Upload
sarita-cg
View
5
Download
0
Embed Size (px)
DESCRIPTION
Sistemas Contables
Citation preview
Ing. Marlon Frank Acua Benites
AUDITORIA DE SISTEMAS
CONTABLES
Mdulo: I Unidad: I Semana: 2
TTULO DEL TEMA
AUDITORIA DE TECNOLOGAS DE
INFORMACIN
ORIENTACIONES
Estimados alumnos, se recomienda la lectura del libro de texto para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.
CONTENIDOS TEMTICOS
Auditoria de Sistemas de Informacin:
Objetivos, roles y retos del auditor TI.
reas Especficas de Auditoria Tecnolgica
Ejemplos de Programas de trabajo y Pruebas
de auditoria.
Estndares internacionales principales
Auditora TI
Proceso de revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamiento de Informacin, incluidos procedimientos no automticos relacionados con ellos y las interfaces correspondientes.
Fuente:
ISACA (Information Systems Audit & Control Association)
Auditora TI
Auditora de sistemas
Gerencia de sistemas
Auditora tradicional
Ciencias de la Computacin
Ciencia del comportamiento
Ingeniero de sistemas
Auditora TI
Objetivos de la Auditora de TI
Mejorar la salvaguarda
de los activos
Confiabilidad: Integridad de
los datos
Mejorar la efectividad de los Procesos
Uso de recursos con eficiencia
Organizaciones
Auditora TI
Preservar la confidencialidad
de los datos
Conocimiento del negocio.
Conocimientos de TI.
Conocimiento sobre como actan las TI en el proceso del negocio.
Conocimiento de Riesgos y Procesos.
Confianza y respeto de los auditados.
Conocimiento del impacto de sus recomendaciones.
Contraparte vlida y asesor en controles y autocontrol para el auditado.
Retos del auditor
Roles y funciones del
Auditor TI
Realizar el Plan anual de las auditoras a realizar
Determinar el Mapa de Procesos de negocio y soporte
Realizar la evaluacin de Riesgos asociados a las actividades de Tecnologas de Informacin
Evaluar los controles de los procesos TI
Presentar informe de debilidades y recomendaciones, acordando un cronograma de solucin con los involucrados
Participar en auditoras integradas.
Seguimiento de las recomendaciones
Auditora TI
Areas Especficas de Auditoria
Seguridad de la Informacin
Desarrollo y Mantenimiento
Aplicaciones de Negocios y Operativos
Explotacin de Tecnologa
Infraestructura de Sistemas
Desarrollo y Mantenimiento
Alineacin
Negocio-TI
Gestin de
Proyectos
Preparacin
de Soluciones
TI
Post
Implantacin
Organizacin y
Gestin de
Cambios
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditora
Proceso del Ciclo de Desarrollo
Requerimientos Usuario.
Anlisis y Diagnstico.
Diseo: Funcional y Tcnico.
Desarrollo: Programacin.
Pruebas
Instalacin: Entrega a Explotacin.
Metodologa
Estndares
Normas
Entregables
Desarrollo y Mantenimiento
Administracin y Control
Plan anual de atencin
Planificacin de requerimientos Actividades, Recursos, Esfuerzo, Cronogramas, Hitos.
Ejecucin: Actualizacin y Registro.
Cambios: Al plan, repriorizaciones
Informe anual resultados
Desarrollo y Mantenimiento
El Auditor puede participar
Como miembro del equipo de desarrollo para identificar fallas o debilidades en etapas tempranas.
En revisiones de postimplementacin
En revisiones de los procesos o aplicaciones.
Desarrollo y Mantenimiento
Mantenimiento
Correctivos
Incidencias
Optimizaciones
Desarrollo y Mantenimiento
Revisin de cobertura operativa /o negocio:
Adecuado servicio a los requerimientos del Negocio
Entender el flujo de transacciones y la estructura bsica de control, incluyendo los aspectos de procesos manuales, automatizados e interfaces
Controles de acceso y facultades en la operativa, para el cumplimiento de la segregacin de funciones y autorizaciones de control dual.
Atencin de incidencias
Comprobar que la operativa se ajusta a la normativa interna externa.
Auditoria de Aplicaciones
Revisin de Implementacin:
Nivel de documentacin de sistemas y programas.
Pruebas, aprobaciones, y documentacin de los cambios a programas y procesos.
Controles de Acceso a libreras de programas, documentacin y archivos.
Analizar Integridad, Calidad y Consistencia de los datos en la Base de Datos.
Revisar los Controles Informticos de Entrada y Salida de datos.
Controles de acceso a la base de datos y transacciones.
Auditoria de Aplicaciones
Revisin de Diseo
Especificaciones funcionales: Requerimientos de transacciones, clculos, flujos de control, etc.
Diseo Funcional
Diseo de Interfaces con usuarios (E/S)
Diseo de Procesos
Diseo de Bases de Datos
Auditoria de Aplicaciones
Desarrollo de pruebas
Diseo de datos de pruebas
Caja Negra: Pruebas de especificaciones funcionales
Caja Blanca: Cobertura completa, a nivel de Instrucciones, Rutas de lgica
Valores Lmite: con datos para probar la ejecucin de lmites mayores, menores e iguales a lo indicado en el programa.
Pruebas de esfuerzo operativo y tcnico.
Pruebas de conformidad: procedimientos, reglas de negocio, etc.
Pruebas sustantivas o de validacin: detectar errores o irregularidades en procesos, actividades o transacciones
Pruebas de Intrusin: Recomendaciones
Auditoria de Aplicaciones
Auditora de Explotacin
Control de entrada de datos.
Gestin de Cambios:
Planificacin y recepcin de aplicaciones.
Centro de control y monitoreo de eventos
Centro de atencin de Usuarios y resolucin de
problemas
Planificacion de procesos
Control de resultados.
Capacity Planning: Demanda, Recursos, Rendimiento
Auditora de Infraestructura
de sistemas
Comunicaciones y Redes.
Sistemas Operativos.
Software base y herramientas.
Administracin de Bases de Datos.
Auditora de Comunicaciones
Diseo de la infraestructura de las redes
Monitoreo de trfico y disponibilidad de las redes ->
alertas
Servicios de transporte y balanceo de trfico
Pruebas de los enlaces de contingencia
Inventario de equipos de comunicaciones y
servidores de infraestructura y aplicativos
Auditora de Comunicaciones
Deteccin, registro y resolucin de problemas
Pruebas de vulnerabilidad de la segmentacin de
redes
Evaluacin de certificados de seguridad: Polticas,
controles, autoridad, distribucin, etc.
Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.
Gestin de Riesgos
Metodologa usada
Activos significativos identificados, con evaluacin de riesgos y controles que lo mitigan
Plan de Seguridad de Informacin
Basado en las mejores prcticas: ISO 27001 SGSI
Conocidos y aprobados por dueo del negocio y de acuerdo en los riesgos y controles
Publicacin, documentacin, revisin y mantenimiento.
Auditora de Seguridad
Seguridad Fsica
Procedimiento de accesos a instalaciones
Implementacin de instalaciones tecnolgicas
Consideraciones ergonmicas: Diseo de productos y puestos
Ambiente de Control
Verificar nivel de concientizacin del personal y responsabilidad de los controles de seguridad
Cumplimiento de las polticas y de la normativa relacionada.
Cumplimiento y valoracin de los controles
Auditora de Seguridad
Control de Accesos
Procesos de Negocio y Operativos
Accesos a Infraestructura Tecnolgica: Servidores, Entornos, etc.
Mtodos y Herramientas: Acceso biomtrico Evaluar procedimientos de registro y validacin.
Nivel de aceptacin usuarios
Existencia de plan de contingencia
Infraestructura
Prevencin de fuga de informacin
Proteccin de Datos
Auditora de Seguridad
Seguridad Perimetral
Segmentacin: separacin en redes lgicas para aislar a los usuarios e infraestructura de intrusos
Arquitectura: proveer autenticacin, autorizacin, auditora y deteccin de intrusos
Pruebas de acceso a redes y/o servidores segn perfiles
Tests de intrusin
Auditora de Seguridad
Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios:
Servicios crticos
Organizacin y Procedimientos
Pruebas de los Planes de Contingencia:
Sistema de recuperacion
Infraestructura alternativa
Atencin de servicios
Retorno a la Normalidad
Auditora de Seguridad
Estndares de Auditora
En el mundo, han evolucionado las siguientes organizaciones profesionales: American Institute of Certified Public Accountants (AICPA)
Canadian Institute of Chartered Accountants (CICA)
Institute of Internal Auditors (IIA)
Information Systems Audit and Control Association (ISACA)
U.S. General Accounting Office.
Estndares de Auditora
Informe COSO - (Committee of Sponsoring Organizations), de la Comisin de Estudios de Controles Internos -> Para la Gerencia
SAC - (Systems Auditability and Control), de la Fundacin de Investigacin del IIA -> Para los Auditores Internos.
SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Pblicos (AICPA) -> Auditores Externos
COBIT (Control Objectives for Information and related Technology), de la Fundacin de Auditora y Control de Sistemas de Informacin ->Auditores de TI.
CISA: Certified Information System Auditor.
CISM: Certified Information Security Manager.
ESI: European Software Institute.
CIA: Certified Internal Auditor.
Programas de certificacin
GRACIAS