Metodologia de La Auditoria Informatica - Isaca

30
METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA Sitio WEB: www.eici.ucm.cl/Academicos/ygomez/descargas/.../auditoria4. ppt

Transcript of Metodologia de La Auditoria Informatica - Isaca

METODOLOGÍA DE LA AUDITORÍA

INFORMÁTICA

Sitio WEB: www.eici.ucm.cl/Academicos/ygomez/descargas/.../auditoria4.ppt

METODOLOGÍA DE LA AUDITORÍA

INFORMÁTICA

Sitio WEB: www.eici.ucm.cl/Academicos/ygomez/descargas/.../auditoria4.ppt

Metodología de la Auditoría Informática 2

Fases de Metodología de Auditoría Informática

Fases de Metodología de Auditoría Informática

1. Identificar el Alcance y los Objetivos de la Auditoría

Informática (A.I.)

2. Realizar el Estudio Inicial del entorno a auditar

3. Determinar los Recursos necesarios para realizar la

auditoría

4. Elaborar el Plan de Trabajo

5. Realizar las Actividades de Auditoría

6. Realizar el Informe Final

7. Carta de Presentación y Carta de Manifestaciones

Metodología de la Auditoría Informática 3

1. Alcance y Objetivos de la A.I.: Alcance1. Alcance y Objetivos de la A.I.: Alcance

Entorno y límites en que se realizará la A.I.

HASTA DÓNDE SE LLEGA

Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de:– Funciones (Seguridad, Dirección, etc.)

– Materias (S.O., BD, etc.)

– Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.)

Su no definición pondrá en peligro el éxito de la A.I.

Limitaciones: QUÉ DEJA DE AUDITARSE– Principalmente en materias que pueden suponerse incluidas

Metodología de la Auditoría Informática 4

1. Alcance y Objetivos de la A.I.: Objetivos1. Alcance y Objetivos de la A.I.: Objetivos

Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos

Objetivos específicos– Necesidad de auditar una materia de gran especialización

– Contrastar algún informe interno con el que resulte del externo

– Evaluación del funcionamiento de áreas informáticas en un determinado departamento

– Aumentos de seguridad y fiabilidad

– Aumento de calidad

– Disminución de costes o plazos

Objetivos generales (comunes a toda A.I.)– Operatividad de los S.I.

– Controles Generales de la Gestión Informática

Metodología de la Auditoría Informática 5

1. Alcance y Objetivos de la A.I.: Objetivos1. Alcance y Objetivos de la A.I.: Objetivos

Operatividad– Funcionamiento, aunque sea mínimo, de la organización y sus

máquinas (PCs, mainframes)

– Conseguida a escala general y parcial (p.e. cajero y líneas)

– Conseguida a través de:

• Controles Técnicos Generales (p.e. CPD diferentes)

– Sistema operativo y software de base funcionan simultáneamente con aplicaciones

– Hw y Sw compatibles

• Controles Técnicos Específicos

– Espacio en disco

– Período de utilización de BD comunes

Metodología de la Auditoría Informática 6

1. Alcance y Objetivos de la A.I.: Objetivos1. Alcance y Objetivos de la A.I.: Objetivos

Controles Generales de la Gestión Informática– Verificar normas del Departamento de Informática y observar su

consistencia con las del resto de la empresa

• Normas Generales de la Instalación Informática

• Procedimientos Generales y Específicos del Departamento de Informática (p.e. una aplicación no pasa a Explotación sin su correspondiente Documentación)

– Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa

Interlocutores– Personas con poder de decisión y validación dentro de la empresa

– Personas a las que va dirigido el informe

Metodología de la Auditoría Informática 7

2. Estudio Inicial2. Estudio Inicial

Examinar situación general de funciones y actividades generales de la informática

Conocimiento de:– Organización: Estructura organizativa del Departamento de

Informática a auditar

– Entorno de Operación: Entorno de trabajo

– Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada

• Bases de Datos

• Ficheros

Metodología de la Auditoría Informática 8

2. Estudio Inicial: Organización2. Estudio Inicial: Organización

Estructura organizativa del Departamento de Informática a auditar.

Organigrama: estructura informática de la organización a auditar

C O N TR O L G E S TIÓ N R R . H H .

P R O D U C C IÓ N P L A N IF IC A C IÓ N S O P O R TETÉ C N IC O

E X P L O TA C IÓ N

C O M U N IC A C IÓ N B A S E S D A TO S

S IS TE M A S D E S A R R O L L O S E G U R ID A D

D IR E C C IÓ N

Metodología de la Auditoría Informática 9

2. Estudio Inicial: Organización2. Estudio Inicial: Organización

Departamentos: describir sus funcionesRelaciones Jerárquicas y funcionales

– 1 Empleado con dos Jefes

Flujos de Información, tanto horizontales y oblicuas como extradepartamentales y verticales– Canales alternativos que denotan lagunas en la estructura y

organigrama, o bien por simpatías

Número de Puestos de Trabajo– Nombres de los puestos de trabajo corresponden a funciones

distintas: Deficiencias en estructura si varios nombres con 1 función

Número de Personas por Puesto de Trabajo– Distribución de recursos ineficiente– Necesidad de reorganización

Metodología de la Auditoría Informática 10

2. Estudio Inicial: Entorno Operativo

2. Estudio Inicial: Entorno OperativoReferencia del entorno de trabajo en el que el auditor va a

trabajarSituación Geográfica

– Diferentes CPDs, con responsables y mismos estándares de trabajo

Arquitectura y Configuración Hardware y Software– Configuración de diferentes CPDs compatible y estén

intercomunicados

Inventario Hardware y Software– CPUs, procesadores, PCs, periféricos, etc.– Software básico, software interno y software comprado

Comunicaciones y Redes de Comunicación– Líneas de Comunicación– Acceso a red pública e intranet

Metodología de la Auditoría Informática 11

2. Estudio Inicial: Aplicaciones Informáticas

2. Estudio Inicial: Aplicaciones Informáticas

Procedimientos Informáticos realizados en la empresa

Volumen, Antigüedad y Complejidad de las aplicaciones– Periodicidad de ejecuciones de carga de trabajo

Metodología de desarrollo de aplicaciones

Documentación de aplicaciones– Mantenimiento es el 70% de recursos

Cantidad y Complejidad de Bases de Datos y Ficheros– Tamaño y características de BD y Ficheros

– Número de Accesos a BD y Ficheros

– Frecuencia de Actualización

Metodología de la Auditoría Informática 12

3. Recursos de la A.I.3. Recursos de la A.I.

A partir del Estudio Inicial, se determinan los recursos humanos y materiales

Recursos Materiales– Proporcionados por cliente en su mayoría

– Software: paquetes de auditoría del equipo auditor, compiladores

– Hardware: PCs, impresoras, líneas de comunicación

– Determinación de incremento de carga del auditado y consenso en fechas y duración de actividades de auditoría

Recursos Humanos– Cantidad depende del alcance de la auditoría

– Perfil depende de la materia a auditar

Metodología de la Auditoría Informática 13

3. Recursos de la A.I.3. Recursos de la A.I.

Profesión Actividades y conocimientos deseados

Informático Generalista Con amplia experiencia en diferentes ramas (porejemplo, Explotación, Desarrollo, Sistemas)

Experto en Desarrollo deProyectos

Amplia experiencia como Jefe de Proyectos.Conocedor de las metodologías y técnicas másimportantes de Desarrollo

Técnico de Sistemas Experto en SS.OO. y Software Básico. Ampliosconocimientos de Explotación

Experto en BD y suadministración

Amplia experiencia en BD y su mantenimiento, asícomo en los productos utilizados para ellos.Conocimientos de Explotación

Experto en Software deComunicaciones

Conocimientos profundos de Redes, líneas decomunicación, teleproceso, etc.

Experto en Explotación Responsable de algún CPD. Amplia experiencia enAutomatización de Trabajos.

Técnico de Organización Buen coordinador y organizados. Especialista en elanálisis de flujos de información

Técnico de Evaluación deCostes

Economista con conocimientos de informática

Metodología de la Auditoría Informática 14

4. Plan y Asignación de Trabajos4. Plan y Asignación de Trabajos

Calendario de actividades a realizar aprobado por responsables de área y de auditoría

Aspectos a tener en cuenta:– Plan por grandes áreas: Elaboración más compleja y costosa que

implica superior calidad, más tiempo total y mayores recursos– Plan por áreas específicas: Resultado obtenido más rápidamente y

con menor calidad– Auditoría de toda la Informática o Parcial: determinación del

número de auditores y especialistasPlanificación de la Auditoría (Guía ISACA)

– Conocimiento de la organización y de sus procesos, para identificar problemas potenciales, alcance, etc.

– Programa de auditoría: Calendario de trabajo (tareas y recursos) y su seguimiento

– Evaluación interna del control, mediante pruebas de cumplimiento de los controles

Metodología de la Auditoría Informática 15

5 . Actividades de la A.I.: Técnicas5 . Actividades de la A.I.: Técnicas

Revisión– Análisis de la información obtenida (principalmente a través de

cuestionarios y entrevistas) y de la propia

Entrevistas– Con método prestablecido y preparación

– Gran elaboración de preguntas, orden

– Desencadena en checklist: cuestionario minucioso, ordenado y estructurado por materias

Simulación

Muestreos

Metodología de la Auditoría Informática 16

5. Actividades de la A.I.: Técnicas: Cuestionario5. Actividades de la A.I.: Técnicas: Cuestionario

Objetivo de Control ¿Cuáles son los procedimientos decontrol correspondientes a este objetivo?

1. Modificación en las aplicaciones

La Dirección debería establecerprocedimientos adecuados para asegurarque se controlan las modificaciones quepuedan producirse en las aplicaciones.

Tener en cuenta los siguientes aspectos:

¿Revisa o está implicada la direcciónen la implantación y el control de lasmodificaciones que se realicen en lasaplicaciones?.

¿Recoge la dirección comentarios delos usuarios sobre la calidad funcionaly operacional de las operaciones?.

¿Revisa la dirección los informescorrespondientes o participa en laspruebas a las que se someten lasmodificaciones, incluyendoinformación sobre el volumen demodificaciones realizadas en lasaplicaciones, cambios de emergencia,solicitudes sin atender, etc.

Metodología de la Auditoría Informática 17

5. Actividades de la A.I.: Herramientas5. Actividades de la A.I.: Herramientas

Cuestionario general

Cuestionario-Checklist

Simuladores (generadores de datos)

Paquetes de Auditoría (generadores de programas)– Rastrear los caminos de los datos

– Utilizados principalmente en auditorías no informáticas

– Paquetes de parametrización de librerías

Metodología de la Auditoría Informática 18

5. Actividades de la A.I.5. Actividades de la A.I.

Movilización– Mantener reunión de planificación inicial para:

• Determinar el proceso más eficaz-rentable de obtención de información

• Determinar el uso de especialistas / herramientas sectoriales

Entorno de Control– Registrar y evaluar el entorno de control de la empresa

Información del negocio/sector– Planificar la utilización de tecnología– Obtener comprensión del negocio, estructura, riesgos– Discutir preocupaciones, necesidades, expectativas

Información sobre los sistemas y el entorno informático– Evaluando los controles de supervisión

Metodología de la Auditoría Informática 19

5. Actividades de la A.I.5. Actividades de la A.I.

Estrategia de auditoría– Reunión de planificación

Preparar los programas de auditoría– Para las áreas de auditoría, analizando riesgos de error y fraudes

identificados

Preparar un plan de tareas– Calendario e información a entregar del cliente

– Plan de tareas, con asignación de tiempos

– Roles y responsabilidades de miembros del equipo auditor y estrategia para comunicación para revisar, asignar tareas y acordar objetivos

– Establecer medidas para supervisar el progreso, incluyendo reuniones periódicas

Metodología de la Auditoría Informática 20

5. Actividades de la A.I.5. Actividades de la A.I.

Comunicación del plan– Informar a los miembros del equipo

– Presentar al cliente el plan de auditoría

Ejecución– Documentar, evaluar y probar controles de supervisión de las

aplicaciones

– Informar al cliente sobre estado del trabajo y conclusiones alcanzadas

Otros procedimientos de auditoría– Informes finales

Revisión– Completar los pasos y tareas del trabajo

Metodología de la Auditoría Informática 21

5. Actividades de la A.I.5. Actividades de la A.I.

Finalización– Completar y revisar el tratamiento informático. Responder a

excepciones

– Aspecto críticos importantes han sido resueltos, documentados y comunicados al cliente y al equipo

– Carta de manifestaciones del cliente

– Firma del auditor

Información al cliente– Comunicar las debilidades significativas de control interno y las

recomendaciones oportunas

Evaluaciones– Calidad del servicio en relación con las expectativas del cliente

Metodología de la Auditoría Informática 22

6. Informe Final: Guía ISACA6. Informe Final: Guía ISACA

Relación con los Estándares– Estándar 070.010: Contenido e Impreso del Informe

– El Informe de Auditoría indica:

• Alcance

• Objetivos

• Período de cobertura

• Naturaleza y extensión del trabajo de auditoría

• Organización

• Destinatarios del informe

• Restricciones

• Hallazgos

• Conclusiones

• Recomendaciones

Metodología de la Auditoría Informática 23

6. Informe Final: Guía ISACA6. Informe Final: Guía ISACA

Necesidad de la guía– Describir prácticas recomendadas para preparar un informe de

auditoría

Realización del informe– Estilo y Contenido: Objetivo, claro, conciso, constructivo y

oportuno• Apropiado a los destinatarios• Identificar organización auditada• Incluye título, firma y fecha

– Objetivos (lo que trata de cumplir la auditoría)– Alcance: naturaleza, tiempo y extensión del trabajo de auditoría

• Área funcional• Período de auditoría• Sistemas de información, aplicaciones o entornos auditados

Metodología de la Auditoría Informática 24

6. Informe Final: Guía ISACA6. Informe Final: Guía ISACA

Realización del Informe (continuación)– Restricción sobre su distribución– Hallazgos significativos de la auditoría (causas y riesgos)– Conclusión: evaluación del auditor sobre el área auditada– Recomendaciones, para realizar acciones correctivas– Presentación: lógica y organizada– Estar a tiempo para fomentar las acciones correctivas

puntualmente– Consideraciones de eventos subsiguientes

• Fraude descubierto después de la auditoría• Incendio después de la revisión de controles

Ética y estándares profesionalesActividades subsiguientes

– Petición de contestación, que incluya las acciones correctivas como resultado del informe

Metodología de la Auditoría Informática 25

7. Otra Documentación7. Otra Documentación

Carta de Presentación del Informe Final– Resumen en 3 ó 4 folios del contenido del informe final– Incluye fecha, naturaleza, objetivos y alcance de la auditoría– Cuantifica la importancia de las áreas analizadas– Proporciona una conclusión general, concretando las áreas de gran

debilidad– Presentar las debilidades en orden de importancia

Carta de Manifestaciones– La Dirección de la empresa auditada confirma que se han

mostrado transparente y han proporcionado toda la información necesaria para la auditoría

– En papel con membrete de la empresa auditada– Firman los responsables de los áreas relacionados con la auditoría:

Presidente, Consejero Delegado, Director General

Metodología de la Auditoría Informática 26

8. Estructura del Informe Final8. Estructura del Informe Final

Título o Identificación del Informe– Distinguirlo de otros informes

Fecha de Comienzo

Miembros del Equipo Auditor

Entidad auditada

Identificación de destinatarios

Finaliza con– Nombre, Dirección y Datos Registrales del Auditor

– Firma del Auditor

– Fecha de emisión del informe

Metodología de la Auditoría Informática 27

8. Estructura del Informe Final8. Estructura del Informe Final

Objetivos y Alcance de la Auditoría– Estándares, especificaciones, prácticas y procedimientos utilizados– Excepciones aplicadas

Materias consideradas en la auditoría– Situación actual

• Hechos importantes• Hechos consolidados

– Tendencias, de situación futura– Puntos débiles y amenazas (hecho = debilidad)

• Hecho encontrado• Consecuencias del hecho• Repercusión del hecho (influencias sobre otros aspectos)• Conclusión del hecho

– Recomendaciones– Redacción de la Carta de Presentación

Metodología de la Auditoría Informática 28

8. Estructura del Informe Final: Tipos de Informes8. Estructura del Informe Final: Tipos de Informes

Función de opinión del auditor respecto a los objetivos de la auditoría

Favorable o sin salvedades: trabajo realizado– Sin limitaciones de alcance y sin incertidumbre– De acuerdo con la normativa legal y profesional

Con salvedadesDesfavorable

– Identificación de irregularidades– Incumplimiento de la normativa legal y profesional que afecte a

significativamente a los objetivos estipulados

Denegada– Limitaciones al alcance– Incertidumbres significativas– Irregularidades– Incumplimiento de normativa lega y profesional

Metodología de la Auditoría Informática 29

8. Estructura del Informe Final: Tipos de Informes:Con salvedades

8. Estructura del Informe Final: Tipos de Informes:Con salvedades

– Limitaciones al alcance• El auditor no puede aplicar los procedimientos de auditoría requeridos

por la normativa legal y profesional o según su juicio profesional• Provenientes de la propia entidad auditada• Considerar la naturaleza y magnitudes del efecto potencial de los

procedimientos omitidos y su importancia relativa

– Incertidumbres• Desenlace que no se puede estimar por depender de que suceda, o no,

algún otro hecho: litigios, juicios, etc.

– Errores e incumplimiento de normativa legal y profesional

• Utilización de principios distintos a los generalmente aceptados• Ausencia de información

– Cambios durante el ejercicio respecto a los del ejercicio anterior

Metodología de la Auditoría Informática 30

8. Estructura del Informe Final: Pautas del Lenguaje yRedacción del Informe

8. Estructura del Informe Final: Pautas del Lenguaje yRedacción del Informe

Títulos: expresivos y brevesPárrafos

– Un solo asunto por párrafo– 8 ó 10 líneas por párrafo

Frases– Una sola idea por frase– No más de 3 líneas

Otros consejos– Lenguaje sobrio y normal– Voz activa, nunca pasiva– Omitir palabras innecesarias (con referencia a, consecuentemente con,

etc.)– Evitar redundancias– No utilizar adverbios y adjetivos simultáneamente