M. Sc. Miguel Cotaña Mier Lp, julio 2020

AUDITORIA INFORMÁTICA

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS PURAS Y NATURALES

CARRERA DE INFORMÁTICA

13.3 El departamento de auditoría

2

Se pretende mostrar lasresponsabilidades de unDepartamento de Auditoría de losSistemas de Información (DASI), asícomo aspectos clave para poderdesarrollar dichas responsabilidades,sea pública o privada.Por tanto, un aspecto clave es laconsideración de la función deauditoría de SI dentro de una entidad.

INTRODUCCIÓN

3

Consideramos al DASI como una unidadinterna dentro la organización;Es posible que la función o labor deauditar los SI de una entidad se realicea través de personal externoespecialmente contratado, sinnecesidad de mantener unDepartamento específico.

4

La misión principal de la función deauditoría de los SI es proveer a losórganos de gobierno y a los de gestiónde una institución, de una seguridadrazonable que los sistemas de controlinterno de los recursos de informaciónestán bien definidos y efectivamenteadministrados, y que apoyan y ayudana la creación de valor de laorganización.

MISIÓN DEL DASI

5

Podemos considerar 3aspectos:✓ Para quién desarrolla sulabor la función de auditoríade SI (… órganos degobierno y a los degestión…);

✓ Qué debe realizar (… que lossistemas de controlinterno….);

✓ Sobre qué debe actuar (…recursos de información…)

6

Objetivos:✓ Revisar la existencia ysuficiencia de los controlesde los recursos deinformación que soportan losprocesos de negocio;

✓ Validar que los recursos deinformación apoyan losobjetivos de negocio ycumplen los requerimientosestablecidos;

ORGANIZACIÓN DEL DASI

7

✓ Analizar los nuevos riesgosderivados de las nuevas tecnologíasy de los nuevos negocios;

✓ Formar y divulgar respecto de losriesgos y amenazas que se derivande una inadecuada utilización de losrecursos de información.

8

Ubicación en la organización:Dado que el Auditor de Sistemas deInformación (ASI) debe revisar elcontrol interno de los recursos deinformación y ésta afecta a toda laorganización, debe por tanto ubicarseen un punto del organigrama de laentidad que le dote de totalindependencia del resto de unidades,y además de suficiente autoridad parapoder ejercer su labor.

9

Es por ello que la función de ASI nopuede en modo alguno estar incluido enel Departamento de Tecnología deInformación (DTI) de una entidad.La ubicación de la función de ASIdentro de una entidad debe estarenglobada con la función de la auditoriainterna

11

AUDITORIA INTERNA

AUDITORIA OPERATIVA

AUDITORIA INFORMÁTICA

AUDITORIAS ESPECIALES

AUDITORÍA FINANCIERA

• Asegura un adecuado control interno;• Supervisa a la auditoría interna y externa;• Contrata al auditor externo;• Supervisa el cumplimiento de las recomendaciones.

• Análisis de riesgos;• Planificación;• Evaluación;• Recomendación y seguimiento.

12

Recursos necesarios:Para poder desarrollar su función elDASI debe contar con suficientesrecursos:

✓ Recursos Humanos;✓ Recursos técnicos: sistemas oherramientas de información;

✓ Recursos económicos.

13

Estructura del DASI:Para dimensionar y estructurar elDASI, debemos considerar:

✓ Tamaño de la organización: nonecesariamente por el númerode empleados ni en volumen denegocio o ventas, sino en susprocesos de negocio;

✓ Dependencia de los negocios dela organización de las TI;

14

✓ Topología de los SI: debemosconsiderar el grado decentralización/descentralizaciónde los sistemas, las diferentestecnologías usadas, número ylocalización de proveedores;

✓ Ubicación geográfica;✓ Dimensión del departamento;✓ Localización del departamento.

15

El estatuto de auditoria de SI:Para poder desarrollar la misión yfunciones definidas al DASI ésta debecontar con un Estatuto o marconormativo que básicamente leproporcione autoridad sobre toda laorganización e independencia de susórganos de gestión y dirección

16

Para llevar a cabo la misión definida alDASI hemos de evaluar el sistema decontrol interno de los recursos deinformación de la entidad, y esta tareala realizaremos a través deevaluaciones o revisiones de auditoría

PLANIFICACIÓN DEL TRABAJO ASI

Definir el universo de TI

Análisis de riesgos

Plan a largo plazo

Plan a corto plazo

17

Al definir eluniverso de TI, nosólo debeconsiderarse losrecursos deinformación, sinotambién los procesosoperativos que sonnecesarios

18

Una vez definida el universode TI, es establecer unamedida de importanciarelativa de cada uno de loselementos de dichouniverso, en relación a losriesgos de cada uno de losrecursos tecnológicos,mediante metodologíasadecuadas de análisis deriesgos de TI.

19

Los activos están expuestos a amenazas que,cuando se materializan, degradan el activo,produciendo un impacto. Si estimamos lafrecuencia con que se materializan las amenazas,podemos deducir el riesgo al que está expuesto elsistema. Degradación y frecuencia califican lavulnerabilidad del sistema.El gestor del SI dispone de salvaguardas, que obien reducen la frecuencia de ocurrencia, o bienreducen o limitan el impacto. Dependiendo delgrado de implantación de estas salvaguardas, elsistema pasa a una nueva estimación de riesgoque se denomina riesgo residual.

20

21

22

Establecido el universo de TI, así comodeterminado cuál es el riesgo de cadaelemento de dicho universo, elsiguiente paso es definir el plan paraevaluar si los sistemas de controlinterno establecidos en la instituciónson adecuados y suficientes paramitigar los riesgos identificados

23

COBIT 5 para Riesgos define el Riesgo de TI comoun riesgo para el negocio, específicamente elriesgo para el negocio asociado con el uso,propiedad, operación, involucramiento, influencia yadopción de TI dentro de una empresa.Una inadecuada gestión de los riesgos de TIpueden reducir el valor del negocio, creandopérdidas financieras, dañando la reputacióncorporativa y desperdiciando nuevasoportunidades.

24

Algunas de las categorías de escenarios de Riesgos de TI son las siguientes:✓ Establecimiento y mantenimiento de portafolio✓ Gestión del ciclo de vida de proyectos/programas✓ Toma de decisiones de inversión en TI✓ Conocimientos y habilidades de TI✓ Operaciones del staff (errores humanos/maliciosos)✓ Información (violación de datos: daño, fuga y acceso)✓ Arquitectura (visión y diseño)✓ Infraestructura (hardware, SO y tecnología de control)✓ Software✓ Propiedad del negocio de TI inefectiva

25

MODELO COBIT: Gestión del ciclo de vida

26

✓ Elaboración de planes de trabajo para llevar acabo auditorías en informática y el desarrollode actividades apropiadas que permitanmaximizar la eficacia del área de TI;

✓ Implementación de los planes de trabajollevando un control de las actividades arealizar en tiempos estimados reales; encuanto a evaluación de sistemas deinformación, procedimientos, equiposinformáticos y redes de comunicación;

FUNCIONES DEL DASI

27

✓ Evaluación de sistemas, procedimientosy equipos informáticos; así como ladependencia de estos y las medidastomadas para garantizar sudisponibilidad y continuidad;

✓ Verificar el cumplimiento de las normasde auditoria gubernamental, políticas ynormas de seguridad de la Dirección deTecnología que rigen la Institución en elárea de TI;

28

✓ Comprobar que el área de TI ha tomadolas medidas correctivas de los informesde la Auditoría Interna así como de lasomisiones que al respecto se verifiquenen el seguimiento de informes;

✓ Evaluación de los controles deseguridades lógicas y físicas quegaranticen la integridad,confidencialidad y disponibilidad de losdatos en los SI de la institución;

29

✓ Evaluación de los riegos y controlesestablecidos para la búsqueda eidentificación de debilidades;

✓ Revisar la existencia de políticas, objetivos,normas, metodologías, así como laasignación de tareas y adecuadaadministración de los recursos humanos einformáticos;

✓ Evaluar la existencia de políticas, objetivos,normas, metodologías, asignación de tareasy adecuada administración de los recursos.

30

EL EQUIPO DE ASI

El trabajo de auditoría es eminentemente untrabajo intelectual. Se debe realizar unesfuerzo en dotar al DASI de profesionalesque estén altamente cualificados ypreparados para desempeñar la labor de ASI:

✓ Formación;✓ Trato con las personas;✓ Desarrollo del trabajo;✓ Honesto y reservado.

MODULO IV

3.4 Ética del Auditor de Sistemas 31

32

La Asociación de Auditoria y Control deSistemas de Información (ISACA), guía laconducta de los ASI:

✓ Soportar la implementación de, yfomentar el cumplimiento de, lasnormas, los procedimientos y loscontroles apropiados para los SI;

✓ Ejecutar sus deberes con objetividad,debida diligencia y atención profesional,en conformidad con las normas ymejores prácticas;

CODIGO DE ETICA

33

✓ Servir en el interés de los accionistas enuna forma legal y honesta, y al mismotiempo mantener altos estándares deconducta y de carácter, y no dedicarse aactos que puedan desacreditar laprofesión;

✓ Mantener la privacidad y confidencialidadde la información obtenida en el cursode sus funciones a menos que laautoridad legal requiera su revelación;

34

✓ Mantener competencias y acordaremprender únicamente actividades queellos puedan razonablemente realizar concompetencia profesional;

✓ Informar a las partes apropiadas sobre losresultados del trabajo realizado,revelando todos los hechos significativosde los que ellos tengan conocimiento;

✓ Soportar la educación profesional de losaccionistas para aumentar sucomprensión de la seguridad y el controlde SI.