AUDITORIA TECNOLOGIA INFORMATICA

AUDITORIA TECNOLOGIA INFORMATICAFernando Rada Barona

Estrategia para la Auditoría de Sistemas de Información

Necesidad de definir una estrategiaLas TIC han acompañado la automatización y el crecimientoLa información y los recursos TIC como activos de las

organizacionesDependencia de las TIC

Implicación de la DirecciónIncremento vulnerabilidad de los sistemasDar respuesta a la dependencia de la informaciónImportancia costes e inversiones TICPotencial de las TIC para introducir cambiosDesconfianza en los procedimientos automatizados

Objetivos de control:

Cumplimiento de la legalidad vigente

Eficacia

Eficiencia

Auditoría Sistemas de Información >Supervisión de los riesgos de los sistemas de informaciónque pudieran afectar al cumplimiento de la legalidadvigente, la eficiencia y la eficacia de los procesossoportados por los sistemas de información, en especiallos de la administración electrónica.

Estrategia para la Auditoría de Sistemas de Información

Esquema Organizativo

Naturaleza del trabajo de auditoría de sistemas deinformación

Protección de datos de carácter personalControl de accesosAdministración ElectrónicaEquipamiento informáticoSeguridad sistemasDesarrollo y mantenimiento de aplicacionesExplotación de sistemas de informaciónContratación bienes y servicios TICTécnica de sistemasContinuidad del servicio TICAcreditación de confianza



Acciones proactivasParticipación en el ciclo de controlAsegurar existencia de controles internos razonables y adecuadosDivulgar y fomentar las buenas prácticasFomentar la documentación de los sistemas y procedimientosAsesorar en la implementación de pistas de auditoríaAsesorar en las salvaguardas de activosAsegurar eficiencia gestión recursos



Auditoría forenseDesafío ante delitos informáticos, garantizando la evidenciadigital que se presentase en un proceso judicial.Recuperar informaciónDeterminar cusa y origen de una situaciónIdentificar autor(es) acciones ilícitasIdentificar uso inapropiado de los medios de la Organización



Apoyo en auditorías externasSupervisión de auditores externos.

Apoyo a otras áreas de AuditoríaAsistencia para la obtención, estructuración y análisis de lainformación.

Auditor Informático

Áreas de Conocimiento (certificables)

Técnica o metodología de auditoría informáticaGestión, planificación y organización de las TICInfraestructura técnica, prácticas operativas y protección de

activosRecuperación de desastres y continuidad de la actividadDesarrollo, adquisición, implementación y mantenimiento de

sistemasEvaluación de procesos y gestión de riesgos

Planificación de Actuaciones

Qué auditar Cumplimiento de requerimientos legales Sensibilidad de la organización a riesgos / resultado de análisis Resultado de auditorías anteriores Condicionantes de la OrganizaciónCuándo auditar Priorizar las actuaciones detectadas y ajustando el alcance a

los recursos disponibles y las demandas de la dirección Elaborar el documento de planificación periódica de la unidad

de auditoría Revisión periódica del plan inicial para incorporar actuaciones

no previstasCómo auditar Proceso para planificar las actuaciones individuales

Proceso sistemático de obtención y evaluaciónobjetiva acerca de aseveraciones efectuadas por

terceros referentes a hechos y eventos denaturaleza económica, para testimoniar el gradode correspondencia entre tales afirmaciones y un

conjunto de criterios convencionales,comunicando los resultados obtenidos a los

destinatarios y usuarios interesados

American Accounting Association

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

la AUDITORIA de SI es elPROCESO

de RECOGER, AGRUPAR y EVALUAREVIDENCIAS

paraDETERMINAR

si un SISTEMA INFORMATIZADOSALVAGUARDA los ACTIVOS,

mantiene la INTEGRIDAD de los DATOS,lleva a cabo

los FINES de la ORGANIZACIÓNy UTILIZA EFICIENTEMENTE los RECURSOS

QUE ES LA AUDITORIA TECNOLOGIAINFORMATICA

QUE ES LA AUDITORIA TECNOLOGIAINFORMATICA

Conjunto de procedimientos ytécnicas para evaluar total oparcialmente los recursostecnológicos del negocio, con elobjetivo de salvaguardar los activosy recursos, garantizar el desarrolloeficiente de sus actividades acordecon los objetivos estratégicos, conel fin de obtener la eficacia exigidaen el marco de la organización.

AUDITORIA DE CAMBIO GENERACIONAL SISTEMASAUDITORIA DE CAMBIO GENERACIONAL SISTEMAS

PASO GESTIONProcesos.Reingeniería.Planeación estratégicaMejoramiento continuo.

PASO TECNOLOGICOSoftware.Bases de datos.Lenguajes de cuarta generación.Telecomunicaciones.Redes.Satélites.CriptografíaCorreo electrónico.

DEFINICION DE AUDITORIA T/IDEFINICION DE AUDITORIA T/I

Ya analizados unos conceptos básicos,definamos lo que es la auditoria tecnologíainformática: Parte de la auditoria General,enfocada a evaluar los recursos informaticosde las empresa para garantizar la integridad,confidencialidad, exactitud y seguridad de lainformación para la toma de decisiones.

OTRA DEFINICION DE AUDITORIA T/IOTRA DEFINICION DE AUDITORIA T/I

La Auditoria tecnología informática la podemosdefinir también como un proceso deinvestigación, que tiene por objeto evaluar elsistema de control interno informático y lainformación computarizada, para emitir unaopinión independiente sobre la validez técnica delsistema de control vigente y la confiabilidad de lainformación producida por el sistema. Laauditoria en ningún momento implica el diseño,implantación y ejecución de controles. Su funciónes eminente evaluativa y asesora.

Dos enfoques de la auditoria.

El enfoque tradicional de la auditoría.Limitado a los controles contables internos.No se enfocaba a las actividades claves.Sólo interesaba al personal financiero.

En la actualidad.Los SI intervienen en todas las actividades.El auditor moderno evalúa riesgos ycomprueba controles.Demuestra conocimientos informáticos.

Tipos de auditorias

Financiera

Informática Cumplimiento

Gestión

La auditoría informática es el procesode recoger, agrupar y evaluarevidencias para determinar siun sistema informatizado salvaguardalos activos, mantiene la integridad delos datos, lleva a caboeficazmente los fines de laorganización y utiliza eficientementelos recursos

Objetivos

Auditoría de TI

Objetivos específicosEvaluar la intervención de la auditoría en el desarrollo,

implementación y mantenimiento de aplicaciones.Evaluar las políticas y criterios para la adquisición y/o

desarrollo del software.Evaluar los riesgos y fraudes de mayor incidencia al

interior de la empresa.Examinar la documentación y los procedimientos

existentes para determinar su actualización yefectividad.

Constatar si el personal se encuentra capacitadopara aplicar controles y procedimientos de seguridad.

Auditoría de TI

Objetivos específicosComprobar la participación de los usuarios durante

las etapas de análisis, diseño y puesta en marchade las diferentes aplicaciones.

Evaluar los procedimientos para asignación declaves de acceso, modificaciones, cancelaciones, etc.

Revisar los estándares de producción y comprobarla calidad de la información producida.

Verificar la programación de los mantenimientos alas aplicaciones

Auditoría de TI

JustificaciónAuditoría de TI

Tipos deAuditoría de TI/SI•

– Auditorías Financieras• Confiabilidad de la información

– Auditorías Operativas••

Controles de Aplicación en procesosSeguridad de la Información

– Auditorías de Sistemas de Información (SI)• Alineamiento estratégico entre las TI/SI y los objetivos de negocio

– Auditorías Integradas• Combinación de Auditorías Financieras, Operativas y de SI.

––

Auditorías ForensesAuditorías de Cumplimiento:

• Ej: Certificaciones de normas técnicas– Auditorías especializadas:

• Entrega de servicios por parte de proveedores (ISAE3402 / SSAE16)

Tipos deAuditoría de TI/SI• Tipos de auditoría relacionados con TI/SI (según quién

la–

realice):Auditoría Interna:

••

Proceso interno de la organizaciónPodría subcontratarse a una firma de servicios, aunque siempredependerá de la cabeza de la organizaciónLas conclusiones son válidas exclusivamente a nivel interno.•

– Auditoría Externa:• Llevado a cabo por una parte independiente• Las conclusiones son valederas a nivel interno y para terceras

partes

Tipos deAuditoría de TI/SI• Tipos de auditoría relacionados con TI/SI (Según los

procedimientos llevados a cabo)– “Tradicional”

• Cubre un período específico ya culminado• Se analiza la evidencia generada durante ese período

Auditoría Continua:• Técnicas de Auditoría Asistidas por Computadora (CAATs)

Autoevaluaciones de riesgo

–

–•••

Participación activa de las distintas áreas de la organizaciónLas áreas se auditan en forma “cruzada”No sustituye a la tradicional

PRINCIPALES ROLESRELACIONADOS CONORGANIZACIONES

TI EN LAS

Principales roles relacionados con TI en las organizaciones

• Dentro de la organizaciónJunta Directiva

Alta Gerencia(“The Board”)

/Gerente de Riesgos

Cumplimientoy

Gerente de TI(CIO)

Auditor internode TI

Principales roles relacionados con TI en las organizaciones

• Fuera de la organización

ClientesAuditor Externo

OrganismosRegulatorios

Competencia,Ex-empleados

PRINCIPALES ACTIVIDADES DE UNPROCESO AUDITORÍA DE TI/SI

Principales actividades de un proceso de auditoría de TI/SI

•••

Entender el negocio.Determinar el objetivo, alcance y equipo necesario.Planificación: Determinar la estrategia para llevar a cabola auditoría (ej: Auditoría basada en Riesgos)

•••

Definir la MaterialidadDiseñar los procedimientos de auditoría.Ejecución de procedimientos de auditoría:Excepciones, etc.Emisión de informe.

Hallazgos,

•


• Materialidad:– Las excepciones “materiales” son aquellas que son significativas

y que ameritan ser reportadas a la Alta Gerencia.Define un “margen de error” tolerable para los auditores¿El auditado debería saberlo?

––

• Auditoría basada en Riesgos:– Se realiza un análisis de riesgos, a efectos de determinar dónde

y qué procedimientos realizar (dónde hacer foco)Riesgo de Auditoría: Riesgo que existan errores “materiales” que–pasen desapercibidos durante la auditoría.


• Riesgo de Auditoría = R.I. + R.C. + R.D.• Riesgo Inherente: (RI) Riesgo inherente al proceso de

negocioRiesgo de Control: Riesgo de que ocurra un error y que no•haya sido prevenido o detectado.Riesgo de Detección: Riesgo de que los procedimientos de•auditoría no detecten excepciones materiales (inadecuados).

Para reducir el R.C., hay que confiar en el Control Interno de la•OrganizaciónPara reducir el R.D., hay que diseñar los procedimientos adecuadospara mitigar la posibilidad de encontrar diferencias materiales.

•


• Una auditoría basada en riesgos se centra en probaraquellos controles llevados a cabo por la organización,que mitigan los riesgos principales del negocio.“Sistema de Control Interno” de una organización•

• El objetivo es confiar en las actividades de ControlInterno de la organización, procurandoy hacer foco en asuntos significativos.Tipos de Controles:

reducir el alcance

•– Controles– Controles

Generales de TIde Aplicación


• Controles Generales de TI––

Políticas, procedimientos y prácticas“Generales”: No están asociados a un proceso de negocioparticular, ya que afectan a todos, o más de uno.Ejemplos:

en

–••••••••

Autorizaciones / Aprobaciones de accesos y cambiosSeparación de ambientes de producción / desarrolloValidaciones de usuario y testingUso / Asignación de cuentas de usuario privilegiadasAutentificación de usuarios: políticas de contraseñasCifrado de datos en comunicaciones y medios de almacenamintoProcedimientos de respaldos y recuperaciónPlanes de Continuidad del Negocio


• Controles de Aplicación:– Controles embebidos o configurables en los SI, que operan

sobre procesos de negocioLos Controles Generales de TI efectivos, reducen el Riesgo deControl de los Controles de Aplicación.Ejemplos:

–

–• Una OC por encima de USD 10.000 requiere de una aprobación en

el sistema por parte del Gte. Financiero.Los totales calculados por el proceso de facturación se vuelcanautomáticamente en la base de datos contable, registrándose lafecha, hora y usuario correspondientes.

•

Principales actividades de un proceso de auditoría de TI/SI• Procedimientos para probar controles:

– Relevar los procesos relacionados e identificar los riesgosinherentesIdentificar los Controles que realiza la organización para mitigardichos riesgosSeleccionar los controles clave: aquellos que mitigan riesgosimportantes o un conjunto de éstos.Identificar la información requerida para probar el controlEfectuar un recorrido del control (analizar un caso)Evaluar el Diseño del controlSeleccionar una muestra apropiada, considerando solicitar lamisma evidenciaEvaluar la Operativa del controlIdentificación de Hallazgos / Excepciones

–

–

––––

––


• Informe final:– Tipos:

••••

Se

Hallazgos y recomendaciones (carta de comentarios)Opinión respecto a la operativa revisada.Informe ejecutivoPresentación oralemiten borradores previos para discusión–

– Podría estar dirigido a la junta directiva, gerentes involucrados,accionistas, organismos reguladores, etc..Se deben recolectar las acciones que tomará la organizaciónauditada.

–


• Controles de Segregación de Funciones Incompatibles:– Hay ciertas funciones que deben ser realizadas por distintos

individuos, a efectos de evitar fraudes.En TI/SI, las funciones de desarrollo y administración delambiente de producción deben ser asignadas a personasdiferentes: ¿Por qué?

–

– Pueden ser implementados como Controles Generales de TI oControles de Aplicación.

¿POR QUÉ DEBEN REALIZARSEAUDITORÍAS DE TI/SI?

¿Por qué deben realizarse auditorías de TI/SI?• Alta Gerencia:

– Verificar que las políticas y procedimientos establecidos secumplen en la organización (ej: políticas de seguridad de lainformación, procedimientos de control, proc. Operativos, etc.)

Auditores Financieros:– Determinar el alcance de procedimientos de auditoría financiera

(confiabilidad en el Sistema de Control Interno)Accionistas / Interesados:

•

•– Aumentar el grado de confiabilidad en los reportes financieros

¿Por qué deben realizarse auditorías de TI/SI?• Organismos de control / regulatorios:

– Que la organización se encuentra dentro del marco regulatorioestablecido por los organismos de control aplicables.

Área de TI/SI:– Identificar aquellas áreas donde existen problemas, a efectos de

trabajar para solucionarlas (oportunidades de mejora)Justicia / Litigios:– Identificar responsabilidades luego de la ocurrencia de

•

•

incidentes ocasionados por una mala gestión o mal usoTI/SI

de las

MARCOS DE REFERENCIAESTÁNDARES

Y

Marcos de Referencia y Estándares• Marcos de Referencia:

––––

Establece lineamientos generales.Indican “qué” se debe cumplir o considerarSe “adoptan”No son certificables.

• Estándares:––

Establece lineamientos específicosIndican “cómo” deben encontrarse desdetécnico.Se “implementan”Pueden ser certificables o no.

el punto de vista

––

Marcos de Referencia y Estándares• Para la adopción o implementación en la organización:

––––

CobiT 5.0ITILNormas ISO 27000:2013TOGAF

• Para la realización de auditorías de TI/SI:– Normas ISAE – International standard for Assurance

Engagements (ej: 3402)Norma NIA - 402Normas SSAE – Statement on Standards for AttestationEngagements (ej: 16, antes SAS-70)Estándares y Directrices

–

–

ESTÁNDARES INTERNACIONALES DE AUDITORIAAPLICABLES AUDITORIA TI

DECRETO 0302DE 2915

NAI - Normas deaseguramiento deinformación

Auditoria y revisióninformación histórica

Trabajos deaseguramientosdiferentes de auditoriainformación histórica

Las Normasinternaciones trabajo derevisión

Control de calidad

Normas internacionalesde Auditoría (NlA),(200 hasta el 810).

Normas Internacionalesde Trabajos paraAtestiguar NITA enespañol e IASE (3000 al3402).

Normas Internacionalesde Trabajos de RevisiónNITR en español y ISRE(2400 – 2410).

Normas Internacionalesde Control de Calidad(NICC) en español eISQC

CODIGO DE ETICA PROFESIONAL DE LA CONTADURIA

Es decir que entre las Normas Internacionales de Aseguramiento, encontramos las Normas Internacionales de Auditoría cuyopropósito es dar lineamientos o fijar guías sobre los objetivos y fundamentos por los cuales se debe regir un auditor o grupoauditor al momento de hacer la revisión, o valga la redundancia la auditoría a los estados financieros.En total son 36 estándares, algunos de los más importantes son:

¿Qué se entiende por estándares internacionales de auditoría y aseguramiento?

1. NIA 200 –Objetivos globales del auditor independiente yrealización de la auditoría de conformidad con las NIA.

2. NIA 210 –Acuerdo de términos del encargo de auditoría.3. NIA 220 –Control de calidad de la auditoría de estados

financieros.4. NIA 230 –Documentación de auditoría.5. NIA 240 –Responsabilidades del auditor en la auditoría de

estados financieros con respecto al fraude.6. NIA 250 –Consideración de las disposiciones legales y

reglamentarias de la auditoría de estados financieros.7. NIA 260 –Comunicación con los responsables del gobierno de

la entidad.8. NIA 265 –Comunicación de las diferencias en el control

interno a los responsables del gobierno y a la Dirección de laentidad.

9. NIA 300 –Planificación de la auditoría deestados financieros.

10. NIA 315 –Identificación y valoración de losriesgos de incorrección material mediante el

conocimiento de la entidad y de su entorno.11. NIA 320 –Importancia relativa o materialidad

en la planificación y ejecución de la auditoría.12. NIA 330 –Respuestas del auditor a los riesgos

valorados.13. NIA 402 –Consideraciones de auditorías

relativas a una entidad que utiliza unaorganización de servicios.

14. NIA 450 –Evaluación de las incorrecionesidentificadas durante la realización de laauditoría.

Principios Generales y Responsabilidad.

Evaluación de Riesgo y Respuesta a losRiesgos Evaluados.



15. NIA 500 –Evidencia en la auditoría.16. NIA 501 –Evidencia de auditoría –Consideraciones

específicas para determinadas áreas.17. NIA 505 –Confirmaciones externas.18. NIA 510 –Encargos iniciales de auditoría –Saldos de

apertura.19. NIA 520 –Procedimientos analíticos.20. NIA 530 –Muestreo de auditoría.21. NIA 540 –Auditoría de estimaciones contables incluidas las

de valor razonable, y de la información relacionada conrevelar.

22. NIA 550 –Partes vinculadas.23. NIA 560 –Hechos posteriores al cierre.24. NIA 570 –Empresa en funcionamiento.25. NIA 580 –Manifestaciones escritas.

26. NIA 600 –Consideraciones de estados financieros de grupos(incluido el trabajo de los auditores de los componentes).

27. NIA 610 –Utilización del trabajo de los auditores internos.28. NIA 620 –Utilización del trabajo de un experto del auditor.

Evidencia de Auditoría

Uso del trabajo de otros


34. NIA 800 – Consideraciones Especiales –Auditorías de Estados FinancierosPreparados de conformidad con un Marco deInformación con fines específicos.

35. NIA 805 –Consideraciones especiales –Auditorías de un solo estado financieros o deun elemento, cuenta o partida específicos deun estado financiero.

36. NIA 810 –Encargos para informar sobreestados financieros resumidos.


29. NIA 700 –Formación de la opinión y emisión delinforme de auditoría sobre los estados financieros.

30. NIA 705 –Opinión modificada en el informe emitido porun auditor independiente.

31. NIA 706 –Párrafos de énfasis y párrafos sobre otrascuestiones en el informe emitidos por un auditorindependiente.

32. NIA 710 –Información comparativa –Cifrascorrespondientes de períodos anteriores y estadosfinancieros comparativos.

33. NIA 720 –Responsabilidad del auditor con respecto aotra información incluida en los documentos quecontienen los estados financieros auditados.

Conclusiones y dictamen deAuditoría.

Áreas especializadas


PROCESO DEAUDITORIA


AUDITORIA TECNOLOGIA INFORMATICA

Documents

Transcript of AUDITORIA TECNOLOGIA INFORMATICA