semana 9 auditoría de sistemas de información
TRANSCRIPT
Auditoría de Sistemas de Información
Prof. Ing. Edith Urdaneta
Clasificación de los controles internos: controles generales
Son aquellos que afectan en un centro electrónico de procesamiento de datos a toda la información por igual y a la continuidad de este servicio. La debilidad o ausencia de ellos puede tener un impacto significativo en la integridad y exactitud de los datos. Estos son: Controles operativos y de organización Controles sobre el desarrollo de programas y su
documentación Controles sobre los programas y los equipos Controles de Acceso
Clasificación de los controles internos: controles de las aplicaciones
Son aquellos relacionados con la captura, entrada y registro de datos en un sistema informático, así como los relacionados con su procesamiento, el cálculo y salida de la información y su distribución. Ellos son: Controles sobre la captura de datos Controles de proceso Controles de salida y distribución
Que establece COBIT COBIT establece una nueva clasificación
donde se afirma que existen 3 niveles en las tecnologías de información a la hora de considerar la gestión de recursos: Actividades y/o tareas > son necesarias para
obtener un resultado cuantificable Procesos > serie de actividades/tareas unidas
por interrupciones naturales Dominios > agrupamiento de los procesos
Que establece COBIT: Dominios
Los procesos se agrupan dando lugar a los dominios, que se confirman como dominios de responsabilidad en las estructuras organizativas de las empresas y están alineadas con el ciclo de gestión aplicable a los procesos de TI
Dominios y procesos de las TI
Planificación y organización Adquisición e implementación Suministro y mantenimiento Supervisión
Dominios y procesos de las TI: planificación y organización
Definir el plan estratégico de la TI Definir la arquitectura de la información Definir la dirección tecnológica Definir la organización y las relaciones Gestión de inversiones Comunicar a la dirección las tendencias Gestión de recursos humanos Asegurarse de los cumplimientos de los requisitos externos Evaluación del riesgo Gestión de proyectos Gestión de la calidad
Dominios y procesos de las TI: adquisición e implementación
Identificar las soluciones automatizadas Adquirir y mantener el SW Adquirir y mantener la arquitectura
tecnológica Desarrollar y mantener procedimientos Instalar y acreditar los sistemas Gestión de los cambios
Definir el nivel de servicio Gestionar los servicios de las terceras partes Gestionar la capacidad y el funcionamiento Asegurarse del servicio continuo Asegurarse de la seguridad de los sistemas Identificar y localizar costes Formación teórica y práctica de los usuarios Asistir y asesorar a los clientes Manejo de la configuración Gestión de problemas e incidentes Gestión de los datos Gestión de las instalaciones Gestión de la explotación
Dominios y procesos de las TI: suministro y mantenimiento
Supervisar los procesos Garantizar la independencia Evaluar el control interno Auditoría independiente
Dominios y procesos de las TI: supervisión
Evaluación de los controles internos
Es función del auditor: evaluar el nivel de control interno, juzgar si los procedimientos establecidos son
los adecuados para salvaguardar el sistema de información
La naturaleza y la extensión de los controles que requieren los sistemas de los procesos de datos variarán de acuerdo con la clase de sistema en uso
Evaluación de los controles Para evaluar los controles es necesario
buscar evidencia sobre: Terminación completa de todos los procesos Separación física y lógica de:
programas, fuentes y objetos, bibliotecas de desarrollo, prueba y producción
Existencia de normas y procedimientos para pasar los programas de una biblioteca a otra
Evaluación de controles (Cont….)
Estadísticas de funcionamiento, que incluya: Capacidad y utilización del equipo central y de los
periféricos Utilización de la memoria Utilización de las telecomunicaciones
Las normas del nivel de servicio de los proveedores
Los estándares de funcionamiento interno
Evaluación de controles (Cont…)
Mantenimiento y revisión de los diarios de explotación (Operation Logs)
Realización de mantenimiento periódico a todos los equipos
Evidencia de la rotación de los turnos de los operadores y de las vacaciones tomadas
Una forma de encontrar evidencia es mediante entrevistas con cuestionarios o listas de comprobación (checklist)
Establecimiento de Objetivos
En función de la importancia de los riesgos que se hayan detectado, el auditor establecerá los objetivos de la auditoría, cuya determinación concreta permitirá definir con claridad el alcance de la misma
Fases de planificación de la auditoría
Pla
nif
icac
ión
est
raté
gica
: requiere verificar el cumplimiento de controles internos y la identificación preliminar de riesgos Salida: Objetivo de la auditoría y alcance
Pla
nif
icac
ión
ad
min
istr
ativ
a:
requiere haber finalizado la planificación estratégicaSalida: asignación de recursos: personal, tiempo, etc. P
lan
ific
ació
n té
cnic
a En esta se ha de elaborar el programa de trabajoSalida: indicación de método de auditoría a utilizar (verificación de controles o pruebas sustantivas)
Fases de planificación de la auditoría: Estratégica
Es una revisión global que permite conocer la empresa, el SI y su control interno con la intención de hacer la 1era evaluación de riesgos
Según los resultados de esa evaluación establecerán los objetivos de la auditoría y se podrá determinar su alcance y las pruebas que hayan de aplicarse, así como el momento para realizarlas
Fases de planificación de la auditoría: Administrativa
• Evidencia > relación con la documentación de la etapa anterior
• Personal > de que personal se va a disponer, que conocimientos y experiencia es necesaria
• Calendario > establecer fecha de comienzo y finalización de la auditoría y determinar donde se realizará la auditoría
• Coordinación y Cooperación > deben establecerse con el auditado sin dejar de cumplir el principio de la independencia y que se define el interlocutor con el cliente
En esta etapa deben quedar
claros los siguientes aspectos:
Fases de planificación de la auditoría: Técnica
El programa de auditoría debe ser flexible y abierto de tal forma que se puedan ir incorporando cambios a medida que se vaya conociendo mejor el sistema
El programa y los papeles de trabajo son propiedad del auditor debiendo custodiarlos por el tiempo que marque la ley
Sobre el proceso de auditoría
Dedicarle a la planificación el tiempo necesario permite evitar pérdidas innecesarias de tiempo y de recursos.
1/3 del tiempo en planificarla, 1/3 del tiempo en realizar el trabajo de campo y 1/3 en hacer las revisiones y preparar el informe
Realización del trabajo (Procedimientos)
Consiste en llevar a cabo las pruebas de cumplimiento y sustantivas que se han planificado para poder alcanzar los objetivos de la auditoría
• Asegurarse de que las funciones que sirven de apoyo a la TI se realizan con regularidad, de forma ordenada y satisfacen los requisitos empresariales
Objetivo general
• Ver siguientes láminasObjetivos específicos
Realización del trabajo (Procedimientos): Obj. Específicos
Comprender las tareas, las actividades del proceso que se esta auditando, ampliando las entrevistas realizadas en la planificación estratégica de ser necesario
Determinar si son o no apropiados los controles que están instalados, ampliando las pruebas realizadas planificación estratégica de ser necesario
Hacer pruebas de cumplimiento para determinar si los controles que están instalados funcionan según lo establecido, de manera consistente y continua. El objetivo de estas pruebas consiste en analizar el nivel de cumplimiento que tiene establecido el “auditado” –se supone que sean eficientes y efectivas-
Realización del trabajo (Procedimientos): Obj. Específicos
Hacer pruebas sustantivas para aquellos objetivos de control con los que no se haya podido quedar satisfecho de su buen funcionamiento con las pruebas de cumplimiento. Estas pruebas consisten en realizar pruebas necesarias sobre los datos para que proporcionen la suficiente seguridad a la dirección sobre si se ha alcanzado su objetivo empresarial
Realización del trabajo (Procedimientos): Obj. Específicos
Sobre las pruebas sustantivas
Habrá que realizar el máximo número de pruebas sustantivas si:• No existen instrumentos de medida de los
controles• Los instrumentos de medida que existen se
consideran que no son los adecuados• Las pruebas de cumplimiento indican que los
instrumentos de medida de los controles no se han aplicado de manera consistente y continua
Sobre las pruebas El auditor debería haber realizado las
suficientes pruebas sobre los resultados de las distintas tareas y actividades de la explotación del SI como para poder concluir si los objetivos de control se han alcanzado o no.
Con esa información debe elaborar un informe y si procede hacer las recomendaciones oportunas
Informes Una vez realizadas las fases referidas el
auditor está en condiciones de producir un informe en el que exprese su opinión sobre el sistema auditado
Las opiniones pueden clasificarse por: tipo de trabajo > las opiniones se pueden
expresar de manera positiva o negativa resultados del trabajo, hay 4 opiniones básicas:
Informes: resultado del trabajo
Favorable Cuando se concluye que el sistema es satisfactorio
Desfavorable Cuando se concluye que es sistema es absolutamente insatisfactorio
Con salvedades
El sistema es satisfactorio, aunque tiene ciertas debilidades o incumplimientos
Denegación de opinión
Cuando no se tienen los suficientes elementos de juicio para poder opinar
Recomendaciones
Cuando el auditor, durante la realización de la auditoría, detecte debilidades, debe comunicarlas con la mayor prontitud posible.
Recomendaciones Un esquema para presentar debilidades es
el siguiente: Describir la debilidad Indicar el criterio o instrumento de medida que
se ha utilizado Indicar los efectos que puede tener en el SI Describir la recomendación con la que esa
debilidad se podría eliminar Respuesta de los directivos
Recomendaciones para Informe (ISACA)
El informe es el instrumento que se utiliza para comunicar los objetivos de la auditoría, el alcance que va a tener, las debilidades que se detecten y las conclusiones a las que se lleguen.
El auditor debe considerar en su elaboración las necesidades y características de los destinatarios
Recomendaciones para Informe (ISACA)
El informe debe contener: Objetivos de la auditoría, y si alguno de ellos no se
puede alcanzar debe expresarse en el informe El informe debe referir cuales NASIGA se han
seguido para realizar el trabajo de auditoría, indicando también cuando no fueron cumplidas y su posible impacto al no seguirla
El alcance, naturaleza y extensión del trabajo realizado, el período de auditoría, el sistema, aplicaciones y procesos auditados
Recomendaciones para Informe (ISACA)
Debilidades detectadas, y las recomendaciones para mejorar o eliminar esas debilidades
Opinión sobre lo auditado: puede ser general o específico
Entidad que se audita y la fecha de emisión del informe y
Restricciones que fuesen inconvenientes al momento de distribuir el informe
La documentación de la auditoría y su organización
Todo el trabajo de auditoría debe quedar reflejado en papeles de trabajo por los siguientes motivos: Recogen evidencia obtenida a lo largo del trabajo Ayudan al auditor en el desarrollo de su trabajo Ofrecen un soporte de trabajo realizado, para
poder utilizarlo en auditoría sucesivas Permite que el trabajo pueda ser revisado por
terceros
Archivos Los papeles de trabajo que el auditor va
elaborando se pueden organizar en dos archivos principales: Permanente o continuo Corriente o de la auditoría en curso
Archivo permanente Contiene todos aquellos papeles que tienen un interés
continuo, una validez plurianual, tales como: Características de los equipos y las aplicaciones Manuales de los equipos y de las aplicaciones Descripción del control interno Organigramas de la empresa Organigramas del servicio de información y división de
funciones Cuadro de planificación plurianual de auditoría Escrituras y contratos Consideraciones sobre el negocio y sector
Archivo corriente Se suele dividir en:
General > no tienen cabida específica en alguna de las áreas/procesos en que hemos dividido el trabajo de auditoría
Área/procesos > se refiere a contar con un archivo para cada una de las áreas o procesos en que se haya dividido el trabajo e incluir en cada archivo todos los documentos que se haya necesitado para realizar esa tarea/proceso concreto.
Archivo corriente: General Informe del auditor Carta de recomendaciones Acontecimientos posteriores Cuadro de planificación de auditoría corriente Correspondencia con la dirección de la
empresa Tiempo q c/persona del equipo ha empleado
en c/u de las áreas/procesos
Archivo corriente: Áreas/Procesos
Programa de auditoría de c/u de las áreas/procesos
Conclusiones del área/proceso en cuestión Conclusiones del procedimiento en cuestión
Conclusiones La labor del auditor de SI es esencial para
garantizar la adecuación de los SI, para ello el auditor debe realizar ateniéndose a las normas NASIGA (normas de auditoría de SI generalmente aceptadas) como requisito necesario que garantice la calidad del trabajo realizado y que la evidencia de este trabajo quede documentada.
Conclusiones A medida que la sociedad se vaya informati-zando
y/o vayan surgiendo problemas será necesario actualizar la normas de auditoría o elaborar otras nuevas para que la sociedad tenga una seguridad razonable de que los SI: funcionan adecuadamente, sus datos se mantienen con la debida confidencialidad, cumplen con la legislación vigente y los informes de los distintos auditores se puede
comparar