Capítulo 4: Funciones de la auditoría de Sistemas de ...

Ing. Alejandra Colina Vargas

Funciones de la auditoría de Sistemas de Información


Alcance

Roles

Recursos

Metodología y Técnicas

Estándares, Políticas y Procedimientos

Contenidos

Expresa los limites de la misma.

Define con precisión el entorno y los límites en que va a desarrollarse la

auditoria, se completa con los objetivos de ésta.

Se expresa en el Informe Final, de modo que quede perfectamente determinado

no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas

han sido omitidos.


Alcance de la Auditoria

Debe existir un acuerdo muy preciso entre auditores y clientes sobre las

funciones, las materias, y las organizaciones a auditar.

Debe expresar las excepciones del alcance de la Auditoría, es decir cuales

materias, funciones u organizaciones no van a ser auditadas.

La NO definición de los alcances de la auditoria compromete el éxito de la

misma.

Alcance de la Auditoria


Sistemas informáticos Operativos:

‒ Comprobar el cumplimiento de los requerimientos de negocio de lainformación

‒ Analizar la gestión de los riesgos asociados a los sistemas de información.

Controles técnicos generales.

‒ Controles generales de TI y Controles de Aplicación,

Controles técnicos específicos

‒ Enfocado sobre evaluación los controles de TI implementados en los procesoscríticos o sensibles

Roles de la Auditoria


FASE DE LA AUDITORÍA PARTICIPACIÓN DEL AUDITOR DE SI

1. Alcance En la propuesta de auditoria se debe identificar los procesos de TI y SI relevantesDeterminar el nivel de complejidad de los sistemas

2. Identificar y evaluar el riesgo de TI Evaluar y documentar la efectividad de los controles generales de TI

3. Diseño de la respuesta de auditoriaApoyar la discusión del equipo de auditoriaEstablecer conjuntamente objetivos, alcances estrategias y enfoque de la AS

4. Obtener evidencia de auditoriaDiseñar y ejecutar los procedimientos de auditoria que resultenaplicables. Validar resultados

5. Formar una opinión Evaluar con el equipo de auditoría los resultados de auditoría

6. Informe Preparar el informe

Roles de la Auditoria


La asignación de recursos para el trabajo de auditoría debe considerar las técnicasde administración de proyectos las cuales comprende:

Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cadatarea y estimar de manera realista, el tiempo teniendo en cuenta el personaldisponible.

Contrastar la actividad actual con la actividad planificada en el proyecto.

Ajustar el plan y tomar las acciones correctivas.

Recursos de la Auditoria


Recursos Materiales

Proporcionados por cliente en su mayoría

Determinación de incremento de carga del auditado y consenso en fechas yduración de actividades de auditoria‒ Software: paquetes de auditoría del equipo auditor, compiladores

‒ Hardware: PCs, impresoras, líneas de comunicación

Recursos Humanos

Cantidad depende del alcance de la auditoría

Perfil depende de la materia a auditar

Recursos de la Auditoria

FUNCIONES DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Un camino estructurado de forma lógica para asegurar el éxito de proyectos deauditoría de informática.

Cuatro fases básicas de un proceso de revisión:

1. Estudio preliminar

2. Revisión y evaluación de controles y seguridades

3. Examen detallado de áreas criticas

4. Comunicación de resultados

Metodologías y Técnicas de la Auditoria

Metodologías de Auditoria


1. Estudio preliminar.

Incluye definir el grupo de trabajo, el programa de auditoría,

Efectuar visitas a la unidad informática para conocer detalles de la misma,

Elaborar un cuestionario para la obtención de información para evaluarpreliminarmente el control interno, solicitud de plan de actividades, manualesde políticas, reglamentos, entrevistas con los principales funcionarios.




2. Revisión y evaluación de controles y seguridades.

Consiste de la revisión de los diagramas de flujo de procesos,

Realización de pruebas de cumplimiento de las seguridades, Revisión deaplicaciones de las áreas criticas,

Revisión de procesos históricos (backups),

Revisión de documentación y archivos, entre otras actividades.




3. Examen detallado de áreas criticas.

El auditor descubre las áreas criticas y sobre ellas hace un estudio y análisisprofundo en los que definirá concretamente su grupo de trabajo y ladistribución de carga del mismo, establecerá los motivos, objetivos, alcance,recursos que usará, definirá la metodología de trabajo, la duración de laauditoría, presentará el plan de trabajo y analizará detalladamente cadaproblema encontrado con todo lo anteriormente analizado.




4. Comunicación de resultados.

Se elaborará el borrador del informe a ser discutido con los ejecutivos de laempresa hasta llegar al informe definitivo, el cual se presentará esquemáticamenteen forma de matriz, cuadros o redacción simple y concisa que destaque losproblemas encontrados, los efectos y las recomendaciones de la Auditoría.



• Motivos de la Auditoría • Objetivos • Alcance • Estructura Orgánico-Funcional

• Configuración del Hardware y Software instalado • Control Interno • Resultados de la Auditoría

El informe debe contener lo siguiente:


Son métodos prácticos de investigación y prueba que el auditor utiliza paracomprobar la razonabilidad y lograr la información y comprobación necesariapara poder emitir su opinión profesional.

Proporcionar elementos técnicos que pueda utilizar el auditor para obtener lainformación necesaria que fundamente su opinión profesional sobre la entidadsujeta a su examen.


Técnicas de auditoria


Evaluación: consiste en analizar mediante pruebas la calidad y cumplimiento defunciones, actividades y procedimientos que se realizan en una organización oárea.

Inspección: la inspección permite evaluar la eficiencia y eficacia del sistema, encuanto a operación y procesamiento de datos para reducir los riesgos y unificarel trabajo hasta finalizarlo.

Confirmación: se deben confirmar los hechos y la certificación de los datos quese obtienen en la revisión. No se puede dar un dictamen en base a suposiciones oemitir juicios que no sean comprobables.




Comparación: es la comparación de los datos obtenidos en un área o en toda la organización y cotejando esa información con los datos similares o iguales de otra organización con características semejantes.

Revisión Documental: es la revisión de documentos que soportan los registros de operaciones y actividades de una organización.




Matriz de Evaluación: permite realizar la valoración del cumplimiento de unafunción específica en la verificación de actividades de cualquier función del área deinformática, del sistema software, del desarrollo de proyectos software, del servicioa los usuarios del sistema o cualquier otra actividad del área de informática en laorganización.

Matriz DOFA: método de análisis y diagnóstico usado para la evaluación de uncentro de cómputo, que permite la evaluación del desempeño de los sistemassoftware, aquí se evalúan los factores internos y externos, para que el auditor puedeevaluar el cumplimiento de la misión y objetivo general del área de informática de laorganización.




Observación: se aplica para observar todo lo relacionado con el área informática y lossistemas de una organización con el propósito de percibir, examinar, o analizar loseventos que se presentan en el desarrollo de las actividades del área o de un sistemaque permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas: es un medio directo para la recolección de información, para la capturade los datos informados por medio de grabadoras digitales o cualquier otro medio.


Recolección de información


Cuestionarios: son preguntas impresas en formatos o fichas en que el auditadoresponde de acuerdo a su criterio, de esta manera el auditor obtiene información queposteriormente puede clasificar e interpretar por medio de la tabulación y análisis, paraevaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.




Encuestas: son utilizadas frecuentemente para recolectar información sobre aspectoscomo el servicio, el comportamiento y utilidad del equipo, la actuación del personal ylos usuarios, entre otros juicios de la función informática.

Inventarios: consiste en hacer el recuento físico de lo que se está auditando, con el finde compararla con la que existe en los documentos en la misma fecha.




Los organismos internacionales que se ocupan del control y de la auditoría de SI sonfuente de fuente de estándares:

ISACA - Asociación de Auditoría y Control de Sistemas de Información

ISO – Organización Internacional para la estandarización.

NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

ITIL - Information Technology Infraestructure Library

Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) delInstituto de Ingeniería del Software (SEI)


Estándares de auditoria


Son el conjunto de técnicas aplicables a un grupo de hechos y circunstancias relativas alestado o funcionamiento del sistema computacional, sujeto a examen para obtener lasbases para fundamentar su opinión.

Algunos ejemplos:Revisión de la documentación de sistemas e identificación de los controles

existentes.Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles

aplicados.Utilización de software de manejo de base de datos para examinar el contenido de

los archivos de datos.Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.


Procedimientos de auditoria


1. ¿Cuáles son los alcances de la auditoria de sistemas?2. ¿Qué aspectos será clave para identificar la existencia de algún área específica que necesita auditoria?3. ¿De cuánto tiempo se dispone para realizar la auditoria informática?4. ¿Qué elementos serán decisivos para el diseño de los formatos necesarios para recopilar información?5. Dado el Estudio de caso suministrado por el docente, se plantea:

a. ¿Cuáles son los motivos que llevo a la Empresa a decidir contratar la Auditoria?b. ¿Qué debería hacer el Auditor primeramente?c. Dado que se contrata para realizar una auditoria general a un sitio web, ¿Cómo se llevo a cabo el

análisis de tareas importantes y esenciales para la auditoria?d. ¿Consideras que fueron oportunas las actividades planificadas? Justifique.e. ¿Consideras pertinentes las soluciones planteadas por la Empresa? ¿Se podría considerar otros

elementos? Justifique.

Taller Nº 2Una vez culminada la Unidad se procederá a realizar la revisión de los contenidos respondiendo a las siguientes preguntas:


1. Caso de Estudio A. Diversos empleados estaban enganchados a Internet.DescripciónUna empresa detectaba que el rendimiento de los trabajadores había baja bajadoconsiderablemente.Solución y actuación de Auditoria SistemasCreamos unas políticas de seguridad informática y unas normas de uso informático para laempresa. Todos los trabajadores se comprometieron a cumplirlas.Además se instalo dos sistemas de control interno. Un sistema de control del correo electrónicoque emitían y recibían los trabajadores. Y otro sistema de control de las páginas web que sevisitaba cada trabajador de la empresa.BeneficiosLa empresa incrementó la productividad de sus trabajadores y disminuyó el riesgo de perdidas dedatos.

Taller Nº 2


2. Caso de Estudio. Una web fue hackeada por un spammerDescripciónEl sitio web de una empresa fue atacada por unos spammers y al entrar en su web visualizaban anuncios delos spammers.

Solución y actuación de Auditoria SistemasRestauramos una copia de seguridad y auditamos la aplicación web para recomendar a los programadoresla implantación de controles de seguridad y de las vulnerabilidades encontradas.

BeneficiosLa empresa solucionó el problema inmediato y reduce el riesgo de que vuelva a ocurrir.

Taller Nº 2


Capítulo 4: Funciones de la auditoría de Sistemas de ...

Documents

Transcript of Capítulo 4: Funciones de la auditoría de Sistemas de ...