Sistemas de Información -M-1

7/23/2019 Sistemas de Informacin -M-1

1/141

AUDITORA

DE

SISTEMAS:

EL PROCESO DE AUDITORA DE SISTEMAS DEINFORMACIN

SEMINARIO

GRUPO I - 10 y 11 de febrero de 2015GRUPO II - 12 y 13 de febrero de 2015

1


2/141

INDICE

1. ADMINISTRACINDELAFUNCINDEAUDITORADESI1. OrganizacindelaFuncindeAuditoradeSI

2. AdministracindelosRecursosdeAuditoradeSI

3. PlaneacindelaAuditora

4. EfectodelasLeyesyRegulacionessobrelaPlanificacindeAuditoradeSI

2. ESTNDARESYDIRECTRICESDEISACAPARALAAUDITORADESI

1. Cdigode

tica

Profesional

de

ISACA

2. MarcodeestndaresdeISACAparalaAuditoradeSI

3. DirectricesdeISACAparaAuditoradeSI

4. ProcedimientosdeISACAparaAuditoradeSI

5. Relacinentreestndares,directricesyprocedimientos

3. ANLISISDERIESGOS

2


3/141

INDICE

4. CONTROLESINTERNOS1. ObjetivosdelControlInterno

2. ObjetivosdelControldeSI

3. COBIT

4. ControlesGenerales

5. ControlesdeSI

5. EJECUCIN

DE

UNA

AUDITORA

DE

SI1. ClasificacindelasAuditoras

2. ProgramasdeAuditora

3. MetodologadeAuditora

4. DeteccindeFraudes

5. AuditorabasadaenRiesgos

6. RiesgoymaterialidaddelaAuditora

7. EvaluacinyTratamiento

del

Riesgo

3


4/141

INDICE

8. TcnicasdeevaluacindeRiesgos

9. ObjetivosdelaAuditora

10. PruebasdeCumplimientovrs.PruebasSustantivas

11. Evidencia

12. EntrevistasyObservacinalPersonaleneldesempeodesusfunciones

13. Muestreo

14. Usode

los

servicios

de

otros

auditores

yexpertos

15. TcnicasdeAuditoraasistidasporComputadora

16. EvaluacindeFortalezasyDebilidades

17. ComunicacindelosresultadosdelaAuditora

18. Accionesde

la

Gerencia

para

implementar

las

recomendaciones

19. DocumentacindelaAuditora

4


5/141

INDICE

6. AUTOEVALUACINDELCONTROL(CONTROLSELFASSESSMENT)1. ObjetivosdelCSA

2. LosbeneficiosdelCSA

3. Desventajasdel

CSA

4. ElRoldelAuditorenCSA

5. ImpulsoresdeTecnologaparaelprogramaCSA

6. Enfoque

Tradicional

vrs.

Enfoque

CSA7. CAMBIOSEMERGENTESENELPROCESODEAUDITORADESI

1. PapelesdeTrabajoautomatizados

2. AuditoraIntegrada

3. AuditoraContinua

8. CASO

DE

ESTUDIO

5


6/141

Introduccin

El Proceso de Auditora de SI comprende los procedimientos y una exhaustivametodologa que permite a un Auditor Tecnolgico realizar su trabajo sobrecualquier rea dada de TI en una forma profesional

La funcin de auditora debe ser manejada y conducida en una forma queasegure que las diversas tareas realizadas y logradas por el equipo de auditoracumplirn los objetivos de la funcin de auditora, mientras se preserva laindependencia y la competencia de la auditora.

Adems, manejar la funcin de auditora debera asegurar las contribuciones devalor agregado a la alta gerencia respecto a la eficiente administracin de TI y allogro de los objetivos del negocio.

El objetivo del presente estudio es obtener los conocimientos necesarios paraproporcionar servicios de auditoras de sistemas de informacin de conformidada los estndares, directrices y mejores prcticas de auditora de SI que permitan ala organizacin asegurar que su tecnologa y sistemas de negocio estn

protegidos y controlados.6


7/141

Introduccin

5 TAREAS FUNDAMENTALES

Desarrollar eImplementar unaestrategia de

auditora de SI

basada en losriesgos deconformidad con los

estndares de

auditora de TI, paragarantizar que sehan incluido las

reas clave. 7

1


8/141

Introduccin

Planearauditorasespecficas paradeterminar si los

sistemas de

informacin estnprotegidos ycontrolados, y si

proporcionan valor

a la organizacin.

8

2


9/141

Introduccin

9

3

Realizar auditoras

de conformidadcon los estndaresde auditora de TI,

para lograr losobjetivos

planteados deauditora

planificados.


10/141

Introduccin

Reportarhallazgos de auditora y hacerrecomendaciones a las partes interesadas

clave para comunicar los resultados yefectuar cambios cuando sea necesario.

10

4


11/141

Introduccin

Realizar seguimientos o preparar informes deestado, para garantizar que la Gerencia hallevado a cabo las acciones apropiadas de

forma oportuna. 11

5


12/141

ADMINISTRACIN DE LAFUNCIN DE AUDITORA DE SI

12


13/141

1.1 Organizacin de la Funcin de Auditora de SI

13

Auditora

Interna(Estatutode

Auditora)

Independiente

PartedeAuditoraOperativa

Externa

(ContratoFormal) Especializada

DebeserindependienteyreportarseaunComitdeAuditoraoalmas

altonivel

de

Direccin

(Junta

Directiva)


14/141


14


15/141



16/141

1.2 Administracin de los Recursos de Auditora de SI

Actualizacinde

Habilidades

CapacitacindenuevastcnicasdeAuditoriayreas

tecnolgicas

Educacinprofesional

continua

Plananualdecapacitacindel Personal

BasadoenladireccindelaOrganizacin

Entrminos

de

tecnologa

Yaspectosrelacionadosderiesgo

Revisarsesemestralmenteparaasegurarquelasnecesidadesestndeacuerdoconladireccinqueesttomandolaorganizacindeauditoria. AstambinlaDireccindeAuditoriadebeproveerrecursosnecesarios paraefectuarauditoriasdenaturaleza

especializada.


17/141

1.3 Planeacin de la Auditora

Corto

Plazo

Aspectosrelevantescubiertosenelao

Largo

Plazo

Planesrelacionadosconriesgos

Cambiosenla

direccinestratgica

Planeacin

Anual

Debehacersecadaao,considerando:Nuevosaspectosdecontrol,cambiosenelentornoderiesgo,cambiantetecnologa,

procesosdenegocioenconstantecambio,tcnicasmejoradasdeevaluacin.

Revisadospo

rlaAltaDirecc

iny

a

probadosporComitdeAud

itorao

JuntaDirectiva.


18/141


Asignaciones de Auditora Individual.

Adems de la planeacin anual, cada tarea individual de Auditora debe

ser planeada adecuadamente.

Auditorde

Sistemas

Prcticasdelnegocio

Entendimientodelambiente

arevisar

Funcionesrelativasalsujetode

auditora Sistemasde

Informacin

Tecnologaquesoportala

entidad


19/141


Por qu es importante la planeacin?

Alcanzarlosobjetivosde

Auditora

Cumplirconlosestndares

profesionales

Lograrcorrespondencia

Recursos Tareas


20/141


Lograrunentendimientodelamisin,objetivos,propsitoyprocesosdelnegocio,losrequerimientosdeinformacinyprocesamiento(talescomodisponibilidad,integridad,seguridad)

Identificarcontenidos

especficos

tales

como

polticas,

estndares

y

directricesrequeridos,procedimientosyestructuradelaorganizacin.

Realizarunanlisisderiesgosparaayudaradisearelplandeauditora.

LlevaracabounarevisindeloscontrolesinternosrelacionadosconTI.

Establecerel

alcance

ylos

objetivos

de

la

auditora.

Desarrollarelenfoqueolaestrategiadeauditora.

Asignarrecursoshumanosalaauditora.

Dirigirlalogsticadeltrabajodeauditora.

Planeacinde

Auditora


21/141


LograrEntendimiento

RecorridodelasinstalacionesclavedelaOrganizacin

Lectura

de

antecedentes

incluyendo

publicaciones

de

la

industria,informesanualeseinformesdeanlisisfinancieros

RevisindelnegocioydelosplanesestratgicosTIalargoplazo

Entrevistasalosgerentesclaveparaentenderpormenoresdelnegocio

RevisindeinformesanterioresoinformesrelacionadosconTI

IdentificarlasregulacionesespecficasaplicablesaTI

IdentificarlasfuncionesdeTIolasactividadesrelacionadasquehan

sido

contratadas

externamente.


22/141

Pregunta

Cul de las siguientes opciones describe la autoridadgeneral para llevar a cabo una auditora de SI?

A. El alcance de la auditora, con las metas y objetivos.

B. Una solicitud por parte de la gerencia para realizar una auditora

C. El Estatuto de auditora aprobado.

D. El cronograma de auditora aprobado.

22


23/141

Pregunta

Cul de los siguientes motivos es el MAS importantepara justificar la revisin peridica del proceso deplanificacin de la auditora?

A. Planificar el despliegue de los recursos de auditora disponibles.

B. Considerar los cambios en el entorno de riesgo.

C. Proporcionar entradas para la documentacin del estatuto deauditora.

D. Identificar los estndares de auditora de SI aplicables.

23


24/141

1.4. Efecto de las Leyes y Regulaciones sobre la Planificacinde la Auditora de SI

Toda organizacin deber cumplir con un nmero de requerimiento gubernamentalesy externos relacionados con las prcticas y los controles de los sistemascomputarizados y con la manera como impacta en la forma de procesamiento,

transmisin y almacenamiento de los datos (Bolsa de valores, Bancos Centrales, etc.).

Se debe prestar especial atencin en aquellas industrias que histricamente hantenido un marco regulatorio muy estricto, tales como empresas que proveen servicios

de respaldo y recuperacin, as como los proveedores de servicios de Internet(Confidencialidad y Disponibilidad del Servicio).

Los auditores de SI deberan revisar la poltica de la administracin sobre privacidad,

incluyendo requisitos de flujo de datos personales al cruzar fronteras (Puerto Seguro Safe Harbor, Directrices de la Organizacin para la Cooperacin Econmica y elDesarrollo OECD).


25/141


reas

deInte

rs Requerimientos

aplicablesalaAuditora

Requerimientos

aplicables

al

auditado.

Impacto en el

alcance y los

objetivos deauditora.

CSSO

SARLAFT

Prevencin de

Fraude

Comercio

Electrnico

ISO 9000

FDA

HACCP


26/141



27/141


COSO

Organizacin privada, establecida en los Estados Unidos, dedicada a proporcionar orientacin para la gestin

ejecutiva y el gobierno de las empresas en aspectos crticos de gobierno corporativo, tica empresarial, controlinterno, gestin de riesgo empresarial (ERM), fraude e informacin financiera.

Committee of Sponsoring Organizations of the Treadway Commission


28/141



29/141


Identificarrequerimientosgubernamentales

Documentarleyesyregulacionespertinentes

Determinarsi

la

gerencia

yla

funcin

de

SI

han

considerado

los

requerimientosexternos.

RevisarlosdocumentosinternosdeldepartamentodeSI

Determinarel

cumplimiento

con

los

procedimientos

establecidos.

Determinarsihayprocedimientosqueasegurenelcumplimientoderegulacionesconserviciostercerizados.

CmodeterminaelAuditorelNiveldeCumplimiento?


30/141

ESTNDARES Y DIRECTRICES DEISACA PARA LA AUDITORA DE SI

30


31/141

2.1 Cdigo de tica Profesional de ISACA

ISACA establece un Cdigo de tica Profesional para guiar la conductaprofesional y personal de los miembros y profesionales certificados, por lo quedebern:

1. Apoyar la implementacin y fomentar el cumplimiento de las normas, losprocedimientos y los controles apropiados en los sistemas de informacin.

2. Ejecutar sus labores con objetividad, diligencia y cuidado profesional, deconformidad con las normas y mejores prcticas profesionales.

3. Servir en el inters de los accionistas en una forma legal y honesta, y almismo tiempo mantener altos estndares de conducta y de carcter, y noinvolucrarse en actos que puedan desacreditar la profesin.

4. Mantener la privacidad y la confidencialidad de la informacin obtenida enel curso de su funcin a menos que la autoridad legal requiera su revelacin.Dicha informacin no ser usada para beneficio personal ni ser revelada aterceros.


32/141

2.1 Cdigo de tica Profesional de ISACA

5. Mantener competencia en sus respectivos campos y se comprometer aemprender nicamente las actividades que puedan realizar concompetencia profesional.

6. Informar a las personas adecuadas los resultados del trabajo realizado,revelando todos los hechos significativos de los que tengan conocimiento.

7. Apoyar la educacin profesional de los accionistas para mejorar sucomprensin sobre seguridad y control de los sistemas de informacin.


33/141

2.2 Marco de estndares de ISACA para la Auditora de SI

El carcter especializado de la auditora de sistemas de informacin, requiere deestndares aplicables globalmente , con el objetivo de informar:

A los auditores de sistemas de informacin sobre el nivel mnimo requerido de

desempeo aceptable para cumplir con las responsabilidades profesionalesestablecidas en el cdigo de tica profesional.

A la gerencia y a otros interesados sobre las expectativas de la profesin en relacincon el trabajo de los auditores.

El marco de los Estndares de Auditora de SI de ISACA presenta mltiples niveles,como se explica a continuacin:

Los Estndaresdefinen los requerimientos obligatorios para la auditora y para los

informes de auditora de SI.

Las Directricesbrindan una gua para aplicar los Estndares de Auditora de SI.

Los Procedimientos ofrecen ejemplos de procedimientos que debe seguir unauditor de SI en una asignacin de Auditora.


34/141


EstatutodeAuditora

Independenciaticay

EstndaresProfesionales

CompetenciaProfesional

PlaneacinEjecucindel

TrabajodeAuditora

InformeActividadesde

Seguimiento

Irregularidades GobiernodeTIUsode

evaluacinderiesgos

MaterialidaddeAuditora

Usartrabajode

expertos

Evidenciade

AuditoraControlesdeTI

Comercio

electrnico

Profesional y Organizacional


35/141


Generales

100)

EstatutodeAuditora

Independencia

Organizacional

IndependenciaProfesional

Expectativarazonable

Debidocuidoprofesional

Competencia

Afirmaciones

Criterios

De desempeo

120)

PlanificacindelaAsignacin

EvaluacindeRiesgoen

Planificacin

DesempeoySupervisin

Materialidad

Evidencia

Usodeltrabajodeotrosexpertos

IrregularidadesyActos

Ilcitos

De reportes

140)

Reportes

ActividadesdeSeguimiento

Noviembre, 2013


36/141

2.3 Directrices de ISACA para Auditora de SI

ndice Directrices

G1 Usodeltrabajodeotrosauditores

G2 Requisitodeevidenciadeauditora

G3 Usode tcnicas

de

auditora

asistidas

por

computadora

(CAATs)

G4 Servicio externodeactividadesdeSIparaotrasorganizaciones

G5 Estatuto deAuditora

G6 Conceptosdematerialidad paralaauditoradesistemasdeInformacin

G7 Debidocuidadoprofesional

G8 DocumentacindelaAuditora

G9 Consideracionesdeauditora encasodeirregularidades

G10 Muestreode

Auditora

G11 Efectosdeloscontrolesgenerales deSI

G12 Relacineindependenciaorganizacional

G13 Usodelaevaluacinderiesgosenlaplaneacindelaauditora


37/141


ndice Directrices

G14 Revisin delosSistemasdeAplicacin

G15 Planeacinrevisada

G16 Efectode

terceros

en

los

controles

de

TI

de

una

organizacin

G17 EfectodefuncionesajenasalaauditorasobrelaindependenciadelauditordeSI

G18 Gobierno deTI

G19 Irregularidadesyactosilegales

G20 Informes

G21 Revisin desistemasdeplaneacindeRecursosEmpresariales(ERP)

G22 Revisin

del

Comercio

Electrnico Negocio

a

consumidor

(B2C)G23 RevisindelCiclodevidadeDesarrollodesistemas(SDLC)

G24 BancaporInternet

G25 RevisindeRedesPrivadasVirtuales

G26 Revisin deProyectos

de

Reingeniera

de

Procesos

de

Negocio

(BRP)


38/141


ndice Directrices

G27 ComputacinMovil

G28 AnlisisForense Computacional

G29 RevisinPost

Implementacin

G30 Competencia

G31 Privacidad

G32 Revisin delPlandeContinuidaddeNegociodesdeunaperspectivadeTI

G33 Consideraciones GeneralessobreelusodeInternet

G34 Responsabilidad,Autoridad eImputabilidad

G35 ActividadesdeSeguimiento

G36 Controles Biomtricos


39/141

2.4 Procedimientos de ISACA para auditora de SI

ndice Procedimientos

P1 Evaluacin deRiesgosdeSI

P2 FirmasDigitales

P3 Deteccin deIntrusos

P4 Virusyotroscdigosmaliciosos

P5 Autoevaluacin deControldeRiesgos

P6 Firewalls

P7 IrregularidadesyActosIlegales

P8 Evaluacin delaSeguridad

P9 EvaluacindelosControles delaDireccinsobrelasMetodologasde

Encripcin

P10 ControldeCambiosdeAplicacindelNegocio


40/141

2.5 Relacin entre Estndares, Directrices y Procedimientos

Estndares

Directrices

Procedimientos

Requerimientos que deben sercumplidos por el auditor de SI.

Proveen una gua sobre como puede el auditorimplementar los estndares en las diversas tareas deauditora.

Proveen ejemplos de pasos que puede realizar elauditor para implementar los estndares en una tareaespecfica de auditora.


41/141

ANLISIS DE RIESGOS

41


42/141

3. Anlisis de Riesgos

Elanlisisderiesgosespartedelaplaneacindeauditorayayudaaidentificarlosriesgosylasvulnerabilidadesparaqueelauditorpuedadeterminarloscontrolesnecesariosparamitigarlos.

CONCEPTODERIESGOEl potencial de que una amenaza determinada explotelas vulnerabilidades de un activo o grupo de activosocasionando prdida o dao a la organizacin

Probabilidad de que las amenazas puedan tener un

impacto negativo sobre los activos, procesos uobjetivos de un negocio u organizacin especfica.


43/141


Tipode

Riesgo

Crdito

Operativo

Personas

Procesos

Sistemas

Eventos

Externos

Mercado

Liquidez

Impacto

Legal o

Reputacional


44/141


Identificacin Clasificacin Mitigacin Monitoreo


45/141


Identificacin

Tipodeevento(Nivel1)

Definicin Tipodeevento

(Nivel2) Ejemplos

Fraudeinterno Prdidas derivadas de algn tipode actuacin encaminada a

defraudar, apropiarse de bienesindebidamente o eludirregulaciones, leyes o polticasempresariales en las que seencuentra implicado, al menos,un miembro de la entidad.

Actividades no autorizadas Operaciones noreveladas

(intencionalmente), operaciones noautorizadas (conprdidaseconmicas),valoracin errnea

de posiciones(intencional).

Robo y fraude Robo,malversacin,falsificacin,soborno,

apropiacin decuentas,contrabando,evasin deimpuestos(intencional).


46/141



DefinicinTipodeevento(Nivel2) Ejemplos

Fraudeexterno Prdidas derivadas de algn tipode actuacin encaminada a

defraudar, apropiarse de bienesindebidamente o eludir lalegislacin, por parte de untercero.

Robo y fraude Robo, falsificacin.

Seguridad de los sistemas Daos por ataquesinformticos, robode informacin.

Relacioneslaboralesyseguridadenelpuestodetrabajo

Prdidas derivadas deactuaciones incompatibles con lalegislacin o acuerdos laborales,sobre higiene o seguridad en eltrabajo, sobre el pago dereclamaciones por daospersonales, o sobre casosrelacionados con la diversidad o

discriminacin.

Relaciones laborales Cuestionesrelativas aremuneracin,prestacionessociales, extincinde contratos.

Higiene y seguridad en el trabajo Casos relacionadoscon las normas de

higiene yseguridad en eltrabajo;indemnizacin alos trabajadores.

Diversidad y discriminacin Todo tipo de

discriminacin.


47/141




Clientes,productosyprcticas denegocios

Prdidas derivadasdel incumplimientoinvoluntario onegligente de unaobligacinempresarial frente aclientes concretos(incluidos requisitosfiduciarios y de

adecuacin), o de lanaturaleza o diseode un producto.

Adecuacin,divulgacin deinformacin y confianza

Abusos de confianza / incumplimiento de pautas, aspectosde adecuacin / divulgacin de informacin (conocimientodel cliente, etc.), infringir la privacidad de informacinsobre clientes minoristas, infringir la privacidad, ventasagresivas, abuso de informacin confidencial.

Prcticas empresarialeso de mercadoimprocedentes

Prcticas restrictivas de la competencia, prcticascomerciales / de mercado improcedentes, manipulacindel mercado, abuso de informacin privilegiada (en favorde la entidad), lavado de dinero.

Productos defectuosos Defectos del producto (no autorizado, etc.), error de losmodelos.

Seleccin, patrocinio yriesgos

Ausencia de investigacin a clientes conforme a lasdirectrices, exceso de los lmites de riesgo frente aclientes.

Actividades de

asesoramiento

Litigios sobre resultados de las actividades de

asesoramiento.


48/141




Ejecucin,entregay

gestin

de

procesos

Prdidasderivadas de

errores en elprocesamiento deoperaciones o enla gestin deprocesos, as como de

relaciones concontrapartescomerciales yproveedores

Recepcin, ejecuciny mantenimiento de

operaciones

Errores de introduccin de datos, mantenimiento odescarga, incumplimiento de plazos o de

responsabilidades, ejecucin errnea de modelos /sistemas, errores contables. Errores en el proceso decompensacin de valores y liquidacin de efectivo .

Seguimiento ypresentacin deinformes

Incumplimiento de la obligacin de informar, inexactitudde informes externos (con generacin de prdidas).

Aceptacin de clientesy documentacin

Inexistencia de autorizaciones / rechazos de clientes,documentos jurdicos inexistentes / incompletos.

Gestin de cuentas declientes

Acceso no autorizado a cuentas, registros incorrectos declientes (con generacin de prdidas), prdida o dao deactivos de clientes por negligencia.

Contrapartescomerciales Fallos de contrapartes distintas de clientes, otros litigioscon contrapartes distintas de clientes.Distribuidores yproveedores

Subcontratacin, litigios con proveedores.


49/141




Daos

aactivos

materiales

Prdidas derivadas dedaos o perjuicios aactivos materiales comoconsecuencia dedesastres naturales uotros acontecimientos.

Desastres y otrosacontecimientos Desastres naturales, prdidas causadas porpersonas externas (terrorismo, vandalismo).

Interrupcindel

negocio

y

fallosenlossistemas

Prdidas derivadas deinterrupciones en elnegocio y de fallos en lossistemas

Sistemas Fallas en equipos de hardware, software otelecomunicaciones; falla en energa elctrica.


50/141


Clasificacin

Probabilidad

Impacto

Ocurrencia

Dao

3 A li i d Ri


51/141


3 A li i d Ri


52/141


3 Anlisis de Riesgos


53/141


Riesgo

Inherente Controles

Riesgo

Residual

Mitigacin



54/141


Riesgo

Mitigar

Transferir

Evitar

Aceptar



55/141


Elanlisisderiesgotienelossiguientespropsitos:

Apoyaral

auditor

en

la

identificacin

de

riesgos

yamenazas

para

un

ambiente

deTIylossistemasdeSIquenecesitansertratadosporladireccinascomoloscontrolesinternosespecficosdelsistema.

Dependiendodelnivelderiesgo,esteanlisisapoyaalauditorenlaseleccin

deciertas

reas

para

examinar.

Ayudaalauditorensuevaluacindeloscontrolesdurantelaplaneacindelaauditora.

Apoyaal

auditor

adeterminar

los

objetivos

de

la

auditora.

Soportadecisionesdelaauditorabasadaenriesgos.


56/141

CONTROLES INTERNOS

56

Pregunta


57/141

Pregunta

Cul de lo siguiente describe MEJOR las primeras etapasde una auditora de SI?

A. Observar las instalaciones organizacionales clave

B. Evaluar el entono de SI

C. Entender el proceso del negocio y el entorno aplicable a la revisin

D. Revisar los informes de auditora de SI anteriores

57

4. Controles Internos


58/141


Las polticas, procedimientos, prcticas y estructuras organizacionalesimplementadas para reducir riesgos, tambin son conocidas como controlesinternos.

Son desarrollados para proveer una certeza razonable de que se alcanzarn losobjetivos del negocio de una organizacin y que los eventos de riesgos nodeseados sern evitados, detectados y corregidos.

Las actividades de control interno y los procesos que las soporten pueden ser

manuales o manejados por recursos de informacin automatizados.

Estos operan en todos los niveles dentro de una organizacin para mitigar suexposicin a riesgos que potencialmente podran impedirle alcanzar sus objetivosdel negocio.

Existen dos aspectos clave que el control debe atender: qu debera lograrse yqu debera evitarse.



59/141



60/141



61/141

4.1 Objetivos del Control Interno


62/141

Son declaraciones del resultado deseado o del propsito a ser alcanzado con laimplementacin de actividades de control (procedimientos).

Ejemplos:

Salvaguarda de los activos de TI

Cumplimientos con las polticas corporativas y requerimientos legales

Autorizacin y autenticacin

Confidencialidad

Exactitud e integridad de datos

Confiabilidad de los procesos.

Disponibilidad de los servicios de TI

Eficiencia y economa de las operaciones.

Proceso de Administracin de cambio s para TI y los sistemas relacionados.

4.1 Objetivos del Control Interno


63/141

ControlesdeContabilidadinterna

Primariamentedirigidos

alas

operaciones

contables,

como

proejemplolasalvaguardadelosactivosylaconfiabilidaddelosregistrosfinancieros.

Controlesoperacionales

Dirigidosalasoperaciones,funcionesyactividadescotidianasparaasegurarquelaoperacinestcumpliendolosobjetivosdelnegocio.

Controlesadministrativos

Seocupadelaeficienciaoperacionalenunreafuncionalyelacatamientodelaspolticasdeadministracinqueincluyenloscontrolesoperacionales.

Tipos de controles.

4.2 Objetivos de Control de SI


64/141

Estos se aplican a todas las reas, ya sean manuales, automatizadas o unacombinacin de las mismas (ejm: revisiones de logs). Estos pueden ser:

Salvaguarda de activos.

Asegurar la integridad de los ambientes de sistemas operativos en general,incluyendo la administracin y las operaciones de red.

Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos ycrticos, a travs de:

Validacin de INPUT.

Exactitud e integridad del procesamiento de transacciones.

Confiabilidad de las actividades de procesamiento de informacin en

general.

Exactitud, integridad y seguridad de la informacin de salida.

Integridad de la base de datos.

4.2 Objetivos de Control de SI


65/141

Asegurar la identificacin y autenticacin apropiada de los usuarios de losrecursos de SI.

Aseguramiento de eficiencia y efectividad en las operaciones.

Cumplimiento con los requerimientos de los usuarios, con las polticas yprocedimientos organizacionales y con las leyes y reglamentos aplicables.

Aseguramiento de la disponibilidad de los servicios de TI desarrollando planesde continuidad del negocio y recuperacin de desastres.

Aumento de la proteccin de datos y sistemas desarrollando un plan derespuesta a incidentes.

Aseguramiento de la integridad y confiabilidad de los sistemasimplementando procedimientos efectivos de administracin de cambios.

4.3 COBIT


66/141

4.3 COBIT


67/141

4.3 COBIT


68/141

4.4 Controles Generales


69/141

Estos son aplicables a todas las reas de la organizacin, incluyendoinfraestructura y servicios de soporte de TI. Ejemplos:

Polticas y procedimientos organizacionales de seguridad lgica paraasegurar la debida autorizacin de transacciones y actividades.

Polticas generales para el diseo y uso de documentos y registrosadecuados para ayudar a asegurar el registro apropiado de lastransacciones (Pista de auditora).

Procedimientos y funciones para asegurar la proteccin adecuada enel acceso y el uso de activos e instalaciones.

Polticas de seguridad fsica y lgica para todos los centros de datos.

4.5. Controles de SI


70/141

Procedimientos de control general traducidos en procedimientos de control especficos.Puede que un procedimiento general para asegurar la custodia del acceso a los activos einstalaciones puede traducirse en un conjunto de procedimientos de control de SI, queabarquen controles de acceso a los programas de computacin, datos y equipos de

cmputo.Otros ejemplos:

Acceso a los recursos de TI, incluyendo datos y programas

Metodologas de desarrollo de sistemas y control de cambios

Procedimientos de operacin Programacin de sistemas y funciones de soporte tcnico

Procedimientos de aseguramiento de calidad

Controles de acceso fsico

Planeacin de continuidad del negocio/recuperacin de desastres

Redes y comunicaciones

Administracin de bases de datos

Proteccin y mecanismos de deteccin contra ataques internos y externos


71/141

EJECUCIN DE UNA AUDITORADE SI

71

5. Ejecucin de una auditora de SI


72/141

La auditora se define como un proceso sistemtico por el cual un equipo o una personacompetente o independiente obtiene y evala objetivamente la evidencia respecto a lasafirmaciones acerca de un proceso con el fin de formarse una opinin sobre el particular einformar sobre el grado de cumplimiento en dicha afirmacin es implementada.

Para realizar una auditoria, deben considerarse varios pasos:

Una planeacin adecuada

Para usar efectivamente los recursos de TI, deben evaluar todos los riesgos de las reas

generales y de aplicacin. Desarrollar un programa de auditora que comprenda objetivos y procedimientos que

satisfagan los objetivos de auditora.

Recoleccin de evidencia a travs de pruebas de auditora.

Evaluacin de fortalezas y debilidades de controles de SI.

Preparacin de un informe de auditora que presente en forma objetiva los resultadosde la evaluacin a la gerencia.

5. Ejecucin de una auditora de SI


73/141

Las restriccionesdel auditado pueden incluir:

Reciente rotacin o no disponibilidad del empleado

Infraccin de las fechas lmite

Ausencia general de conocimientos o de documentacin.

Frente a estas limitantes, deben emplearse tcnicas de administracin deproyectos, que incluyen los siguientes pasos bsicos:

Desarrollar un plan detallado (Lnea de tiempo y tareas con requerimientode tiempo)

Reportar actividad de proyecto contra el plan (Progreso real vrs. Planificado)

Ajustar el plan y emprender accin correctiva (Cambios en las asignaciones

del auditor de SI o en los cronogramas planeados, a medida que serequiera).

5.1 Clasif icacin de las auditoras


74/141

Auditoras

Financieras

Fiscales

Operativas

Integradas

Administrativas

DeSistemas

Especializadas

Forenses

5.2 Programas de Auditora


75/141

Los programas de auditora se basan en el alcance y el objetivo de la asignacin enparticular. Los auditores de TI evalan funciones y sistemas dese perspectivas diferentes,tales como la seguridad (confidencialidad, integridad y disponibilidad), la calidad(efectividad, eficiencia), fiduciarias (cumplimiento, confiabilidad), el servicio y la

capacidad.El programa de trabajo de auditora es la estrategia a seguir y contiene el alcance,objetivos, procedimientos de auditora para lograr evidencia suficiente y competente paraobtener y sustentar las conclusiones y opiniones de auditora. Generalmente incluye:

Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditora

Evaluacin de riesgos y planeacin general de la auditora y cronograma. Planeacin detallada de la auditora Revisin preliminar del rea/objeto de la auditora Evaluacin del rea/objeto de la auditora

Verificacin y evaluacin de la correccin de los controles diseados para cumplir losobjetivos de control.

Pruebas de cumplimiento y pruebas sustantivas Informe Seguimiento en casos en los que hay una funcin de auditora.

5.2 Programas de Auditora


76/141

Dentro de un procedimiento de prueba, se puede incluir lo siguiente:

Uso de software generalizado de auditora para examinar el contenido de los

archivos de datos.

Uso de software especializado para evaluar el contenido de los archivos deparmetros de la base de datos y de aplicacin del sistema operativo.

Tcnicas de elaboracin de diagramas de flujo para la documentacin de

aplicaciones automatizadas y del proceso del negocio.

Uso de registros/reportes de auditora disponibles en los sistemas operativos/deaplicacin.

Revisin de la documentacin

Observacin

Se debe tener suficiente entendimiento de los procedimientos de auditora, demodo que se puedan planear pruebas apropiadas.

5.3 Metodologa de Auditora


77/141

Es un conjunto de procedimientos documentados, diseados para alcanzar losobjetivos de auditora planeados.

Esta debe ser establecida y aprobada por la Gerencia de Auditora para lograrconsistencia en el enfoque de auditora.

EJEMPLO

DE

METODOLOGA

DE

AUDITORA

DE

SI



78/141



79/141

Papeles

detrabajo

Planes Programas

Hallazgos Incidentes

Actividades

Pruebas

Debenestar: Fechados Inicializados Conpginasnumeradas Debidamente

etiquetados

Debenser: Relevantes Completos Claros Autoexplicatorios Archivados

Mantenidos

en

custodia



80/141

Papeles

deTrabajo

Objetivos

InformeFinal

Interfaz

ElauditordeSIdebeconsiderarcomo

mantenerevidenciadepruebadeauditorapara

preservarsu

valor

de

pruebaenrespaldodelosresultadosde

auditora.

5.4 Deteccin de Fraudes


81/141

ElusodelaTecnologahabeneficiadoinmensamentealasempresasentrminosdecalidaddeentregadelainformacin.Sinembargo,elusodelatecnologaeInternethanpropiciadoelriesgoqueseperpetrenerroresyfraudes.

Unsistemadecontrolinternobiendiseado,proveebuenasoportunidadesparadisuadirydetectaroportunamentelosfraudes.Noobstante,loscontrolesinternospuedenfallar,cuandoestossonburladosexplotandovulnerabilidadesoconlacomplicidaddepersonasclaves.

Losauditoresdesistemasdebenejercereldebidocuidadoprofesionalentodoslosaspectosdesutrabajo,yaquedebenopinarsobrelarazonabilidaddeloscontrolesinternos,ascomoestaralertasalasposiblesoportunidadesquepermitenqueunfraudesematerialice.

Cuandoun

auditor

de

sistemas

se

encuentra

con

un

indicador

de

fraude,

debe

comunicar

la

necesidaddeunainvestigacindetalladaalasautoridadescompetentes,encasoqueseidentifiqueunfraudemayor,ladireccindeauditoradebeconsiderarinformaroportunamentealComitdeAuditora.

5.5 Auditora basada en Riesgo


82/141

Pregunta


83/141

Mientras desarrolla un programa de auditora basado en elriesgo, En cul de lo siguiente es MAS probable que elauditor de SI se concentre?

A. Los procesos del negocio

B. Las aplicaciones crticas de TI

C. Los controles operacionales

D. Las estrategias del negocio

83

5.6 Riesgo y materialidad de la Auditora


84/141

Riesgo

inherente

RiesgodeControl

Riesgodedeteccin

Riesgo

generaldeAuditora

Riesgode

Muestreo

Pregunta


85/141

Al realizar una auditora basada en el riesgo Culevaluacin del riesgo realiza inicialmente el auditor de SI?

A. Evaluacin del riesgo de deteccin

B. Evaluacin del riesgo de control

C. Evaluacin del riesgo inherente

D. Evaluacin del riesgo de fraude

85

5.6 Riesgo y materialidad de la Auditora


86/141

Serefiereaunerrorquedeberaserconsideradosignificativoporcualquierpartealaqueleconciernaelpuntoencuestin

El establecimiento de un parmetro de seguridad lgica que permita a unprogramador tener acceso, sin autorizacin, al cdigo fuente de algunos programas

del Sistema Informtico.

Pregunta


87/141

Cul de los siguientes tipos de riesgo de auditora asumeuna ausencia de controles compensatorios en el rea quese est revisando?

A. Riesgo de control

B. Riesgo de deteccin

C. Riesgo inherente

D. Riesgo de muestreo

87

Pregunta


88/141

Mientras realiza la revisin de los controles de unaaplicacin, un auditor de SI encuentra una debilidaden el software de sistema que puede afectar considerablemente la aplicacin. El auditor de SI

debera:A. Ignorar estas debilidades de control, ya que una revisin de

software de sistema est ms all del alcance de la revisin

B. Realizar una revisin detallada del software del sistema yreportar las debilidades de control.

C. Incluir en el reporte una declaracin de que la auditora selimit a una revisin de los controles de la aplicacin

D. Revisar los controles de software del sistema que son relevantesy recomendar una revisin detallada del software del sistema

88

5.7 Evaluacin y Tratamiento del Riesgo

E l i d l Ri d S id d


89/141

Evaluacin de los Riesgos de Seguridad

Para desarrollar una comprensin mas completa del riesgo de auditora, el auditor debeentender como la organizacin encara la evaluacin y tratamiento del riesgo.

Las evaluaciones de riesgo deben identificar, cuantificar y categorizar los riesgos contracriterios para aceptacin del riesgos y objetivos relevantes para la organizacin.

La evaluacin del riesgo debe incluir el mtodo sistemtico de estimar la magnitud de los

riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados contra loscriterios para determinar la significacin de los riesgos (evaluacin del riesgo).

Las evaluaciones de riesgo deben hacerse peridicamente para ocuparse de los cambiosen el entorno, los requerimientos de seguridad y la situacin del riesgo (activos, amenazas,

vulnerabilidades, impactos, etc.), y cuando ocurren cambios significativos.

La evaluacin del riesgos de la seguridad debe tener un alcance claramente definido paraser efectiva y debe incluir relaciones con las evaluaciones del riesgo en otras reas, si fueraapropiado.

5.7 Evaluacin y Tratamiento del Riesgo

T t l Ri d S id d


90/141

Tratar los Riesgos de Seguridad

Cada uno de los riesgos identificados necesita ser tratado. Las posibles opciones detratamiento son:

Aplicar los controles apropiados parareducirriesgos Aceptarlos riesgos a sabiendas objetivamente, a condicin que los mismos satisfagan

claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos Evitarlos riesgos no permitiendo acciones que causaran que ocurrieran los riesgos Transferirlos riesgos asociados a otras partes (aseguradoras, proveedores).

Los controles aplicados deben ser seleccionados para asegurar que los riesgos se reduzcana un nivel aceptable tomando en cuenta:

Los requerimientos y limitaciones de la legislacin y regulaciones nacionales einternacionales, Los objetivos de la organizacin La necesidad de balancear la inversin en implementacin y operacin en los controles

contra el ao probable que resulte de las fallas de seguridad.

5.8 Tcnicas de evaluacin de riesgos

T t l Ri d S id d


91/141

Tratar los Riesgos de Seguridad

Existen muchas metodologas disponibles para evaluacin de riesgos:

Clasificaciones sencillas de alto, medio, bajo Clculos complejos a travs de series estadsticas Evaluacin en base al juicio profesional.

Evaluar los riesgos en la auditora realizada, permite:

Que la direccin asigne de manera efectiva los recursos limitados deauditora.

Asegura que se haya obtenido informacin relevante de todos los nivelesde direccin.

Establece las bases para administrar el departamento de auditora demanera efectiva. Provee un resumen de como se relaciona el sujeto individual de la

auditora con el resto de la organizacin, as como tambin con los planesde negocios.



92/141



93/141



94/141

5.9 Objetivos de la Auditora


95/141

Los objetivos de auditora se refieren a las metas especficas que deben cumplirsepor parte de la auditora. Se pueden incorporar varios objetivos de auditora.

Los objetivos de auditora se enfocan a menudo en validar que existen controlesinternos para minimizar los riesgos del negocio y que estos funcionan como seespera. Estos objetivos de auditora incluyen el aseguramiento del cumplimento conlos requerimientos legales y regulatorios, as como tambin la confidencialidad,integridad, confiabilidad y disponibilidad de recursos de informacin de TI.

Aspectos a tomar en cuenta para la definicin de un objetivo.

Deben redactarse en infinitivo. Deben expresarse en sentido positivo. Deben explicar la razn de la definicin del mismo. Se recomienda que se definan entre 3 y 5 objetivos. Debe exponerse un objetivo general y objetivos especficos.

5.10 Pruebas de Cumplimiento vrs. Pruebas Sustantivas


96/141

Prueba de Cumplimiento.

Es la recoleccin de evidencia con el fin de comprobar el cumplimiento de una

organizacin con los procedimientos de control.

Ejemplos:

Controles de biblioteca de programas en produccin funcionando.

Proveer certeza que solo se realizan modificaciones autorizadas a los programasen produccin.

Probar la efectividad de un proceso definido. Probar si la disponibilidad del servicio de Internet se encuentra de conformidad al

porcentaje fijado en el Contrato de servicios. Verificar si los requerimientos de cambios a sistemas cuentan con su respectivo

formulario.



97/141

Pruebas Sustantivas

Es la recoleccin de evidencia para evaluar la integridad de las transacciones

individuales, datos u otra informacin. Provee evidencia de la validez e integridad delos saldos financieros y de las transacciones que respaldan dichos saldos.

Ejemplos:

Determinar si los registros del inventario de la librera de cintas son correctos. Verificar si el cambio solicitado en el formulario de administracin de cambios se

encuentra de conformidad a lo que est en produccin. Verificar que el reporte provea los resultados esperados. Verificar que se cuenten con medidas de seguridad adecuadas y razonables para

no permitir el acceso a intrusos. Revisin de totales (nmero de transacciones, cantidades acumuladas).



98/141

5.11 Evidencia


99/141

Es la informacin usada por el auditor de SI para determinar si laentidad o los datos que estn siendo auditados cumplen con loscriterios u objetos establecidos y soporta las conclusiones de

auditora.

La evidencia de auditora puede incluir observaciones del auditorde SI (notificados a la Gerencia), notas de las entrevistas, materialextractado de la correspondencia y documentacin interna,

contratos con socios externos o los resultados de losprocedimientos de prueba de auditora. Las reglas de evidencia ysuficiencia as como tambin de competencia de la evidencia sedeben tomar en cuenta, como lo requieren los estndares deauditora.

5.11 Evidencia

Ciclo de Vida de la


100/141

Recoleccin

Proteccin

Cadenade

custodia

Evidencia

5.11 Evidencia

Las determinantes para evaluar la confiabilidad de la evidencia de auditora


101/141

incluyen:

Independencia del proveedor de la evidencia Credenciales de la persona que suministra la informacin o evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia

La Federacin Internacional de Contadores (IFAC) se refiere a dos

caractersticas importantes de la evidencia:

Evidencia

Competencia(Calidad)

Validez

RelevanteSuficiencia(Cantidad)

5.11 Evidencia

Tcnicas de Recopilacin de evidencia:


102/141

Revisin de las estructuras organizacionales de los sistemas de Informacin. Revisin de las polticas y procedimientos de SI Revisin de los estndares de SI Revisin de la documentacin de SI

Documentos de inicio del desarrollo de sistemas Documentacin suministrada por proveedores externos de aplicacin Contratos de nivel de servicio con proveedores externos de TI Requerimientos funcionales y especificaciones de diseo Planes e informe de pruebas Programa y documentos de operaciones Registros (logs) e historial de cambio a programas Manuales de usuario y de operacin Documentos relacionados con la seguridad

Planes de continuidad del negocio Informes de aseguramiento de calidad Reportes sobre mtrica de seguridad

Entrevistas al personal apropiado Observacin de Procesos y del Desempeo de los Empleados

5.12 Entrevistas y Observacin al Personal en el desempeo desus funciones


103/141

La observacin al personal en el desempeo de sus funciones ayuda a unauditor de SI a identificar:

Funciones reales Procesos / procedimientos reales Concientizacin sobre seguridad Lneas de reporte

Las entrevistas al personal y a la direccin de procesamiento de informacindeberan proveer una certeza adecuada que el personal tiene las destrezastcnicas requeridas para realizar su trabajo. Este es un factor importante quecontribuye a que la operacin sea efectiva y eficiente.

5.13 Muestreo


104/141

El muestreo es usado cuando las consideraciones de tiempo y de costoimpiden una verificacin total de las transacciones o eventos en una poblacindefinida previamente.

Poblacin:La totalidad de elementos que es necesario examinar.

Muestra:

Subconjunto de miembros de la poblacin

El muestreo se usa para inferir caractersticas de una poblacin, con base enlos resultados del examen de las caractersticas de una muestra de la misma.

5.13 Muestreo

Los dos enfoques generales para muestreo de auditora son:


105/141

q g p

1. Muestreo EstadsticoEs un enfoque objetivo para determinar el tamao de los criterios de

seleccin de la muestra. Usa las leyes matemticas para calcular eltamao de la muestra, seleccionar los objetos de la muestra, evaluar losresultados de la muestra y hacer la inferencia. Con el muestreoestadstico, el auditor de SI

2. Muestreo no EstadsticoEl nmero de elementos que sern examinados de una poblacin ycuales elementos seleccionar, son determinados en base al juicio delauditor. Estas decisiones estn basadas en el criterio subjetivo respectode los cuales items/transacciones tienen mayor materialidad y mayor

riesgo.

Riesgo de Muestreo: Probabilidad de que el auditor de SI obtenga unaconclusin equivocada con la muestra seleccionada.

5.13 Muestreo

Existen dos mtodos principales de muestreo usados por los auditores de SI:


106/141

1. Muestreo de Atributos. Se aplica a las pruebas de cumplimiento,ocupndose de la ausencia o ausencia del atributo y provee conclusiones

que se expresan en tasas de incidencia. Puede ser: Muestreo de estimacin de frecuencia Muestreo parar / seguir Muestreo de Descubrimiento

2. Muestreo de Variables.Tambin conocido como muestreo de estimacinmonetaria o de estimacin media, es una tcnica usada para estimar elvalor monetario de una poblacin a partir de la muestra de la misma.Puede ser: Promedio Estratificado por Unidad

Promedio no Estratificado por Unidad Estimacin de Diferencia

5.13 Muestreo

Para realizar un muestreo de atributos o de variables, es necesario entener lossiguientes trminos de muestreo estadstico:


107/141

s gu e tes t os de uest eo estad st co

Coeficiente de confianza. Tambin conocido como nivel de confianza o factor de

confiabilidad. Cuanto mayor es el nivel de confianza, mayor es el tamao de lamuestra.

Nivel de Riesgo.Es igual a una menos el coeficiente de confianza.

Precisin. Representa la diferencia aceptable de rango entre la muestra y lapoblacin real. A mayor precisin, mas pequeo es el tamao de la muestra.

Tasa de error esperada. Es un estimado de los errores que pueden existir. Amayor tasa de error esperado, mayor es el tamao de la muestra.

Media de la muestra.Valor promedio de la muestra.

Desviacin estndar de la muestra. Dispersin de los valores de la muestra

(varianza).

Tasa tolerable de error.Describe el valor mximo de error o el nmero de erroresque pueden existir sin que una cuenta est materialmente equivocad.

Desviacin estndar de la poblacin. Dispersin de los valores de la poblacin

(varianza).

5.13 Muestreo

Los pasos clave en la construccin y seleccin de una muestra para una


108/141

prueba de auditora son:

Determinar los objetivos de la prueba

Definir la poblacin a la que se obtendr la muestra Determinar el mtodo de muestreo (Atributos vrs. Variables) Calcular el tamao de la muestra Seleccionar la muestra Evaluar la muestra desde una perspectiva de auditora

5.14 uso de los servicios de otros auditores y expertos

Es necesario considerar lo siguiente:


109/141

Restricciones sobre outsourcing de servicios de auditora/seguridad dispuestas porleyes y regulaciones.

Contrato de auditora o estipulaciones contractuales Impacto sobre el riesgo de auditora de SI y la responsabilidad profesional Independencia y objetividad de otros auditores y expertos Competencia profesional, calificaciones y experiencia Alcance del trabajo que se propone que sea sometido a outsourcing y mtodo

Controles de supervisin y de gerencia de auditora Mtodo y modalidades de comunicacin de los resultados del trabajo de auditora Cumplimiento de las estipulaciones legales y regulatorias Cumplimiento de los estndares profesionales aplicables. Verificaciones de testimonios/referencias y antecedentes

Acceso a los sistemas, premisas y los registros Restricciones de confidencialidad para proteger la informacin relacionada con el

cliente Uso de CAATS y de otras herramientas a ser usadas por el proveedor externo Estndares y metodologas para la ejecucin del trabajo y documentacin

5.14 uso de los servicios de otros auditores y expertos

Es responsabilidad del auditor de SI o de la entidad que emplea los servicios deproveedores externos de servicios:


110/141

proveedores externos de servicios:

Comunicar claramente los objetivos, el alcance y la metodologa de laauditora a travs de un contrato formal

Establecer un proceso de monitoreo para revisin regular del trabajo delproveedor externo de servicios con respecto a planeacin, supervisin,revisin y documentacin.

Determinar la utilidad y la correccin de los informe de dichos proveedoresexternos y determinar el impacto de los hallazgos significativos sobre losobjetivos generales de auditora.

5.15 Tcnicas de Auditora asistidas por Computadora

Los CAATs son herramientas para recolectar informacin de diferencias entornos dehardware y software, estructuras de datos, formatos de registro, funciones dei t t i d i f i d f i d di t E t ll


111/141

procesamiento, etc., reuniendo informacin de forma independiente. Entre ellos seencuentran:

Software generalizado de auditora (GAS). Tiene la capacidad de leer y accesar datosdirectamente de diversas plataformas de bases de datos. Soporta las siguientesfunciones:

Acceso a archivos Reorganizacin de archivos

Seleccin de datos Funciones estadsticas Funciones aritmticas

Software utilitario. Generadores de informes del sistema de administracin de basesde datos .

Datos de prueba. Determinacin de errores lgicos de un programa o si satisface losobjetivos.

Revisin de sistemas de aplicacin. Informacin sobre controles internos construidosen el sistema.

Sistemas expertos. Software basado en consultas y se crea sobre la base de

conocimientos de auditores o gerentes del mas alto nivel.

5.15 Tcnicas de Auditora asistidas por Computadora

Ejemplos de procedimientos realizados con CAATs:


112/141

Pruebas de detalles de transacciones y saldos

Procedimientos de revisin analtica

Pruebas de cumplimiento de controles generales de SI

Pruebas de cumplimiento de controles de aplicacin de SI

Evaluaciones de vulnerabilidad de la red y del SO

Pruebas de penetracin

Pruebas de seguridad de aplicacin y escaneos de seguridad del cdigofuente

Debe ponderarse el costo/beneficio de los CAATs antes de invertir en suesfuerzo, tiempo y gasto de comprarlos o desarrollarlos. As tambin debenconsiderarse aspectos como la manipulacin de datos en produccin, elrendimiento, confidencialidad.

Pregunta

El uso PRIMARIO de un software generalizado de


113/141

auditora (GAS) es?

A. Probar los controles integrados en los programas

B. Probar el acceso no autorizado a los datos

C. Extraer datos de relevancia para la auditora

D. Reducir la necesidad de dar comprobantes para lastransacciones

113

5.16 Evaluacin de las Fortalezas y Debilidades

F t l D bilid d


114/141

Fortalezas Debilidades

Controles

Solapados

Dbiles

Compensatorios

Fuertes

Materialidad delos Hallazgos

5.17 Comunicacin de los Resultados de Auditora

Durante la entrevista final, el auditor de SI deber:


115/141

Asegurarse de que los hechos presentados en el informe estn correctos Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de

vista de los costos, y si no lo fueran, buscar alternativas negociando con la gerenciadel auditado

Sugerir fechas de implementacin para las recomendaciones acordadas

Tcnicas de presentacin de los resultados de auditora: Resumen Ejecutivo Presentacin visual

Una vez logrado los acuerdos con el auditado, se debe enviar un corto resumen a la altadireccin y al comit de auditora.

Qu hacer cuando hay desacuerdos?

5.17 Comunicacin de los Resultados de Auditora

INFORME DE AUDITORA


116/141

1. Introduccin2. Objetivos (General y Especficos)

3. Alcance4. Perodo cubierto por la auditora5. Directrices seguidas6. Resultados de la Auditora7. Hallazgos determinados

Condicin Criterio Recomendacin Comentarios de los Auditores

Conclusin de Auditora Grado de cumplimento.

5.18 Acciones de la Gerencia para implementar lasrecomendaciones

La auditora es un proceso continuo. Es necesario realizar un


117/141

seguimiento para determinar si la direccin ha emprendido las accionescorrectivas apropiadas.

El momento del seguimiento depender de la gravedad de los hallazgosy estara sujeto al criterio del auditor de SI. Los resultados delseguimiento debern ser comunicados a los niveles apropiados de laGerencia.

El Nivel de seguimiento se puede hacer de dos maneras:

Verificacin del estado actual. Verificacin de la implementacin de la accin.

5.19 Documentacin de la Auditora

Laplaneacinypreparacindelalcanceyobjetivosdedit


118/141

auditora

Ladescripciny/orecorridosenelreadeauditoravista

Elprogramadeauditora

Lospasos

de

auditora

realizados

yla

evidencia

recopilada

Elusodeserviciosdeotrosauditoresyexpertos

Loshallazgos,conclusionesyrecomendacionesdeauditora

Ladocumentacindeauditorarelacionadaconla

identificacin

y

fechas

de

documentos Unacopiadelinformeemitidocomoresultadodeltrabajodeauditora

Evidenciaderevisinsupervisoria deauditora

DocumentacindeAuditora

Po

lticasdeCust

odia,requisito

sde

retencinyl

iberacindela

documentaci

ndeauditora

Deb

enproveer

Ras

treabilidad

Ca

rgabilidad


119/141

AUTOEVALUACIN DELCONTROL (CONTROL SELFASSESSMENT)

119

6. Autoevaluacin del Control (CSA)

E t i d l


120/141

Es una tcnica de ladireccin que asegura alos accionistas, clientes y

otros que el sistema decontrol interno delnegocio es confiable. Enla prctica, CSA es unaserie de herramientasque abarcan:

Simples cuestionarios Talleres de facilitacin

diseados pararecopilar informacinsobre la organizacin.

Pregunta

Cul de las siguientes opciones es la MAS efectivapara implementar una autoevaluacin del control


121/141

para implementar una autoevaluacin del control(CSA) dentro de las unidades de negocio?

A. Revisiones informales de pares

B. Talleres facilitados

C. Narrativas de flujo de proceso

D. Diagrama de flujo de datos

121

6.1 Objetivos de CSA

Apalancar la funcin de auditora interna cambiando algunas de las


122/141

Apalancar la funcin de auditora interna, cambiando algunas de lasresponsabilidades de monitoreo de control a las reas funcionales.

Educar a la Gerencia sobre el diseo y monitoreo de controles, enparticular concentracin en las reas de alto riesgo.

Empoderamiento de los trabajadores para determinar o incluso disear elentorno de control.

Generar conciencia en la alta direccin y representantes de cada unidad denegocio.

Identificar como objetivo primario de la unidad de negocio, la confiabilidaddel sistema de control interno.

6.2 Beneficios del CSA

Deteccin temprana de riesgos

Controles internos mas efectivos y mejorados


123/141

Controles internos mas efectivos y mejorados

Creacin de equipos cohesivos a travs de la participacin de losempleados.

Desarrollo de un sentido de propiedad de los controles en los empleados yen los dueos del proceso y reduccin de su resistencia a controlar lasiniciativas de mejoramiento.

Mayor conciencia de los empleados sobre los objetivos organizacionales y

mayor conocimiento sobre riesgos y controles internos. Mayor comunicacin entre los mandos operativos y la alta direccin.

Empleados altamente motivados

Proceso mejorado de calificacin en auditoras

Reduccin en el costo del control

Mayor seguridad para los accionistas y clientes

Seguridad mnima para la alta direccin sobre lo adecuado de los controlesinternos, segn requerimientos de diversos entes regulatorios (SOX)

6.3 Desventajas de CSA

Podra confundirse como un reemplazo de la funcin de auditora


124/141

Se le considera como una carga de trabajo adicional

No implementar las mejoras sugeridas podra daar la moral de losempleados

La falta de motivacin puede limitar la efectividad en la deteccinde controles dbiles.

6.4 El Rol del Auditor en CSA

Cuando se establecen estos programas, los auditores se convierten en


125/141

profesionales del control interno y facilitadores de la evaluacin. Suvalor en esta funcin es evidente cuando la direccin asume la

responsabilidad y se considera duea de los sistemas de control internobajo su autoridad a travs de mejoras del proceso en sus estructuras decontrol, incluyendo un componente de monitoreo.

Para que un auditor sea efectivo en su funcin de facilitador y deinnovador, el auditor debe entender el proceso de negocio que se estevaluando. Esto se puede lograr por medio de herramientastradicionales de auditora, tales como la inspeccin o recorridopreliminar. Tambin los auditores deben recordar que ellos son los

facilitadores y que la direccin cliente es el participante en el procesode CSA.

6.5 Impulsores de Tecnologa para el programa de CSA

El desarrollo de tcnicas para empoderar recopilar informacin y


126/141

El desarrollo de tcnicas para empoderar, recopilar informacin ytomar decisiones es una parte necesaria de una implementacin deCSA. Algunos de los impulsores de tecnologa incluyen la combinacinde hardware y software para soportar la seleccin de CSA y el uso deun sistema electrnico de reunin y apoyo para la toma de decisionessoportadas por computador para facilitar la toma de decisiones delgrupo. La toma de decisiones del grupo es un componente esencial de

un CSA basado en talleres donde el empoderamiento al empleado esun propsito. En caso de un enfoque de cuestionario, el mismoprincipio se aplica para el anlisis y reajuste del cuestionario.

6.6 Enfoque Tradicional vrs. Enfoque CSA

El enfoque tradicional puede resumirse como cualquier enfoque en el que laresponsabilidad primaria de analizar e informar sobre el control interno y el riesgo


127/141

responsabilidad primaria de analizar e informar sobre el control interno y el riesgose asigna a los auditores y en menor grado , a los departamentos de contralora ycontroles externos.

El enfoque de CSA enfatiza el rol de la direccin y la rendicin de cuentas sobre eldesarrollo y monitoreo de os controles internos de los procesos de negociosensitivos y crticos de una organizacin.


128/141

CAMBIOS EMERGENTES EN ELPROCESO DE AUDITORA DE SI

128

7.1 Papeles de Trabajo automatizados

PAPELESDETRABAJO Pts automatizados


129/141

ANALISISDERIESGOSPROGRAMASDEAUDITORIA

RESULTADOS

EVIDENCIADEPRUEBASCONCLUSIONESINFORMESINFORMACIONCOMPLEMENTARIA

(hojasdeclculo,procesadortexto,otro)INTEGRIDAD

CONFIDENCIALIDADDISPONIBILIDAD

Controles:Acceso(perfilesyderechos)Pistas

de

auditora

(btacoras)

Funcionesautomatizadas(autorizaciones)SeguridadProcedimientosestablecidos

7.2 Auditora Integrada

DO Identificacin de losA dit


130/141

PROC

ESOI

NTEGR

AD

Identificacin de losriesgos y controles clave

relevantes

Revisin y comprensindel diseo de los

controles

Comprobacin de loscontroles

Informe y opinincombinada sobre riesgosAudi SI

operativa

financiera

AuditoraIntegrada

7.3 Auditora Continua

Monitoreo Continuo


131/141

Monitoreo Continuo

Herramientas de administracin de SI, se basa tpicamente en

procedimientos automatizados, para cumplir con las responsabilidadesfiduciarias. Ejm: Antivirus en tiempo real, IDS, etc.

Auditora Continua

Una metodologa que permite a auditores independientes proveercerteza escrita sobre un asunto usando una serie de informes deauditora emitidos simultneamente en un perodo corto de tiempo,despus de que han ocurrido los eventos subyacentes al asunto.

7.3 Auditora Continua

RequisitosoPrecondiciones

para

que

la

auditora

continua

tenga

xito:

Unaltogradodeautomatizacin


132/141

Unprocesoautomatizadoyaltamenteconfiableparaproducirinformacin

sobre

un

asunto

tan

pronto

hayan

ocurrido

los

eventos

subyacentes

al

asuntoodurantelosmismos.

Activadoresdealarmasparainformaroportunamentefallasdecontrol

InformerpidoyoportunoalosauditoresdeSIsobrelosresultadosdelos

procedimientosautomticos,

cuando

el

proceso

ha

identificado

anomalas

oerrores.

AuditoresdeSItcnicamentecompetentes

Disponibilidaddefuentesconfiablesdeevidencia

Uncambiodementalidadparaquelosauditoresadoptenelinformecontinuo

Evaluacindelosfactoresdecosto.

Pregunta

El PRIMER paso en planear una auditora es:


133/141

A. Definir los productos de la auditora

B. Finalizar el alcance de la auditora y los objetivos de laauditora

C. Lograr una comprensin de los objetivos del negocio

D. Desarrollar el mtodo de auditora o la estrategia de auditora

133

Pregunta

El enfoque que un auditor de SI debe usar paraplanear la cobertura de la auditora de SI debe estarbasado en:


134/141

basado en:

A. Riesgo

B. Importancia

C. Escepticismo profesional

D. Suficiencia de la evidencia de auditora

134

Pregunta

Una compaa realiza una copia de respaldo diaria de losdatos crticos y de los archivos de software y almacenalas cintas de respaldo en un lugar fuera delestablecimiento Las cintas de respaldo se usan para


135/141

establecimiento. Las cintas de respaldo se usan pararecuperar los archivos en caso de interrupcin. Esto es:

A. Control Preventivo

B. Control gerencial

C. Control correctivo

D. Control de deteccin

135


136/141

CASO DE ESTUDIO

136

8. Caso de Estudio

Se ha pedido al auditor de SI que realice un trabajo preliminar que evaluar elalistamiento de la organizacin para que una revisin mida el cumplimiento de los nuevosrequisitos regulatorios. Estos requisitos estn diseados para asegurar que la gerencia


137/141

q g q p g q gest asumiendo un papel activo en establecer y mantener un entorno bien controlado y,

en consecuencia, evaluar la revisin de la gerencia y las pruebas del entorno general decontrol de TI. Las rea a ser evaluadas incluyen seguridad lgica y fsica, administracinde cambios, control de produccin y administracin de redes, gobierno de TI, ycomputacin de usuario final. Al auditor de SI se le han dado seis meses para realizar estetrabajo preliminar, de modo que debe haber disponible suficiente tiempo. Se debe seal

que en aos anteriores, se han identificado reiterados problemas en las reas deseguridad lgica y administracin de cambios, de modo que estas reas muyprobablemente requerirn algn grado de rectificacin. Las deficiencias de seguridadlgica notadas incluyeron compartir las cuentas de administrador y no ejecutar loscontroles adecuados sobre las contraseas. Las deficiencias de administracin de

cambios incluyeron indebida segregacin de funciones incompatibles y no documentartodos los cambios.

8. Caso de Estudio

Adicionalmente, el proceso para desplegar las actualizaciones del sistema operativo a losservidores se encontr que era solo parcialmente efectivo. En anticipacin del trabajo aser realizado por el auditor de SI, el director de informacin (CIO) solicit reportes


138/141

p , ( ) pdirectos para desarrollar narrativas y flujos de proceso que describieran las principales

actividades de las que TI es responsable. Estos se llevaron a cabo, fueron aprobados porlos diferentes dueos de proceso y por el CIO y luego fueron enviados al auditor de SIpara examen.

Pregunta

Qu debera hacerPRIMERO el auditor de SI?


139/141

A. Efectuar una evaluacin del riesgo de TI

B. Realizar una auditora de inspeccin de los controles de accesolgico

C. Revisar el plan de auditora para concentrarse en la auditorabasada en riesgo

D. Comenzar a probar los controles que el auditor de SI estima que

son los ms crticos

139

Pregunta

Cuando se prueba la administracin de cambios deprogramas Cmo se debe seleccionar la muestra?


140/141

A. Los documentos de administracin de cambios deben ser seleccionadosal azar y examinados para verificar si son apropiados.

B. Se deben sacar muestras de los cambios al cdigo de produccin y estosdeben ser rastreados hasta la documentacin apropiada que autoriz.

C. Los documentos de administracin de cambios deben ser seleccionadosen base a la criticidad del sistema y deben ser examinados paraverificar si son apropiados.

D. A los cambios al cdigo de produccin se les debe sacar una muestra, yse les debe rastrear hasta los registros (logs) producidos por el sistemaque indiquen la fecha y la hora del cambio.

140


141/141

Universidad Don BoscoCalle Plan del Pino ,km 1 Ciudadela Don Bosco, Soyapango

San Salvador, El Salvador, Centro Amrica

(503) 2251-8200 Ext. 1722

www.udb.edu.sv

141

Sistemas de Información -M-1

Documents

Transcript of Sistemas de Información -M-1