dominio1_2010

1

El proceso de laEl proceso de la

Auditoría de SIAuditoría de SI

El proceso de laEl proceso de la

Auditoría de SIAuditoría de SI

Dominio 1

2

Contenido Contenido

Misión de la Auditoría de SIEstándares y Lineamientos Análisis de RiesgoControles Ejecución de la Auditoría de SI

3

Misión de la Auditoría de SI Misión de la Auditoría de SI

Origen de la función de Auditoría de SI Tipos de Auditoría Evolución

Cometidos de la Auditoría de SIGerenciamiento de la Auditoría de SIReglas y regulaciones

4

Tipos de AuditoríaTipos de Auditoría

Según la naturaleza de las tareas: Contables /Financieras Operativas (SI y Calidad) Global

Según su vinculación con la empresa Interna (sus funciones se establecen a partir de un Estatuto o

Carta de Creación de la función de Auditoría) Externa (Contrato entre Firma auditora y la jerarquía de la

empresa que corresponda- carta de gerencia)

5

Evolución de la práctica de Auditoría

Evolución del ambiente de TI Complejidad creciente de los sistemas Computación de usuario final a bajo costo Tendencia a la descentralización Outsourcing Reducción de tiempos de desarrollo Utilización de comercio electrónico

Aumento de la dependencia de las organizaciones hacia sus SI

Agregar valor a la práctica de la auditoríaProactividad Vs. reactividad

6

Cometidos de la Auditoría de SI

Revisión de sistemasRevisión de operaciones de producciónApoyo a otros auditoresApoyo a la organizaciónAuditorías al cumplimiento de contratos y

aseguramiento de la calidad

7

Revisión de sistemasRevisión de sistemas

Sistemas bajo desarrolloMetodología de desarrolloAsesorar a los comités de dirección y control de

cambios

8

Revisión de operaciones de producciónRevisión de operaciones de producción

Auditorías de infraestructuraRedes y comunicacionesRevisiones de SeguridadRevisiones de aplicacionesRevisiones de procesamiento y backup

9

Apoyo a otros auditoresApoyo a otros auditores

Apoyo técnico y entrenamiento a auditores internos operativos y contables

Coordinar revisiones de aplicaciones con auditores internos operativos y contables

Apoyo técnico a auditores externos

10

Apoyo a la organizaciónApoyo a la organización

Proveer guías técnicas, de control y de seguridad al personal de sistemas

Apoyar el desarrollo de aplicaciones de controlFacilitar la implementación de programas de

Control Self AssesmentEntrenamiento cruzado con auditores contablesEducación profesional continua

11

Contratos y aseguramiento de calidadContratos y aseguramiento de calidad

Verificar la participación de la gerencia en el proceso de contratación.

Asegurar que existen revisiones oportunas del cumplimiento de los contratos

Verificar la existencia de la función de aseguramiento de la calidad

12

Gerenciamiento de la Auditoría

Términos de la auditoría Planificación

Determinación de áreas de auditoría Conocimientos y experiencias requeridas

(organización, ambiente tecnológico, industria y sector)

Administración de los recursos Cronograma

Aprobación de la planificación (Comité de Auditoría)

Seguimiento

13

Gerenciamiento de la AuditoríaAdministración de recursos de la Auditoría

Identificar el alcance de la auditoría Identificar el universo de la auditoría Determinar los recursos disponibles Asignar los recursos a las áreas de mayor riesgo o de

mayor retorno para la empresaRestricciones

Reemplazo reciente de personal Disponibilidad de recursos capacitados Fechas de entrega de informes Falta de documentación y/o conocimientos

14

Reglas y Regulaciones

Internas y externas Prácticas operativas, controles y utilización de

sistemas computarizados y datos Función de auditoría

Foco en: Definición de la función de Auditoría Organización Responsabilidades Relación entre Auditorías Financieras y

Operativas

15

Reglas y Regulaciones (Cont.)Evaluación de cumplimiento de requerimientos

externos: Identificar los requerimientos externos relevantes

Prácticas y controles de sistemas computarizadosAlmacenamiento de datos y programasOrganización de servicios de información

Documentar leyes y regulaciones Evaluar si la gerencia y el área de SI los consideran Revisar la documentación interna del área de SI (verificar

adherencia respecto a leyes y requerimientos del sector) Determinar adherencia de los procedimientos

establecidos respecto a los requerimientos

16

Estándares y LineamientosEstándares y Lineamientos

Estándares

Políticas

Procedimientos

Conceptos Generales de Seguridad

Fundamentos de Seguridad Informática

Mejores Prácticas

Prácticas Operativas de IT

Prácticas Administrativas

Prácticas de Gerenciamiento

Procedimientos Técnicos y

Administrativos

Controles Técnicos específicos

Independiente de la

Arquitectura Tecnológica

Dependiente de la

Arquitectura Tecnológica

¿Por qué son importantes los estándares y las políticas?

17

Estándares y LineamientosEstándares y Lineamientos

Marco provisto por ISACA Estándares Lineamientos Código de Etica

18

Estándares de ISACA

Objetivo

Brindar un marco mínimo aceptable de cumplimiento de los requerimientos incluidos en el Código de Etica.

Informar a las partes interesadas de las expectativas concernientes al desempeño de los profesionales

19

Lineamientos de ISACA

Objetivo

Brindar información adicional, a aplicar con juicio profesional, para implementar estándares y justificar opiniones y/o acciones.

20

Código de ética profesional Definir y cumplir con estándares, lineamientos y procedimientos de SI

sugeridos. Servir a los intereses del empleador, accionistas, clientes y público en

general de manera diligente, leal y honesta. Mantener la confidencialidad sobre la información obtenida Ser independiente en esencia y apariencia. Mantener la competencia en campos vinculados al tema de auditoría y SI

a través del desarrollo de actividad profesional Reunir y documentar material suficiente para sustentar sus hallazgos. Informar a quien corresponda sobre el resultado y desarrollo de los

trabajos de Auditoría. Apoyar a la gerencia y clientes en general en la capacitación para lograr

un entendimiento sobre los hallazgos y observaciones informados.

Mantener una conducta profesional y personal intachable.

21

Análisis de Riesgo Análisis de Riesgo

Definición de RiesgoElementos Proceso de administración del riesgo de

negocio

22

Amenazas

Datos

Software

Hardware

RRHH, etc.

RIESGOS

Capacidad que tiene una amenaza de explotar las vulnerabilidades de un activo o conjunto de activos y causar pérdida o daños en éstos.

Definición de Riesgo

Vu

lner

abil

idad

23

Elementos Amenazas

Errores Ataques y acciones

maliciosas Fraude o robo Fallas de hard/soft

Activos Información y datos Hardware Software Servicios Documentos Personal

Vulnerabilidades Carencias en el conocimiento de los usuarios Funciones de seguridad con carencias Selección de passwords pobre Utilización de tecnología no probada Transmisión a través de comunicaciones no protegidas

24

Elementos (Cont.)Impacto

Pérdidas económicas directas Romper normas Pérdidas de imagen, buena reputación Pérdida de confidencialidad Pérdida de oportunidades de negocio Reducción del nivel de cumplimiento/eficiencia en

las operaciones Interrupción de la continuidad de las operaciones

Riesgo general Riesgo residual

25

Proceso de adm. del riesgo de negocio

Proceso: Identificar el activo informático Identificar potenciales amenazas y determinar su

impacto en relación a las vulnerabilidades asociadas al activo.

Identificar y evaluar los controles existentes que prevengan, detecten la ocurrencia y/o mitiguen el impacto.

Definir y evaluar algún control adicional Clasificar los riesgos identificados considerándolos

junto a los controles que los mitigan

26

Proceso de adm. del riesgo de negocio

Análisis costo-beneficio de una contramedida El costo del control Vs. el beneficio de mitigar el

riesgo (exposición del riesgo) El nivel de riesgo que la gerencia está dispuesta a

aceptar Método preferido para reducir el riesgo (eliminar el

riesgo, minimizar la probabilidad de ocurrencia, minimizar el impacto, transferir/asegurar)

27

Controles Controles

Definición Clasificación de controlesEstructura de Control Interno Objetivo de Control Interno Objetivo de Control de SICOBIT Procedimientos de Control de SI

28

Definición

Políticas, prácticas y estructuras organizativas diseñadas para asegurar razonablemente que se pueden alcanzar los objetivos del negocio, y que los eventos indeseables son prevenidos o detectados y corregidos

29

Clasificación Controles preventivos

Identifican potenciales problemas antes de que ocurran Monitorean operaciones y E/S Previenen errores, omisiones u actos maliciosos

Controles Detectivos Identifican y reportan la ocurrencia de un error, omisión u acto

malicioso ocurridoControles Correctivos

Minimizan el impacto de una amenaza Solucionan errores detectados por controles detectivos Identifican la causa de los problemas y corrigen errores

producidos Modifican los procedimientos de SI para minimizar futuras

ocurrencias del problema

30

Estructura de Control Interno

Proceso llevado a cabo por el Directorio, la Gerencia y el Personal de una organización para proveer un aseguramiento razonable del logro de los objetivos de la misma.

31

Estructura de Control Interno (Cont.)

Promueve:

Logro de los objetivos del negocio a través de: Efectividad y eficiencia de las operaciones Confiabilidad de los reportes internos Cumplimiento de las leyes y regulaciones

aplicablesConstrucción de controles para los procesos

del negocio Participación de la gente (Directorio, Gerencia,

Staff)

32

Objetivo de Control Interno Contables

Orientados a la función contable Persiguen la protección de activos y correctitud de los

registros contables

Operativos Orientados a las operaciones diarias de la organización Persiguen asegurar que funciones y actividades están

alineadas con los objetivos de la organización

Administrativos Orientados a las funciones administrativas Persiguen la eficiencia de las mismas en adherencia a las

normas de la gerencia

33

Objetivo de Control de SI

Una declaración del resultado o propósito que se desea lograr mediante la implementación de procedimientos de control en una actividad de Tecnología de Información particular.

34

Objetivo de Control de SI

Están dirigidos a Directivos, Gerencia y Staff de la empresa

Conjunto de controles mínimos para asegurar la efectividad, eficiencia y economía en la identificación y utilización de los recursos de IT

Ejemplos: La información se encuentra resguardada Cada transacción se autoriza e ingresa una sola vez Se informa de transacciones duplicadas o rechazadas Se hacen copias de respaldo (Backups) Cambios de software son debidamente probados y

aprobados

35

COBIT

36

COBIT (Cont.)

37

Procedimiento de Control de SI

Políticas y prácticas establecidas por la gerencia a los efectos de asegurar razonablemente que se cumplen ciertos objetivos de SI

38

Procedimiento de Control de SI

Areas de interés: Controles generales de la organización Acceso a datos y programas Metodologías de desarrollo de Sistemas Operaciones de procesamiento de datos Funciones de configuración y soporte técnico Aseguramiento de la calidad del procesamiento

de datos

39

Procedimiento de Control de SI (Cont.)

Se puede establecer una correlación entre: Procedimientos de Control generales Procedimientos de Control específicos de TI.

Ejemplos:

PC GeneralPC General

Protección de Activos

PC SIPC SI

• Control de acceso físico al CPD (Protección del equipamiento de TI)

• Control de acceso a datos y programas

• Control de cambios a programas

40

Procedimiento de Control de SI (Cont.)

PC GeneralPC GeneralContinuidad de las operaciones del Negocio

PC SIPC SI

• Procesos de Backups/Recovery de datos y programas

• Infraestructura redundante • Entrenamiento cruzado

41

Ejercicios

Procedimiento de Control:

“Toda la actividad de acceso que no está de acuerdo con las políticas y procedimientos establecidos de la organización es investigada”

¿Cuáles son los riesgos asociados a este procedimiento de control?

42

Ejercicios

Riesgo:

“Si el acceso no está restringido basado en el rol del solicitante, puede resultar muy restrictivo o muy generoso. En el último caso, la requerida segregación de tareas puede ser violada o la confidencialidad, integridad o disponibilidad de información puede correr riesgo.”

Describir el procedimiento de control asociado a este riesgo

43

Ejecución de una Auditoría de SI Ejecución de una Auditoría de SI

Fases de una Auditoría Acciones de la Gerencia (para implementar

recomendaciones) Documentación de la Auditoría

44

Fases de Auditoría

1. Selección del tema/area de Auditoría

2. Definición de los objetivos de la Auditoría

3. Definición del alcance de la auditoría

4. Programación de la Auditoría

5. Procedimientos de Auditoría

6. Procedimientos de evaluación de resultados

7. Procedimientos de comunicación con la gerencia

8. Reporte de Auditoría

45

Fases de Auditoría (Cont.)

1.Selección del tema/area de Auditoría

Criterios para la determinar el tema de AuditoríaTipos de Riesgos Técnica de Evaluación de Riesgos Ventajas de aplicar la Técnica de Evaluación de

Riesgos

46

1. Selección del tema/area de Auditoría

Criterios para la determinar el tema de Auditoría Nuevos temas de control

Nuevas tecnologías

Disponibilidad de recursos

Exigencias normativas

Técnica de Evaluación de Riesgos

47

1. Selección del tema/area de Auditoría (Cont.)

Tipos de Riesgos Riesgo inherente Riesgo de control Riesgo de detección Riesgo global de Auditoría

48


Técnica de Evaluación de Riesgos Identificación del riesgo a través de la

identificación y análisis de las amenazas asociadas (Análisis de Riesgo)

Clasificar los riesgos (considerar los controles asociados)

49


Ventajas de aplicar la Técnica de Evaluación de Riesgos Posibilita una asignación efectiva de recursos Da valor agregado a la Auditoría enfocándola en los

riesgos más altos del negocio Asegurar que se obtuvo la información relevante Establece las bases para un funcionamiento efectivo del

área de Auditoría Interna Obtiene un resumen del impacto de cada tema de

auditoría en relación a los planes generales del negocio

50


2. Definición de los objetivos de la Auditoría

Dependen de la meta específica de la auditoríaSe basan en probar el cumplimiento del

conjunto de objetivos de control interno relacionados con esta meta: Identificar los procedimientos de control

(detección, reducción, transferencia del riesgo) Evaluar los procedimientos de control Evaluar la necesidad de implementar nuevos

controles

51


3. Definición del alcance de la auditoría

Tener en cuenta : Objetivo de la Auditoría Minimizar el Riesgo de Auditoría

52


4. Programación de la Auditoría

Identificar destrezas técnicas y recursos requeridos

Identificar fuentes de información Identificar lugares físicos e instalaciones a

auditar Actualizar los programas de auditoría existentes

53



Recopilación de datos Identificación de personas a entrevistar Identificar y obtener políticas, normas y

directivas del departamento para su revisión Desarrollar herramientas y metodología para

probar y verificar los controles.Identificar y seleccionar enfoque apropiado para

verificar y probar los controles

54

5. Procedimientos de Auditoría Recopilación de datos

Reglas de Evidencia Independecia de quien la proveeCalificación de quien la proveeObjetividad Suficiencia

Técnicas para reunir evidencia Revisar la estructura organizativa del área de ITRevisar estándares para la documentación de los

Sistemas Entrevistar al personal apropiado Observar la operativa y a los empleados

55


Recopilación de datos (Cont.)

Muestreo

Estadístico

No estadístico

56


Recopilación de datos (Cont.) Computer Assisted Audit Techniques (CAAT)

Ejemplos:Generador de datos de prueba Sistemas expertos Utilitarios estándarSoftware especializado de auditoría

Algunas ventajas :Reduce el nivel de riesgo de la auditoría Genera evidencia con independecia del auditadoDa confiabilidad en la información reunida

57


Recopilación de datos (Cont.) Computer Assisted Audit Techniques (CAATs)

Algunas ventajas :Se puede disponer de infomación en forma más rápidaPermite cuantificar debilidades de control internoMejora la identificación de excepciones Fáciles de utilizar No requieren demasiado entrenamiento Uso flexible (diferentes plataformas, BD, etc.)Facilidades para documentar la selección y

procesamiento de los datos

58


Identificar y seleccionar enfoque apropiado para

verificar y probar los controles

Pruebas de cumplimiento

Pruebas sustantivas

59

Fases de Auditoría (Cont.)Fases de Auditoría (Cont.)


Evaluación de fortalezas y debilidadesMaterialidad de los hallazgos

60


Evaluación de fortalezas y debilidades

Luego de desarrollar un programa de auditoría y reunir evidencia de auditoría se debe evaluar la información reunida para emitir una opinión.

El auditor de SI debe tener cuidado profesional

61


Evaluación de fortalezas y debilidades (Cont.)Evaluar el cumplimiento de los objetivos de control a partir

de la evidencia obtenidaIdentificar información pertinente y periféricaEvaluar controles compensatorios y redundantesInterrelación de controles Evaluar eficiencia y eficacia de las operaciones Considerar técnicas para analizar la evidencia

(tendencias) Materialidad del hallazgo (respecto a las normas y realidad

de la organización).

62


Materialidad de los hallazgos Considerar: Objetivo de la Auditoría Ambiente de seguridad y control del

sector/organización

63


7. Procedimientos de comunicación con la gerencia

El auditor de SI debe comunicar sus hallazgos y recomendaciones a Gerencia General, Directorio, o Comité de Auditoría según corresponda

Es una práctica recomendable discutir el borrador previamente con el gerente del área auditada.

64


8. Reporte de Auditoría

Estructura y contenidoTécnicas de exposición

65

8. Reporte de Auditoría (Cont.)

Estructura y contenido Introducción (objetivo, alcance y período de la

auditoría, términos generales de referencia, tipo de procedimientos acordados, etc.)

Conclusiones generales del auditor sobre adecuación de procedimientos y controles revisados

La información obtenida debe soportar las conclusiones

Hallazgos y recomendacionesSeleccionar la información a incluir dependiendo de

quien es el destinatarioClasificarlos según su materialidad

66


Estructura y contenido (Cont.) Descargos de la gerencia, medidas tomadas en

el transcurso de la auditoría, etc. Respuesta de la Gerencia:

Plan de acciónResponsableFecha estimadaDebe ser realista para la empresa, tanto en

oportunidad como alcance.

67


Técnicas de exposición Resumen Ejecutivo Informe Presentación visual

68

Seguimiento

El proceso de Auditoría debe ser recurrenteEl éxito de la Auditoría también depende de las

medidas que tome la GerenciaEl Auditor de SI debe realizar un seguimiento

de las acciones que tome la Gerencia El Auditor de SI no es responsable de

implementar las recomendaciones

69

Documentación de la Auditoría

Papeles de trabajo Notificaciones a la Gerencia Programa de Auditoria Resultados de los testeos Evidencia Reporte de Auditoria

Organizado en Bases de Datos Documentales

70

Los Verbos del Auditor

Identificar Evaluar Verificar Recomendar Hacer Seguimiento

dominio1_2010

Documents