2011 ii cap 03 - metodologias y tecnicas de auditoria
TRANSCRIPT
Metodologías
Desarrollo e Implantación
Experiencia
Conocimiento
Habilidades
Proceso Metodológico - Ventajas
Eliminación de Informalidad
Obtención de procesos de calidad
Mejor Comunicación
Mejor Administración
Facilidad de Seguimiento
Proceso Metodológico – Requisitos de éxito
Adecuación a requerimientos del negocio
Capacitación en la metodología
Comprobación de uso
Planes AI acordes
Preliminar (Diagnóstico)
- Negocio
- Informática
Justificación
- Áreas a Auditar
- Plan propuesto Revisión Informal
Adecuación
- Métodos
- Técnicas
- Herramientas
Formalización
- Aprobación
- Inicio
Revisión Formal
Aprobación Formal
Desarrollo
- Entrevistas - Recomendaciones
- Visitas - Informe de auditoría
- Observaciones
Implantación
Acciones Preventivas y Correctivas
Seguimiento
Estrategia - Implantar proceso Metodológico
Etapa Productos Terminados Requerimientos Responsable
Involucrados
Preliminar (Diagnóstico)
1. Diagnóstico de negocio 2. Diagnóstico de
Informática
1. Involucramiento de la Dirección.
2. Información veraz
LP LP
AD/AI RI/RAI
Justificación 1. Matriz de riesgos
2. Plan de auditoría en Informática
1. Análisis de riesgos y áreas de oportunidad
2. Definir responsables y tiempos
LP LP
RAI/RI RAI
Adecuación 1. Plan y Metodología de acuerdo con el cliente
2. Plan detallado
1. Entendimiento del negocio y de la función de Informática.
2. Detallar tareas y tiempos
LP LP
RI/RAI/PU RI/RAI/PU
Formalización 1. Plan Aprobado 2. Compromiso Ejecutivo
1. Aprobación formal (firmas) 2. Respaldo y apoyo al proyecto
AD AD
RI/RAI/PU RI/RAI/PU
Desarrollo 1. Auditar áreas seleccionadas
2. Informe de auditoría en Informática
1. Aprobación de la dirección 2. Asignar responsables y
tiempos para cada acción recomendada
LP AD/PI/PU
RI/PU/AI RAI/LP/AI
Implantación 1. Recomendaciones y acciones terminadas
2. Aprobación final
1. Compromiso ejecutivo 2. Basarse en plan de
implantación 3. Verificar cumplimiento del plan
RI/PU LP/AI
LP/AI RI/PU/RAI
AD: Alta Dirección; PU: Personal Usuario; RI: Responsable del Área de Informática; PI: Personal de Informática; RAI: Responsable del Área de Auditoría Informática; LP: Líder del proyecto de Auditoría Informática; AI: Auditor en Informática
Proceso Metodológico General
Métodos Técnicas y
Herramientas por Área
de Revisión
Resultados satisfactorios de la Auditoría
• Dominio de los conceptos técnicos y administrativos relacionados.
• Habilidades inherentes a la Auditoria Informática.
• Entendimiento de la Auditoría Informática y sus tendencias.
• Adaptación o actualización según el medio dominante.
• Organización y administración formal de la Auditoría Informática en el
negocio.
• Involucramiento formal en el proceso de planeación del negocio y de la
auditoría tradicional.
Resultados satisfactorios de la Auditoría
• Desarrollo de un proceso formal de planeación de Auditoría
Informática.
• Entendimiento y aplicación de un proceso metodológico formal de la
Auditoría Informática.
• Participación formal, en asociaciones, instituciones educativas, etc.,
con fines de actualización o de compartir las experiencias
profesionales en el campo de la Auditoría Informática.
• Gusto e identificación profesional por la carrera de Auditoría
Informática.
• Entendimiento satisfactorio de los métodos, técnicas y herramientas
necesarios para auditar las áreas seleccionadas en el proceso de
planeación de la AI.
Técnicas y Herramientas
Definir técnicas y herramientas mínimas para cada etapa del
proyecto de Auditoría Informática
• Muestreos.
• Entrevistas.
• Cuestionarios.
• Inspección.
• Observación.
• Documentación.
Técnicas y Herramientas
Definir técnicas y herramientas mínimas para cada etapa del
proyecto de Auditoría Informática
• Software de auditoría.
• Análisis de procesos de negocios.
• Análisis de sistemas.
• Lenguajes de programación.
• Paquetes.
• Equipos de Computo.
Técnicas de Auditoría
Técnicas de Auditoría
Las técnicas de auditoría son métodos prácticos de
investigación y prueba que utiliza el auditor para obtener la
evidencia que fundamente sus opiniones, conclusiones y
reportes.
• Las técnicas seleccionadas y aplicadas se convierten en procedimientos
de auditoría.
Técnica Ocular
Consiste en observar en forma directa y paralela la manera
como los responsables de la administración, desarrollan y
documentan los procesos o procedimientos que la organización
utiliza para ejecutar las actividades objeto de control.
Técnica Ocular
• Comparación
Es el acto de apreciar la similitud o diferencia existente entre dos o más
elementos o situaciones.
En la auditoria supone cotejar y evaluar los mismos criterios aceptables que
facilitan la labor del auditor para obtener de dicha acción un resultado o
conclusión.
• Observación
Es el examen visual u ocular realizado para cerciorarse de hechos,
circunstancias y de como se ejecutan las operaciones.
Es de utilidad en todas las fases del proceso de auditoria. Puede ser
efectuada de manera abierta o discreta.
Técnica Verbal u Oral
Permite obtener información mediante el dialogo con los
integrantes de la organización o los de su entorno relevante,
con el propósito de averiguar o indagar posibles debilidades de
los procedimientos, prácticas de control interno y otras
situaciones que el auditor considere importante en el desarrollo
de su trabajo.
Técnica Verbal u Oral
Indagación:
• Es el acto de obtener información verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios de la
entidad. Suelen aportar elementos de juicio en los que puede confiarse
si son razonables y consistentes.
Es de especial utilidad cuando se examinan áreas o asuntos no
documentados, sin embargo sus resultados no constituyen por sí solos
evidencia suficiente.
Técnica Verbal u Oral
Entrevistas
• Pueden ser efectuadas a los directivos, funcionarios y trabajadores en
general de la entidad auditada o a personas beneficiarias u otras
vinculadas respecto de los programas u operaciones sujetas a examen.
• Deben ser apropiadamente preparadas, definiéndose previamente a su
realización quienes serán los entrevistados y las preguntas que se
formularán.
• Deberán ser documentadas y advertirse al entrevistado de su propósito o
finalidad.
Técnica Verbal u Oral
Encuestas
• Son útiles para recopilar información de un gran universo de datos o
grupos de personas.
• Presentan como ventaja la economía de costos y tiempos para obtener
información, sin embargo exigen una preparación y definición de su alcance
adecuada y rigurosa en beneficio de su confiabilidad y utilidad, es
recomendable recurrir a las técnicas propias de la estadística.
Técnica Escrita
Es la actividad de registrar o plasmar información que a juicio
del auditor sea importante dentro de su trabajo.
• Análisis
Consiste en identificar, estratificar o clasificar elementos constitutivos del
objeto de análisis, con el propósito de obtener información y llegar a
conclusiones que a juicio del auditor afecten la gestión de la organización
auditada.
Técnica Escrita
• Conciliación
• Es el cotejo o confrontación que se hace a la información obtenida de
diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento de
metas, objetivos o de registros independientes pero relacionados entre sí,
para establecer su conformidad y veracidad.
• Confirmación
• Permite obtener un grado razonable de certeza sobre la existencia,
cumplimiento, veracidad y autenticidad de planes y programas ejecutados,
cobertura de usuarios, operaciones, cifras y datos.
Técnica Documental
Consiste en obtener información escrita que permita soportar las afirmaciones, análisis o estudios realizados por los auditores.
• Comprobación
Verifica la evidencia que apoya o sustenta una operación o transacción con el fin de corroborar su autoridad, legalidad, propiedad y veracidad.
• Computación
Es el análisis de documentos, programas, datos o hechos asistidos por el computador y/o software especializados, cuando las operaciones o transacciones se ejecutan en cantidad tal que su análisis manual resultaría tedioso.
Técnica Documental
• Rastreo
• Es utilizada para hacer seguimiento y control, de modo progresivo y
razonado, a una operación o conjunto de ellas, de un punto a otro dentro de
un proceso o actividad determinada.
• Revisión Analítica
• Comprende el análisis de índices, indicadores, tendencias y la investigación
de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o
se desvíen de las operaciones proyectadas de la organización.
Técnicas de auditoría Asistida por Computadora
Introducción
Las técnicas de auditoría Asistidas por Computadora son la
utilización de determinados paquetes de programas que actúan
sobre los datos, realizando con más frecuencia los siguientes
trabajos:
• Selección e impresión de muestras de auditorias sobre bases
estadísticas o no estadísticas, a lo que agregamos, sobre la base de los
conocimientos adquiridos por los auditores.
• Verificación matemática de sumas, multiplicaciones y otros cálculos en
los archivos del sistema auditado.
Introducción
• Realización de funciones de revisión analítica, al establecer
comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo
cálculos de regresión múltiple.
• Manipulación de la información al calcular subtotales, sumar y clasificar
la información, volver a ordenar en serie la información, etc.
• Examen de registros de acuerdo con los criterios especificados.
• Búsqueda de alguna información en particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las bases de datos del sistema que
se audita.
Herramientas
para la Auditoría
de los SI
Generalidades
La auditoría y la auditoría informática tienen una demanda
creciente y crecientes exigencias de cobertura y granularidad.
El auditor es un recurso limitado, escaso, relativamente caro.
• Existe gran variedad de modos de clasificación:
Embebidas. (EAM)
Verticales de gestión (de la auditoría). GAT/CAAT. IDEA y ACL.
Hacking ético
Compliance
Herramientas
Las herramientas pueden ser especificas, sustitutivas e incluso
ser multipropósito.
• Generalmente, el mejor costo-beneficio se obtiene con herramientas
especificas, no multipropósito.
• Excepto claro que los costos de formación, su frecuencia e intensidad de
uso y el propio costo directo de cada herramienta aconsejen una
multipropósito.
Herramientas
El objeto
(objetivo y control)Herramienta
El sujeto
(quien las usa)
La herramienta
depende del objeto
Determina la herramienta
en función de objeto y su
dominio de herramienta
Debe “dominar” (metodología)
la herramienta (no al reves)
Integración de la Auditoría.
Herramientas
Auditoría
SITIC
Auditoría
Operativa
Auditoría
Financiera
Auditorias de
“Sistemas de
Gestión”
ISO 9001: 2000 Gestion de la Calidad
ISO 27001 SGSI (ISMS)
ISO 14000 Gestion Medioambiental
Núcleo
común
creciente
Herramientas según su procedencia
• De entorno adquisición – construcción.
• Lenguajes de programación, debuggers, analizadores.
• De prueba.
• ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y
auditoria “continuada”
• Del entorno explotación-operación.
• El acceso debe ser controlado y supervisado, pues el riesgo de impacto de
un acceso instructivo en un entorno de producción es muy alto.
Herramientas según su procedencia
• Software de Sistemas
Un ASITIC capaz de lograr acceso privilegiado al SO, software de red, logs,
etc., puede explotar enormes ventajas.
• Utilidades
Potentes herramientas, fundamentalmente de extracción de datos. El ASITIC
debe comprobar que el acceso a utilidades por el personal auditado esta
restringido al máximo, y totalmente trazado, cuando se usan.
Herramientas según su procedencia
• TCP/IP e Internet
Hacking Ético – Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye,
LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe,
SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke,
WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper.
• Específicas de Auditoría y Herramientas Ofimáticas
Herramientas según su función
Captura de datos.
• Recoge información, captura datos, que serán usados (analizados,
interpretados, utilizados) en fase posterior o simultanea.
Muestras. – Es una técnica estadística de la que se sabe mucho y se abusa muco (por la ignorancia de
quienes lo hacen).
Vigilancia. – Es una variante del muestreo.
Forense. – Variante especial de la recogida de dato.
Herramientas según su función
Análisis
• El análisis o interpretación y evaluación de la información recogida
puede ser concomitante con la recogida de la información (alertas y
gestión de incidencias) o ser diferidas, incluso con horizontes muy
amplios.
Herramientas según su uso o propósito
Las herramientas de auditoría pueden usarse para:
• Auditoría SITIC
• Otros uso, legítimos o ilegítimos.
• Auditorias con SITIC
Auditoría Interna o Externa, Auditoría Operativa, Auditoría de Cuentas,
Auditoría SITIC, Auditoría ISO 9001: 2000, ISO 27001, ISO 14000, apartes
de las intervenciones de control de directivos y supervisores, CSA (Control
Self Assement).
Naturaleza cíclica y administrativa del ciclo de vida de la ASITIC. • Auditoría integral, que
minimice solapes y lagunas de unas y otras intervenciones.
• Auditoría continua, que acorde los ciclos detección-corrección y con ello facilite reducir el riesgo.
• Paquetes integrales de auditoría que “integren” las labores administrativas y las técnicas.
Herramientas según su ubicación
1. Evaluación de Riesgos
2. Calendario de auditoría
3. Presupuesto
4. Programa de auditoría
5. Pruebas de auditoría
6. Análisis
7. Hallazgos
8. Informe
Aplicable a
ASITIC
“discreta”
puntual o
periodica;
no continua
Prospectiva Auditoría SITIC 2007-2017
Herramientas según su ubicación
Automatizada
Continua
Integradaámbito
Embedida
2007
2017
Herramientas según su ubicación
• Herramientas embebidas.
• Herramientas construidas/adquiridas al tiempo que la aplicación/sistema
principal, normalmente por requerimiento de un ASITIC que ha participado en
el proyecto o por el buen hacer de los desarrolladores.
• Herramientas intrusivas.
Insertan en el sistema algún servicio para generar logs; o bien durante el
hacking ético, dejen algún tipo de traza.
• Herramientas no intrusivas.
Como lo hacen las GAS/CAAT.
Herramientas según su ubicación
Auditoría Continua/Auditoría en Línea.
• El objetivo es asegurar que las transacciones en tiempo real se
benefician de monitorización y controles también en tiempo real.
• La auditoría continua exige servicios en línea. Puede ser total o por
muestreo
Herramientas según su ubicación
Auditoría Continua/Auditoría en Línea.
• Las condiciones de éxito para una auditoría continua son estrictas:
Alta automatización de la detección, con filtros sofisticados y alarmas en
tiempo real.
Herramientas de auditoría avanzadas y paramétricas.
Excelente y ágil interfaz con los auditores altamente cualificados.
Mínimo estorbo al auditado.
• Las técnicas de auditoría continua recorren:
Registro de transacciones, las herramientas de consulta (query)
CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses, datamining,
IA, redes neuronales, XBRL.
Auditoría diferida “Cooperativa”
Herramientas según su ubicación
Universo de
transacciones
Selecciona, con CAAT y
CRITERIO, una muestra de
Transacciones
Aplicación Web remite la
transacción seleccionada al
auditado e incorpora “mascara”
(petición y cuestionario)
Tabula respuestas
Emite Informe
12
3
4
5
6
7
Todo este proceso puede
“desencadenarse” -punto4-
en tiempo real o algo muy
diferido
Auditado
Auditor
Herramientas según su ubicación
• Herramientas exentas
• El amplio uso por los ASITIC
• Herramientas específicamente diseñadas como de auditoría.
• Herramientas horizontales
• Groupware. – Son aplicaciones o suites particularmente diseñadas para el trabajo en equipo, sobre las que
se pueden hacer integraciones.
• GRC. – Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en
esta categoría ofimática, admite entradas propias de los sistemas de vigilancia.
Herramientas según su ubicación
• Herramientas verticales
• Pueden serlo mas de gestión o mas técnicas. – Las mas de gestión se inclinan a las horizontales y el Groupware.
– Las mas técnicas fundamentalmente en las GAS (Generalized Audit Software), SAS
(Statement on Auditing Standard)
Herramientas según su ubicación
• Herramientas verticales de gestión
Audinfor. www.audinfor.com
Bindview. Software de cumplimiento de seguridad. www.paisley.com,
www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.
Paisley. Su producto AutoAudit es una conocida herramienta vertical de
gestión.
Protivity Inc. Consultores de gestion de riesgos.
TeamMate. Herramienta de gestion de papeles de trabajo.
www.pwc.com/teammate/
Tripwire. www.tripwire.com/index.cfm
Herramientas según su ubicación
• Herramienta verticales técnicas.
Son herramientas especializadas. Atacan a los archivos de datos y no a los
programas de aplicación, por lo general suelen ser invariantes de los
programas y mas objetivas en cuanto a los datos.
ACL, IDEA. – Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados
según una variedad de estándares.
– Calculo, creando campos lógicos, resultando de aplicar una formula a los campos
originalmente importados.
El director ejecutivo de auditoría debe asegurar que los
recursos de auditoría interna sean adecuados, suficientes y
efectivamente asignados para cumplir con el plan aprobado.
Herramientas según su productividad
Standards for IS Auditing (SISA) (Normas Generales para la auditoría de los Sistemas de Información)
Código Titulo Puntos Concretos
S6 Realización de labores de Auditoría 04, 05, 07, 08, 09, 10
S7 Reporte 03,07
S8 Actividades de seguimiento 08,09
IS Auditing Guidelines (ISAG) (Directrices de Auditoría)
Código Titulo Puntos concretos
G3 Uso de CAAT Todo
G8 Documentación de la Auditoría Todo
G10 Muestreo en Auditoría Todo
G35 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6, 4.1.2
Herramientas según su Cobertura
Es deseable una gran cobertura costo-beneficio y a veces se
considera necesaria.
• Conseguirla depende de una hábil combinación de herramientas
embebidas y GAS/CAAT.
Productos
• Herramientas gratuitas
www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm
• ACL. Audit Command Languaje
www.acl.com/default.aspx?bhcp=1
• IDEA. Interactive Data Extraction and Analysis
www.caseware-idea.com
• Symantec.
www.symantec.com/enterprise/index.jsp
• Computer Associates
ca.com/us/products
• Otras
John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check,
Wireshark, Yersinia.
Conclusiones
La auditoría SITIC esta en evolución constante, ello depende
de:
• Las nuevas demandas y objetivos
• La disponibilidad de herramientas y técnicas que permitan:
Hacer ciertas pruebas.
Con mayor cobertura.
Con menor riesgo/error.
Con mayor productividad.
• Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva
de su productividad, puede ser propio de tecnólogos o de historiadores;
pero seria un error imperdonable en empresarios, gestores,
economistas, responsables de auditoría y auditores.