Upload
colo-chaparro
View
216
Download
1
Embed Size (px)
DESCRIPTION
Conceptos de Auditoria Informática, normas, leyes y reglas.
Citation preview
Auditoría Informática
1 Ing Claudia Chaparro
2010
Definición de Auditoría
Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos
de evaluar la situación de la misma. La Auditoría requiere el ejercicio de un juicio
profesional, sólido, maduro, para juzgar los procedimientos que deben seguirse y estimar
los resultados obtenidos.
Definición de Auditor
Persona que realiza la Auditoría. El auditor tiene conocimientos especializados para realizar
sus tareas. El auditor adquiere responsabilidad con el cliente.
El proceso de Auditoría de SI
Proveer servicios de auditoría de SI de acuerdo con las normas, pautas y mejores prácticas
de auditoría de SI para ayudar a la organización en sus esfuerzos por asegurarse de que sus
Sistemas de Tecnologías de la Información y de riesgos estén protegidos y controlados.
Metodologías de la Auditoría Informática
Permiten a las empresas modelar sus procesos para que se ejecuten a sus propias
necesidades, proporcionan métodos utilizados para estandarizar procesos y administrar los
entornos de IT.
Alcance de la Auditoría Informática
El alcance debe definir con precisión el entorno y los límites en que va a desarrollarse la
Auditoría Informática. En el informe final debe figurar hasta que puntos se ha llegado y
cuales fueron omitidos. La identificación de los alcances de la Auditoría Informática
compromete el éxito de la misma.
Auditoría Informática
2 Ing Claudia Chaparro
2010
Control de Integridad de registros y Validación de errores
Los Registros Comunes son los que se comparten entre Aplicaciones. Si una Aplicación no
tiene integrado un Registro Común, cuando quiera utilizar el Registro y no lo encuentre se
generaran problemas y errores, esto tiene que ver con el Control de Integridad de Registros.
El Control de Validación de errores prueba que el sistema que se utiliza para detectar y
corregir errores sea eficiente.
Marco de las Mejores Prácticas de la Auditoria
Identificación: buscan definir las necesidades respecto de la auditoría, así como
también las debilidades propias para determinar el objetivo a seguir.
Administración de la Calidad Total: incorporan conceptos sobre la base de la mejora
continua aplicada a la auditoría, como la medición y evaluación de resultados.
Comunicación: obtener un proceso de comunicación interna para informar lo
actuado, lo planeado y las mejoras obtenidas.
Tecnología: incorporar recursos de tecnología informática al proceso de auditorias
para optimizar la eficiencia, eficacia y los resultados de las revisiones.
Interrelación externa: mantener relaciones profesionales con otras gerencias de
auditorias para intercambiar estrategias, criterios y resultados.
Agente de cambio: posicionar la auditoría como agente de cambio con el objetivo de
auto evaluación del control.
Reingeniería de auditoría: proyectan a los auditores como facilitadores para la auto
evaluación del control.
Áreas de la Auditoría Informática
Las empresas controlan su stock y realizan inversiones informáticas. De éste sector se
ocupa la Auditoría de Inversión Informática.
La Auditoría de Seguridad Informática se encarga de proteger los Sistemas Informáticos.
La Auditoría de Organización Informática se ocupa de los cambios estructurales en la
informática y la función de la reorganización.
Las actividades auditoras abarcan éstas tres áreas de inversión, de seguridad y de
organización por esta razón es que se pueden presentar problemas de ineficiencia,
debilidades de organización, de inversión, o de seguridad.
Auditoría Informática
3 Ing Claudia Chaparro
2010
Necesidad de una Auditoría Informática
Las Auditorías externas se realizan cuando se perciben síntomas de debilidad, son:
Síntomas de descoordinación y desorganización: no coinciden los objetivos de la
informática de la compañía. Los estándares de productividad de desvían.
Síntomas de mala imagen e insatisfacción de los usuarios: no se atienden las
peticiones de los usuarios. No se reparan las averías. No se cumplen con los plazos
de entrega.
Síntomas de debilidades económicas-financieras: incremento de costos. Justificar la
inversión financiera.
Síntomas de Inseguridad: seguridad lógica. Seguridad física. Confidencialidad.
Las Normas de la Auditoría
Las Normas de Auditoría son los requisitos mínimos de calidad relativos a la personalidad
del auditor.
Normas Personales: son cualidades que el auditor debe tener basados en
conocimientos profesionales y entrenamiento técnico. Deber ser imparcial a la hora
de dar sus sugerencias.
Normas de Ejecución del trabajo: son de planificación de los métodos y
procedimientos.
Normas de Información: son el resultado que el auditor debe entregar. Es el
informe.
Técnicas de Auditoria
Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la
evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su
criterio o juicio, según las circunstancias.
Las técnicas se clasifican con base en la acción que se va a efectuar, pueden ser oculares,
verbales o escritas.
Auditoría Informática
4 Ing Claudia Chaparro
2010
Las técnicas de Auditoría se agrupan el siguiente modo:
Estudio General.
Análisis.
Inspección.
Confirmación.
Investigación.
Declaración.
Certificación.
Observación.
Cálculo.
Procedimientos de Auditoría
Son técnicas de investigación aplicables a situaciones que permiten fundamentar la opinión
del auditor en el marco de una auditoría informática. A su vez los procedimientos en un
conjunto forman los programas de auditorias. El plan de Auditoría esta compuesto por
programas de auditoría que permiten implementar una estrategia y organización de la
Auditoría Informática.
Los Procedimientos de Auditoría permiten:
Obtener conocimientos del control interno.
Analizar las características del control interno.
Verificar los resultados del control interno.
Fundamentar conclusiones de la Auditoría.
Auditoría Informática
5 Ing Claudia Chaparro
2010
Plan Anual de Auditoría
Los Departamentos de Auditoría Interna utilizan un plan anual de auditoría basado en los
riesgos. El plan debe reflejar y responder a esos riesgos. Desarrollado por la alta
organización de los departamentos de riesgos, las unidades de negocio, procesos y controles
respectivos. Queda claro que debe abordar los principales riesgos tanto a nivel de la
organización y dentro de los distintos departamentos unidades o procesos. Este
planteamiento centra sus esfuerzos y actividades para obtener el impacto más significativo
sobre el valor agregado.
Programa de Auditoría
El Programa de Auditoría establece los procedimientos necesarios para optimizar una
auditoría. Incluye los pasos para alcanzar los objetivos de auditoría.
Un programa de Auditoría:
Proporciona un resumen de los trabajos a realizar.
Ayuda a controlar el trabajo y la asignación de responsabilidades.
Ayuda en la revisión de la auditoría.
Evidencia si el trabajo se planea adecuadamente.
Proporciona supervisión de asignación.
Garantiza que las áreas de riesgo han sido consideradas y que aspectos importantes
de la auditoría no han sido omitidos.
Auditoría Interna
Es la realizada con recursos, materiales y personas que pertenecen a la empresa auditada.
La Auditoría Interna existe por decisión de la propia empresa. La Auditoría Interna es una
actividad independiente y objetiva de aseguramiento y consulta, realizada para agregar
valor y mejorar las operaciones de una organización. Aporta un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de la gestión de riesgos, control y los
procesos.
Auditoría Informática
6 Ing Claudia Chaparro
2010
Auditoría Externa
Es realizada por personas ajenas a la empresa auditada. El auditor que realiza ésta tarea es
siempre remunerado económicamente. Se presupone con mayor objetividad que en la
Auditoría Interna por el distanciamiento entre auditores y auditados.
Algunos motivos para realizar Auditoría Externa son:
Necesidad de auditar una especialización, para la cual los recursos de la
empresa no están capacitados.
Contrastar algún informe de Auditoría Interna con el que resulte de la
Auditoría Externa.
La Auditoría Externa es necesaria para poder tener una visión desde afuera
de la empresa.
Informe de Auditoria
Existen 10 reglas simples:
Estado de la situación: los clientes, ejecutivos y comité de auditoría necesitan una
descripción de la situación, el nivel de riesgo, medidas de recomendación
correctivas. Debe ser breve y claro, no extenso.
Ilustrar el riesgo: se debe comunicar la gravedad del riesgo para que se entienda la
situación. Se pueden cuantificar las perdidas.
Centrarse en los resultados: se debe evitar escribir “nuestra revisión” o “se observo
que”. La auditoría debe informar lo que se reveló.
Evitar la jerga: la auditoría tiene su propia jerga.
No confiar en sinónimos: aunque la repetición de palabras puede ser inapropiado,
esto es aceptable para los documentos de auditoría.
Uso de sustantivos concretos: no se debe impresionar a los lectores con nombres
largos y abstractos. Son mejores los sustantivos concretos para expresar una idea.
No cargar oraciones: describir demasiadas ideas en una oración compromete la
legibilidad del documento y confundir a los lectores.
Auditoría Informática
7 Ing Claudia Chaparro
2010
Simplificar las ideas: ayuda al lector a digerir la información. Utilizar patrones o
estructura paralela.
Hacer hincapié en el potencial de la mejora: se pueden lograr mejores resultados
señalando la mejora en lugar de resaltar las consecuencias negativas.
Evite el lenguaje negativo: la utilización de palabras negativas tiene una tendencia
de oponer al lector.
Antes Durante y Después de la Auditoría
La comunicación es un elemento fundamental para una auditoría exitosa, así como también
en períodos de no auditoría.
Antes de la auditoría los auditores deben explicar como será el proceso de auditoría. Debe
entender límites y restricciones del cliente, como días complejos de reuniones, viajes,
fechas importantes, vacaciones u otros factores que podrían afectar la participación del
cliente durante la auditoría.
Durante la auditoría la comunicación debe ser regular y consistente para minimizar las
sorpresas.
Después de la Auditoría los departamentos deben hacer una reunión para realizar una
capacitación y ver lo que se hizo bien, que cosas salieron mal y las futuras mejoras.
La relación auditoría – empresa tiene éxito si establecen un diálogo permanente.
Aseguramiento de la Información
Es la utilización de información y de diferentes actividades operativas, con el fin de
proteger la información, los sistemas de información y las redes de forma que se preserve la
disponibilidad, integridad, confidencialidad, autenticación, y el no repudio, ante el riesgo de
impacto de amenazas locales o remotas.
El aseguramiento se da en los siguientes niveles:
Aseguramiento de datos: información histórica y de probabilidad.
Aseguramiento de procesos: controles internos y procedimientos.
Aseguramiento del comportamiento: conformidad con normas, regulaciones y
mejores prácticas.
Aseguramiento del sistema de gestión: protege a todos los involucrados; directivos y
empleados.
Auditoría Informática
8 Ing Claudia Chaparro
2010
Aseguramiento de la Calidad de la Información
La administración del aseguramiento de la calidad promueve que los sistemas de
información logren las metas de calidad y que el desarrollo, implementación operación y
mantenimiento de sistemas de información cumplan con un conjunto de normas de calidad.
Mejorar la Calidad es parte de una tendencia global entre las organizaciones proveedoras
para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los
controles de producción, implementación, operación y mantenimiento.
COBIT
(Control Objectives for Information and related Technology) COBIT es una herramienta de
gobierno IT creada en 1996. Permite evaluar la calidad del soporte de IT actual de la
organización, vinculando los distintos procesos del negocio con los recursos informáticos
que los sustentan.
COBIT establece un diagnóstico que permite definir las metas desde el punto de vista de la
seguridad y el control que le serán de utilidad para la organización en cada uso de sus
procesos, generando luego un plan de acción para alcanzar estas metas con un proceso de
monitoreo acorde y mejora continua.
COBIT: Marco para el Control y la Gobernabilidad IT
Principales características:
La Estructura de Cubo: es la capacidad de poder trabajar con sus objetivos de
control, desde tres puntos de vista diferentes, los procesos, los recursos de IT, la
información. Esta Estructura ayuda en la planificación estratégica al promover las
funciones relacionadas a la gobernabilidad IT. También permite vincular las
expectativas de la Dirección con las de la Gerencia IT.
Dominios: los dominio principales son: Planificación y Organización; Adquisición e
Implantación; Soporte y Servicios; Monitoreo. Cada uno de estos dominios están
enfocados a los diferentes niveles y departamento que pueden existir en una
organización.
Modelo de Madurez: provee las bases para la evaluación de las principales
funciones del área de IT considerando los procesos claves, a los cuales se les
asignará un valor de cero a cinco, según:
Auditoría Informática
9 Ing Claudia Chaparro
2010
0.- Inexistente: ausencia total de cualquier proceso o control reconocible.
1.- Inicial: existe evidencia de que la organización ha reconocido la necesidad de
mejorar los procesos o controles.
2.- Repetible: se han desarrollado procesos donde se siguen procedimientos
similares por diferentes personas para la misma tarea.
3.- Definido: los procedimientos han sido estandarizados y documentados y son
comunicados a través de la capacitación.
4.- Gestionado o Administrado: es posible monitorear y medir el cumplimiento de
los procedimientos y tomar acciones cuando los procesos no están funcionando
efectivamente.
5.- Optimizado: los procesos han sido redefinidos al nivel de las mejoras prácticas,
basados en los resultados de mejoras continuas y el modelo de madurez con otras
organizaciones.
ITIL Information Technology Infraestructure Library
ITIL describe las mejores prácticas que se pueden utilizar y mejor se adecuan a una
organización, incluye cinco disciplinas que proporcionan a las empresas flexibilidad y
estabilidad para ofrecer servicios IT.
Gestión de Incidencias.
Gestión de Problemas.
Gestión de Cambios.
Gestión de Versiones.
Gestión de Configuración.
Incluye también cinco disciplinas que soportan los servicios IT de Calidad:
Gestión de Nivel de Servicio.
Gestión de la Disponibilidad.
Gestión de la Capacidad.
Gestión Financiera para Servicios IT.
Gestión de la Continuidad de los Servicios IT.
El objetivo de ITIL en todas las disciplinas es la definición de las mejores prácticas para los
procesos y responsabilidades para gestionar servicios IT.
Auditoría Informática
10 Ing Claudia Chaparro
2010
BS 7799 e ISO 17799
La norma BS 7799 es un código de buenas prácticas para la gestión de la seguridad de la
información.
La ISO/IEC 17799 define la seguridad de la información como la preservación de la
confidencialidad, la integridad y la disponibilidad de la misma. Esta norma que define las
mejores prácticas para gestión de la seguridad de la información, consta de las siguientes
partes:
1.- Define un conjunto de objetivos principales e identifica un conjunto de controles de
seguridad.
2.- Especifica los controles de seguridad que se pueden utilizar, basados en los resultados
de la evaluación de Gestión de Riesgos.
ISO/EIC 17799 establece la base para desarrollar normas de seguridad de control de las
organizaciones, definiendo diez dominios de control.
Política de Seguridad.
Aspectos Organizativos para la Seguridad.
Clasificación y Control de activos.
Seguridad ligada al Personal.
Seguridad física y del Entorno.
Gestión de Comunicaciones y de Operaciones.
Control de Accesos.
Desarrollo y mantenimiento de Sistemas.
Gestión de Continuidad del Negocio.
Conformidad.
COSO Committee of Sponsoring Organizations
Es una herramienta que asiste en la evaluación, auditoría, documentación, mejora y
seguimiento del sistema de control interno.
Permite facilitar las actividades de los encargados del control interno, auditores internos y
externos, y gerencias de las organizaciones ocupadas en mejorar resultados.
Los componentes que se interrelacionan para alcanzar los objetivos son:
Auditoría Informática
11 Ing Claudia Chaparro
2010
Ambiente de Control: proporciona disciplina y estructura. Relaciona la integridad y
competencia del personal de una organización.
Evaluación de Riesgos: identificar y analizar los riesgos que se relacionan con el
logro de los objetivos. Cuantificar, proyectar su probabilidad y sus posibles
consecuencias.
Actividades de Control: en todos los niveles y todas las funciones, incluyendo los
procesos de aprobación, autorización, conciliaciones y demás. Pueden ser:
Controles Preventivos; Controles Detectivos; Controles Correctivos; Controles
Manuales y de Usuarios; Controles de Cómputo o de Tecnología de información y
Controles Administrativos.
Monitoreo y Aprendizaje: constante para asegurar que todo opera como se planeó.
Las actividades de monitoreo pueden ser implantadas mediante la auditoría interna
o externa.
Información y Comunicación: de la información relevante oportunamente para
cumplir con las correspondientes responsabilidades.
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de
información de las administraciones públicas. Presenta un objetivo definido en el estudio de
los riesgos que afectan los sistemas y el entorno. Hace recomendaciones para conocer,
prevenir, evaluar y controlar los riesgos investigados. Desarrolla el concepto de control de
riesgos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.
Sus objetivos son:
Concientizar a los responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de atenderlos a tiempo.
Ofrecer un método sistemático para analizar los riesgos.
Descubrir y planificar las medidas para mantener los riesgos bajo control.
Preparar la organización para procesos de evaluación, auditoría y certificación.
Auditoría Informática
12 Ing Claudia Chaparro
2010
Sarbanes-Oxley, SOX
La Ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las
actividades de las empresas multinacionales que cotizan en la Bolsa. Contempla una
revisión rigurosa de los datos financieros que una empresa declara en sus estados
financieros y que utiliza para sus controles internos.
El control interno tiene como principales objetivos:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las normas y leyes que sean aplicables.
Salvaguardia de los recursos.
Esta Ley cuenta con una sección de normas y reglas ,dispone que los auditores deben
incluir lo siguiente:
El alcance de las pruebas del auditor de la estructura de control interno.
Los hallazgos del auditor con respectos a dicha pruebas.
Una evaluación sobre dicha estructura de control.
Esta Ley tiene 3 secciones que involucran directamente al departamento de IT:
Cláusula 302: habla de la obligación de generar reportes donde muestren el
resultado financiero de la empresa y que este debe de estar evaluado en cuanto a su
integridad.
Cláusula 404: dice que deben existir procedimientos y políticas que aseguren la
integridad de la información así como su disponibilidad.
Cláusula 409: toda organización debe de notificar en menos de 48 hrs cuando uno
de los procesos de la cadena de proveedores no va a ser entregado a tiempo y esto
afecte de manera seria a las ventas de la organización.