Presentación utilizada durante la conferencia impartida para ISACA Barcelona el 4 de Marzo de 2014. Aborda los principales retos a los que se enfrenta un auditor de sistemas de información cuando realiza trabajos de auditoría de procesos y cómo las técnicas de Process Mining pueden ayudarle.
La minería de procesos en la auditoria de sistemas de información
1. una ponencia para
Minería de Procesos
El uso de la Minería de Procesos en
la auditoría de Sistemas de
Información
G2, Gobierno y Gestión de TI
2. Presentación del Ponente
Antonio Valle
Socio Director en G2, Gobierno y Gestión de TI
CLSP, ITIL Expert, ITIL Service Manager, CISA
http://www.gedos.es
avalle@gedos.es
@avallesalas
2 años en Minería de Procesos
18 años en ITSM
28 años en IT
http://www.gobiernotic.es
http://es.linkedin.com/in/avallesalas
Informació elaborada per: G2, Gobierno y Gestión de TI
Consultor
Profesor Universitario
Ponente
Process Mining en la auditoria de Sistemas de Información
2
3. Los retos de la auditoría tradicional
Internal audit: an independent, objective assurance and
consulting activity designed to add value and improve an
organization's operations..
It helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate
and improve the effectiveness of risk management, control
and governance processes.
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
3
4. Los retos de la auditoría tradicional
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
4
5. ¿Qué es un proceso?
Una serie estructurada de actividades
con entradas y salidas específicas y
que alcanzan un objetivo específico.
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
5
6. ¿Siempre tan “estructurada”?
Accepted
Pending (other, customer,
vendor, change)
Resolved
Referred
A set of unstructured statuses
Work in Progress
Rejected
Replaced Problem
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
6
7. Las preguntas frecuentes
Del propietario del proceso
• ¿Cuál es el flujo más habitual?
• ¿Qué pasa en este determinado tipo de
peticiones?
• ¿Cuánto tiempo por estado?
Del equipo de mejora
• ¿Se puede mejorar?
• ¿Dónde se atasca?
• ¿Qué actividades se repiten más?
Del equipo de auditoría
• ¿Siguen el proceso definido?
• ¿Hay segregación de funciones?
• ¿Se cumplen las reglas de negocio?
• ¿Hay patrones?
• ¿Los controles funcionan adecuadamente?
• ¿Hay casos de fraude?
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
7
8. Las respuestas más frecuentes
•
•
•
•
•
•
•
Informació elaborada per: G2, Gobierno y Gestión de TI
¡Ni idea!
Necesitamos reporting
Necesitamos una auditoría
¡Ojalá lo supiera!
¡Es demasiado complicado!
Hay demasiados casos
El muestreo estadístico no me
permite asegurar el
cumplimiento en todos los
casos (riesgo residual de la
auditoría)
Process Mining en la auditoria de Sistemas de Información
8
9. ¿Qué es la Minería de Procesos?
Log
Descubrimiento
Modelo
Conformidad
Diagnóstico
Mejora
Nuevo Modelo
Log
Modelo
Log
Modelo
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
9
10. Trazas y Logs
La ejecución del proceso deja “pistas”
en los sistemas de información.
Estas pistas de denominan trazas y el
conjunto de trazas se denomina log.
Los casos pueden seguir caminos
diferentes.
A
estas
secuencias
concretas se les llama variantes
Un log contiene la ejecución de un
proceso (n casos) en un intervalo de
tiempo dado.
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
10
12. Un ejemplo no tan rápido
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
12
13. Preguntas Habituales
1
¿Cuánto tiempo tarda mi proceso?
Podemos obtener estadísticas detalladas sobre la ejecución
global del proceso, partiendo del “dataset” analizado:
• Numero de Casos y Eventos
• Media y Mediana de tiempo por caso
• Media y mediana de numero de eventos por caso
• Desviación estándar
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
13
14. Preguntas Habituales
2
¿Cuánto tiempo se está por estado?
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
14
15. Preguntas Habituales
3
¿Por qué grupos/personas pasan los casos?
Disponemos de la perspectiva social, por lo que sabemos por qué
grupos / personas / empresas pasan los casos.
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
15
16. Preguntas Habituales
4
¿Hay “patrones” de comportamiento?
¿Hay caminos que se han “marcado”
más, como los caminos de cabras en el
monte?.
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
16
17. Preguntas Habituales
5
¿Sirven de algo los cambios que hacemos?
¿Hay caminos que se han “marcado”
70% Registradas como los caminos de cabras en el
más,
incorrectamente
monte?.
63% Registradas
incorrectamente
Antes de la notificación
Informació elaborada per: G2, Gobierno y Gestión de TI
Después de la notificación
Process Mining en la auditoria de Sistemas de Información
17
18. El punto de vista del auditor
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
18
19. ¿Cómo nos puede ayudar?
1.- Análisis completo
2.- Cuestiones al modelo
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
19
20. ¿Cómo nos puede ayudar?
3.- Comprobación de Conformidad
3.1- ¿Quién hace qué?
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
20
21. ¿Cómo nos puede ayudar?
3.- Comprobación de Conformidad
3.2- Filtro de los cuatro ojos (segregación de funciones)
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
21
22. ¿Cómo nos puede ayudar?
3.- Comprobación de Conformidad
3.3- Cuestiones al modelo – Reglas de Negocio
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
22
23. ¿Cómo nos puede ayudar?
3.- Comprobación de Conformidad
3.3- Cuestiones al modelo – Reglas de Negocio
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
23
24. ¿Cómo nos puede ayudar?
4.- Perspectiva organizativa
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
24
25. ¿Cómo nos puede ayudar?
4.- Perspectiva temporal
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
25
27. ¡ MUCHAS GRACIAS !
La minería de procesos en
la auditoría de sistemas de información
Informació elaborada per: G2, Gobierno y Gestión de TI
Process Mining en la auditoria de Sistemas de Información
27