Audotoría Informática

AUDITORA EN TECNOLOGA I
Unidad 1: EL PROCESO DE AUDITORA DE SISTEMAS DE INFORMACIN (SI) Gestin y Metodologa
Contenido
1. 2.

Fundamentos de Auditora Gestin de Auditora de Sistemas de Informacin (SI)

Importancia de la funcin de Auditora de SI Organizacin de la funcin de Auditora de SI Administracin de los Recursos de Auditora de SI Planeacin de la Auditora de SI Leyes y regulaciones
3. 4.
5.
6. 7.
Normas y Directrices para la Auditora de SI Anlisis de Riesgos Controles Internos Metodologa de Auditora de SI Tendencias en Auditora
Auditora en Tecnologa I 2
I. Fundamentos de Auditora
1. Conceptos Clave
Auditora: La recopilacin y evaluacin de datos sobre informacin de una entidad para determinar e informar sobre el grado de correspondencia entre la informacin y los criterios establecidos. La auditora debe ser realizada por una persona competente e independiente [Gustavo Alonso Cepeda]. Es el examen objetivo, sistemtico y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones [Kell Zeigler]. Servicios de Expresin de Opinin: Se refieren a la diversa gama de servicios que prestan los Contadores Pblicos Autorizados. Principalmente los servicios de auditora y de expresin de opinin. Principios de Contabilidad Generalmente Aceptados: Normas que establecen organismos de regulacin y que son aceptados por los contadores para preparar informes financieros adecuados. (NIIFs)
10/03/2012
Auditora en Tecnologa I
10/03/2012
2. Conceptos Auditora de Sistemas Tecnolgicos
El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado:
Dao Destruccin Uso no autorizado Robo
Salvaguarda activos
Mantiene Integridad de los datos
Informacin precisa, Completa Oportuna Confiable
Alcanza metas organizacionales
Contribucin de la funcin informtica
Consume recursos eficientemente
Utiliza los recursos adecuadamente En el procesamiento de la informacin
08/10/2010
2. Conceptos Auditora de Sistemas Tecnolgicos
Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de tecnologa de informacin, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos
08/10/2010
3. Tipos de Auditora
Auditora Interna: Cuando es ejecutada por auditores internos que tienen la condicin de empleados de la entidad. La auditora interna es un elemento del sistema de control interno de una entidad, ejecutada como un servicio a la alta direccin, destinada a salvaguardar los recursos, verificar la exactitud y veracidad de la informacin de las operaciones, estimular la observancia de las polticas previstas y lograr el cumplimiento de las metas y objetivos programados. Auditora Externa: Es practicada por profesionales independientes a la entidad sujeta a examen, con el objeto de emitir un juicio sobre la razonabilidad de los estados financieros, la misma que es realizada por firmas privadas de auditora contratadas para el efecto o por auditores de la Contralora (en el caso del sector pblico)
10/03/2012
4. Normas de Auditora Generalmente Aceptadas (NAGAs)
Principios bsicos que deben guiar el desempeo de los auditores durante el proceso de la auditoria. Calidad del trabajo profesional del auditor. Emitidas originalmente por el Comit de Auditora del Instituto Americano de Contadores Pblicos de EEUU (AICPA) en 1948. (Statement on Auditing Standard SAS). Normas Generales o Personales

Normas de Ejecucin del Trabajo

Entrenamiento y capacidad profesional Independencia
Normas de Preparacin del Informe

Cuidado o esmero profesional Planeamiento y Supervisin Estudio y Evaluacin del Control Interno Evidencia Suficiente y Competente Aplicacin de los Principios de Contabilidad Generalmente Aceptados Consistencia Revelacin Suficiente Opinin del Auditor
10/03/2012
5. Normas Internacionales de Auditora y Aseguramiento (NIAA)
Son un conjunto de principios, reglas o procedimientos que obligatoriamente debe seguir el profesional Contador Pblico que se dedique a labores de auditoria de estados financieros, con la finalidad de evaluar de una manera razonable y confiable la situacin financiera de la empresa o ente por l auditados, y en base de aquello le permita emitir su opinin en forma independiente con criterio y juicio profesionales acertados. El IFAC (Internacional Federation of Accountants) cre el Comit IAASB (Internacional Auditing and Assurance Standards Board) con el fin uniformizar las prcticas de auditora y servicios relacionados. El IASSB emite las NIAs, usadas para reportar sobre confiabilidad de informacin preparada bajo NIIFs, Estndares Internacionales para trabajos de aseguramiento (ISAE), Control de Calidad (ISQC), y servicios relacionados (ISRS).
10/03/2012
5. 1 Aplicacin de las Normas de Auditora en el Ecuador
SECTOR PRIVADO NO FINANCIERO:
1.
Normas Internacionales de Auditora y Aseguramiento (NIAAs)
SECTOR PRIVADO FINANCIERO:

1.
AUD.EXT. AUD.INT. AUD.SISTEMAS
2. 3. 4. 5.
Disposiciones sealadas por la Superintendencia de Bancos y Seguros Normas de Auditora Generalmente Aceptadas (NAGAs) Normas Internacionales de Auditora (NIAs) Normas Internacionales para Ejercicio Profesional de la Auditora Interna Directrices de Auditora del ISACA
SECTOR PUBLICO NO FINANCIERO:

1.
2.
3.
Normas Ecuatorianas de Auditora Gubernamental (NEAGs) Normas de Auditora Generalmente Aceptadas (NAGAs) Normas Ecuatorianas de Auditora (NEAs)
SECTOR PUBLICO FINANCIERO:

1.
Aspectos Administrativos y Gastos Aspectos Financieros

1.
2. 3. 4.
Normas Ecuatorianas de Auditora Gubernamental (NEAGs)
Disposiciones sealadas por la Superintendencia de Bancos y Seguros Normas Ecuatorianas de Auditora Gubernamental (NEAGs) Normas de Auditora Generalmente Aceptadas (NAGAs) Normas Internacionales de Auditora (NIAs)
10/03/2012
10
6. Riesgo de Auditora y Evidencia
Riesgo de Auditora: es el riesgo de que los auditores emitan una opinin o criterio en su informe sobre la auditora realizada, que contenga desviaciones sustanciales respecto de la realidad del cliente, rea o proceso en revisin. El riesgo de auditora se reduce con la reunin de la evidencia, mientras ms competente sea la evidencia, menor es el riesgo de auditora asumido. El riesgo de auditora a su vez comprende los siguientes:
Riesgo Inherente: es la posibilidad de un error material en una afirmacin antes de evaluar o examinar el control interno del cliente. Riesgo de Control: es el riesgo de que el control interno del cliente no haya evitado o detectado un error en forma oportuna. Riesgo de Deteccin: es el riesgo de que los auditores no descubran los errores al aplicar sus procedimientos. El riesgo de deteccin se limita efectuando pruebas sustantivas.
Evidencia de Auditora: conjunto de hechos comprobados, suficientes, competentes y pertinentes que sustentan las conclusiones del auditor.
10/03/2012
11
08/10/2010
12
10/03/2012
13
8. Procedimientos de Auditora
Los auditores realizan procedimientos para obtener evidencia sobre lo que estn revisando. En el caso de una auditora financiera por ejemplo, ver si los estados financieros del cliente se ajustan a los principios de contabilidad generalmente aceptados. Estos procedimientos hacen uso de las tcnicas de auditora, as por ejemplo:
1. 2. 3. 4.
Realizar una inspeccin del inventario de la compaa. Observar el proceso de produccin de materiales. Realizar una entrevista para conocer el estado de proyectos estratgicos. Comprobar la legalidad de las facturas de venta generadas.
Los procedimientos que permiten mitigar el riesgo de error material (riesgo inherente y de control) son conocidos como Procedimientos de Control o Cumplimiento y se realizan de la siguiente forma:

Conocer el cliente y su ambiente a fin de evaluar los riesgos de error material. Conocer el control interno del cliente. Disear y realizar pruebas de controles para verificar su eficiencia operativa en la prevencin o deteccin de errores materiales.
Los procedimientos que apuntan a disminuir el riesgo de deteccin son los Procedimientos Analticos o Sustantivos, estas son revisiones ms detalladas, sobre algn proceso, sistema, informtico, cuenta, etc.
10/03/2012
9. Papeles de Trabajo de Auditora
Los papeles de trabajo o documentacin de la auditora son todos los documentos elaborados por el auditor durante el curso de la auditora, que fundamentan y respaldan su informe. Algunos de sus propsitos son:
Registrar de forma sistemtica las labores o tareas efectuadas al llevar a cabo una auditora. Registrar la informacin y evidencia obtenidas. Respaldar el informe de auditora es decir los hallazgos, conclusiones y recomendaciones resultantes de la labor de auditora. Facilitar la revisin y supervisin del proceso realizado.
10/03/2012
15
10. Hallazgos de Auditora
Los hallazgos para que sean efectivos en su propsito de comunicar la debilidad encontrada, deben contener en su redaccin 4 atributos: Condicin, Criterio, Causa y Efecto.
Condicin Lo que es Es la situacin que se presenta. Diferencia con lo que debe ser. Base legal, reglamentos, disposiciones internas, externas, que no se cumplen El motivo por el cual se produjo este hecho o desviacin Las consecuencias que produjo a la institucin, empresa, entidad
Criterio
Lo que debe ser
Causa
Por qu sucedi
Efecto
Es el resultado adverso, real o potencial que resulta de la condicin encontrada.
10/03/2012
16
II. Gestin de Auditora de SI

1. Importancia de la Funcin de Auditora de SI

10/03/2012
Proliferacin de uso de tecnologas de informacin y comunicacin (TICs) en la ltima dcada. La sociedad de fines del siglo XX sociedad de la informacin. La importancia de la informacin para el desarrollo econmico y social - activo de informacin. Auge y crecimiento del comercio por Internet - era digital - economa digital. Conexin a Internet abre oportunidades, pero tambin complejos tipos de Amenazas - incremento de Vulnerabilidad. Datos tratados mediante TICs - importancia control, seguridad y auditora en tecnologa. Desarrollo de estndares y mejores prcticas: ISACA CobIT, ISO 17799, ISO 27000, ITIL. Auditor SI Certificacin CISA; Oficial de Seguridad Informacin Certificacin CISM. Auditora Integral

1. Importancia de la Funcin de Auditora de SI Propsitos generales de una Auditora de Sistemas:
Buscar una mejor relacin costo-beneficio de los sistemas tecnolgicos Incrementar la satisfaccin de los usuarios de los sistemas tecnolgicos Asegurar una mayor integridad, confidencialidad, disponibilidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Minimizar la existencia de riesgos en el uso de Tecnologa de informacin Capacitacin y educacin sobre controles en los Sistemas de Informacin
10/03/2012

1. Importancia de la Funcin de Auditora de SI Justificativos comunes de una Auditora de Sistemas:

Aumento considerable e injustificado del presupuesto de TI Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes informticos Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados (informacin) Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin
10/03/2012

1. Importancia de la Funcin de Auditora de SI
Responsabilidades de la funcin de Auditora de SI1:
Desarrollar e implementar una estrategia de auditora basada en los riesgos de la organizacin en cumplimiento con las normas, directrices y mejores prcticas de auditora de SI. Planificar auditoras especficas para validar que TI y los sistemas de negocio son protegidos y controlados. Conducir auditoras de SI en conformidad con las normas, directrices y mejores prcticas de auditora de SI para alcanzar los objetivos planeados de auditora. Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditoras a los stakeholders clave. Aconsejar en la implementacin de una estrategia de Administracin de Riesgos y prcticas de control dentro de la organizacin al tiempo que se mantiene la independencia.
(1) ISACA.- http://www.isaca.org
10/03/2012
20

2. Organizacin de la Funcin de Auditora de SI
Estatuto de Auditora (Audit Charter)
Establece la responsabilidad, objetivos de la administracin y delegacin de autoridad para la funcin de auditora de SI. Describe la autoridad, alcance y responsabilidades generales de la funcin de Auditora.
Aprobacin del Estatuto de Auditora Cambios en el Estatuto de Auditora Servicios provistos por auditores externos Nivel de Reporte e Independencia
10/03/2012
21

3. Administracin de los Recursos de Auditora de SI
Nmero limitado de auditores de SI. Mantenimiento de su competencia tcnica. Conformacin del equipo de auditora idneo. Plan de capacitacin anual Proveer al auditor de SI recursos de TI:

Software de Auditora Herramientas de monitoreo Herramientas para pruebas de vulnerabilidad de red Pruebas de penetracin de la red
10/03/2012
22

4. Planeacin de Auditora

Auditora integral (basada en riesgo y continua) Planeacin global de Auditora

Planeacin Largo Plazo Planeacin Corto Plazo Aspectos a considerar:

Referencia de problemas de control Cambios tecnolgicos Cambios en los procesos de negocio Rotacin de personal Tcnicas mejoradas de evaluacin
Planeacin Individual de auditora
Comprensin general del ambiente

Prcticas del negocio y funciones relacionadas Sistemas de informacin y tecnologa

10/03/2012

4. Planeacin de Auditora
Pasos de la Auditora de SI
1. 2.
Obtener un entendimiento de la misin, objetivos, propsito y procesos del negocio Identificar el estado de contenidos especficos
(polticas, normas, directrices, procedimientos y estructura organizacional)
3. 4. 5.
6.
7. 8.
9.
10/03/2012
Realizar un anlisis de riesgos Conducir una revisin de control interno Establecer el alcance y los objetivos de la auditora Desarrollar el enfoque o la estrategia de auditora Asignar los recursos de personal a la auditora y dirigir la logstica del trabajo de auditora Documentar hallazgos Comunicar resultados

5. Leyes y Regulaciones sobre Auditora de SI
Pasos para determinar el cumplimiento de los requerimientos externos:

Identificar los requerimientos externos Documentar las leyes y requerimientos pertinentes Evaluar si la administracin y la funcin de TI han considerado los requerimientos externos Revisar los documentos con resultados sobre el cumplimiento regulatorio Determinar el cumplimiento de los procedimientos establecidos
10/03/2012
25
III. Normas y Directrices Auditora de SI

1. Cdigo de tica Profesional de ISACA
El Cdigo de tica Profesional de ISACA provee una gua de conducta profesional y personal para los miembros de la Asociacin y/o los poseedores de la certificacin CISA o CISM.
Normas_ISACA.pdf
(www.isaca.org)
10/03/2012
26

2. Normas de ISACA para Auditora de SI
Objetivos de las Normas de ISACA
Informar a la direccin y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores. Informar a los auditores de SI del nivel mnimo de desempeo requerido aceptable para cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica de ISACA.
10/03/2012
27

Normas de Auditora de SI
1. 2. 3. 4.
5.
6.
7. 8.
Estatuto de Auditora Independencia tica y Estndares Competencia Planeacin Desempeo del trabajo de Auditora Reporte Seguimiento de las actividades
9.
10. 11.
12.
13.
14. 15. 16.
Irregularidades y actos ilegales Gobierno de TI Uso de la evaluacin de riesgos en la planeacin de auditora Materialidad de Auditora Usar el trabajo de expertos Evidencia de Auditora Controles de TI Comercio electrnico
28
10/03/2012

2. Normas de ISACA para Auditora de SI Estatuto de Auditora
1.
Propsito, responsabilidad, autoridad y obligacin de rendir cuentas Aprobacin Independencia Profesional Independencia Organizacional Cdigo de tica Profesional Debido cuidado Profesional
2.
Independencia

3.
tica Profesional y Estndares

10/03/2012
29

2. Normas de ISACA para Auditora de SI Competencia

4.
Habilidades y conocimiento Educacin Profesional Continua Alcance del Plan de Auditora de SI Desarrollar y documentar el enfoque de auditora basado en riesgos Desarrollar y documentar el plan de auditora Desarrollar el programa y los procedimientos de auditora
5.
Planeacin

10/03/2012
30

6.
Desempeo del trabajo de auditora

Supervisin Evidencia Documentacin Identificar organizacin, destinatarios y cualquier restriccin Establecer el alcance, objetivos, perodo cubierto y naturaleza del trabajo de auditora realizado Establecer los hallazgos, conclusiones y recomendaciones, y limitaciones Justificar los resultados reportados Firmado, fechado y distribuido segn estatuto de auditora
7.
Reporte

10/03/2012

8.
Actividades de Seguimiento

Revisin previa de conclusiones y recomendaciones Revisin previa de hallazgos relevantes Determinar si la administracin ha tomado las acciones apropiadas de manera oportuna Considerar el riesgo de irregularidades y actos ilegales Mantener una actitud de escepticismo profesional Obtener un entendimiento de la organizacin y ambiente Considerar relaciones inusuales e inesperadas Evaluar lo adecuado del control interno Evaluar cualquier declaracin errnea
9.
Irregularidades y actos ilegales

10/03/2012

2. Normas de ISACA para Auditora de SI Irregularidades y actos ilegales
9.
Obtener declaraciones escritas de la administracin Tener conocimiento de cualquier alegato, irregularidad o acto ilegal Comunicar irregularidades y actos ilegales materiales Tomar acciones apropiadas en caso de ver afectada su capacidad para continuar con el trabajo de auditora Documentar comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades o actos ilegales.
10/03/2012

10.
Gobierno de TI
10/03/2012
Revisar y evaluar la alineacin de la TI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisar el estatuto de la funcin de TI acerca del desempeo esperado y evaluar su cumplimiento. Revisar y evaluar la efectividad de TI en la administracin de los recursos y del desempeo Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la informacin, fiduciarios y de seguridad Usar un esquema basado en riesgos para evaluar la funcin de TI Revisar y evaluar los riesgos que puedan afectar a la TI

11.
Uso de la Evaluacin de Riesgos en la planeacin de la auditora
Usar tcnicas de evaluacin de riesgos en el desarrollo de todo el plan de auditora de SI Identificar y evaluar los riesgos relevantes en la planeacin de auditoras individuales
10/03/2012
35

Relaciones entre Normas, Directrices y Procedimientos
Normas
Deben ser seguidos por el Auditor
Directrices
Proveen asistencia sobre cmo puede el Auditor implementar las normas
Procedimientos
Proveen ejemplos de cmo implementar las normas
10/03/2012
36

3. Directrices de ISACA para Auditora de SI
G1 Usar el trabajo de otros auditores G2 Requerimiento de Evidencia de Auditora G3 Uso de Tcnicas de Auditora Asistidas por Computador (CAATs) G4 Servicio Externo de Actividades de SI para otras organizaciones G5 Estatuto de Auditora G6 Conceptos de Materialidad para la Auditora de SI G7 Debido cuidado profesional G8 Documentacin de Auditora G9 Consideraciones de Auditora en caso de irregularidades G10 Muestreo de Auditora G11 Efecto de los Controles Generales de SI G12 Relacin organizacional e Independencia G13 Uso de la Evaluacin de Riesgos en la Planeacin de Auditora G14 Revisin de los Sistemas de Aplicacin G15 Planeacin Revisada
10/03/2012
37

G16 Efecto de Terceros en los controles de TI G17 Efecto de funciones ajenas a la Auditora sobre la independencia del Auditor G18 Gobierno de TI G19 Irregularidades y Actos Ilegales G20 Informes G21 Revisin de Sistemas de Planeacin de Recursos Empresariales (ERP) G22 Revisin Comercio Electrnico (B2C) G23 Ciclo de Vida del Desarrollo de Sistemas (SDLC) G24 Banca por Internet G25 Revisin Redes Privadas Virtuales G26 Revisin de Proyectos de Reingeniera de Procesos (BPR) G27 Computacin Mvil G28 Cmputo Forense G29 Revisin Post-Implementacin G30 Competencia
10/03/2012 Auditora en Tecnologa I 38

G31 G32 G33 G34 G35 Privacidad Revisin del Plan de Continuidad de Negocio (BCP) Consideraciones Generales para el uso de Internet Responsabilidad de Rendir Cuentas Actividades de Seguimiento
10/03/2012
39

4. Procedimientos de ISACA para Auditora de SI
P1 P2 P3 P4 P5 P6 P7 P8 Evaluacin de Riesgos de SI Firmas Digitales Deteccin de Intrusos Virus y otros cdigos maliciosos Autoevaluacin de Control de Riesgos Firewalls Irregularidades y Actos Ilegales Evaluacin de la Seguridad Prueba de Penetracin y Anlisis de Vulnerabilidades P9 Evaluacin de los controles Direccin sobre las Metodologas de Encripcin
10/03/2012
40
IV. Anlisis de Riesgos

1. Definicin de Riesgo
El potencial de que una amenaza determinada explote vulnerabilidades de un activo o grupo de activos causando prdida o dao a la organizacin.
ISO/IEC PDTR 13335-1
Amenaza: factor externo fuera de nuestro control Vulnerabilidad: factor interno susceptible de control Activo: informacin, Hw, Sw, Personal TI, Instalaciones Prdida o dao: Impacto ($)
10/03/2012
41

2. Elementos de Riesgo
Amenazas a, y Vulnerabilidades de, procesos y/o activos (incluyendo tanto activos fsicos como de informacin) Impacto sobre los activos basado en amenazas y vulnerabilidades Probabilidad de amenazas (combinacin de la posibilidad y la frecuencia de ocurrencia) Ejemplo:
Amenaza: Fallas en equipamiento de TI de produccin Vulnerabilidad: Instalaciones de procesamiento con
insuficientes medidas de proteccin ambiental principales de negocio
Riesgo: Interrupcin de la operacin de aplicaciones Impacto: Prdida de ingresos, reputacin Probabilidad de ocurrencia: Alta: 3 incidentes ltimo ao

3. Riesgo y Planeacin de Auditora
El anlisis de riesgos es parte de la planeacin de auditora y ayuda a identificar riesgos y vulnerabilidades para que el Auditor pueda determinar los controles necesarios para mitigar esos riesgos. S11 Uso de la evaluacin de riesgos en la Planeacin de Auditora
El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de riesgos al desarrollar el plan general de auditora de SI y al determinar prioridades para la asignacin eficaz de los recursos de auditora de SI. Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes del rea bajo revisin.
10/03/2012
V. Controles Internos
1. Concepto y Clasificacin
Los Controles Internos son polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir los Riesgos. Son desarrollados para proveer una certeza razonable a la Gerencia de que se alcanzarn los objetivos de negocio y de que se prevendrn o detectarn y corregirn los eventos de riesgo. Pueden ser manuales o manejados por recursos de informacin automatizados. Operan en todos los niveles dentro de una organizacin. Clasificacin de los Controles Internos:

Controles Preventivos Controles Detectivos Controles Correctivos
Responsabilidad del Directorio, Alta Gerencia y empleados.

1. Concepto y Clasificacin
Clase Preventivos Funcin
Detectar problemas antes que surjan Monitorear operaciones e ingreso de datos Impedir que ocurran errores, omisiones o actos deliberados Usar controles que detecten y reporten que ha ocurrido un error, una omisin o un acto malicioso.
Ejemplos
Segregar funciones Controlar acceso fsico Autorizacin de transacciones Usar SW Control Acceso Usar SW de Encripcin Totales de control Puntos de revisin Doble verificacin de clculos Reportes peridicos de desempeo Funciones de auditora interna Revisar logs para detectar intentos de acceso no autorizado
Detectivos
Correctivos
Minimizar el impacto de una amenaza Remediar problemas descubiertos por los controles detectivos Identificar la causa de un problema Corregir errores resultantes de un problema
Planeacin de contingencias Procedimientos de respaldo Procedimientos de reproceso
10/03/2012
46
3. Objetivos de Control de SI
Los objetivos de control interno son declaraciones del resultado deseado o del propsito a ser alcanzado con la implementacin de actividades de control (procedimientos). Los objetivos de control interno aplican a todas las reas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control interno en ambientes automatizados permanecen invariables respecto de un ambiente manual.
10/03/2012
48
Salvaguarda de activos informacin protegida Asegurar la integridad de los ambientes de sistema operativo en general operaciones y gestin de red. Asegurar la integridad de los ambientes de sistemas de aplicacin sensibles y crticos, a travs de:

Autorizacin para ingreso de datos Validacin de la entrada de datos Exactitud e integridad del procesamiento de transacciones Confiabilidad de las actividades de procesamiento de informacin en general Exactitud, integridad y seguridad de la informacin de salida Integridad, disponibilidad y confidencialidad de la base de datos
10/03/2012
49
Asegurar la eficiencia y efectividad de las operaciones (objetivos operativos) Cumplimiento con los requisitos de usuarios, polticas y procedimientos organizaciones, as como leyes aplicables (objetivos de cumplimiento) Asegurar la disponibilidad de los servicios de TI desarrollando Planes de Continuidad de Negocio (BCP) y de Recuperacin ante Desastres (DRP) Aumentar la proteccin de datos y sistemas desarrollando un Plan de Respuesta ante Incidentes. Asegurar la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de Gestin de Cambios.
10/03/2012
50
COSO-ERM
Marco integrado de Control Interno y Gestin de Riesgos Corporativos
COBIT
Marco de referencia de Control de Tecnologa de Informacin y procesos relacionados
10/03/2012
51
3.1 COSO-ERM
Componentes y Elementos Clave de COSO-ERM
10/03/2012
52
4. CobiT
Provee un marco con 34 objetivos de control de alto nivel agrupados en un modelo genrico de procesos organizado en 4 dominios
10/03/2012
53
4. CobiT
10/03/2012
54
10/03/2012
5. Procedimientos de Control de Negocio y de TI El sistema de control interno de la organizacin impacta en TI a tres niveles:
Al nivel de direccin ejecutiva, se fijan los objetivos de negocio, se establecen polticas y se toman decisiones de cmo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compaa. Al nivel de procesos de negocio, se aplican controles para actividades especficas del negocio. La mayora de los procesos de negocio estn automatizados e integrados con los sistemas aplicativos de TI, por eso se conocen como controles de aplicacin. A nivel de TI, los controles aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI.
10/03/2012
5. Procedimientos de Control de Negocio y de TI
Objetivos y Polticas de Alto Nivel:

Estrategia y Direccin Organizacin general y administrativa Polticas y normas de contabilidad Normas de operacin relacionadas con el da a da de las operaciones Controles administrativos relacionados con la eficiencia operacional y la adherencia a las polticas de la administracin Polticas y procedimientos organizacionales de seguridad Polticas generales para el diseo y uso de documentos y registros Procedimientos para el acceso autorizado a los activos Polticas de administracin del recurso humano Polticas del negocio: Ej: Crdito, Inventarios, Produccin
10/03/2012
5. Procedimientos de Control de Negocio y de TI Controles de Aplicacin:
Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicacin:

Preparacin y Autorizacin de Informacin Fuente Recoleccin y Entrada de Informacin Fuente Chequeos de Exactitud, Integridad y Autenticidad Integridad y Validez del Procesamiento Autenticacin e Integridad de Transacciones Autorizacin de Transacciones Segregacin de funciones Revisin de Salidas, Reconciliacin y Manejo de Errores Registro de pistas de auditora
10/03/2012
5. Procedimientos de Control de Sistemas de Informacin Controles Generales de TI:

Planes de TI Controles de acceso a los datos y programas Metodologa de Desarrollo de Sistemas y Control de Cambios Operaciones de Procesamiento de Datos Programacin de sistemas y funciones de soporte tcnico Procedimientos para aseguramiento de calidad Controles de acceso fsico Planeacin de la Continuidad de Negocios y Recuperacin de Desastres Controles de Redes y Comunicaciones Administracin de Base de Datos Seguridad fsica para todos los centros de datos Revisiones independientes de TI
10/03/2012
VI. Metodologa de Auditora de SI

Proceso sistemtico por el cual una persona calificada, competente e independiente revisa y evala objetivamente los sistemas automatizados de procesamiento de informacin y procesos relacionados.
Pasos:
1. 2. 3.
4.
5.
Planeacin Valorar los riesgos generales y de aplicacin Desarrollar un programa de auditora Ejecucin de procedimientos de auditora Elaborar informe de auditora
10/03/2012
60

1. Programa de Auditora Contiene el alcance, los objetivos y los procedimientos de auditora para lograr la evidencia suficiente, competente y confiable para obtener y sustentar las conclusiones y opiniones de auditora.
Procedimientos bsicos:

Obtener conocimiento sobre el objeto de auditora Valorar los riesgos y planeacin general de la auditora Planeacin detallada de auditora Revisin preliminar del rea/objeto de la auditora Evaluacin del rea/objeto de la auditora Verificacin y evaluacin de controles Pruebas de cumplimiento Pruebas sustantivas Comunicar resultados
10/03/2012

3. Enfoque de Auditora Basado en Riesgos
10/03/2012
64
Pregunta de Repaso
10/03/2012

5. Valoracin y Tratamiento de Riesgos
Valoracin de los Riesgos de Seguridad

Comprender el proceso de administracin del riesgo Gestionar los riesgos de seguridad de la informacin Alcance de la valoracin de riesgos
Opciones para Tratar los Riesgos de Seguridad

Aplicar los controles apropiados para reducir los riesgos Aceptar los riesgos en concordancia con la poltica de aceptacin de riesgos Evitar riesgos al no permitir acciones que causaran que ocurrieran los riesgos Transferir los riesgos asociados a otras partes
10/03/2012
67

6. Tcnicas de Valoracin de Riesgos en Auditora
El auditor debe evaluar los riesgos para determinar las reas funcionales a ser auditadas. Metodologas cualitativas y cuantitativas Sistema de puntuacin (scoring) para priorizar auditoras con base en una evaluacin de factores de riesgo:

Complejidad tcnica Nivel de procedimientos de control establecidos Nivel de prdida financiera
Permite la asignacin efectiva de los recursos limitados de auditora.
10/03/2012
68

7. Objetivos de la Auditora
Los objetivos de la auditora se enfocan generalmente en validar que existen controles para minimizar los riesgos del negocio, y que estos funcionan como se espera:
Confidencialidad Integridad Disponibilidad Confiabilidad Cumplimiento
Traducir los objetivos generales de una auditora integral en objetivos especficos de control de SI. En la planeacin el auditor debe identificar los objetivos de control y los controles relacionados que tratan el objetivo. La revisin inicial del SI identificar los controles clave tanto generales como de aplicacin; y, entonces decidir si se los prueba para verificar su cumplimiento. Tambin se puede valorar la integridad de los datos de un informe financiero (prueba sustantiva) a travs de TAACs.
10/03/2012

9. Evidencia
Es la informacin usada por el auditor para determinar si el objeto auditado cumple los criterios u objetivos establecidos, y soporta las conclusiones de auditora. Evidencia suficiente, relevante y competente. Determinantes de la confiabilidad de la evidencia:
Independencia de la fuente de la evidencia Credenciales de quin provee la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia
Tcnicas para recopilacin de evidencia:

Revisin de las estructuras organizacionales de TI Revisin de polticas y procedimientos de SI Revisin de las normas de SI Revisin de la documentacin de SI Entrevistas al personal apropiado Observacin de procesos
10/03/2012

12. Comunicacin de Resultados
Entrevista final para discutir recomendaciones con la Gerencia. Estructura y Contenido:
los
hallazgos
las
Introduccin, declaracin de objetivos, limitaciones y alcance Conclusin y opinin generales respecto a si los controles evaluados son los adecuados Las reservas o calificaciones del auditor con relacin a la auditoria Los hallazgos detallados y las recomendaciones de auditoria
10/03/2012
77
VII. Tendencias en Auditora

1. Papeles de Trabajo Automatizados
Uso de aplicaciones especializadas diseadas para crear papeles de trabajo de auditora (anlisis de riesgos, programas de auditora, resultados, evidencia de pruebas, conclusiones, informes) Ejemplo: Autoaudit
10/03/2012
78

2. Auditora Integrada
10/03/2012
79

3. Auditora Continua

Monitoreo en tiempo real Informes financieros con mayor frecuencia Mdulos integrados de auditora Captura de tipos predefinidos de eventos Inspeccin directa de condiciones y transacciones anormales o sospechosas. Evaluar el Costo de los mdulos integrados. Evaluar las Habilidades tcnicas requeridas. Tendencia en SW de tipo ERP
10/03/2012
80

Audotoría Informática

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Audotoría Informática

Загружено:

Авторское право:

Доступные форматы

AUDITORA EN TECNOLOGA I

Unidad 1: EL PROCESO DE AUDITORA DE SISTEMAS DE INFORMACIN (SI) Gestin y Metodologa

Fundamentos de Auditora Gestin de Auditora de Sistemas de Informacin (SI)

Mantiene Integridad de los datos

Informacin precisa, Completa Oportuna Confiable

Alcanza metas organizacionales

Contribucin de la funcin informtica

Consume recursos eficientemente

Utiliza los recursos adecuadamente En el procesamiento de la informacin

Normas de Ejecucin del Trabajo

Entrenamiento y capacidad profesional Independencia

Normas de Preparacin del Informe

Normas Internacionales de Auditora y Aseguramiento (NIAAs)

SECTOR PRIVADO FINANCIERO:

AUD.EXT. AUD.INT. AUD.SISTEMAS

SECTOR PUBLICO NO FINANCIERO:

SECTOR PUBLICO FINANCIERO:

Aspectos Administrativos y Gastos Aspectos Financieros

Normas Ecuatorianas de Auditora Gubernamental (NEAGs)

Lo que debe ser

Es el resultado adverso, real o potencial que resulta de la condicin encontrada.

II. Gestin de Auditora de SI

II. Gestin de Auditora de SI

II. Gestin de Auditora de SI

II. Gestin de Auditora de SI

Responsabilidades de la funcin de Auditora de SI1:

(1) ISACA.- http://www.isaca.org

II. Gestin de Auditora de SI

Estatuto de Auditora (Audit Charter)

II. Gestin de Auditora de SI

II. Gestin de Auditora de SI

Auditora integral (basada en riesgo y continua) Planeacin global de Auditora

Planeacin Largo Plazo Planeacin Corto Plazo Aspectos a considerar:

Planeacin Individual de auditora

Comprensin general del ambiente

Prcticas del negocio y funciones relacionadas Sistemas de informacin y tecnologa

II. Gestin de Auditora de SI

II. Gestin de Auditora de SI

Pasos para determinar el cumplimiento de los requerimientos externos:

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

Objetivos de las Normas de ISACA

III. Normas y Directrices Auditora de SI

14. 15. 16.

III. Normas y Directrices Auditora de SI

tica Profesional y Estndares

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

Desempeo del trabajo de auditora

III. Normas y Directrices Auditora de SI

Irregularidades y actos ilegales

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

Uso de la Evaluacin de Riesgos en la planeacin de la auditora

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

III. Normas y Directrices Auditora de SI

IV. Anlisis de Riesgos

IV. Anlisis de Riesgos

IV. Anlisis de Riesgos

Controles Preventivos Controles Detectivos Controles Correctivos