-
Ing. Marlon Frank Acua Benites
AUDITORIA DE SISTEMAS
CONTABLES
Mdulo: I Unidad: I Semana: 2
-
TTULO DEL TEMA
AUDITORIA DE TECNOLOGAS DE
INFORMACIN
-
ORIENTACIONES
Estimados alumnos, se recomienda la lectura del libro de texto
para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.
-
CONTENIDOS TEMTICOS
Auditoria de Sistemas de Informacin:
Objetivos, roles y retos del auditor TI.
reas Especficas de Auditoria Tecnolgica
Ejemplos de Programas de trabajo y Pruebas
de auditoria.
Estndares internacionales principales
-
Auditora TI
Proceso de revisin y evaluacin de todos los aspectos de los
sistemas automticos de procesamiento de Informacin, incluidos
procedimientos no automticos relacionados con ellos y las
interfaces correspondientes.
Fuente:
ISACA (Information Systems Audit & Control Association)
-
Auditora TI
-
Auditora de sistemas
Gerencia de sistemas
Auditora tradicional
Ciencias de la Computacin
Ciencia del comportamiento
Ingeniero de sistemas
Auditora TI
-
Objetivos de la Auditora de TI
Mejorar la salvaguarda
de los activos
Confiabilidad: Integridad de
los datos
Mejorar la efectividad de los Procesos
Uso de recursos con eficiencia
Organizaciones
Auditora TI
Preservar la confidencialidad
de los datos
-
Conocimiento del negocio.
Conocimientos de TI.
Conocimiento sobre como actan las TI en el proceso del
negocio.
Conocimiento de Riesgos y Procesos.
Confianza y respeto de los auditados.
Conocimiento del impacto de sus recomendaciones.
Contraparte vlida y asesor en controles y autocontrol para el
auditado.
Retos del auditor
-
Roles y funciones del
Auditor TI
Realizar el Plan anual de las auditoras a realizar
Determinar el Mapa de Procesos de negocio y soporte
Realizar la evaluacin de Riesgos asociados a las actividades de
Tecnologas de Informacin
Evaluar los controles de los procesos TI
Presentar informe de debilidades y recomendaciones, acordando un
cronograma de solucin con los involucrados
Participar en auditoras integradas.
Seguimiento de las recomendaciones
-
Auditora TI
Areas Especficas de Auditoria
Seguridad de la Informacin
Desarrollo y Mantenimiento
Aplicaciones de Negocios y Operativos
Explotacin de Tecnologa
Infraestructura de Sistemas
-
Desarrollo y Mantenimiento
Alineacin
Negocio-TI
Gestin de
Proyectos
Preparacin
de Soluciones
TI
Post
Implantacin
Organizacin y
Gestin de
Cambios
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditora
-
Proceso del Ciclo de Desarrollo
Requerimientos Usuario.
Anlisis y Diagnstico.
Diseo: Funcional y Tcnico.
Desarrollo: Programacin.
Pruebas
Instalacin: Entrega a Explotacin.
Metodologa
Estndares
Normas
Entregables
Desarrollo y Mantenimiento
-
Administracin y Control
Plan anual de atencin
Planificacin de requerimientos Actividades, Recursos, Esfuerzo,
Cronogramas, Hitos.
Ejecucin: Actualizacin y Registro.
Cambios: Al plan, repriorizaciones
Informe anual resultados
Desarrollo y Mantenimiento
-
El Auditor puede participar
Como miembro del equipo de desarrollo para identificar fallas o
debilidades en etapas tempranas.
En revisiones de postimplementacin
En revisiones de los procesos o aplicaciones.
Desarrollo y Mantenimiento
-
Mantenimiento
Correctivos
Incidencias
Optimizaciones
Desarrollo y Mantenimiento
-
Revisin de cobertura operativa /o negocio:
Adecuado servicio a los requerimientos del Negocio
Entender el flujo de transacciones y la estructura bsica de
control, incluyendo los aspectos de procesos manuales,
automatizados e interfaces
Controles de acceso y facultades en la operativa, para el
cumplimiento de la segregacin de funciones y autorizaciones de
control dual.
Atencin de incidencias
Comprobar que la operativa se ajusta a la normativa interna
externa.
Auditoria de Aplicaciones
-
Revisin de Implementacin:
Nivel de documentacin de sistemas y programas.
Pruebas, aprobaciones, y documentacin de los cambios a programas
y procesos.
Controles de Acceso a libreras de programas, documentacin y
archivos.
Analizar Integridad, Calidad y Consistencia de los datos en la
Base de Datos.
Revisar los Controles Informticos de Entrada y Salida de
datos.
Controles de acceso a la base de datos y transacciones.
Auditoria de Aplicaciones
-
Revisin de Diseo
Especificaciones funcionales: Requerimientos de transacciones,
clculos, flujos de control, etc.
Diseo Funcional
Diseo de Interfaces con usuarios (E/S)
Diseo de Procesos
Diseo de Bases de Datos
Auditoria de Aplicaciones
-
Desarrollo de pruebas
Diseo de datos de pruebas
Caja Negra: Pruebas de especificaciones funcionales
Caja Blanca: Cobertura completa, a nivel de Instrucciones, Rutas
de lgica
Valores Lmite: con datos para probar la ejecucin de lmites
mayores, menores e iguales a lo indicado en el programa.
Pruebas de esfuerzo operativo y tcnico.
Pruebas de conformidad: procedimientos, reglas de negocio,
etc.
Pruebas sustantivas o de validacin: detectar errores o
irregularidades en procesos, actividades o transacciones
Pruebas de Intrusin: Recomendaciones
Auditoria de Aplicaciones
-
Auditora de Explotacin
Control de entrada de datos.
Gestin de Cambios:
Planificacin y recepcin de aplicaciones.
Centro de control y monitoreo de eventos
Centro de atencin de Usuarios y resolucin de
problemas
Planificacion de procesos
Control de resultados.
Capacity Planning: Demanda, Recursos, Rendimiento
-
Auditora de Infraestructura
de sistemas
Comunicaciones y Redes.
Sistemas Operativos.
Software base y herramientas.
Administracin de Bases de Datos.
-
Auditora de Comunicaciones
Diseo de la infraestructura de las redes
Monitoreo de trfico y disponibilidad de las redes ->
alertas
Servicios de transporte y balanceo de trfico
Pruebas de los enlaces de contingencia
Inventario de equipos de comunicaciones y
servidores de infraestructura y aplicativos
-
Auditora de Comunicaciones
Deteccin, registro y resolucin de problemas
Pruebas de vulnerabilidad de la segmentacin de
redes
Evaluacin de certificados de seguridad: Polticas,
controles, autoridad, distribucin, etc.
Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.
-
Gestin de Riesgos
Metodologa usada
Activos significativos identificados, con evaluacin de riesgos y
controles que lo mitigan
Plan de Seguridad de Informacin
Basado en las mejores prcticas: ISO 27001 SGSI
Conocidos y aprobados por dueo del negocio y de acuerdo en los
riesgos y controles
Publicacin, documentacin, revisin y mantenimiento.
Auditora de Seguridad
-
Seguridad Fsica
Procedimiento de accesos a instalaciones
Implementacin de instalaciones tecnolgicas
Consideraciones ergonmicas: Diseo de productos y puestos
Ambiente de Control
Verificar nivel de concientizacin del personal y responsabilidad
de los controles de seguridad
Cumplimiento de las polticas y de la normativa relacionada.
Cumplimiento y valoracin de los controles
Auditora de Seguridad
-
Control de Accesos
Procesos de Negocio y Operativos
Accesos a Infraestructura Tecnolgica: Servidores, Entornos,
etc.
Mtodos y Herramientas: Acceso biomtrico Evaluar procedimientos
de registro y validacin.
Nivel de aceptacin usuarios
Existencia de plan de contingencia
Infraestructura
Prevencin de fuga de informacin
Proteccin de Datos
Auditora de Seguridad
-
Seguridad Perimetral
Segmentacin: separacin en redes lgicas para aislar a los
usuarios e infraestructura de intrusos
Arquitectura: proveer autenticacin, autorizacin, auditora y
deteccin de intrusos
Pruebas de acceso a redes y/o servidores segn perfiles
Tests de intrusin
Auditora de Seguridad
-
Continuidad de Negocios
Existencia de un Plan de Continuidad de Negocios:
Servicios crticos
Organizacin y Procedimientos
Pruebas de los Planes de Contingencia:
Sistema de recuperacion
Infraestructura alternativa
Atencin de servicios
Retorno a la Normalidad
Auditora de Seguridad
-
Estndares de Auditora
En el mundo, han evolucionado las siguientes organizaciones
profesionales: American Institute of Certified Public Accountants
(AICPA)
Canadian Institute of Chartered Accountants (CICA)
Institute of Internal Auditors (IIA)
Information Systems Audit and Control Association (ISACA)
U.S. General Accounting Office.
-
Estndares de Auditora
Informe COSO - (Committee of Sponsoring Organizations), de la
Comisin de Estudios de Controles Internos -> Para la
Gerencia
SAC - (Systems Auditability and Control), de la Fundacin de
Investigacin del IIA -> Para los Auditores Internos.
SAS 55 y SAS 78 - Consideraciones de la estructura de Controles
Internos en los Informes de los Estados Financieros, del Instituto
Americano de Contadores Pblicos (AICPA) -> Auditores
Externos
COBIT (Control Objectives for Information and related
Technology), de la Fundacin de Auditora y Control de Sistemas de
Informacin ->Auditores de TI.
-
CISA: Certified Information System Auditor.
CISM: Certified Information Security Manager.
ESI: European Software Institute.
CIA: Certified Internal Auditor.
Programas de certificacin
-
GRACIAS
