Audotoría Informática

AUDITORÍA EN TECNOLOGÍA I

Unidad 1:EL PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN (SI)Gestión y Metodología

Auditoría en Tecnología I 2

Contenido

1. Fundamentos de Auditoría2. Gestión de Auditoría de Sistemas de Información

(SI) Importancia de la función de Auditoría de SI Organización de la función de Auditoría de SI Administración de los Recursos de Auditoría de SI Planeación de la Auditoría de SI Leyes y regulaciones

3. Normas y Directrices para la Auditoría de SI4. Análisis de Riesgos5. Controles Internos6. Metodología de Auditoría de SI7. Tendencias en Auditoría

10/03/2012 Auditoría en Tecnología I 3

I. Fundamentos de Auditoría1. Conceptos Clave

Auditoría: La recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente [Gustavo Alonso Cepeda]. Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones [Kell Zeigler].

Servicios de Expresión de Opinión: Se refieren a la diversa gama de servicios que prestan los Contadores Públicos Autorizados. Principalmente los servicios de auditoría y de expresión de opinión.

Principios de Contabilidad Generalmente Aceptados: Normas que establecen organismos de regulación y que son aceptados por los contadores para preparar informes financieros adecuados. (NIIFs)

Auditoría en Tecnología I 410/03/2012


• El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado:

Salvaguarda activos

DañoDestrucciónUso no autorizadoRobo

Mantiene Integridad de los datos

Información precisa,CompletaOportunaConfiable

Alcanza metas organizacionales

Consume recursoseficientemente

Contribución de la función informática

Utiliza los recursos adecuadamenteEn el procesamiento de la información

I. Fundamentos de Auditoría2. Conceptos Auditoría de Sistemas Tecnológicos


Es el examen o revisión de carácter objetivo (independiente), crítico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de tecnología de información, con el fin de emitir una opinión profesional (imparcial) con respecto a: • Eficiencia en el uso de los recursos informáticos• Validez de la información• Efectividad de los controles establecidos

I. Fundamentos de Auditoría2. Conceptos Auditoría de Sistemas Tecnológicos


I. Fundamentos de Auditoría 3. Tipos de Auditoría

Auditoría Interna: Cuando es ejecutada por auditores internos que tienen la condición de empleados de la entidad. La auditoría interna es un elemento del sistema de control interno de una entidad, ejecutada como un servicio a la alta dirección, destinada a salvaguardar los recursos, verificar la exactitud y veracidad de la información de las operaciones, estimular la observancia de las políticas previstas y lograr el cumplimiento de las metas y objetivos programados.

Auditoría Externa: Es practicada por profesionales independientes a la entidad sujeta a examen, con el objeto de emitir un juicio sobre la razonabilidad de los estados financieros, la misma que es realizada por firmas privadas de auditoría contratadas para el efecto o por auditores de la Contraloría (en el caso del sector público)

10/03/2012


Principios básicos que deben guiar el desempeño de los auditores durante el proceso de la auditoria. Calidad del trabajo profesional del auditor.

Emitidas originalmente por el Comité de Auditoría del Instituto Americano de Contadores Públicos de EEUU (AICPA) en 1948. (Statement on Auditing Standard – SAS).

Normas Generales o Personales Entrenamiento y capacidad profesional Independencia

Normas de Ejecución del Trabajo Cuidado o esmero profesional Planeamiento y Supervisión Estudio y Evaluación del Control Interno

Normas de Preparación del Informe Evidencia Suficiente y Competente Aplicación de los Principios de Contabilidad Generalmente

Aceptados Consistencia Revelación Suficiente Opinión del Auditor

I. Fundamentos de Auditoría 4. Normas de Auditoría Generalmente Aceptadas (NAGAs)

10/03/2012


Son un conjunto de principios, reglas o procedimientos que obligatoriamente debe seguir el profesional Contador Público que se dedique a labores de auditoria de estados financieros, con la finalidad de evaluar de una manera razonable y confiable la situación financiera de la empresa o ente por él auditados, y en base de aquello le permita emitir su opinión en forma independiente con criterio y juicio profesionales acertados.

El IFAC (Internacional Federation of Accountants) creó el Comité IAASB (Internacional Auditing and Assurance Standards Board) con el fin uniformizar las prácticas de auditoría y servicios relacionados.

El IASSB emite las NIAs, usadas para reportar sobre confiabilidad de información preparada bajo NIIFs, Estándares Internacionales para trabajos de aseguramiento (ISAE), Control de Calidad (ISQC), y servicios relacionados (ISRS).

I. Fundamentos de Auditoría 5. Normas Internacionales de Auditoría y Aseguramiento (NIAA)

10/03/2012


SECTOR PRIVADO NO FINANCIERO:1. Normas Internacionales de Auditoría y Aseguramiento (NIAA’s)

SECTOR PRIVADO FINANCIERO:2. Disposiciones señaladas por la Superintendencia de Bancos y Seguros3. Normas de Auditoría Generalmente Aceptadas (NAGA’s) 4. Normas Internacionales de Auditoría (NIA’s)5. Normas Internacionales para Ejercicio Profesional de la Auditoría Interna6. Directrices de Auditoría del ISACA

SECTOR PUBLICO NO FINANCIERO:7. Normas Ecuatorianas de Auditoría Gubernamental (NEAG’s)8. Normas de Auditoría Generalmente Aceptadas (NAGA’s) 9. Normas Ecuatorianas de Auditoría (NEA’s)

SECTOR PUBLICO FINANCIERO:Aspectos Administrativos y Gastos10. Normas Ecuatorianas de Auditoría Gubernamental (NEAG’s)Aspectos Financieros11. Disposiciones señaladas por la Superintendencia de Bancos y Seguros12. Normas Ecuatorianas de Auditoría Gubernamental (NEAG’s)13. Normas de Auditoría Generalmente Aceptadas (NAGA’s) 14. Normas Internacionales de Auditoría (NIA’s)

I. Fundamentos de Auditoría 5. 1 Aplicación de las Normas de Auditoría en el Ecuador

AUD.EXT.

AUD.INT.

AUD.SISTEMAS

10/03/2012


Riesgo de Auditoría: es el riesgo de que los auditores emitan una opinión o criterio en su informe sobre la auditoría realizada, que contenga desviaciones sustanciales respecto de la realidad del cliente, área o proceso en revisión. El riesgo de auditoría se reduce con la reunión de la evidencia, mientras más competente sea la evidencia, menor es el riesgo de auditoría asumido. El riesgo de auditoría a su vez comprende los siguientes:

Riesgo Inherente: es la posibilidad de un error material en una afirmación antes de evaluar o examinar el control interno del cliente.

Riesgo de Control: es el riesgo de que el control interno del cliente no haya evitado o detectado un error en forma oportuna.

Riesgo de Detección: es el riesgo de que los auditores no descubran los errores al aplicar sus procedimientos. El riesgo de detección se limita efectuando pruebas sustantivas.

Evidencia de Auditoría: conjunto de hechos comprobados, suficientes, competentes y pertinentes que sustentan las conclusiones del auditor.

I. Fundamentos de Auditoría 6. Riesgo de Auditoría y Evidencia

10/03/2012

Auditoría en Tecnología I 1310/03/2012


Los auditores realizan procedimientos para obtener evidencia sobre lo que están revisando. En el caso de una auditoría financiera por ejemplo, ver si los estados financieros del cliente se ajustan a los principios de contabilidad generalmente aceptados. Estos procedimientos hacen uso de las técnicas de auditoría, así por ejemplo:

1. Realizar una inspección del inventario de la compañía. 2. Observar el proceso de producción de materiales. 3. Realizar una entrevista para conocer el estado de proyectos estratégicos. 4. Comprobar la legalidad de las facturas de venta generadas.

Los procedimientos que permiten mitigar el riesgo de error material (riesgo inherente y de control) son conocidos como Procedimientos de Control o Cumplimiento y se realizan de la siguiente forma:

Conocer el cliente y su ambiente a fin de evaluar los riesgos de error material. Conocer el control interno del cliente. Diseñar y realizar pruebas de controles para verificar su eficiencia operativa en

la prevención o detección de errores materiales. Los procedimientos que apuntan a disminuir el riesgo de detección son

los Procedimientos Analíticos o Sustantivos, estas son revisiones más detalladas, sobre algún proceso, sistema, informático, cuenta, etc.

I. Fundamentos de Auditoría 8. Procedimientos de Auditoría

10/03/2012


Los papeles de trabajo o documentación de la auditoría son todos los documentos elaborados por el auditor durante el curso de la auditoría, que fundamentan y respaldan su informe.

Algunos de sus propósitos son: Registrar de forma sistemática las labores o tareas efectuadas

al llevar a cabo una auditoría. Registrar la información y evidencia obtenidas. Respaldar el informe de auditoría es decir los hallazgos,

conclusiones y recomendaciones resultantes de la labor de auditoría.

Facilitar la revisión y supervisión del proceso realizado.

I. Fundamentos de Auditoría 9. Papeles de Trabajo de Auditoría

10/03/2012


Los hallazgos para que sean efectivos en su propósito de comunicar la debilidad encontrada, deben contener en su redacción 4 atributos: Condición, Criterio, Causa y Efecto.

I. Fundamentos de Auditoría 10. Hallazgos de Auditoría

Condición Lo que es Es la situación que se presenta. Diferencia con lo que debe ser.

Criterio Lo que debe ser Base legal, reglamentos, disposiciones internas, externas, que no se cumplen

Causa Por qué sucedió El motivo por el cual se produjo

este hecho o desviación

Efecto Es el resultado adverso, real o potencial que resulta de la condición encontrada.

Las consecuencias que produjo a la institución, empresa, entidad

10/03/2012


II. Gestión de Auditoría de SI1. Importancia de la Función de Auditoría de SI

Proliferación de uso de tecnologías de información y comunicación (TICs) en la última década.

La sociedad de fines del siglo XX “sociedad de la información”.

La importancia de la información para el desarrollo económico y social - “activo de información”.

Auge y crecimiento del comercio por Internet - “era digital” - “economía digital”.

Conexión a Internet abre oportunidades, pero también complejos tipos de Amenazas - incremento de Vulnerabilidad.

Datos tratados mediante TICs - importancia control, seguridad y auditoría en tecnología.

Desarrollo de estándares y mejores prácticas: ISACA CobIT, ISO 17799, ISO 27000, ITIL.

Auditor SI – Certificación CISA; Oficial de Seguridad Información – Certificación CISM.

Auditoría Integral

10/03/2012


II. Gestión de Auditoría de SI 1. Importancia de la Función de Auditoría de SI

Propósitos generales de una Auditoría de Sistemas: Buscar una mejor relación costo-beneficio de los sistemas

tecnológicos Incrementar la satisfacción de los usuarios de los sistemas

tecnológicos Asegurar una mayor integridad, confidencialidad, disponibilidad y

confiabilidad de la información mediante la recomendación de seguridades y controles.

Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

Seguridad de personal, datos, hardware, software e instalaciones Apoyo de función informática a las metas y objetivos de la

organización Minimizar la existencia de riesgos en el uso de Tecnología de

información Capacitación y educación sobre controles en los Sistemas de

Información

10/03/2012



Justificativos comunes de una Auditoría de Sistemas: Aumento considerable e injustificado del presupuesto de TI Desconocimiento en el nivel directivo de la situación informática de

la empresa Falta total o parcial de seguridades lógicas y físicas que garanticen

la integridad del personal, equipos e información. Descubrimiento de fraudes informáticos Falta de una planificación informática Organización que no funciona correctamente, falta de políticas,

objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados (información)

Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción

10/03/2012



Responsabilidades de la función de Auditoría de SI1: Desarrollar e implementar una estrategia de auditoría basada

en los riesgos de la organización en cumplimiento con las normas, directrices y mejores prácticas de auditoría de SI.

Planificar auditorías específicas para validar que TI y los sistemas de negocio son protegidos y controlados.

Conducir auditorías de SI en conformidad con las normas, directrices y mejores prácticas de auditoría de SI para alcanzar los objetivos planeados de auditoría.

Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditorías a los “stakeholders” clave.

Aconsejar en la implementación de una estrategia de Administración de Riesgos y prácticas de control dentro de la organización al tiempo que se mantiene la independencia.

(1) ISACA.- http://www.isaca.org

10/03/2012


II. Gestión de Auditoría de SI 2. Organización de la Función de Auditoría de SI

Estatuto de Auditoría (“Audit Charter”) Establece la responsabilidad, objetivos de la

administración y delegación de autoridad para la función de auditoría de SI.

Describe la autoridad, alcance y responsabilidades generales de la función de Auditoría.

Aprobación del Estatuto de Auditoría Cambios en el Estatuto de Auditoría Servicios provistos por auditores externos Nivel de Reporte e Independencia

10/03/2012


II. Gestión de Auditoría de SI 3. Administración de los Recursos de Auditoría de SI

Número limitado de auditores de SI. Mantenimiento de su competencia técnica. Conformación del equipo de auditoría idóneo. Plan de capacitación anual Proveer al auditor de SI recursos de TI:

Software de Auditoría Herramientas de monitoreo Herramientas para pruebas de vulnerabilidad de

red Pruebas de penetración de la red

10/03/2012


II. Gestión de Auditoría de SI 4. Planeación de Auditoría

Auditoría integral (basada en riesgo y continua) Planeación global de Auditoría

Planeación Largo Plazo Planeación Corto Plazo Aspectos a considerar:

Referencia de problemas de control Cambios tecnológicos Cambios en los procesos de negocio Rotación de personal Técnicas mejoradas de evaluación

Planeación Individual de auditoría Comprensión general del ambiente

Prácticas del negocio y funciones relacionadas Sistemas de información y tecnología

10/03/2012


II. Gestión de Auditoría de SI4. Planeación de Auditoría

Pasos de la Auditoría de SI1. Obtener un entendimiento de la misión, objetivos,

propósito y procesos del negocio2. Identificar el estado de contenidos específicos

(políticas, normas, directrices, procedimientos y estructura organizacional)

3. Realizar un análisis de riesgos4. Conducir una revisión de control interno5. Establecer el alcance y los objetivos de la auditoría6. Desarrollar el enfoque o la estrategia de auditoría7. Asignar los recursos de personal a la auditoría y

dirigir la logística del trabajo de auditoría8. Documentar hallazgos9. Comunicar resultados

10/03/2012


II. Gestión de Auditoría de SI 5. Leyes y Regulaciones sobre Auditoría de SI

Pasos para determinar el cumplimiento de los requerimientos externos: Identificar los requerimientos externos Documentar las leyes y requerimientos pertinentes Evaluar si la administración y la función de TI han

considerado los requerimientos externos Revisar los documentos con resultados sobre el

cumplimiento regulatorio Determinar el cumplimiento de los procedimientos

establecidos

10/03/2012


III. Normas y Directrices Auditoría de SI1. Código de Ética Profesional de ISACA

El Código de Ética Profesional de ISACA provee una guía de conducta profesional y personal para los miembros de la Asociación y/o los poseedores de la certificación CISA o CISM.

Normas_ISACA.pdf

(www.isaca.org)

10/03/2012


III. Normas y Directrices Auditoría de SI 2. Normas de ISACA para Auditoría de SI

Objetivos de las Normas de ISACA

Informar a la dirección y a otros interesados sobre las expectativas de la profesión en relación con el trabajo de los auditores.

Informar a los auditores de SI del nivel mínimo de desempeño requerido aceptable para cumplir con las responsabilidades profesionales establecidas en el Código de Ética de ISACA.

10/03/2012



1. Estatuto de Auditoría2. Independencia3. Ética y Estándares4. Competencia5. Planeación6. Desempeño del trabajo

de Auditoría7. Reporte8. Seguimiento de las acti

vidades

9. Irregularidades y actos ilegales

10. Gobierno de TI11. Uso de la evaluación de

riesgos en la planeación de auditoría

12. Materialidad de Auditoría

13. Usar el trabajo de expertos

14. Evidencia de Auditoría15. Controles de TI16. Comercio electrónico

Normas de Auditoría de SI

10/03/2012



1. Estatuto de Auditoría Propósito, responsabilidad, autoridad y obligación

de rendir cuentas Aprobación

2. Independencia Independencia Profesional Independencia Organizacional

3. Ética Profesional y Estándares Código de Ética Profesional Debido cuidado Profesional

10/03/2012



4. Competencia Habilidades y conocimiento Educación Profesional Continua

5. Planeación Alcance del Plan de Auditoría de SI Desarrollar y documentar el enfoque de auditoría

basado en riesgos Desarrollar y documentar el plan de auditoría Desarrollar el programa y los procedimientos de

auditoría

10/03/2012



6. Desempeño del trabajo de auditoría Supervisión Evidencia Documentación

7. Reporte Identificar organización, destinatarios y cualquier

restricción Establecer el alcance, objetivos, período cubierto

y naturaleza del trabajo de auditoría realizado Establecer los hallazgos, conclusiones y

recomendaciones, y limitaciones Justificar los resultados reportados Firmado, fechado y distribuido según estatuto de

auditoría

10/03/2012



8. Actividades de Seguimiento Revisión previa de conclusiones y recomendaciones Revisión previa de hallazgos relevantes Determinar si la administración ha tomado las

acciones apropiadas de manera oportuna

9. Irregularidades y actos ilegales Considerar el riesgo de irregularidades y actos

ilegales Mantener una actitud de escepticismo profesional Obtener un entendimiento de la organización y

ambiente Considerar relaciones inusuales e inesperadas Evaluar lo adecuado del control interno Evaluar cualquier declaración errónea

10/03/2012



9. Irregularidades y actos ilegales Obtener declaraciones escritas de la

administración Tener conocimiento de cualquier alegato,

irregularidad o acto ilegal Comunicar irregularidades y actos ilegales

materiales Tomar acciones apropiadas en caso de ver

afectada su capacidad para continuar con el trabajo de auditoría

Documentar comunicaciones, planeación, resultados, evaluaciones y conclusiones relacionadas con irregularidades o actos ilegales.

10/03/2012



10. Gobierno de TI Revisar y evaluar la alineación de la TI con la

misión, visión, valores, objetivos y estrategias de la organización.

Revisar el estatuto de la función de TI acerca del desempeño esperado y evaluar su cumplimiento.

Revisar y evaluar la efectividad de TI en la administración de los recursos y del desempeño

Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la información, fiduciarios y de seguridad

Usar un esquema basado en riesgos para evaluar la función de TI

Revisar y evaluar los riesgos que puedan afectar a la TI

10/03/2012



11. Uso de la Evaluación de Riesgos en la planeación de la auditoría

Usar técnicas de evaluación de riesgos en el desarrollo de todo el plan de auditoría de SI

Identificar y evaluar los riesgos relevantes en la planeación de auditorías individuales

10/03/2012


III. Normas y Directrices Auditoría de SI Relaciones entre Normas, Directrices y Procedimientos

NormasDeben ser seguidos por el Auditor

DirectricesProveen asistencia sobre cómo puede el

Auditor implementar las normas

ProcedimientosProveen ejemplos de cómo implementar las

normas

10/03/2012


III. Normas y Directrices Auditoría de SI 3. Directrices de ISACA para Auditoría de SI

G1 Usar el trabajo de otros auditoresG2 Requerimiento de Evidencia de AuditoríaG3 Uso de Técnicas de Auditoría Asistidas por Computador (CAATs)G4 Servicio Externo de Actividades de SI para otras organizacionesG5 Estatuto de AuditoríaG6 Conceptos de Materialidad para la Auditoría de SIG7 Debido cuidado profesionalG8 Documentación de AuditoríaG9 Consideraciones de Auditoría en caso de irregularidadesG10 Muestreo de AuditoríaG11 Efecto de los Controles Generales de SIG12 Relación organizacional e IndependenciaG13 Uso de la Evaluación de Riesgos en la Planeación de AuditoríaG14 Revisión de los Sistemas de AplicaciónG15 Planeación Revisada

10/03/2012



G16 Efecto de Terceros en los controles de TIG17 Efecto de funciones ajenas a la Auditoría sobre la

independencia del AuditorG18 Gobierno de TIG19 Irregularidades y Actos IlegalesG20 InformesG21 Revisión de Sistemas de Planeación de Recursos Empresariales

(ERP)G22 Revisión Comercio Electrónico (B2C)G23 Ciclo de Vida del Desarrollo de Sistemas (SDLC)G24 Banca por InternetG25 Revisión Redes Privadas VirtualesG26 Revisión de Proyectos de Reingeniería de Procesos (BPR)G27 Computación MóvilG28 Cómputo ForenseG29 Revisión Post-ImplementaciónG30 Competencia

10/03/2012



G31 PrivacidadG32 Revisión del Plan de Continuidad de Negocio (BCP)G33 Consideraciones Generales para el uso de InternetG34 Responsabilidad de Rendir CuentasG35 Actividades de Seguimiento

10/03/2012


III. Normas y Directrices Auditoría de SI 4. Procedimientos de ISACA para Auditoría de SI

P1 Evaluación de Riesgos de SIP2 Firmas DigitalesP3 Detección de IntrusosP4 Virus y otros códigos maliciososP5 Autoevaluación de Control de RiesgosP6 FirewallsP7 Irregularidades y Actos IlegalesP8 Evaluación de la Seguridad – Prueba de Penetración y Análisis de

VulnerabilidadesP9 Evaluación de los controles Dirección sobre las Metodologías de

Encripción

10/03/2012


IV. Análisis de Riesgos1. Definición de Riesgo

“El potencial de que una amenaza determinada explote vulnerabilidades de un activo o grupo de activos causando pérdida o daño a la organización.” ISO/IEC PDTR 13335-1

Amenaza: factor externo fuera de nuestro control

Vulnerabilidad: factor interno susceptible de control

Activo: información, Hw, Sw, Personal TI, Instalaciones

Pérdida o daño: Impacto ($)

10/03/2012


IV. Análisis de Riesgos 2. Elementos de Riesgo

Amenazas a, y Vulnerabilidades de, procesos y/o activos (incluyendo tanto activos físicos como de información)

Impacto sobre los activos basado en amenazas y vulnerabilidades

Probabilidad de amenazas (combinación de la posibilidad y la frecuencia de ocurrencia)Ejemplo:

Amenaza: Fallas en equipamiento de TI de producción

Vulnerabilidad: Instalaciones de procesamiento con insuficientes medidas de protección ambiental

Riesgo: Interrupción de la operación de aplicaciones principales de negocio

Impacto: Pérdida de ingresos, reputación

Probabilidad de ocurrencia: Alta: 3 incidentes último año

10/03/2012


IV. Análisis de Riesgos 3. Riesgo y Planeación de Auditoría

El análisis de riesgos es parte de la planeación de auditoría y ayuda a identificar riesgos y vulnerabilidades para que el Auditor pueda determinar los controles necesarios para mitigar esos riesgos.

S11 – Uso de la evaluación de riesgos en la Planeación de Auditoría El auditor de SI debe utilizar una técnica o

enfoque apropiado de evaluación de riesgos al desarrollar el plan general de auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de auditoría de SI.

Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes del área bajo revisión.

10/03/2012


V. Controles Internos1. Concepto y Clasificación

Los Controles Internos son políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir los Riesgos.Son desarrollados para proveer una certeza razonable a la Gerencia de que se alcanzarán los objetivos de negocio y de que se prevendrán o detectarán y corregirán los eventos de riesgo.Pueden ser manuales o manejados por recursos de información automatizados.Operan en todos los niveles dentro de una organización.Clasificación de los Controles Internos:

Controles Preventivos Controles Detectivos Controles Correctivos

Responsabilidad del Directorio, Alta Gerencia y empleados.

10/03/2012


V. Controles Internos1. Concepto y Clasificación

Clase Función Ejemplos

Preventivos •Detectar problemas antes que surjan•Monitorear operaciones e ingreso de datos•Impedir que ocurran errores, omisiones o actos deliberados

•Segregar funciones•Controlar acceso físico•Autorización de transacciones•Usar SW Control Acceso•Usar SW de Encripción

Detectivos •Usar controles que detecten y reporten que ha ocurrido un error, una omisión o un acto malicioso.

•Totales de control•Puntos de revisión•Doble verificación de cálculos•Reportes periódicos de desempeño•Funciones de auditoría interna•Revisar logs para detectar intentos de acceso no autorizado

Correctivos •Minimizar el impacto de una amenaza•Remediar problemas descubiertos por los controles detectivos•Identificar la causa de un problema•Corregir errores resultantes de un problema

•Planeación de contingencias•Procedimientos de respaldo•Procedimientos de reproceso

10/03/2012


V. Controles Internos 3. Objetivos de Control de SI

Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de actividades de control (procedimientos).

Los objetivos de control interno aplican a todas las áreas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control interno en ambientes automatizados permanecen invariables respecto de un ambiente manual.

10/03/2012



Salvaguarda de activos – información protegida Asegurar la integridad de los ambientes de sistema

operativo en general – operaciones y gestión de red. Asegurar la integridad de los ambientes de sistemas de

aplicación sensibles y críticos, a través de: Autorización para ingreso de datos Validación de la entrada de datos Exactitud e integridad del procesamiento de transacciones Confiabilidad de las actividades de procesamiento de

información en general Exactitud, integridad y seguridad de la información de

salida Integridad, disponibilidad y confidencialidad de la base de

datos

10/03/2012



Asegurar la eficiencia y efectividad de las operaciones (objetivos operativos)

Cumplimiento con los requisitos de usuarios, políticas y procedimientos organizaciones, así como leyes aplicables (objetivos de cumplimiento)

Asegurar la disponibilidad de los servicios de TI desarrollando Planes de Continuidad de Negocio (BCP) y de Recuperación ante Desastres (DRP)

Aumentar la protección de datos y sistemas desarrollando un Plan de Respuesta ante Incidentes.

Asegurar la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de Gestión de Cambios.

10/03/2012



COSO-ERM

Marco integrado de Control Interno y Gestión de Riesgos Corporativos

COBITMarco de referencia de Control de Tecnología de Información y procesos relacionados

10/03/2012


V. Controles Internos 3.1 COSO-ERM

Componentes y

Elementos Clave

de

COSO-ERM

10/03/2012


V. Controles Internos 4. CobiT

Provee un marco con 34 objetivos de control de alto nivel agrupados en un modelo genérico de

procesos organizado en 4 dominios

10/03/2012


V. Controles Internos 4. CobiT

10/03/2012

10/03/2012


V. Controles Internos 5. Procedimientos de Control de Negocio y de TI

El sistema de control interno de la organización impacta en TI a tres niveles:

Al nivel de dirección ejecutiva, se fijan los objetivos de negocio, se establecen políticas y se toman decisiones de cómo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compañía.

Al nivel de procesos de negocio, se aplican controles para actividades específicas del negocio. La mayoría de los procesos de negocio están automatizados e integrados con los sistemas aplicativos de TI, por eso se conocen como controles de aplicación.

A nivel de TI, los controles aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI.

10/03/2012



Objetivos y Políticas de Alto Nivel: Estrategia y Dirección Organización general y administrativa Políticas y normas de contabilidad Normas de operación relacionadas con el día a día de las

operaciones Controles administrativos relacionados con la eficiencia

operacional y la adherencia a las políticas de la administración

Políticas y procedimientos organizacionales de seguridad Políticas generales para el diseño y uso de documentos y

registros Procedimientos para el acceso autorizado a los activos Políticas de administración del recurso humano Políticas del negocio: Ej: Crédito, Inventarios, Producción

10/03/2012



Controles de Aplicación:Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicación:

Preparación y Autorización de Información Fuente Recolección y Entrada de Información Fuente Chequeos de Exactitud, Integridad y Autenticidad Integridad y Validez del Procesamiento Autenticación e Integridad de Transacciones Autorización de Transacciones Segregación de funciones Revisión de Salidas, Reconciliación y Manejo de

Errores Registro de pistas de auditoría

10/03/2012


V. Controles Internos 5. Procedimientos de Control de Sistemas de Información

Controles Generales de TI: Planes de TI Controles de acceso a los datos y programas Metodología de Desarrollo de Sistemas y Control de Cambios Operaciones de Procesamiento de Datos Programación de sistemas y funciones de soporte técnico Procedimientos para aseguramiento de calidad Controles de acceso físico Planeación de la Continuidad de Negocios y Recuperación de

Desastres Controles de Redes y Comunicaciones Administración de Base de Datos Seguridad física para todos los centros de datos Revisiones independientes de TI

10/03/2012


VI. Metodología de Auditoría de SI

Proceso sistemático por el cual una persona calificada, competente e independiente revisa y evalúa objetivamente los sistemas automatizados de procesamiento de información y procesos relacionados.

Pasos:

1. Planeación2. Valorar los riesgos generales y de aplicación3. Desarrollar un programa de auditoría4. Ejecución de procedimientos de auditoría5. Elaborar informe de auditoría

10/03/2012


VI. Metodología de Auditoría de SI 1. Programa de Auditoría

Contiene el alcance, los objetivos y los procedimientos de auditoría para lograr la evidencia suficiente, competente y confiable para obtener y sustentar las conclusiones y opiniones de auditoría.

Procedimientos básicos: Obtener conocimiento sobre el objeto de auditoría Valorar los riesgos y planeación general de la auditoría Planeación detallada de auditoría Revisión preliminar del área/objeto de la auditoría Evaluación del área/objeto de la auditoría Verificación y evaluación de controles Pruebas de cumplimiento Pruebas sustantivas Comunicar resultados

10/03/2012


VI. Metodología de Auditoría de SI 3. Enfoque de Auditoría Basado en Riesgos

10/03/2012

Pregunta de Repaso

10/03/2012


VI. Metodología de Auditoría de SI 5. Valoración y Tratamiento de Riesgos

Valoración de los Riesgos de Seguridad Comprender el proceso de administración del riesgo Gestionar los riesgos de seguridad de la información Alcance de la valoración de riesgos

Opciones para Tratar los Riesgos de Seguridad Aplicar los controles apropiados para reducir los riesgos Aceptar los riesgos en concordancia con la política de

aceptación de riesgos Evitar riesgos al no permitir acciones que causarían que

ocurrieran los riesgos Transferir los riesgos asociados a otras partes

10/03/2012


VI. Metodología de Auditoría de SI 6. Técnicas de Valoración de Riesgos en Auditoría

El auditor debe evaluar los riesgos para determinar las áreas funcionales a ser auditadas.

Metodologías cualitativas y cuantitativas Sistema de puntuación (scoring) para priorizar auditorías

con base en una evaluación de factores de riesgo: Complejidad técnica Nivel de procedimientos de control establecidos Nivel de pérdida financiera…

Permite la asignación efectiva de los recursos limitados de auditoría.

10/03/2012


VI. Metodología de Auditoría de SI 7. Objetivos de la Auditoría

Los objetivos de la auditoría se enfocan generalmente en validar que existen controles para minimizar los riesgos del negocio, y que estos funcionan como se espera:

Confidencialidad Integridad Disponibilidad Confiabilidad Cumplimiento

Traducir los objetivos generales de una auditoría integral en objetivos específicos de control de SI.

En la planeación el auditor debe identificar los objetivos de control y los controles relacionados que tratan el objetivo.

La revisión inicial del SI identificará los controles clave tanto generales como de aplicación; y, entonces decidir si se los prueba para verificar su cumplimiento.

También se puede valorar la integridad de los datos de un informe financiero (prueba sustantiva) a través de TAAC´s.

10/03/2012


VI. Metodología de Auditoría de SI 9. Evidencia

Es la información usada por el auditor para determinar si el objeto auditado cumple los criterios u objetivos establecidos, y soporta las conclusiones de auditoría.

Evidencia suficiente, relevante y competente. Determinantes de la confiabilidad de la evidencia:

Independencia de la fuente de la evidencia Credenciales de quién provee la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia

Técnicas para recopilación de evidencia: Revisión de las estructuras organizacionales de TI Revisión de políticas y procedimientos de SI Revisión de las normas de SI Revisión de la documentación de SI Entrevistas al personal apropiado Observación de procesos

10/03/2012


VI. Metodología de Auditoría de SI 12. Comunicación de Resultados

Entrevista final para discutir los hallazgos y las recomendaciones con la Gerencia.

Estructura y Contenido: Introducción, declaración de objetivos, limitaciones y alcance Conclusión y opinión generales respecto a si los controles evaluados son

los adecuados Las reservas o calificaciones del auditor con relación a la auditoria Los hallazgos detallados y las recomendaciones de auditoria

10/03/2012


VII. Tendencias en Auditoría 1. Papeles de Trabajo Automatizados

Uso de aplicaciones especializadas diseñadas para crear papeles de trabajo de auditoría (análisis de riesgos, programas de auditoría, resultados, evidencia de pruebas, conclusiones, informes)

Ejemplo: Autoaudit

10/03/2012


VII. Tendencias en Auditoría 2. Auditoría Integrada

10/03/2012


VII. Tendencias en Auditoría 3. Auditoría Continua

Monitoreo en tiempo real Informes financieros con mayor frecuencia Módulos integrados de auditoría Captura de tipos predefinidos de eventos Inspección directa de condiciones y transacciones anormales o

sospechosas. Evaluar el Costo de los módulos integrados. Evaluar las Habilidades técnicas requeridas. Tendencia en SW de tipo ERP

10/03/2012

Audotoría Informática

Documents

Transcript of Audotoría Informática