Instructor Oscar Gómez 1
Conceptos Previos Antes de una Labor de Auditoría de
Sistemas
Capitulo 01
Instructor Oscar Gómez 22
Objetivo del SeminarioQue los participantesconozcan y estén preparadospara desarrollar labores deauditoria de sistemas así comode apoyo en otros tipos deauditoria, aplicando unametodología y herramientasque les permita cumplir con elobjetivo de auditoria.
Instructor Oscar Gómez 3
Que es lo más importante que custodia TI del negocio?
La información
Instructor Oscar Gómez 4
Que es la información del negocio? Cualquier forma de registro electrónico, óptico, magnético oen otros medios similares, susceptible de ser procesada,distribuida y almacenada
Confidencialidad: La información debe ser accesible sólo a aquellos que se encuentren debidamente
autorizados.
Integridad: La información debe ser completa, exacta y válida.
Disponibilidad: La información debe estar disponible en forma
organizada para los usuarios autorizados cuando sea
requerida.
Integridad
Confidencialidad Disponibilidad
Instructor Oscar Gómez 5
Qué le sirve al negocio para:• Tomar decisiones
• Obtener una ventaja competitiva
Instructor Oscar Gómez 6
Fron End
Back End
Middleware
Middleware
Instructor Oscar Gómez 7
PARA VERIFICACION DE CUMPLIMIENTO DE LOS OBJETIVOS DEL NEGOCIOASÍ COMO DE DISMINUIR EL INCREMENTO DE DELITOS INFORMATICOS(FRAUDES, ROBO ELECTRÓNICO, ALTERACIÓN O MODIFICACIÓN DEPROGRAMAS, DIFAMACIÓN, ETC..., POR MEDIOS ELECTRÓNICOS) QUEHAN LLEVADO A LAS EMPRESAS A QUIEBRAS Y A PÉRDIDAS CUANTIOSAS,AFECTANDO A LOS ACCIONISTAS, CLIENTES, EMPLEADOS Y A LA PROPIAECONOMIA NACIONAL.
MAYOR
AUTOMATIZACIÓN
MAYOR
DEPENDENCIA
IMAGEN DE LA NECESIDAD DE REALIZAR UNA AUDITORIA DE SISTEMAS
MAYOR
RIESGO
Instructor Oscar Gómez 8
Existe una regulación internacional enmateria de Auditoría de Sistemas, donde lasmás importantes para los profesionales endicha labor son:
– COBIT (ISACA)– COSO– AICPA (SAS)– IFAC (NIA)– SAC– MARGERIT– EDP
Metodologías y Fundamentos para una labor de Auditoria de Sistemas
Instructor Oscar Gómez 9
Dar los lineamientos que permita saber encontrarevidencias y riesgos en el área de TI y áreas del negocioen una labor de auditoria.
Marco Conceptual
Evidencia.- es el conjunto de hechos comprobados,suficientes, competentes y relevantes que sustentan loshallazgos, comentarios y/o observaciones, conclusiones yrecomendaciones del auditor.
Riesgo.- es una amenaza o acción que puede afectarnegativamente a la organización para el logro de susobjetivos, metas, etc.
Instructor Oscar Gómez 10
Impacto.- es el conjunto medida o grado del dañosobre un activo producto de la materialización deuna amenaza.
Amenaza.- es un evento o acción no deseable quepuede afectar negativamente a la organización parael logro de sus objetivos, metas, etc.
Marco ConceptualVulnerabilidad.- Es una debilidad en un sistema,aplicación o infraestructura que lo haga susceptiblea la materialización de una amenaza
Instructor Oscar Gómez 11
Conocimiento de la Organización a Auditar
PersonalEstructura Orgánica
(Macro y Micro)
Web y Posición en el Mercado
Instructor Oscar Gómez 12
Taller 01
1. ¿Cómo debería ser su estructura orgánica del Área de TI, para la empresa modelo explicado?
2. ¿Qué normas, metodologías, estándares entre otros consideran que debe tener implementada y normada el Área de TI?
Partiendo del supuesto que las Auditorias deSistemas se realizan a empresas que estándebidamente organizadas y estructuradas, resuelvalas siguientes preguntas:
Instructor Oscar Gómez 13
Solución Taller 01
Instructor Oscar Gómez 14
Conclusiones• Conocimiento de la importancia
de la auditoria de sistemas• Existencia de metodologías
para el desarrollo de una auditoria de sistemas
• El seminario es teórico-practico
• Que los participantes estén preparados para integrar equipos de auditoria
Instructor Oscar Gómez 15
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 16
Derecho Informático
Capitulo 02
Instructor Oscar Gómez 17
Derecho Informático
El Derecho Informático se define como un conjunto de principios y normas que regulan los efectos jurídicos nacidos de la interrelación entre el Derecho y la informática.
Se puede señalar que es una rama del derecho especializado en eltema de la informática, sus usos, sus aplicaciones y susimplicaciones legales.
Existe una serie de términos para el Derecho Informático comoDerecho Telemático, Derecho de las Nuevas Tecnologías, Derechode la Sociedad de la Información, Informática Jurídica, DerechoTecnológico, Derecho del Ciberespacio, Derecho de Internet, etc.
Instructor Oscar Gómez 18
Pirámide del Kelsen
Instructor Oscar Gómez 19
Instructor Oscar Gómez 20
• Congreso de la Republica
• Contraloría General de la Republica
• Poder Ejecutivo y Legislativo
• Presidencia del Consejo de Ministros
• Indecopi
• INEI (En su oportunidad)
• ONGEI
PRINCIPALES ENTIDADES EMISORAS DE NORMAS INFORMATICAS EN EL PERÚ
Instructor Oscar Gómez 21
Normas Informáticas Generales de Aplicación
para las labores de Auditoria de Sistemas
Instructor Oscar Gómez 22
Normas Aplicables en General para Auditoria de Sistemas (Publico o Privado)
• NL19960424 Decreto Legislativo 822 Ley sobre el Derecho de Autor
• NL20040720 Ley 28289 Ley de Lucha Contra La Piratería
• NL20000717-Ley 27309 Ley que Incorpora los Delitos Informáticos al Código Penal
• NL20010207-Ley 27419 Ley Sobre Notificación por Correo Electrónico
• NL20050412 Ley 28493-Ley que regula el uso del correo electrónico comercial no solicitado (SPAM)
• Contratos de TI con Terceros
• Requerimientos Funcionales de las Áreas Usuarias sobre los aplicativos que se requiera a TI
Instructor Oscar Gómez 23
Normas Aplicables como Buenas Practicas en General para Auditoria de Sistemas (Preferentemente Sector Privado)
Normas ISO
COBIT
ITIL
CMMI
PMBOK
ISTQB
Instructor Oscar Gómez 24
Similitud con la labor de un Policía de Transito
Instructor Oscar Gómez 25
Caso 01El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia:
Pregunta:
Cual norma(s), estaría aplicando por incumplimiento? ……………………….
Instructor Oscar Gómez 26
Solución Caso 01
Instructor Oscar Gómez 27
Conclusiones• Conocimiento de la Estructura
Normativa a través de la Pirámide de Kelsen
• Saber que en el Perú existen entidades emisoras de normas informáticas que deben cumplir en su mayoría las empresas del estado.
• Conocer las normas informáticas que se utilizaran y aplicaran según el escenario se presente
Instructor Oscar Gómez 28
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 29
¿Qué es la Auditoría de Sistemas?
Capitulo 03
Instructor Oscar Gómez 30
¿Qué es la Auditoría de Sistemas?Es el examen crítico que se realiza con carácter objetivocon el fin evaluar la eficiencia y eficacia de lautilización de los recursos informáticos y de la gestióninformática de un período determinado encumplimiento de los objetivos del negocio
Instructor Oscar Gómez 31
OBJETIVAEs la medida en que considera que el auditor debe mantener una actitud inteligente, respecto de las actividades a examinar en la entidad; en función de los objetivos de auditoria.
SISTEMÁTICA Y PROFESIONALPorque responde a un proceso que es debidamente planeado y porque debe ser desarrollada por profesionales idóneos y expertos, sujetos a normas profesionales y al código de ética profesional.
CONCLUYENTETermina en un informe escrito, en cuyo contenido se presentan los resultados del examen realizado, incluyendo observaciones, conclusiones y recomendaciones.
CARACTERISTICAS DE UNA AUDITORIA
Instructor Oscar Gómez 32
JUSTIFICACIÓN DE UNA AUDITORÍA DE SISTEMAS
• Aumento considerable e injustificado del presupuesto einversiones del Área de Informática, sin la obtención deresultados favorables.
• Desconocimiento de la alta dirección sobre la situacióninformática de la empresa y carece de tiempo para podereducarse en áreas técnicas
• Descubrimiento de fraudes, robos, estafas electrónicos.• Falta de organización y planificación informática, que no
funciona eficientemente y no genera independencia a otrasáreas
• Descontento de las áreas usuarios sobre las TICimplementadas
• Documentación incompleta o faltante de los sistemas enexplotación que limita efectuar un mantenimiento oportuno.
• Evaluación y resultados de la tercerización (outsourcing)• Otras que estén debidamente justificadas.
Instructor Oscar Gómez 33
OBJETIVOS DE UNA AUDITORIA DE SISTEMAS
• Evaluar la relación costo-beneficio de las TICimplementados
• Evaluar la satisfacción de las necesidades de losusuarios sobre las TIC utilizadas en laorganización.
• Verificación de la integridad, confidencialidad yconfiabilidad de la información registrada yprocesada por los sistemas de información.
• Establecer la situación del área de informática,las actividades y esfuerzos realizados para ellogro de los objetivos propuestos.
• Verificar si existen de riesgos en el uso detecnología de información y comunicaciones.
• Evaluar las decisiones de inversión y gastos.
Instructor Oscar Gómez 34
TIPOS Y CLASIFICACIONES DE AUDITORIAS DE SISTEMAS
Instructor Oscar Gómez 35
Es el profesional de ingeniería de sistemas oafín que pone a disposición de la labor deauditoria sus conocimientos de informática yexperiencia profesional aplicando técnicas yherramientas según el caso lo requiera
Las actividades típicas donde el auditor desistemas se desarrolla se pueden clasifican en:• Auditoría a la Gestión del Área de Informática.• Auditoría informática de sistemas• Auditoría informática de explotación• Auditoría informática de comunicaciones• Auditoría informática de desarrollo• Auditoría informática de seguridad• Apoyo a los auditores no informáticos
EL AUDITORIA DE SISTEMAS ?
Instructor Oscar Gómez 36
PERFIL DEL AUDITOR DE SISTEMAS (1)- Profesional de la especialidad de ingeniería de sistemas o afín- Habilidad para investigar un hecho y documentar su trabajo- Experiencia en el área de sistemas- Conocimiento de Técnicas de Auditoria Asistido por Computadora
TAAC- Capacidad de trabajar con equipos multidisciplinarios- Habilidad para comunicarse con las personas de las áreas
auditadas- Conocimientos de normatividad y procedimientos de auditoria- Conocimientos de técnicas de análisis de riesgo aplicado a la
auditoria de sistemas de información- De preferencia con años de experiencia en auditoria- Deseable contar con certificaciones de auditoria de sistemas
y horas de capacitación en auditoria.
(1) Debido a la característica cambiante del ambiente del área de sistemas, producto en mucho de los casos por lacontinua incorporación de nuevas tecnologías, es necesario que el Auditor de Sistemas este en permanente proceso decapacitación, perfeccionamiento y actualización.
Instructor Oscar Gómez 37
ROL DEL AUDITOR DE SISTEMAS (*)• Revisar documentación de su competencia.
• Validar hechos que hagan daño a la Organizacióny estrategias para reducirlos a través de lasrecomendaciones.
• Responder al nivel de participación en una laborde auditoria.
• Preparar, revisar y modificar el programa deauditoria en caso de ser necesario.
• Verificación y evaluación de controles
(*) Rol.- Conjunto de funciones que definen la conducta social del individuo y que le sonexigidos por la sociedad para reforzar su capacidad de integración (“La Enciclopedia” -Salvat Editores S.A. 2004 Pag. 13521)
Instructor Oscar Gómez 38
Conclusiones• Conocer la definición de auditoria
de sistemas• Tipos y clasificación de la
auditoria de sistemas• Conocer los objetivos y
justificación de una auditoria de sistemas
• Conocer la importancia el rol y perfil que debe tener el auditor de sistemas
Instructor Oscar Gómez 39
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 40
Técnicas de Auditoria Asistido por Computadora
Capitulo 04
Instructor Oscar Gómez 41
¿Qué son las TAAC?• Las Técnicas de Auditoría Asistidas por Computador (TAACs), son
programas de ordenador (software) que el auditor de sistemas utilizacomo herramienta de auditoría durante el desarrollo de susprocedimientos establecidos en una labor de auditoría, en búsquedade evidencias y/o riesgos.
• TAACs deben ser desarrolladas en situaciones donde existe interéspor aumentar la eficiencia o efectividad de la auditoría. Por ejemplo:– Inventario remoto de hardware y software instalados
– Velocidad de internet
– Verificación de data almacenada en las Base de Datos de Sistemas
– Trafico de la red
– Entre otras
Instructor Oscar Gómez 42
OBJETIVOS• Oportunidad para aplicar los métodos del
muestreo
• Verificación de la integridad de la población.
• Aumento en la extensión de losprocedimientos de auditoría
• Eliminación del trabajo tedioso
• Reducción en el tiempo de la auditoría
• Flexibilidad
Instructor Oscar Gómez 43
CLASIFICACIÓN DE LAS HERRAMIENTAS TAAC
• Orientadas al desarrollo de los sistemas de información– Active File Compare
– Endevor
– QA Run, QA File
– Erwin
• Orientadas a la explotación de datos e información– ACL TOAD para Oracle Database
– IDEA SQL-ANSI de la misma Base de Datos
• Herramientas automatizadas– Sniffers (CommView, Sniffer Pro, Lan Scan, )
– Microsoft Software Inventory Analizer - MSIA
– Inventario de HW y SW (Aida32, Network Inventory Navigator, iInventory)
Instructor Oscar Gómez 44
Orientado al Orientado al desarrollo de desarrollo de los Sistemas de los Sistemas de InformaciónInformación
El Active File El Active File Compare Compare -- AFC AFC permite:permite:
••El correcto El correcto algoritmo de algoritmo de comparación de comparación de archivos de texto archivos de texto
••Comparación del Comparación del contenido de dos contenido de dos carpetas carpetas
••Generación del Generación del archivo Informe archivo Informe de diferencias de diferencias
Instructor Oscar Gómez 45
Orientado a la Orientado a la explotación de explotación de Datos e Datos e Información Información
Con ACL, el auditor Con ACL, el auditor puede analizar los puede analizar los datos desde el datos desde el principio hasta el principio hasta el final, como:final, como:
•• Planificar el proyectoPlanificar el proyecto
•• Adquirir los datosAdquirir los datos
•• Acceder a los datos con Acceder a los datos con ACLACL
•• Verificar la integridad Verificar la integridad de los datosde los datos
•• Analizar los datosAnalizar los datos
•• Generar reportes de los Generar reportes de los resultadosresultados
Instructor Oscar Gómez 46
Herramientas Herramientas AutomatizadasAutomatizadas
Microsoft Software Microsoft Software Inventory Analizer Inventory Analizer ––MSIAMSIA
••Es una herramienta Es una herramienta diseñada para diseñada para realizar un inventario realizar un inventario de software clave de de software clave de MicrosoftMicrosoft
••MSIA reconoce los MSIA reconoce los productos más productos más populares y populares y comúnmente usados comúnmente usados de Microsoft.de Microsoft.
Instructor Oscar Gómez 47
Instructor Oscar Gómez 48
Baseline Security AnalyzerBaseline Security Analyzer
Instructor Oscar Gómez 49
RetinaRetinaRetina Network Security Scanner es el estándar para el análisis de vulnerabilidades. Identifica Retina Network Security Scanner es el estándar para el análisis de vulnerabilidades. Identifica todas las vulnerabilidades de seguridad conocidas y asigna prioridades según el tipo de amenaza todas las vulnerabilidades de seguridad conocidas y asigna prioridades según el tipo de amenaza para su corrección. para su corrección.
Instructor Oscar Gómez 50
Ejemplo 01: Validación de Tráfico de la Red con Acceso a Internet
Instructor Oscar Gómez 51
Ejemplo 02 – AdminSecure 2007
• Actividad Global de la Seguridad Ante Ataques de Virus y Códigos Maliciosos
• Informe de Actividad por Capas Ante Ataques de Virus y Códigos Maliciosos
Instructor Oscar Gómez 52
VENTAJAS
• Nivel reducido de riesgos en auditoría (control ymuestral).
• Cobertura de auditoría más amplia y másconsistente.
• Ahorro de tiempos en busca de evidencias yevaluación del control interno
• Algunas herramientas TAAC pueden ser utilizadospor auditores que no necesariamente sean de laespecialidad de sistemas
Instructor Oscar Gómez 53
DESVENTAJAS
• Ponderar un análisis costo/beneficio antes deadquirirlos o de desarrollarlos.
• Requerimientos sofisticados de instalación.• Eficiencias de procesamientos (Pc, Server, Red)• Esfuerzo que se requiera para tener la
información de datos fuentes para ser analizadospor las herramientas TAAC
• Algunas herramientas TAAC demanda serejecutados por especialistas.
Instructor Oscar Gómez 54
Conclusiones• Las TAAC's pueden ser empleadas cuando no pueda
obtenerse evidencia adecuada y suficiente con los métodos tradicionales
• El auditor debe tener un comprensión profunda de las TAAC y debe saber dónde y cuándo aplicarlas.
• El auditor debe considerar una combinación apropiada de técnicas de auditoría manuales y con ayuda del computador. La efectividad y los procedimientos de auditoría pueden ser mejorados mediante el uso de TAAC's
Instructor Oscar Gómez 55
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 56
Visión General de COBIT
Capitulo 05
Instructor Oscar Gómez 57
• ISACA es: "Information System Audit and ControlAssociation“. Una asociación de profesionalesdedicados a la práctica de la auditoria, control yseguridad de sistemas de información, fundadaen los Estados Unidos en 1967 (www.isaca.org).
• En 1997 en el Perú se fundo el Capítulo 146 deISACA, cuyo objetivo principal es brindar a susmiembros capacitación e información paramejorar sus competencias relacionados con lapráctica de la auditoria, control y seguridad desistemas de información (www.isaca.org.pe).
• ISACA se ha convertido actualmente en unaorganización global que establece las pautaspara los profesionales de auditoria, control yseguridad de sistemas de información.
Que es ISACA?
Instructor Oscar Gómez 58
LATIN AMERICAN CACS – COSTA RICA - 2009
Instructor Oscar Gómez 59
Instructor Oscar Gómez 60
• Certified Information SystemsAuditor (Auditor Certificado deSistemas de Información, oCISA)
• Certified Information SecurityManager (Gerente Certificadode Seguridad de Información, oCISM).
Certificaciones de ISACA?
Instructor Oscar Gómez 61
¿Qué significa COBIT?
• COBIT es un acrónimo formado por las siglas derivadas de– Control– OBjectives
• for Information– and related Technology
Instructor Oscar Gómez 62
¿Qué significa COBIT?• Es un marco de referencia general para el gobierno de TI
que ayuda a comprender y administrar los riesgos y beneficios asociados con TI
• Es una suite de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados (Stakeholders)
• Permite el desarrollo de políticas claras y de buenas prácticas para control de TI
• Es un marco de referencia en constante actualización
Instructor Oscar Gómez 63
INFORMACIÓNEfectividad
EficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidad
RECURSOS DE TIDatos
Sistemas de AplicaciónTecnologíaInstalacionesGente
PLANEACIÓN Y ORGANIZACIÓN
PO1 Definir un Plan Estratégico de Tecnología e Información
PO2 Definir la Arquitectura de InformaciónPO3 Determinar la dirección TecnológicaPO4 Definir la Organización y las Relaciones de
las TIPO5 Manejar la Inversión en Tecnología de la
InformaciónPO6 Comunicar la dirección y aspiraciones de la
gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de
Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar ProyectosPO11 Administrar Calidad
AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de AplicaciónAI3 Adquirir y Mantener Arquitectura de
Tecnología AI4 Desarrollar y Mantener Procedimientos
relacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios
DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por
TercerosDS3 Administrar Desempeño y CapacidadDS4 Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguraciónDS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones
M1 Monitorear los ProcesosM2 Evaluar lo Adecuado del Control InternoM3 Obtener Aseguramientos IndependientesM4 Proporcionar Auditoría Independiente
ENTREGA Y SOPORTE
ADQUISICIÓN E IMPLEMENTACIÓN
MONITOREO
COBITOBJETIVO DEL
NEGOCIO
Instructor Oscar Gómez 64
Estructura de Cobit
34Procesos
Series de actividades unidas con cortes naturales de control.
Actividades o tareas
Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida.
4 DominiosAgrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional
Instructor Oscar Gómez 65
Características de COBIT• Orientación al negocio.• Alineación con estándares y
regulaciones.• Basado en una revisión critica
de tareas y actividades en tecnología de información.
• Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA, OECD, ISO9000-3, NIST
• Orientación al negocio.• Alineación con estándares y
regulaciones.• Basado en una revisión critica
de tareas y actividades en tecnología de información.
• Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA, OECD, ISO9000-3, NIST
Instructor Oscar Gómez 66
Gobierno de ITEstructura organizacional y conjunto deprocedimientos que buscan administrar ycontrolar las actividades de IT para alcanzarlas metas y objetivos de la empresa,añadiendo valor y administrando los riesgos.
La estructura de gobierno IT debe estarinmersa en la organización y debe seraplicada a todas las actividades y procesos deIT (Planeación, implementación, ejecución ymonitoreo)
Instructor Oscar Gómez 67
COBIT
Instructor Oscar Gómez 68
Marco de Referencia CobitProporcionar
Dirección
Medir elDesempeño
EstablecerObjetivos
• IT debe estar alineada con el negocio, lo cual permitirá maximizar beneficios
• Los recursos de IT son usados eficiente y responsablemente
• Los riesgos relacionados con IT se administran en forma adecuada.
Actividadesde IT
• Aumentar la automatización (Efectividad)• Reducir costos (Eficiencia)• Manejar riesgos (Seguridad)
Comparar
Instructor Oscar Gómez 69
Instructor Oscar Gómez 70
Ejemplo 01 – Dominio Planear y Organizar
El equipo de control durante su labor de auditoria, pudo determinar la siguienteocurrencia:
Pregunta:
Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Carencia de Documentación de las Pruebas que se Realiza a Productos y Soluciones de TI
Durante la revisión del equipo de control se apreció la ausencia deprocedimientos formales que documenten apropiadamente el plan de pruebasde nuevos productos y soluciones, así como de sus modificaciones posteriores;en cuanto a descripción de las mismas, datos a ser usados, metodología para eldesarrollo de dichos pruebas, datos, casos de pruebas, script de pruebas y losresultados esperados.
Instructor Oscar Gómez 71
Instructor Oscar Gómez 72
Ejemplo 02 – Dominio Adquirir e Implementar
El equipo de control durante su labor de auditoria, pudo determinar la siguienteocurrencia:
Pregunta:
Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Carencia de Herramientas de Modelamiento de datos
Se ha observado que la Dirección de TI, no cuenta con herramientas de tecnología de información que permita realizar las actividades de Modelamiento de Datos y Elaboración de Diagramas de Entidad Relación.
Instructor Oscar Gómez 73
Instructor Oscar Gómez 74
Ejemplo 03 – Dominio Entrega y Dar Soporte
El equipo de control durante su labor de auditoria, pudo determinar la siguienteocurrencia:
Pregunta:
Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Falta de UPS para la Operatividad del Negocio
Se ha verificado que la organización cuenta con 30 servidores de red, de loscuales se han identificado que existen 7 servidores críticos que deben estar almenos operativo 3hrs cuando exista perdida de fluido eléctrico la zona, para locual se pudo identificar que los UPS no tienen la suficiente autonomía de cargapara mantener al menos operativo 2hrs
Instructor Oscar Gómez 75
Instructor Oscar Gómez 76
Ejemplo 04 – Dominio Monitorear y Evaluar
El equipo de control durante su labor de auditoria, pudo determinar la siguienteocurrencia:
Pregunta:
Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Uso excesivo de internet con fines ajenos a los objetivos institucionales
Del Log de navegación de internet registrado por el firewall se pudo determinar que los consumo de anchos de banda se vinieron y vienen dando a paginas que no tienen que ver con actividades institucionales como:
-Paginas de juegos por web
-Música y videos en línea
-Paginas de adultos
-Uso de P2P
Instructor Oscar Gómez 77
Conclusiones• La importancia de certificaciones para labores de
auditoria de sistemas
• Cobit, enlaza los objetivos de control y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito
• Cobit, se puede aplicar a todo tipo de organizaciones independiente de sus plataformas de TI
• Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.
Instructor Oscar Gómez 78
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 79
Desarrollo de una Metodología Para una labor de Auditoría de
Sistemas
Capitulo 06
Instructor Oscar Gómez 80
La metodología consiste en dar a conocer las pautas yprocedimientos mínimos necesarios para el desarrollo de unalabor de auditoría, desde la planificación hasta laimplementación de las recomendaciones emitidas en el informede auditoría. .
DEFINICION
Fuente:NAGU y MAGU de la CGREstándares para la Práctica Profesional de la Auditoría Sistemas de Información de ISACA-Argentina
Instructor Oscar Gómez 81
Planeamiento
FASES DE LA METODOLOGIA
Trabajo de campo
Formulación del informe
Seguimiento
Instructor Oscar Gómez 82
Etapa 01.- Conocimiento de la Organización a Auditar
Etapa 02.- Elaboración del Plan de Auditoria
Etapa 03.- Programas de Auditoria
Etapa 04.- Aprobación del plan de auditoria
FASE 01.- PLANEAMIENTO DE AUDITORIA
Instructor Oscar Gómez 83
Etapa 01.- Acreditación, instalación y solicitud deinformación
Etapa 02.- Aplicación de programas y técnicas de auditoriapara la obtención de evidencias
Etapa 04.- Comunicación de hallazgos de auditoria.
Etapa 05.- Evaluación de descargos y desarrollo de debilidadesde control interno, observaciones, conclusiones yrecomendaciones
Etapa 06.- Elaboración y revisión de los papeles de trabajo
FASE 02.- DESARROLLO DE TRABAJO DE CAMPO
Instructor Oscar Gómez 84
FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”
01 Titulo del informe02 Índice03 Introducción
03.01 Origen03.02 Objetivo03.03 Alcance03.04 Antecedentes/Resumen del Negocio
04 Comentarios / Otros Aspectos de Importancia (Opcional)05 Observaciones
05.01 Formulación del hallazgo convertido en observación05.02 Comentarios y/o aclaraciones del personal comprendido en las
observaciones05.03 Evaluación de los comentarios y/o aclaraciones presentados
06 Conclusiones07 Recomendaciones08 Anexos
Instructor Oscar Gómez 85
La finalidad es determinar si la Organización a través de losfuncionarios responsables implemento las recomendaciones dadasen los informes de auditoria en su oportunidad. El estadosituacional de la recomendación puede ser: pendiente, en proceso oimplementado.
Etapa 1.- Recopilación de información.
Etapa 2.- Evaluación de la documentación.
Etapa 3.- Formulación de Informes de Seguimiento.
Etapa 4.- Elevación de Informes de Seguimientos
FASE 04.- SEGUIMIENTO DE MEDIDAS CORRECTIVAS DE LOS INFORMES DE AUDITORIA
Instructor Oscar Gómez 86
Conclusiones• Conocer una metodología general
para la labor de auditoria.
• Las estructuras de los informes de control respetan una estructura
• No todas las organizaciones tienen oficinas de auditoria interna que permitan realizar seguimiento a las recomendaciones
Instructor Oscar Gómez 87
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 88
Desarrollo de Casos Aplicando la Metodología Para una labor de
Auditoría de Sistemas
Capitulo 07
Instructor Oscar Gómez 89
Caso Práctico• En la entidad financiera ABC, se va ha
realizar la auditoria de sistemas a laDirección de Tecnologías deInformación del período 2008-2009. Porla Sociedad de Auditoria XYZ. Para locual todos somos miembros del equipode control por la magnitud de laEntidad Financiera
• Por lo que se le pide al equipo decontrol preparar el Plan de Auditoria deSistemas a ser ejecutado en el trabajode campo.
Instructor Oscar Gómez 90
Lo más importante…• El equipo de control debe tener
bien claro el objetivo general de auditoria
• Para este caso es:? …….• Auditoria de Sistemas, a la
Dirección de TI de la Entidad Financiera ABC, Período 2008-2009
Instructor Oscar Gómez 91
Etapa 01.- Conocimiento de la Organización a Auditar
Etapa 02.- Formulación de los objetivos específicos en relación al objetivo general de la Auditoria
Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar
Etapa 04.- Desarrollo del cronograma de auditoria
Etapa 05.- Aprobación de la formulación del plan de auditoria
FASE 01.- PLANEAMIENTO DE AUDITORIA
Instructor Oscar Gómez 92
Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar
Instructor Oscar Gómez 93
Estructura Orgánica de la Dirección de TI de la Entidad Financiera
Dirección de TI
Subdirección deDesarrollo
y Soluciones de TI
Subdirección deAseguramientode la Calidad
Subdirección deOperaciones
Jefatura de la PMO Jefatura de Seguridadde la Información
Jefatura deAplicacionesde Negocio
Jefatura deAplicaciones
Administrativas
Jefatura deCalidad
Jefatura deCertificación
Jefatura deData Center
Jefatura deHelp Desk
Jefatura de Telecomunicaciones
Instructor Oscar Gómez 94
Fase 01 - Etapa 02.- Formulación de los objetivos específicos en relación al objetivo general de la Auditoria
Objetivo General Objetivos Específicos
Auditoria de Sistemas a la Dirección de Tecnologías de
Información de la Entidad Financiera ABC, Período 2008-
2009
Evaluar el licenciamiento de software
Evaluar las adquisiciones y contrataciones del Área
Evaluar los sistemas de información
Evaluar cumplimiento de la normatividad
Evaluar la Seguridad de la Información
Determinar el cumplimiento de planes de TI
Evaluar el Data Center y Data Center Alterno
Evaluación de los proyectos informáticos
Evaluar el cableado de data y eléctrica de la red
Evaluación de la satisfacción de la áreas usuarias
Evaluación de la Tercerización
Instructor Oscar Gómez 95
Los programas de auditoria, son procedimientos que comprendenuna relación lógica, secuencial y ordenada que deberán seraplicados por el equipo de auditoria a efectos de obtener evidenciassuficientes, competentes y relevantes, necesarias para alcanzar ellogro del objetivo(s) de auditoria.
Estructura:• Un objetivo especifico• Alcance (área(s) y periodo de control)• Criterios a aplicar (normatividad afecta)• Personal encargado del desarrollo• Requerimiento de recursos necesarios• Un cronograma de ejecución• Procedimientos específicos (detallados)
Fase 01 - Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar
Instructor Oscar Gómez 96
Ejemplo: Programa de Auditoría para evaluar Sistemas de Información
Fase 01 - Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar
Instructor Oscar Gómez 97
Definición de Cuestionario• Un cuestionario es un instrumento de investigación
que se utiliza para el desarrollo de una investigación en el campo de las ciencias sociales; es una técnica ampliamente aplicada en la investigación de carácter cualitativa.
• El cuestionario es "un medio útil y eficaz para recoger información en un tiempo relativamente breve" que tiene como objetivo buscar un fin determinado. En su construcción pueden considerarse preguntas cerradas, abiertas o mixtas. Su construcción, aplicación y tabulación poseen un alto grado científico y objetivo.
Instructor Oscar Gómez 98
SUPUESTOS DE CUESTIONARIO
El uso de cuestionarios en investigación supone que
• El investigador debe partir de objetivos de estudio perfectamente definidos
• Cada pregunta es de utilidad para el objetivo planteado por el trabajo.
• El investigador debe estructurar las preguntas teniendo en mente siempre los objetivos del trabajo.
• El que contesta está dispuesto y es capaz de proporcionar respuestas fidedignas
Instructor Oscar Gómez 99
CUATRO PREGUNTAS CLAVE. CUESTIONARIO
• 1. ¿De cuánto tiempo disponen quienes responderán para contestar el cuestionario?
• 2. ¿Cuánto tiempo tiene el investigador para editarlo, presentarlo, aplicarlo, codificarlo, procesarlo y analizarlo?
• 3. ¿Qué tan dispuestos están para responder quienes van a contestar?
• 4. ¿Cuánto costará su aplicación?
Instructor Oscar Gómez 100
Tipos de Preguntas de Aplicación en los Cuestionarios
Preguntas Cerradas?
Preguntas Abiertas?
Instructor Oscar Gómez 101
Tipos de Preguntas de Aplicación en los Cuestionarios
Preguntas x Rango?
Preguntas, Varias
Fuente: Guía para la implementación de un SCI para Entidades del Estado (CGR)
Instructor Oscar Gómez 102
Ejemplo de Estructura de Cuestionarios
Ejemplo
Instructor Oscar Gómez 103
Formular el tiempo que demoraría la labor de control, cuando se tenga en forma completa los procedimientos a aplicar para cada objetivo, el cual es recomendable que no exceda de 3 meses
Fase 01 - Etapa 04.- Desarrollo del cronograma de auditoria
Ejemplo:
Instructor Oscar Gómez 104
Desarrollo del Cronograma para la Auditoria de Sistemas a la Dirección de Tecnologías de Información de la Entidad Financiera ABC, Período 2008-2009
Instructor Oscar Gómez 105
Fase 01 - Etapa 05.- Aprobación de la formulación del plan de auditoria
Nuestro plan de auditoria para ser aprobado, deberá tener:
• Un objetivo general claramente establecido
• Un alcance de la labor de control
• Objetivos específicos bien determinados
• Programas de auditoria para los objetivos específicos
• Relación de Recursos Humanos requeridos
• Cronograma de ejecución y control
• Detalle de los recursos logísticos necesarios
Instructor Oscar Gómez 106
Conclusiones• En base a la aplicación de la
metodología el equipo de control puede realizar en forma planificación de control.
• Las preguntas de un cuestionario deben ser formuladas en función al objetivo que se defina alcanzar.
• La información recepcionada de los CCI deben permiten aportar indicios casi razonable para el cumplimiento del objeto de auditoria.
Instructor Oscar Gómez 107
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 108
Formulación de Hallazgos, Observaciones, Conclusiones y
Recomendaciones
Capitulo 08
Instructor Oscar Gómez 109
Desarrollo de un Objetivo de AuditoriaEn cada objetivo especifico de control los auditores responsables, deben tener claro que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una labor de auditoría.
Objetivo XYZ
Programade Auditoria
(PA)
RRHHAsignados
Criterios deControl y Soporte
Logístico
La aplicación del PA, conlos RRHH adecuados bajo
los criterios de controladecuados, bajo un tiempo
determinado va permitirencontrar las …..
Evidenciasy/o
Riesgosen TIdel
Negociopara los
Hallazgos
Instructor Oscar Gómez 110
FORMULACION DE FORMULACION DE HALLAZGOS DE AUDITORIAHALLAZGOS DE AUDITORIA
Instructor Oscar Gómez 111
¿Qué son los Hallazgos de Auditoría?
Los Hallazgos de Auditoría, son el resultadode la comparación realizado entre un criterioy la situación encontrada (pasada y/o actual)durante el desarrollo de la labor de auditoria.
Es toda información que a juicio del auditorle permite identificar hechos o circunstanciasimportantes que inciden en la gestión delárea en cumplimiento de sus objetivos, y quepor su naturaleza merecen ser comunicadasposiblemente en el informe de auditoría.Consultar: NAGU de la CGR y Normas de ISACA
Instructor Oscar Gómez 112
ELEMENTOS DEL HALLAZGO DE AUDITORÍA
CONDICIÓN CRITERIO CAUSA EFECTO “LO QUE ES” “LO QUE DEBE SER” “POR QUÉ OCURRIÓ” “DIF: LO QUE ES/ DEBIÓ SER”
Es la situación actual encontrada por el auditor al examinar una actividad, área o transacción.
Comprende la norma con la cual el auditor mide la condición. Puede ser la meta, que se está logrando alcanzar
Es la razón básica, por la cual ocurrió la condición, o el motivo de incumplimiento del criterio. El simple incumplimiento no es suficiente.
Constituye el resultado adverso o potencial de la condición encontrada. A veces representa la pérdida monetaria.
Formas: *Los criterios no vienen lográndose en forma satisfactoria *Los criterios no se logran *Los criterios se están logrando parcialmente
Los criterios pueden ser: * Disposiciones
aplicables a la entidad: Leyes, reglamentos, normas, Manuales.
* Metodologías, estandares
Características: * Inadecuada
segregación de funciones,
* Carencia de personal,
* Falta de honestidad, * Insuficiente
capacitación, * Desconocimiento
normas * Insuficiente
supervisión del desarrollo de tareas
Uso antieconómico Pérdida de ingresos, Gastos indebidos, Controles deficiente, Informes inexactos,
Instructor Oscar Gómez 113
Estructura de un HallazgoSumilla.- Se refiere al titulo que se utiliza el hechoobservado.Condición.- Descripción de la situación irregular odeficiencia hallada, cuyo grado de desviación debe serdemostrada.Criterio.-Normas transgredidas de carácter legal, operativo ode control que regulan el accionar de la entidad examinada.Causa.- Es la razón fundamental por la cual ocurrió lacondición, o el motivo por el que no se cumplió el criterio onorma.Efecto.- Es la consecuencia real o potencial, cuantitativa ocualitativa, que ocasiono(a) la condición.
Instructor Oscar Gómez 114
Ejemplo 01
Evaluación de la funcionalidad de un Sistemas de Información
Instructor Oscar Gómez 115
Diferencia entre una Observación y un Hallazgo
• Un hallazgo, es una debilidad, delitoy/o deficiencia encontrada durantela fase de trabajo de campo.
• Una observación, es un hallazgo nosuperado durante la etapa deevaluación de descargos quecomprende a los responsables delhallazgo, la cual es puesto en elinforme de auditoria.
Instructor Oscar Gómez 116
RECOMENDACIÓN
CONCLUSIÓN
OBSERVACIÓN
Efecto Causa Criterio
Que se refleja en un informe de auditoria?Que se refleja en un informe de auditoria?
Evidencia y/o Riesgo
Quien respalda el informe de auditoria?
Los papeles de trabajo de la labor de auditoria
Instructor Oscar Gómez 117
• Definición de Observación, Conclusión y Recomendación
• Estructura de una Observación, Conclusión y Recomendación
• Diferencia entre una Observación y un Hallazgo
• Ejemplos de aplicación
• Conclusión
Formulación de Observaciones, Formulación de Observaciones, Conclusiones y RecomendacionesConclusiones y Recomendaciones
Instructor Oscar Gómez 118
La Observación
• Las observaciones son el resultado de laaplicación de los procedimientos deauditoria en la fase de trabajo de campo através de la evaluación y contrastación delos hallazgos comunicados y no superadocon los correspondientes comentarios y/oaclaraciones formulados por el personalcomprendido en los mismos, con ladocumentación y evidencia sustentada.
• Las observaciones se refieren a hechos osituaciones de carácter significativo y deinterés para la organización.
Instructor Oscar Gómez 119
Estructura de la Observación
• 01 Sumilla.- Es el título o encabezamiento que identifica el asunto materia de la observación
• 04 Elementos (condición, criterio, efecto y causa)
• Comentarios y/o aclaraciones del personal comprendido en las observaciones
• Evaluación de los comentarios y/o aclaraciones presentados
• Un número asignado en forma secuencial con el que será puesto en el informe.
Instructor Oscar Gómez 120
Estructura de la Observación, Conclusión y Recomendación
• La conclusión.- Es el juicio de carácterprofesional que reflejara el auditor, basados enla(s) observacion(es) correspondientes.
• La recomendación.- Es la formulacionpreferentemente de orientación constructivapara propiciar el mejoramiento de la gestión, seformulan siguiendo el orden jerárquico de losfuncionarios responsables de implementarlos.Basado en las observaciones y conclusionescorrespondientes.
Instructor Oscar Gómez 121
Relación entre observación, conclusión y recomendación
• Observación N° 01 “…………………………………...”• ………………………………………………………………......• ………………………….
• Conclusión N° 01• ………………………………………………………………......• ………………………………………………………………......• …………………………….(Observación N° 01)
• Recomendación N° 01• …………………………………………………………………..• ……………………………………………..(Conclusión N° 01)
Instructor Oscar Gómez 122
Ejemplo 02: Formulación de la Observación, Conclusión y Recomendación
SIGUIENDO EL CASO DEL HALLAZGO DEL APLICATIVO “CORE”
Instructor Oscar Gómez 123Auditoría de Sistemas Expositor: Ing. Oscar Gómez Marín 123
Conclusiones• Lo mas importante en el desarrollo de trabajo de
campo es poder y saber encontrar hallazgos y que estos esten debidamentes sustentados
• Los hallazgos deben haber tenido un gran impacto en el que hacer del Negocio.
• Las hallazgos son la escencia/base para la formulación del informe de auditoria
• El equipo de auditoria deberá determinar y clasificar la importancia en la que se presentaran los hallazgos al supervisor de auditoria
• Los hallazgos deben ser comunicados a los responsables
Instructor Oscar Gómez 124
Conclusiones• Tomar conocimiento de la importancia
en la formulación de las observaciones de auditoria y que estas se formulan a través de hallazgos no superados.
• Saber que siempre debe existir una relación entre la observación, conclusión y recomendación.
• En los casos que se justifique, las observaciones irán acompañada de anexos en el informe de auditoría
Instructor Oscar Gómez 125
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 126
Formulación de Informes
Capitulo 09
Instructor Oscar Gómez 127
FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”
01 Titulo del informe02 Índice03 Introducción
03.01 Origen03.02 Objetivo03.03 Alcance
03.04 Antecedentes / Resumen del Negocio04 Comentarios / Otros Aspectos de Importancia (Opcional)
04.01 Formulación del comentario (condición, “causa”, efecto)04.02 Evaluación del comentario formulado
05 Observaciones05.01 Formulación del hallazgo convertido en observación05.02 Comentarios y/o aclaraciones del personal comprendido en las observaciones05.03 Evaluación de los comentarios y/o aclaraciones presentados
06 Conclusiones07 Recomendaciones08 Anexos, Cuadros, Gráficos
Instructor Oscar Gómez 128
Ejemplo 01• En base al objetivo general de control:
• Así como del conocimiento de la Entidad a Auditar y
• Con la relación de observaciones, conclusiones y recomendaciones que se tenga después de la aplicación de los programas de auditoria estos serán adicionados al informe de auditoria según la estructura señalada
Instructor Oscar Gómez 129
Desarrollo de ejemplo 01
Instructor Oscar Gómez 130Auditoria de Sistemas Ing. Oscar Gómez Marin 130
Conclusiones• El informe de auditoria, es el
documento que se presentara a la Alta Dirección para la toma de decisiones sobre las recomendaciones y sobre los hechos observados en ella.
• El informe de auditoria deberá contener hechos significativos y representativos que ocurrieron bajo el período de control.
Instructor Oscar Gómez 131
Preguntas ..?• …….• …….• …….• …….• …….• …….
Instructor Oscar Gómez 132
Muchas Gracias
Ing. Oscar Gómez [email protected]@hotmail.comCelular 995382424RPM #719749
Top Related