mantener un marco de gestiónde riesgos de carácter oficial que puede ser adoptado por cualquier tipo deorganización

Proporciona un enfoque común en favor de otras normativas que tratan sobreriesgos específicos y/o sectores, y no las sustituye

ISO 31000:2009 Gestión del Riesgo - Principios y Directrices

Puede ser aplicada a lo largo de la vida de unaorganización, así como una variada gama deactividades, estrategias, procesos, funciones,proyectos, productos, servicios , activos, etc.


El enfoque está estructurado en 3 elementos claves para una efectiva gestión del riesgo:

Evaluación de Riesgos

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar los Riesgos

Mo

nito

reo

y R

evisió

n

Co

mu

nic

aci

ón

y C

on

sult

a

Establecer el

Contextoa.-Crea Valor

b.- Está Integrada en los Procesos de la

Organización

c.-Forma parte de la toma de decisiones

d.- Trata explícitamente la

incertidumbre

e.- Es sistemática, estructurada y

adecuada

f.- Está basada en la mejor información

disponible

g.- Está hecha a medida

h.- Tiene en cuenta factores humanos y

culturales

i.- Es transparente e inclusiva

j.- Es dinámica, iterativa y sensible al

cambio

k.- Facilita la mejora continua en la

organización

Proceso de Gestión de RiesgosPrincipios de Gestión del Riesgo Marco de Trabajo para la Gestión del Riesgo

Implementación

de la Gestión del

Riesgo

Mejoramiento

Continuo del

Marco

Diseño del

Marco de

Gestión de

Riesgos

Compromiso

de la Dirección

Seguimiento y

Revisión del

Marco


Primeros Pasos para la Aplicación de la Norma ISO 31000 en el Sector Público

En abril 2011, una serie de organizaciones de Suecia, Holanda, Bélgica, Italia, Francia yEspaña han realizado un estudio sobre Gestión de Riesgos en el Sector Público ypublicado el documento denominado "Preparing the local public sector for riskgovernance: First steps towards an ISO 31000 framework"

Además de describir la Norma, en eldocumento se señala, que los participantesacordaron una lista de los 10 primeros pasosque permitiría la aplicación de una gestióneficaz de los riesgos en el sector público, bajoISO 31000:2009


Anexo A – Comparación de Técnicas de Evaluación de Riesgos

Tipos de Técnicas

Factores que influyen en la selección

Anexo B – Técnicas de Evaluación de Riesgos

31 Técnicas descritas: Brainstorming, Delphi, Entrevistas, Análisis CausaRaíz, Matriz de P-I , Árbol de Decisiones, etc.

ISO /IEC 31010:2009. Gestión del Riesgo - Técnicas de Evaluación del Riesgo

Complementa la norma ISO 31000:2009 y provee una guía para la elección yaplicación de técnicas sistemáticas para evaluación de riesgos. ISO 31010:2009. Noexige certificación


ISO 73:2009. Gestión del Riesgo - Vocabulario

Complementa la norma ISO 31000:2009 y provee vocabulario básico para desarrollarun entendimiento en conceptos y términos relacionados con la gestión de riesgos

Conceptos y términos relacionados, entre otros, con los siguientes:

Riesgo Riesgo Aceptado Gestión de Riesgos Proceso de Gestión de Riesgos Comunicación y Consulta Contexto Evaluación de Riesgos Identificación de Riesgos Análisis de Riesgos Tratamiento de Riesgos Monitoreo y Medición


Describen como usar la ISO 31000:2009, entre otrasopciones, para:

Desarrollar un programa y una estrategiabasada en riesgos

Planificar un trabajo de aseguramiento

Informar sobre el programa de aseguramiento

Hacer seguimiento a los planes de tratamiento

Evaluar la calidad de la documentación

El IIA advierte que otros marcos también pueden serusados para desarrollar la evaluación de riesgos

Guía para la Práctica (2010) del IIA Global y Handbook(2010) del IIA Australia


Potencial rol de consultor sobre aplicación de la gestión deriesgo en la entidad gubernamental – depende del mandato

Obliga a considerar roles permitidos, con salvaguardia y nopermitidos en la gestión de riesgos, según el IIA

Evaluación del trabajo e impacto de los consultores en gestiónde riesgos en las entidades gubernamentales

¿Contenidos serán parte de la nueva designación“Certificación en Aseguramiento de Gestión de Riesgos(CRMA)” del IIA?

Directas e Indirectas en el Trabajo de Aseguramiento o Consultoría (la lista no es taxativa):


Código y Normas del Theiia: Comprensión de la Norma ISO 31000. Generación oactualización de competencias

Fuente de Información para formular el Plan Anual de Auditoría

Metodología y criterios para el programa de auditoría para aseguramiento delproceso de gestión de riesgos: Mejora de los resultados de la auditoría

Conjunto de normas desarrolladas o en fase de desarrollo por ISO e IEC (InternationalElectrotechnical Commission) que proporcionan un marco de gestión de la seguridad dela información (SGSI) utilizable por cualquier tipo de organización

27003

27001

Fundamentos y Vocabulario

Gestión de Riesgos SGSIDom., Obj. y Controles SGSIRequisitos del SGSI

Métricas y Técnicas Eficacia SGSI

Implementación de SGSIGuías de Auditoría

Requisitos para Acreditación

Otras27000

2700727008

2008 - 201120052005

2009

2010

20092007

2011

2700427006

27002 27005

Serie 27000

27000


ISO 27001:2005 - Sistema de Gestión de Seguridad de la Información

La norma es muy útil si la protección de la informaciónes crítica, como en finanzas, salud, sector público ytecnología de la información (TI)

Contiene en forma resumida los objetivos y controles dela ISO 27002, que podrían ser seleccionados aldesarrollar un SGSI. Se debe Justificar cualquierexclusión del alcance de los controles a aplicar

La ISO/IEC 27001 es certificable, y específica los requisitos para la implantación decontroles adaptados a las necesidades de la organización o partes de las mismas

Es una norma adecuada para cualquier organización, grande o pequeña, de cualquiersector o parte del mundo


•Compromiso de la Dirección

•Planificación

•Fechas

•Responsables

•Definir Alcance del SGSI

•Definir Política de Seguridad

•Metodología de Evaluación de Riesgos

•Inventarios de Activos

•Identificar Amenazas y Vulnerabilidades

•Identificar Impactos

•Análisis y Evaluaciones de Riesgos

•Selección de Controles y SOA

•Definir Plan de Tratamiento de Riesgos

•Implantar Plan de Tratamiento de Riesgos

•Implementar los Controles

•Formación y Concienciación

•Operar el SGSI

•Revisar el SGSI

•Medir Eficacia de los Controles

•Revisar Riesgos Residuales

•Realizar Auditorías Internas del SGSI

•Registrar Acciones y Eventos

•Implantar Mejoras

•Acciones Correctivas

•Acciones Preventivas

•Comprobar Eficacia de las Acciones

DO

ACT

CH

ECK

Ciclo Deming (PDCA) en Norma ISO 27001

Link con Gestión de

Riesgos


Ex Norma ISO 17799. Guía de Buenas Prácticas sobre Seguridad de laInformación. Define 11 dominios, 39 Objetivos de Control y 133 Controles deSeguridad

Política de seguridad Aspectos organizativos para la seguridad Gestión de activos Seguridad ligada a los recursos humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad Gestión de continuidad del negocio Cumplimiento

ISO 27002:2005 - Conjunto de Buenas Prácticas y Controles de Seguridad


Fuente: IT Governance Institute de ISACA (ITGI) y La Oficina Gubernamental de Comercio (OGC)

Alineando COBIT 4.1, ITIL V3 e ISO/IEC 27002 en Beneficio del Negocio

El documento contiene el mapeo entreITIL, ISO/IEC 27002 y COBIT

En el Apéndice I, cada uno de los 34procesos de TI y los objetivos de controlde COBIT han sido mapeados a seccionesespecíficas de ITIL e ISO/IEC 27002

En el apéndice III, se realiza un mapeoreverso que muestra cómo es que lasclasificaciones de ISO/IEC 27002 mapeana COBIT


Se ajusta a los requerimientos del sistema degestión de riesgo definido en la ISO 27001

En relación al riesgo tecnológico se basa en laguía de NIST 800-30 de gestión de riesgopara las tecnologías de información

No provee un método específico paragestionar riesgos de TI

Es aplicable a todo tipo de organizaciones

La versión 2008 se basó en el AS/NZ 4360

Versión ISO 27005:2008 acaba de alinearsecon ISO 31000:2009 (julio 2011)

Evaluación de Riesgos

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar los Riesgos

Mo

nito

reo

y R

evisió

n

Co

mu

nic

aci

ón

y C

on

sult

a

Establecer el

Contexto

Aceptar los Riesgos

Decisión de Riesgo Punto 1Evaluación Satisfactoria

Decisión de Riesgo Punto 2Tratamiento Satisfactorio

SI

NO

NO

SI

Fin o Principio de Iteraciones subsecuentes

ISO 27005:2011 - Gestión de Riesgos


La mayor parte de la información está en sistemas información(TI), por lo que es necesario considerar los controles señaladosen las Normas 27001 y 27002:

Evaluación del cumplimiento de normas, en el caso quesea obligatorio

Buenas prácticas como recomendación, si no es obligatorio

Países con normas de control interno formales en general usanMarco COSO I. Actualizar en base a Normas ISO vigentes para TI

Directas e Indirectas en el Trabajo de Aseguramiento o Consultoría (la lista no es taxativa):


Código y Normas del Theiia: Mayor conocimiento de la normas 27000.Generación o actualización de competencias

Conformación de equipos de trabajo con profesionales con distintascompetencias. ¿Recursos disponibles?, ¿mandato?

Potencial rol de consultor sobre aplicación de controles ygestión de riesgo en SGSI – depende del mandato ycompetencias

Rol de encargado de seguridad. ¿Independencia yobjetividad?, ¿competencias?, ¿mandato?

Evaluación del trabajo e impacto de los consultores en lasentidades gubernamentales

¿Obtener la certificación Auditor Interno ISO 27001, AuditorLíder ISO 27001?

Directas e Indirectas en el Trabajo de Aseguramiento o Consultoría (continúa…):


Nivel de Confiabilidad de la evidencia de auditoría en formato electrónico

Fraude. Controles preventivos para mitigar la ocurrencia del fraude. Esquemas defraude: corrupción, malversación de activos y estados financieros

Conclusiones


Aplicación de Norma ISO 31000 y Serie de Normas ISO 27000 es de grancomplejidad y exige coordinación en la entidad y participaciónmultidisciplinaria, incluida auditoría interna

Las normas están muy relacionadas en temas de gestión de riesgos, y ambastienen implicancias directas e indirectas en el trabajo de aseguramiento yconsultoría del auditor interno gubernamental

Obligación para auditoría interna de conocimiento y compresión de estasNormas ISO. Generación o actualización de competencias

Potenciales mejoras en la planificación general, planificación del trabajo einforme de auditoría interna

¿Interacción o realización de la auditoría interna de calidad según normasISO?, ¿Alcance del trabajo?, ¿Objetividad?

¿Oportunidad de nuevo rol de certificador de Normas ISO 9001, ISO 27001,otras?, ¿Pronunciamiento del IIA Global?

¿Contenidos ISO 31000 serán parte de la nueva designación “Certificación enAseguramiento de Gestión de Riesgos (CRMA )” del IIA?

VII Jornadas Rioplatenses de Auditoría Interna – 2011r

VII Jornadas Rioplatenses de Auditoría Interna – 2011

Carlos Peña G.

Los cargos públicos no son dignidades queensalzan sino servidumbres que exponen, ponen aquien los ejerce dentro del escrutinio ciudadano yno fuera de su alcance…

¿Preguntas?

[email protected]


Grupo de Investigación de Gobierno Corporativo y Auditoría Interna

Documents

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA ... Correa ISO... · La ISO/IEC 27001 es certificable, y específica los requisitos para la implantación de controles adaptados