La comunicación como la evidencia más significativa a la hora de tomar decisiones…

Profesor:Franz Troche Araujo Magister en TelecomunicacionesEspecialista en Redes y Telemática

Asignatura:Asignatura:

Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.

www.AuditoriaInformatica.ecaths.comwww.AuditoriaInformatica.ecaths.com

• ISACF (2006). "COBIT: Control Objectives for Information and Related Technology". The Information System Audit and Control Foundation, Illinois, EEUU.

• PIATTINI, M. (ed.) (2000).“Auditing Information Systems”. EEUU, Idea Group Publishing.

• PIATTINI, M. y DEL PESO, E. (2001). “Auditoría informática: Un enfoque práctico”. 2ª ed. Madrid, Ra-Ma.

• SOLER, P., PIATTINI, M. y COEIC (2006). “Contratación y gestión informática”. Barcelona, Ed. Aranzadi.

UNIVERSIDAD DE CASTILLA-LA MANCHA - ESCUELA SUPERIOR DE INFORMÁTICA – CASOS - Documentos propiedad de Dr. Mario Piattini V., Dr. Ignacio García R.

Compilado de MSc.Lorena Moreno Jiménez

Sitios web: www.isaca.org, www.asia.org

METODOLOGIA TRADICIONAL: CUESTIONARIO

El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar

La evaluación consiste en identificar la existencia de

unos controles establecidos o estandarizados

El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser

cuantificados y valorados

de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema

sobre la exactitud, integridad y procesamiento de la información

METODOLOGIA basada en la EVALUACIÓN de RIESGOS

ELEMENTOS PRINCIPALES

OBJETIVOS de CONTROL

EVALUACIÓN de RIESGOS

TECNICAS de CONTROL

PRUEBAS INDEPENDIENTES

CONCLUSIONES SUSTENTADAS

OBJETIVO de CONTROL

El objetivo de todo control es la

REDUCCIÓN del RIESGO

(Políticas y Procedimientos)

Por cada objetivo de control/riesgo potencial

se deben identificar las técnicas de control existentes que

deben minimizar el riesgo,logrando cumplir así, el objetivo de

control

TECNICAS de CONTROL

ENTORNO GENERAL de CONTROL

CONTROLES en determinadas APLICACIONES

Procesos de negocio automatizados

CONTROLES de APLICACIÓN

ENTRADA PROCESO

SALIDA

CONTROLES PREVENTIVOS

CONTROLES DETECTIVOS

CONTROLES CORRECTIVOS

PRUEBAS

Permiten obtener evidencia yverificar la consistencia de los controles

existentes ytambién medir el riesgo por deficiencia

de estos o por su ausencia

PRUEBAS

de CUMPLIMIENTO

SUSTANTIVAS

TÉCNICAS GENERALES1.ENTREVISTAS

2.REVISIONES de DOCUMENTOS

3.EVALUACION de RIESGOS y CONTROLES

4.MUESTREO ESTADISTICO

5.VERIFICACIONES de CALCULOS

6.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS

7.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO

Son productos de software que permiten al auditor

OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas

que diseñen

TÉCNICAS ESPECÍFICAS

HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL

1.Software de auditoría o de revisión de productos determinados o plataformas

Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y

su relación con respecto a la seguridad y protección del software y de la información

2.Software de auditoría que permiten extraer información para su revisión, comparación, etc.

Estos productos utilizados habitualmente por los auditores operativos o financieros,

permiten extraer datos concretos o en base a muestras estadísticas

HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL

UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL

de la INSTALACIÓN AUDITADA

Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc.

Productos específicos de rendimiento, control, calidad instalados en la plataforma

a auditar: lenguajes de interrogación, software de librerías, depuradores de

software, etc.

EVIDENCIAS, RESULTADOS y CONCLUSIONES

Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría

EVIDENCIAS:PERTINENTES y SUFICIENTES

FEHACIENTES

VERIFICACIÓN de resultados

INTERRELACIÓN con otros resultados

Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada

POR EJEMPLO:

Puede haber limitaciones de recursos, en la realización de pruebas, en la

disponibilidad de la evidencia.........Puede haber controles alternativos que

el auditor no haya detectado..............

Deben incluir

DESCRIPCION de la situaciónRIESGO existente,DEFICIENCIA a solucionarsi corresponde, SUGERENCIA

de solución

CUANTIFICACIÓN del riesgo

CONEXIÓN con objetivo y otras deficiencias

PAPELES de TRABAJO de la Auditoría de SI

Se deben realizar de ACUERDO aNORMAS de AUDITORÍA, y deben reflejar

METODOLOGÍA utilizadaCOBERTURA del OBJETIVO de

auditoríaPRUEBAS realizadas y

CRITERIOS utilizados

RESULTADOS de las pruebas

LIMITACIONES en las tareas realizadas

DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y

FALTA de CONSISTENCIA o claridad en las conclusiones

Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos

Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES yCONCLUSIONES

Es recomendable obtener junto con la presentación del borrador, una contestación o

confirmación del área auditada /cliente /organización

INFORME

Reglas en la preparación de Informes

• el vocabulario debe ser preciso,objetivo, cuidadoso, respetuoso,...

• NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ......

y • frases con contenido y breves......

¿Cuál de las siguientes opciones brinda mejor control de acceso a los datos de nómina que se están procesando en un servidor local?

1. Bitácora (log) de todos los accesos a la información personal

2. Contraseña separada para las transacciones sensitivas

3. Que el software restrinja las reglas de acceso al personal autorizado

4. Acceso al sistema, restringido a horas hábiles

El control más efectivo para un antivirus es:

1. Escanear los archivos adjuntos de correo electrónico en el servidor de correo

2. Restaurar sistemas a partir de copias limpias

3. Deshabilitar las unidades de diskettes

4. Un escaneo en línea con definiciones actualizadas de virus

¿Cuál de las siguientes es una función de control de acceso al sistema operativo?

1. Registrar las actividades del usuario

2. Registrar las actividades de acceso a la comunicación de datos

3. Verificar la autorización de usuario a nivel de campo

4. Cambiar los archivos de datos

Una organización está proponiendo instalar una facilidad de clave única (single sign-on) que de acceso a todos los sistemas. La organización debe ser consciente de que:

1. sería posible un acceso máximo no autorizado si se revelara una contraseña

2. los derechos de acceso a usuario estarían restringidos por los parámetros adicionales de seguridad

3. aumentaría la carga de trabajo del administrador de seguridad

4. aumentarían los derechos de acceso del usuario