auditoría de sistemas administración de recursos ing. en sistemas de información frba - utn -...

Auditoría de Sistemas

Administración de recursosIng. En sistemas de Información

FRBA - UTN - ARGENTINA2010

Contenido1. Concepto2. Objetivos3. Justificación4. Tipos de auditoría5. Evidencia de auditoría6. Normas de auditoría7. Control Interno8. Riesgos de auditoría9. Fases de la auditoría


1. Concepto“La auditoría de sistemas es la parte de la auditoria

interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de computadores; es decir, en estas evaluaciones se está involucrando tanto los elementos técnicos como humanos que intervienen en el proceso de la información”


1. Concepto


2-Objetivos



Objetivos específicos• Evaluar la intervención de la auditoría en el desarrollo,

implementación y mantenimiento de aplicaciones.• Evaluar las políticas y criterios para la adquisición y/o

desarrollo del software.• Evaluar los riesgos y fraudes de mayor incidencia al interior

de la empresa.• Examinar la documentación y los procedimientos existentes

para determinar su actualización y efectividad.• Constatar si el personal se encuentra capacitado para aplicar

controles y procedimientos de seguridad.


Objetivos específicos• Comprobar la participación de los usuarios durante las

etapas de análisis, diseño y puesta en marcha de las diferentes aplicaciones.

• Evaluar los procedimientos para asignación de claves de acceso, modificaciones, cancelaciones, etc.

• Revisar los estándares de producción y comprobar la calidad de la información producida.

• Verificar la programación de los mantenimientos a las aplicaciones

Auditoría de Sistemas3-Justificación


4-Tipos de auditoría• Auditoría forense: en aquellos casos que existan sospechas

de fraude o actuaciones ilegales, pueden realizarse investigaciones para obtener evidencia (pruebas) utilizando herramientas informáticas para recuperar datos de forma legal de equipos informáticos utilizados por los sospechosos y posteriormente analizarlos. Este tipo de actuaciones se realiza, generalmente, por la policía, fiscalía o a instancia judicial.


4-Tipos de auditoría• Auditoría de gestión: examen de un sistema informático para

evaluar si los objetivos previstos al implementar el sistema han sido alcanzados efectivamente, con criterios de economía y eficiencia.

• Auditorías sobre adquisición de equipos y sistemas: dada la complejidad, su efecto en la organización y el elevado coste de los actuales sistemas informáticos, este tipo de auditorías son de realización frecuente en los auditores públicos más avanzados a nivel internacional. Existe una relativamente abundante metodología a nivel internacional sobre este tipo de trabajos


4-Tipos de auditoría• Auditoría de seguridad informática: auditoría de controles de

seguridad en sistemas informáticos para evaluar la extensión en la que se mantiene la confidencialidad, integridad y disponibilidad de los datos y los sistemas, teniendo en consideración el perfil de riesgo de la entidad y de sus sistemas TI. Es una de las auditorías de mayor interés para las entidades y empresas, ya que en los complejos sistemas informatizados actuales se multiplican las potenciales vulnerabilidades de seguridad que deben ser adecuadamente cubiertas.


4-Tipos de auditoría• Auditoría de aplicaciones informáticas/sistemas de

información y auditorías limitadas sobre controles generales y de aplicación: revisiones sobre los controles manuales y automatizados en un sistema informatizado, con el objetivo de evaluar el grado de confianza que puede depositarse en las transacciones procesadas y en los informes generados por el sistema.


5-Evidencia de auditoría• Concepto y naturaleza: la evidencia de auditoría es toda la

información usada por el auditor para alcanzar las conclusiones sobre las que basa su opinión de auditoría, sus conclusiones y recomendaciones. La naturaleza de la evidencia está constituida por todos aquellos hechos y aspectos susceptibles de ser verificados por el auditor.

• Características de la evidencia: dado que en pocas ocasiones se puede tener certeza absoluta sobre la validez de la información, el auditor, para tener una base razonable en que apoyar su informe, precisa que la evidencia tenga unas características esenciales; la evidencia debe ser: suficiente y apropiada (pertinente y fiable).


5-Evidencia de auditoría• Suficiente: evidencia suficiente es la que el auditor necesita

en términos cuantitativos para obtener una seguridad razonable que le permita expresar una opinión en el informe de auditoría. Es decir, es la medida de la cantidad de evidencia. La valoración del número de elementos de prueba que se considera suficiente depende del juicio del auditor.

• Apropiada: apropiada es la medida de la calidad de la evidencia de auditoría, calidad que está condicionada por la relevancia (o pertinencia) y fiabilidad (validez) de la misma. Es la característica cualitativa.


5-Evidencia de auditoría- La evidencia informática de auditoría «Evidencia informática. Información y datos contenidos en soportes electrónicos, informáticos y telemáticos, así como los elementos lógicos, programas y aplicaciones utilizados en los procedimientos de gestión del auditado. Esta evidencia informática incluirá los elementos identificados y estructurados que contienen texto, gráficos, sonidos, imágenes o cualquier otra clase de información que pueda ser almacenada, editada, extraída e intercambiada entre sistemas de tratamiento de la información, o usuarios de tales sistemas, como unidades diferenciadas.»

Evidencia de auditoría tradicional Evidencia informática de auditoría

Origen

Se puede establecer con facilidad el origen/procedencia.

Es difícil determinar el origen si únicamente se examina información en soporte informático. Se requiere la utilización de controles y de técnicas

de seguridad que permitan la autenticación y reconocimiento.

Alteración

La evidencia en papel es difícil de alterar sin que se detecte.

Es difícil, si no imposible, detectar cualquier alteración únicamente mediante el examen de la información en soporte informático. La integridad

de la información depende de los controles fiables y de las técnicas de seguridad empleadas.

Aprobación

Los documentos en papel muestran la prueba de su aprobación en su superficie.

Es difícil de establecer la aprobación si únicamente se examina la información en soporte

informático. Se requiere la utilización de controles y de técnicas de seguridad.


Evidencia de auditoría tradicional Evidencia informática de auditoría

Integridad

Todos los términos relevantes de una operación/transacción se incluyen por lo

general en un mismo documento.

Los términos más significativos aparecen a menudo en distintos archivos de datos.

Lectura

No se requiere ningún tipo de herramienta o equipo. Es necesaria la utilización de distintas tecnologías y herramientas.

Formato

Parte integral del documento. El formato viene separado de los datos y puede modificarse.

Disponibilidad y accesibilidad

Normalmente no es una restricción durante la fiscalización.

Las pistas de auditoría para la información en soporte informático puede que no estén disponibles en el

momento de la auditoría y el acceso a los datos puede resultar más difícil.

Firma

Es sencillo firmar un documento en papel y comprobar la firma.

Se necesitan las tecnologías adecuadas para realizar una firma electrónica fiable y revisarla.



6-Normas técnicas de auditoriaINTOSAI - Organización Internacional de Entidades Fiscalizadoras superioresISSAI - Normas Internacionales de las Entidades Fiscalizadoras superiores

ISSAI 100 Postulados Básicos de la Fiscalización Pública

ISSAI 200 Normas Generales de Fiscalización Pública et Normas sobre los derechos y el comportamiento de los auditores

ISSAI 300 Normas de Procedimiento en la Fiscalización Pública

ISSAI 400Normas para la Elaboración de los Informes en la Fiscalización Pública

ISSAI 5300-5399 Directrices de la IT auditoria:

ISSAI 5310

Information System Security Review Methodology - A Guide for Reviewing Information System Security in Government Organisations

http://www.issai.org/media(359,1033)/ISSAI_100S.pdf







http://www.issai.org/media(421,1033)/ISSAI_5310_E.pdf




6-Normas técnicas de auditoriaThe Institute of Internal AuditorsGTAG - Global Technology Audit Guides • GTAG 12: Auditing IT Projects• GTAG 11: Developing the IT Audit Plan• GTAG 10: Business Continuity Management• GTAG 9: Identity and Access Management• GTAG 8: Auditing Application Controls• GTAG 7: IT Outsourcing• GTAG 6: Managing and Auditing IT Vulnerabilities• GTAG 5: Managing and Auditing Privacy Risks• GTAG 4: Management of IT Auditing• GTAG 3: Continuous Auditing• GTAG 2: Change and Patch Management Controls• GTAG 1: Information Technology Controls


6-Normas técnicas de auditoriaThe Institute of Internal AuditorsGTAG - Global Technology Audit Guides Principios GAIT• Principio 1: la identificación de riesgos y controles generales TI será la continuación del

enfoque de arriba hacia abajo basado en el análisis de riesgos utilizado para identificar cuentas significativas, los riesgos de estas cuentas y los controles clave en los procesos de negocio.

• Principio 2: los riesgos y controles generales TI que deben ser identificados son los que afectan a la funcionalidad TI que sea crítica en las aplicaciones financieras significativas y los datos relacionados.

• Principio 3: los riesgos y controles generales TI que deben identificarse existen en los procesos y en varios niveles TI: aplicaciones, bases de datos, sistemas operativos y redes.

• Principio 4: los riesgos en los procesos TI de control son mitigados mediante el cumplimiento de los objetivos de control TI.

Auditoría de Sistemas6-Normas técnicas de auditoriaISACA - Information Systems Audit and Control Association Normas de Auditoría de Sistemas de Información de ISACA• S1 Estatuto de auditoría• S2 Independencia• S3 Etica y normas profesionales• S4 Competencia profesional• S5 Planeación• S6 Realización labores de auditoría• S7 Reporte• S8 Actividades de seguimiento• S9 Irregularidades y acciones ilegales• S10 Gobernabilidad de TI• S11 Evaluación de riesgos en la planeación• S12 Materialidad• S13 Uso de otros expertos• S14 Evidencia de auditoría

Auditoría de Sistemas7-Control interno«El control interno es un proceso integral efectuado por la

gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales:

• Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones

• Cumplimiento de las obligaciones de responsabilidad• Cumplimiento de las leyes y regulaciones aplicables• Salvaguarda de los recursos para evitar pérdidas, mal uso y

daño.»

Auditoría de Sistemas7-Control internoControles internos en entornos informatizados

Los controles internos relativos a los procesos informáticos comprenden tanto los controles generales que afectan al entorno informatizado en su conjunto como los controles específicos de las distintas aplicaciones de negocio.

Auditoría de Sistemas7-Control internoTipos de controles• a) Controles generales: los controles generales son las políticas y

procedimientos que se aplican a la totalidad o a gran parte de los sistemas de información de una entidad, incluyendo la infraestructura y plataformas informáticas de la organización auditada.

• b) Controles de aplicación: dado que la mayor parte de los procesos de negocio de una entidad están soportados por aplicaciones informáticas, muchos de los controles internos están automatizados en ellas.

• c) Controles de usuario: los controles de usuario son aquellos realizados por personas que interactúan con los controles de los SI. La eficacia de los controles de usuario generalmente depende de la exactitud de la información proporcionada por el sistema de información, como por ejemplo los informes de excepción u otros informes.

Auditoría de Sistemas8-Riesgos de auditoría

Posibilidad de que cualquier error, omisión o irregularidad de importancia que exista y no haya sido puesto de manifiesto por el Sistema de control interno o que no fuera a su vez detectado por la aplicación de las pruebas adecuadas de auditoria.

Tipos de riesgo• Riesgo inherente: es la posibilidad inherente a la actividad de la entidad de que

existan errores o irregularidades significativas en el proceso, antes de considerar la efectividad de los sistemas de control. El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados.

• Riesgo de Control: es el riesgo por el que un error, que podría cometerse en un área de auditoría y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno.

Auditoría de Sistemas8-Riesgos de auditoría

• Riesgo de Detección: es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema de aplicación es normalmente alto, debido a que en el transcurso de la auditoría, los registros de todo su período no se encuentran disponibles. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.

Auditoría de Sistemas9-Fases de la auditoría

Las Normas Internacionales de Auditoría exigen que el auditor realice sus auditorías basándose en el risk-based approach to auditing o enfoque de auditoría basado en el análisis de los riesgos (ABAR).

Esto implica tres pasos:1. Evaluar el riesgo de manifestaciones erróneas significativas;2. Diseñar y ejecutar los procedimientos de auditoría precisos en respuesta a

los riesgos evaluados y reducir el riesgo a un nivel aceptablemente bajo, y3. Emitir un adecuado informe escrito basado en la evidencia de auditoría

obtenida y en las incidencias de auditoría detectadas.

Auditoría de Sistemas9-Fases de la auditoríaEtapas principales de la Auditoria• Exploración: la exploración es la etapa en la cual se realiza el estudio o examen

previo al inicio de la Auditoria con el propósito de conocer en detalle las características de la entidad a auditar. Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar.

• Planeamiento: el trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer. Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría.

Auditoría de Sistemas9-Fases de la auditoría• Contenidos mínimos del plan de auditoría:

– Definición de los temas y las tareas a ejecutar.– Nombre del o los especialistas que intervendrán en cada una de ellas.– Fecha prevista de inicio y terminación de cada tarea. Se considera desde la

exploración hasta la conclusión del trabajo.– Igualmente se confecciona el plan de trabajo individual de cada especialista,

considerando como mínimo:• Nombre del especialista.• Definición de los temas y cada una de las tareas a ejecutar.• Fecha de inicio y terminación de cada tarea.• Cualquier ampliación del término previsto debe estar autorizada por el supervisor

u otro nivel superior; dejando constancia en el expediente de Auditoría.• Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el

individual de cada especialista, pueden incluirse en un solo documento en atención al número de tareas a ejecutar, cantidad de especialistas subordinados, etc.

Auditoría de Sistemas9-Fases de la auditoríaEtapas principales de la Auditoria• Supervisión: el propósito esencial de la supervisión es asegurar el cumplimiento

de los objetivos de la Auditoría y la calidad razonable del trabajo. Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas.

• Ejecución: el propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión del auditor actuante.

Auditoría de Sistemas9-Fases de la auditoríaEtapas principales de la Auditoria• Informe: en esta etapa el Auditor se dedica a formalizar en un documento los resultados

a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado. La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.

• El informe de Auditoría debe cumplir con los principios siguientes:– Que se emita por el jefe de grupo de los auditores actuantes.– Por escrito.– Oportuno.– Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de entender.– Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a hallazgos relevantes

con evidencias suficientes y competentes.– Que refleje una actitud independiente.– Que muestre la calificación según la evaluación de los resultados de la Auditoría.– Distribución rápida y adecuada.

– .

Auditoría de Sistemas9-Fases de la auditoríaEtapas principales de la Auditoria • Seguimiento: en esta etapa se siguen, como dice la palabra, los resultados de una

Auditoría, generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoria.

Técnicas y Herramientas de trabajo– Análisis de la información recabada del auditado.– Cruzamiento de las informaciones anteriores.– Entrevistas.– Simulación.– Muestreos.– Cuestionarios.– Cuestionario Checklist.– Simuladores (Generadores de datos).– Paquetes de auditoría (Generadores de Programas).

Auditoría de SistemasBibliografía• Alonso Tamayo Alzate, Auditoría de sistemas. Una visión practica. Universidad

Nacional de Colombia• Antonio Minguillón Roy, La Auditoría de sistemas de Información integrada en la

auditoría Financiera.

auditoría de sistemas administración de recursos ing. en sistemas de información frba - utn -...

Documents