Auditoría Informática

UNIDAD I

INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA

La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado.

Función a desarrollar de una Auditoria Investigación constante de planes y objetivos Estudio de las políticas y sus prácticas Revisión constante de la estructura orgánica Estudio constante de las operaciones de la

empresa Analizar la eficiencia de la utilización de recursos

humanos y materiales Revisión del equilibrio de las cargas de trabajo Revisión constante de los métodos de control

CONCEPTO DE AUDITORIA:

1.1.- CONCEPTOS DE AUDITORIA INFORMÁTICA

Proceso metodológico ejecutado por especialistas del área de auditoría y de informática.

Orientado a la verificación y aseguramiento de que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de información, se lleven a cabo de manera oportuna y eficiente.

Que operen en un ambiente se seguridad y control para generar confiabilidad, integridad, exactitud, etc. en los datos.

Debe generar un informe que indique las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y optimización de las Tecnologías de Información.

Los objetivos de la auditoría Informática son: El control de la función informática El análisis de la eficiencia de los Sistemas

Informáticos La verificación del cumplimiento de la Normativa en

este ámbito La revisión de la eficaz gestión de los recursos

informáticos.

La auditoría informática sirve para mejorar ciertascaracterísticas en la empresa como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

Auditoría informática

Auditoría Interna

Auditoría Externa

1.2.- TIPOS DE AUDITORIA

La auditoría interna

Es la realizada con recursos materiales y personasque pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

Por otro lado,

La auditoría externa

Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

El auditor tiene relación con la empresa.

La relación con la empresa puede influir en la emisión del juicio sobre la evaluación de las áreas de la empresa.

Informe para uso interno. Permite detectar problemas y

desviaciones. Puede actuar periódicamente

como parte de su Plan Anual. Los auditados conocen estos

planes y se habitúan a las Auditorías.

Las Recomendaciones habidas benefician su trabajo.

El auditor no tiene relación con la empresa

Revisión independiente con total libertad de criterio sin ninguna influencia

Realizadas por despachos de auditores

Generalmente solicitado por instituciones gubernamentales

Auditoria Interna Auditoria Externa

Algunos campos de aplicación de la informática son las siguientes: Investigación científica y humanística: Se usan las computadoras para la resolución de cálculos matemáticos, recuentos numéricos, etc. Algunas de estas operaciones:

Resolución de ecuaciones. Análisis de datos de medidas experimentales, encuestas etc. Análisis automáticos de textos.

Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:

Análisis y diseño de circuitos de computadora. Cálculo de estructuras en obras de ingeniería. Minería. Cartografía.

1.3.- CAMPO DE LA AUDITORIA INFORMÁTICA

Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. Estas se usan para el almacenamientode grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. Ejemplos de este campo de aplicación son:

Documentación científica y técnica. Archivos automatizados de bibliotecas. Bases de datos jurídicas.

Gestión administrativa: Automatiza las funcionesde gestión típicas de una empresa. Existen programasque realizan las siguientes actividades:

Contabilidad. Facturación. Control de existencias. Nóminas.

Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamientode la mente humana. Los programas responden

comoprevisiblemente lo haría una persona inteligente.Aplicaciones como:

Reconocimiento del lenguaje natural. Programas de juego complejos (ajedrez).

Instrumentación y control: Instrumentación electrónica, electromedicina, robots industriales, entre otros.

Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

1.4.- CONTROL INTERNO

Para la implantación de un sistema de controles internos informáticos habrá que definir:

Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.

1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno.

Los modelos de control interno COSO y COBIT son los dos modelos más difundidos en la actualidad.

COSO esta enfocado a toda la organización, contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno.

Mientras que COBIT (Control Objectives for Information and

Related Technology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT, contempla de forma específica la seguridad de

la información como uno de sus objetivos, cosa que COSO

no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito.

Existen otros tipos de modelos los cuales se mencionan a continuación: OECD (Organization for Economic Cooperation and Development) GAPP (Generaly Accepted Principles and Practices). National

Institute of Standards and Technology (NIST) BS 7799 (British Standard Institute) SAC (Security Auditability and Control). The Inst. of Internal Audit. COSO (Internal Control Integrated Framework. Committee of

Sponsoring Organizations) SSE CMM (Systems Security Engineering Capability Maturity Model) National Security Agency (NSA) Defense- Canada. CoCo (Criteria of Control Board of The Canadian Institute of

Chartered Accountants.) ITCG (Information Technology Control Guidelines). Canadian

Institute of Chartered Accountants (CICA) GASSP (Generaly Accepted System Security Principles).

International Information Security Foundation (IISF) Cobit (Control Objectives for Information and Related Technologies) FISCAM (Federal Information Systems Controls Audit Manual). GAO SysTrust (AICPA/CICA SysTrust Principles and Criteria for System

Reliability) SSAG (System Self-Assessment Guide for Information Technology

Systems). NIST

Es un marco de control interno de TI.

Parte de la premisa de que la TI requiere proporcionar información para lograr los objetivos de la organización.

Promueve el enfoque y la propiedad de los procesos.

Apoya a la organización al proveer un marco que asegura que:

La Tecnología de Información (TI) esté alineada con la misión y visión.

LA TI capacite y maximice los beneficios.

Los recursos de TI sean usados responsablemente.

Los riesgos de TI sean manejados apropiadamente.

COBIT - DEFINICIÓN

Requerimientos de información

del negocio

Recursosde TI

Procesos de TI

COBIT - PRINCIPIOS

Pro

cesos T

I Dominios

Procesos

ActividadesD

ato

s

Ap

licacio

nes

Tecn

olo

gía

Insta

lacio

nes

Recu

rso H

um

an

o

Recurs

os d

e TI

Calida

d Confia

bilidad

Segurid

a

d

Criterios de la Información

COBIT - ESTRUCTURA

Requerimientos de Calidad

Requerimientos Financieros

(COSO)

Requerimientos de Seguridad

Efectividad y eficiencia operacional.

Confiabilidad de los reportes

financieros

Cumplimiento de leyes y

regulaciones.

Calidad.

Costo.

Oportunidad.

Confidencialidad.

Integridad.

Disponibilidad.

COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

COBIT combina los principios contenidos por modelosexistentes y conocidos, como COSO, SAC Y SAS.

Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable

Eficiencia: Empleo óptimo de los recursos.

Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada

Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización.

Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.

Cumplimiento: Leyes, regulaciones y compromisos contractuales.

Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo

COBIT – REQUERIMIENTOS DE LA INFORMACIÓN DEL NEGOCIO

Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc.

Aplicaciones: Sistemas de información, que integran procedimientos manuales y sistematizados.

Tecnología: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas.

Recurso Humano: Habilidad, actitud y productividad del personal.

COBIT – RECURSOS DE TI

DominiosAgrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Procesos

Conjuntos o series de actividades unidas con delimitación o cortes de control.

Actividadeso tareas

Acciones requeridas para lograr un resultado medible. Las ActividadesTienen un ciclo de vida mientras que las tareas son discretas.

COBIT – PROCESOS DE TI – TRES NIVELES

PRINCIPIO DE BENEFICIO DE AUDITADOEn este principio el auditor debe conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, no debe de ningún modo obtener beneficio propio.

PRINCIPIO DE CALIDAD

En el auditor deberá prestar sus servicios conforme las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor.

PRINCIPIO DE CONFIANZA El auditor deberá facilitar e incrementar la confianza del auditoreo en base a una actuación de transparencia en su actividad profesional sin alardes científicos-técnicos.

1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS

PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas.

PRINCIPIO DE COMPORTAMIENTO PROFESIONALEl auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal.

PRINCIPIO DE CRITERIO PROPIO El auditor durante la ejecución deberá actuar con criterio propio y no permitir que esté subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo.

PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS

PRINCIPIO DE CONCENTRACION EN EL TRABAJOEl auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas a él encomendadas, y a que la estructuración y dispersión de trabajos suele a menudo, si no está debidamente controlada, provocar la conclusión de los mismos sin las debidas garantías de seguridad.

PRINCIPIO DE DISCRECIÓN

El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución dela auditoria.

PRINCIPIO DE ECONOMÍA

El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.


PRINCIPIO DE FORMACIÓN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente

actualizaciónde sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIÓNLa defensa de los auditados pasa por el fortalecimiento de

la profesión de los auditores informáticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un

comportamiento acorde con los requisitos exigibles para el idóneo cumplimiento de la finalidad de las auditorias.

PRINCIPIO DE INDEPENDENCIA Esta relacionado con el principio de criterio propio, obliga

al auditor, tanto si actúa como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informática, a exigir una total

autonomía e independencia en su trabajo.


PRINCIPIO DE INFORMACIÓN SUFICIENTE Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, información de los puntos y conclusiones relacionados con la auditoria.

PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse

a las normas morales de justicia y prioridad.

PRINCIPIO DE LEGALIDAD La primacía de esta obligación exige del auditor un comportamiento activo de oposición a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.


PRINCIPIO DE LIBRE COMPETENCIA La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la libre competencia siendo rechazables, por tanto, las prácticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales.

PRINCIPIO DE NO DISCRIMINACIÓN El auditor en su actuación previa, durante y posterior a la auditoria deberá evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia.

PRINCIPIO DE NO INJERENCIA El auditor, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma, deberá igualmente evitar aprovechar los datos.


PRINCIPIO DE PRECISIÓN Este principio exige del auditor la no conclusión de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas.

PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promoción de los servicios de auditoria deberán en todo momento ajustarse a lascaracterísticas, condiciones y finalidad perseguidas.

PRINCIPIO DE RESPONSABILIDAD El auditor deberá, como elemento intrínseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza entre el auditor y el auditado e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional.


PRINCIPIO DE SERVICIO PUBLICO La aplicación de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales.

PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, corrección, y secreto profesional.


1.7.- RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades:

• Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.

• Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración.

• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones.

• Auditoría del riesgo operativo de los circuitos de información• Análisis de la administración de los riesgos de la información y de

la seguridad implícita. • Verificación del nivel de continuidad de las operaciones.• Análisis del Estado del Arte tecnológico de la instalación revisada

y las consecuencias empresariales que un desfase tecnológico puede acarrear.

• Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa.

Organización de la función de Auditoría Informática La función de la auditoría informática se ha convertido en una función que desarrolla un trabajo más acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor de empresas en materias de: •Seguridad •Control interno operativo •Eficiencia y eficacia •Tecnologías de Información •Continuidad de operaciones •Administración de riesgos

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista una coordinación lógica entre ambos departamentos), con independencia de objetivos, planes de formación y presupuestos.

Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demás tecnología, que depende de la misma persona que la auditoría interna (Director General o Consejero)

La dependencia debe ser del máximo responsable de la organización, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de auditoría y ofrecer conclusiones y recomendaciones.

Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formación en auditoría y organización ycon perfil informático (especialidades).

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

GRACIAS!!

Auditoría Informática

Documents

Transcript of Auditoría Informática