fundamentos de auditoria de sistemas

Instructor Oscar Gómez 1

Conceptos Previos Antes de una Labor de Auditoría de

Sistemas

Capitulo 01


Objetivo del SeminarioQue los participantesconozcan y estén preparadospara desarrollar labores deauditoria de sistemas así comode apoyo en otros tipos deauditoria, aplicando unametodología y herramientasque les permita cumplir con elobjetivo de auditoria.


Que es lo más importante que custodia TI del negocio?

La información


Que es la información del negocio? Cualquier forma de registro electrónico, óptico, magnético oen otros medios similares, susceptible de ser procesada,distribuida y almacenada

Confidencialidad: La información debe ser accesible sólo a aquellos que se encuentren debidamente

autorizados.

Integridad: La información debe ser completa, exacta y válida.

Disponibilidad: La información debe estar disponible en forma

organizada para los usuarios autorizados cuando sea

requerida.

Integridad

Confidencialidad Disponibilidad


Qué le sirve al negocio para:• Tomar decisiones

• Obtener una ventaja competitiva


Fron End

Back End

Middleware

Middleware


PARA VERIFICACION DE CUMPLIMIENTO DE LOS OBJETIVOS DEL NEGOCIOASÍ COMO DE DISMINUIR EL INCREMENTO DE DELITOS INFORMATICOS(FRAUDES, ROBO ELECTRÓNICO, ALTERACIÓN O MODIFICACIÓN DEPROGRAMAS, DIFAMACIÓN, ETC..., POR MEDIOS ELECTRÓNICOS) QUEHAN LLEVADO A LAS EMPRESAS A QUIEBRAS Y A PÉRDIDAS CUANTIOSAS,AFECTANDO A LOS ACCIONISTAS, CLIENTES, EMPLEADOS Y A LA PROPIAECONOMIA NACIONAL.

MAYOR

AUTOMATIZACIÓN

MAYOR

DEPENDENCIA

IMAGEN DE LA NECESIDAD DE REALIZAR UNA AUDITORIA DE SISTEMAS

MAYOR

RIESGO


Existe una regulación internacional enmateria de Auditoría de Sistemas, donde lasmás importantes para los profesionales endicha labor son:

– COBIT (ISACA)– COSO– AICPA (SAS)– IFAC (NIA)– SAC– MARGERIT– EDP

Metodologías y Fundamentos para una labor de Auditoria de Sistemas


Dar los lineamientos que permita saber encontrarevidencias y riesgos en el área de TI y áreas del negocioen una labor de auditoria.

Marco Conceptual

Evidencia.- es el conjunto de hechos comprobados,suficientes, competentes y relevantes que sustentan loshallazgos, comentarios y/o observaciones, conclusiones yrecomendaciones del auditor.

Riesgo.- es una amenaza o acción que puede afectarnegativamente a la organización para el logro de susobjetivos, metas, etc.


Impacto.- es el conjunto medida o grado del dañosobre un activo producto de la materialización deuna amenaza.

Amenaza.- es un evento o acción no deseable quepuede afectar negativamente a la organización parael logro de sus objetivos, metas, etc.

Marco ConceptualVulnerabilidad.- Es una debilidad en un sistema,aplicación o infraestructura que lo haga susceptiblea la materialización de una amenaza


Conocimiento de la Organización a Auditar

PersonalEstructura Orgánica

(Macro y Micro)

Web y Posición en el Mercado


Taller 01

1. ¿Cómo debería ser su estructura orgánica del Área de TI, para la empresa modelo explicado?

2. ¿Qué normas, metodologías, estándares entre otros consideran que debe tener implementada y normada el Área de TI?

Partiendo del supuesto que las Auditorias deSistemas se realizan a empresas que estándebidamente organizadas y estructuradas, resuelvalas siguientes preguntas:


Solución Taller 01


Conclusiones• Conocimiento de la importancia

de la auditoria de sistemas• Existencia de metodologías

para el desarrollo de una auditoria de sistemas

• El seminario es teórico-practico

• Que los participantes estén preparados para integrar equipos de auditoria


Preguntas ..?• …….• …….• …….• …….• …….• …….


Derecho Informático

Capitulo 02


Derecho Informático

El Derecho Informático se define como un conjunto de principios y normas que regulan los efectos jurídicos nacidos de la interrelación entre el Derecho y la informática.

Se puede señalar que es una rama del derecho especializado en eltema de la informática, sus usos, sus aplicaciones y susimplicaciones legales.

Existe una serie de términos para el Derecho Informático comoDerecho Telemático, Derecho de las Nuevas Tecnologías, Derechode la Sociedad de la Información, Informática Jurídica, DerechoTecnológico, Derecho del Ciberespacio, Derecho de Internet, etc.


Pirámide del Kelsen


• Congreso de la Republica

• Contraloría General de la Republica

• Poder Ejecutivo y Legislativo

• Presidencia del Consejo de Ministros

• Indecopi

• INEI (En su oportunidad)

• ONGEI

PRINCIPALES ENTIDADES EMISORAS DE NORMAS INFORMATICAS EN EL PERÚ


Normas Informáticas Generales de Aplicación

para las labores de Auditoria de Sistemas


Normas Aplicables en General para Auditoria de Sistemas (Publico o Privado)

• NL19960424 Decreto Legislativo 822 Ley sobre el Derecho de Autor

• NL20040720 Ley 28289 Ley de Lucha Contra La Piratería

• NL20000717-Ley 27309 Ley que Incorpora los Delitos Informáticos al Código Penal

• NL20010207-Ley 27419 Ley Sobre Notificación por Correo Electrónico

• NL20050412 Ley 28493-Ley que regula el uso del correo electrónico comercial no solicitado (SPAM)

• Contratos de TI con Terceros

• Requerimientos Funcionales de las Áreas Usuarias sobre los aplicativos que se requiera a TI


Normas Aplicables como Buenas Practicas en General para Auditoria de Sistemas (Preferentemente Sector Privado)

Normas ISO

COBIT

ITIL

CMMI

PMBOK

ISTQB


Similitud con la labor de un Policía de Transito


Caso 01El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia:

Pregunta:

Cual norma(s), estaría aplicando por incumplimiento? ……………………….


Solución Caso 01


Conclusiones• Conocimiento de la Estructura

Normativa a través de la Pirámide de Kelsen

• Saber que en el Perú existen entidades emisoras de normas informáticas que deben cumplir en su mayoría las empresas del estado.

• Conocer las normas informáticas que se utilizaran y aplicaran según el escenario se presente


Preguntas ..?• …….• …….• …….• …….• …….• …….


¿Qué es la Auditoría de Sistemas?

Capitulo 03


¿Qué es la Auditoría de Sistemas?Es el examen crítico que se realiza con carácter objetivocon el fin evaluar la eficiencia y eficacia de lautilización de los recursos informáticos y de la gestióninformática de un período determinado encumplimiento de los objetivos del negocio


OBJETIVAEs la medida en que considera que el auditor debe mantener una actitud inteligente, respecto de las actividades a examinar en la entidad; en función de los objetivos de auditoria.

SISTEMÁTICA Y PROFESIONALPorque responde a un proceso que es debidamente planeado y porque debe ser desarrollada por profesionales idóneos y expertos, sujetos a normas profesionales y al código de ética profesional.

CONCLUYENTETermina en un informe escrito, en cuyo contenido se presentan los resultados del examen realizado, incluyendo observaciones, conclusiones y recomendaciones.

CARACTERISTICAS DE UNA AUDITORIA


JUSTIFICACIÓN DE UNA AUDITORÍA DE SISTEMAS

• Aumento considerable e injustificado del presupuesto einversiones del Área de Informática, sin la obtención deresultados favorables.

• Desconocimiento de la alta dirección sobre la situacióninformática de la empresa y carece de tiempo para podereducarse en áreas técnicas

• Descubrimiento de fraudes, robos, estafas electrónicos.• Falta de organización y planificación informática, que no

funciona eficientemente y no genera independencia a otrasáreas

• Descontento de las áreas usuarios sobre las TICimplementadas

• Documentación incompleta o faltante de los sistemas enexplotación que limita efectuar un mantenimiento oportuno.

• Evaluación y resultados de la tercerización (outsourcing)• Otras que estén debidamente justificadas.


OBJETIVOS DE UNA AUDITORIA DE SISTEMAS

• Evaluar la relación costo-beneficio de las TICimplementados

• Evaluar la satisfacción de las necesidades de losusuarios sobre las TIC utilizadas en laorganización.

• Verificación de la integridad, confidencialidad yconfiabilidad de la información registrada yprocesada por los sistemas de información.

• Establecer la situación del área de informática,las actividades y esfuerzos realizados para ellogro de los objetivos propuestos.

• Verificar si existen de riesgos en el uso detecnología de información y comunicaciones.

• Evaluar las decisiones de inversión y gastos.


TIPOS Y CLASIFICACIONES DE AUDITORIAS DE SISTEMAS


Es el profesional de ingeniería de sistemas oafín que pone a disposición de la labor deauditoria sus conocimientos de informática yexperiencia profesional aplicando técnicas yherramientas según el caso lo requiera

Las actividades típicas donde el auditor desistemas se desarrolla se pueden clasifican en:• Auditoría a la Gestión del Área de Informática.• Auditoría informática de sistemas• Auditoría informática de explotación• Auditoría informática de comunicaciones• Auditoría informática de desarrollo• Auditoría informática de seguridad• Apoyo a los auditores no informáticos

EL AUDITORIA DE SISTEMAS ?


PERFIL DEL AUDITOR DE SISTEMAS (1)- Profesional de la especialidad de ingeniería de sistemas o afín- Habilidad para investigar un hecho y documentar su trabajo- Experiencia en el área de sistemas- Conocimiento de Técnicas de Auditoria Asistido por Computadora

TAAC- Capacidad de trabajar con equipos multidisciplinarios- Habilidad para comunicarse con las personas de las áreas

auditadas- Conocimientos de normatividad y procedimientos de auditoria- Conocimientos de técnicas de análisis de riesgo aplicado a la

auditoria de sistemas de información- De preferencia con años de experiencia en auditoria- Deseable contar con certificaciones de auditoria de sistemas

y horas de capacitación en auditoria.

(1) Debido a la característica cambiante del ambiente del área de sistemas, producto en mucho de los casos por lacontinua incorporación de nuevas tecnologías, es necesario que el Auditor de Sistemas este en permanente proceso decapacitación, perfeccionamiento y actualización.


ROL DEL AUDITOR DE SISTEMAS (*)• Revisar documentación de su competencia.

• Validar hechos que hagan daño a la Organizacióny estrategias para reducirlos a través de lasrecomendaciones.

• Responder al nivel de participación en una laborde auditoria.

• Preparar, revisar y modificar el programa deauditoria en caso de ser necesario.

• Verificación y evaluación de controles

(*) Rol.- Conjunto de funciones que definen la conducta social del individuo y que le sonexigidos por la sociedad para reforzar su capacidad de integración (“La Enciclopedia” -Salvat Editores S.A. 2004 Pag. 13521)


Conclusiones• Conocer la definición de auditoria

de sistemas• Tipos y clasificación de la

auditoria de sistemas• Conocer los objetivos y

justificación de una auditoria de sistemas

• Conocer la importancia el rol y perfil que debe tener el auditor de sistemas


Preguntas ..?• …….• …….• …….• …….• …….• …….


Técnicas de Auditoria Asistido por Computadora

Capitulo 04


¿Qué son las TAAC?• Las Técnicas de Auditoría Asistidas por Computador (TAACs), son

programas de ordenador (software) que el auditor de sistemas utilizacomo herramienta de auditoría durante el desarrollo de susprocedimientos establecidos en una labor de auditoría, en búsquedade evidencias y/o riesgos.

• TAACs deben ser desarrolladas en situaciones donde existe interéspor aumentar la eficiencia o efectividad de la auditoría. Por ejemplo:– Inventario remoto de hardware y software instalados

– Velocidad de internet

– Verificación de data almacenada en las Base de Datos de Sistemas

– Trafico de la red

– Entre otras


OBJETIVOS• Oportunidad para aplicar los métodos del

muestreo

• Verificación de la integridad de la población.

• Aumento en la extensión de losprocedimientos de auditoría

• Eliminación del trabajo tedioso

• Reducción en el tiempo de la auditoría

• Flexibilidad


CLASIFICACIÓN DE LAS HERRAMIENTAS TAAC

• Orientadas al desarrollo de los sistemas de información– Active File Compare

– Endevor

– QA Run, QA File

– Erwin

• Orientadas a la explotación de datos e información– ACL TOAD para Oracle Database

– IDEA SQL-ANSI de la misma Base de Datos

• Herramientas automatizadas– Sniffers (CommView, Sniffer Pro, Lan Scan, )

– Microsoft Software Inventory Analizer - MSIA

– Inventario de HW y SW (Aida32, Network Inventory Navigator, iInventory)


Orientado al Orientado al desarrollo de desarrollo de los Sistemas de los Sistemas de InformaciónInformación

El Active File El Active File Compare Compare -- AFC AFC permite:permite:

••El correcto El correcto algoritmo de algoritmo de comparación de comparación de archivos de texto archivos de texto

••Comparación del Comparación del contenido de dos contenido de dos carpetas carpetas

••Generación del Generación del archivo Informe archivo Informe de diferencias de diferencias


Orientado a la Orientado a la explotación de explotación de Datos e Datos e Información Información

Con ACL, el auditor Con ACL, el auditor puede analizar los puede analizar los datos desde el datos desde el principio hasta el principio hasta el final, como:final, como:

•• Planificar el proyectoPlanificar el proyecto

•• Adquirir los datosAdquirir los datos

•• Acceder a los datos con Acceder a los datos con ACLACL

•• Verificar la integridad Verificar la integridad de los datosde los datos

•• Analizar los datosAnalizar los datos

•• Generar reportes de los Generar reportes de los resultadosresultados


Herramientas Herramientas AutomatizadasAutomatizadas

Microsoft Software Microsoft Software Inventory Analizer Inventory Analizer ––MSIAMSIA

••Es una herramienta Es una herramienta diseñada para diseñada para realizar un inventario realizar un inventario de software clave de de software clave de MicrosoftMicrosoft

••MSIA reconoce los MSIA reconoce los productos más productos más populares y populares y comúnmente usados comúnmente usados de Microsoft.de Microsoft.


Baseline Security AnalyzerBaseline Security Analyzer


RetinaRetinaRetina Network Security Scanner es el estándar para el análisis de vulnerabilidades. Identifica Retina Network Security Scanner es el estándar para el análisis de vulnerabilidades. Identifica todas las vulnerabilidades de seguridad conocidas y asigna prioridades según el tipo de amenaza todas las vulnerabilidades de seguridad conocidas y asigna prioridades según el tipo de amenaza para su corrección. para su corrección.


Ejemplo 01: Validación de Tráfico de la Red con Acceso a Internet


Ejemplo 02 – AdminSecure 2007

• Actividad Global de la Seguridad Ante Ataques de Virus y Códigos Maliciosos

• Informe de Actividad por Capas Ante Ataques de Virus y Códigos Maliciosos


VENTAJAS

• Nivel reducido de riesgos en auditoría (control ymuestral).

• Cobertura de auditoría más amplia y másconsistente.

• Ahorro de tiempos en busca de evidencias yevaluación del control interno

• Algunas herramientas TAAC pueden ser utilizadospor auditores que no necesariamente sean de laespecialidad de sistemas


DESVENTAJAS

• Ponderar un análisis costo/beneficio antes deadquirirlos o de desarrollarlos.

• Requerimientos sofisticados de instalación.• Eficiencias de procesamientos (Pc, Server, Red)• Esfuerzo que se requiera para tener la

información de datos fuentes para ser analizadospor las herramientas TAAC

• Algunas herramientas TAAC demanda serejecutados por especialistas.


Conclusiones• Las TAAC's pueden ser empleadas cuando no pueda

obtenerse evidencia adecuada y suficiente con los métodos tradicionales

• El auditor debe tener un comprensión profunda de las TAAC y debe saber dónde y cuándo aplicarlas.

• El auditor debe considerar una combinación apropiada de técnicas de auditoría manuales y con ayuda del computador. La efectividad y los procedimientos de auditoría pueden ser mejorados mediante el uso de TAAC's


Preguntas ..?• …….• …….• …….• …….• …….• …….


Visión General de COBIT

Capitulo 05


• ISACA es: "Information System Audit and ControlAssociation“. Una asociación de profesionalesdedicados a la práctica de la auditoria, control yseguridad de sistemas de información, fundadaen los Estados Unidos en 1967 (www.isaca.org).

• En 1997 en el Perú se fundo el Capítulo 146 deISACA, cuyo objetivo principal es brindar a susmiembros capacitación e información paramejorar sus competencias relacionados con lapráctica de la auditoria, control y seguridad desistemas de información (www.isaca.org.pe).

• ISACA se ha convertido actualmente en unaorganización global que establece las pautaspara los profesionales de auditoria, control yseguridad de sistemas de información.

Que es ISACA?


LATIN AMERICAN CACS – COSTA RICA - 2009


• Certified Information SystemsAuditor (Auditor Certificado deSistemas de Información, oCISA)

• Certified Information SecurityManager (Gerente Certificadode Seguridad de Información, oCISM).

Certificaciones de ISACA?


¿Qué significa COBIT?

• COBIT es un acrónimo formado por las siglas derivadas de– Control– OBjectives

• for Information– and related Technology


¿Qué significa COBIT?• Es un marco de referencia general para el gobierno de TI

que ayuda a comprender y administrar los riesgos y beneficios asociados con TI

• Es una suite de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados (Stakeholders)

• Permite el desarrollo de políticas claras y de buenas prácticas para control de TI

• Es un marco de referencia en constante actualización


INFORMACIÓNEfectividad

EficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidad

RECURSOS DE TIDatos

Sistemas de AplicaciónTecnologíaInstalacionesGente

PLANEACIÓN Y ORGANIZACIÓN

PO1 Definir un Plan Estratégico de Tecnología e Información

PO2 Definir la Arquitectura de InformaciónPO3 Determinar la dirección TecnológicaPO4 Definir la Organización y las Relaciones de

las TIPO5 Manejar la Inversión en Tecnología de la

InformaciónPO6 Comunicar la dirección y aspiraciones de la

gerenciaPO7 Administrar Recursos HumanosPO8 Asegurar el Cumplimiento de

Requerimientos ExternosPO9 Evaluar RiesgosPO10 Administrar ProyectosPO11 Administrar Calidad

AI1 Identificar SolucionesAI2 Adquirir y Mantener Software de AplicaciónAI3 Adquirir y Mantener Arquitectura de

Tecnología AI4 Desarrollar y Mantener Procedimientos

relacionados con TIAI5 Instalar y Acreditar SistemasAI6 Administrar Cambios

DS1 Definir Niveles de ServicioDS2 Administrar Servicios prestados por

TercerosDS3 Administrar Desempeño y CapacidadDS4 Asegurar Servicio ContinuoDS5 Garantizar la Seguridad de SistemasDS6 Identificar y Asignar CostosDS7 Educar y Entrenar a los UsuariosDS8 Apoyar y Asistir a los Clientes de TIDS9 Administrar la ConfiguraciónDS10 Administrar Problemas e IncidentesDS11 Administrar DatosDS12 Administrar InstalacionesDS13 Administrar Operaciones

M1 Monitorear los ProcesosM2 Evaluar lo Adecuado del Control InternoM3 Obtener Aseguramientos IndependientesM4 Proporcionar Auditoría Independiente

ENTREGA Y SOPORTE

ADQUISICIÓN E IMPLEMENTACIÓN

MONITOREO

COBITOBJETIVO DEL

NEGOCIO


Estructura de Cobit

34Procesos

Series de actividades unidas con cortes naturales de control.

Actividades o tareas

Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida.

4 DominiosAgrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional


Características de COBIT• Orientación al negocio.• Alineación con estándares y

regulaciones.• Basado en una revisión critica

de tareas y actividades en tecnología de información.

• Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA, OECD, ISO9000-3, NIST

• Orientación al negocio.• Alineación con estándares y

regulaciones.• Basado en una revisión critica

de tareas y actividades en tecnología de información.

• Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA, OECD, ISO9000-3, NIST


Gobierno de ITEstructura organizacional y conjunto deprocedimientos que buscan administrar ycontrolar las actividades de IT para alcanzarlas metas y objetivos de la empresa,añadiendo valor y administrando los riesgos.

La estructura de gobierno IT debe estarinmersa en la organización y debe seraplicada a todas las actividades y procesos deIT (Planeación, implementación, ejecución ymonitoreo)


COBIT


Marco de Referencia CobitProporcionar

Dirección

Medir elDesempeño

EstablecerObjetivos

• IT debe estar alineada con el negocio, lo cual permitirá maximizar beneficios

• Los recursos de IT son usados eficiente y responsablemente

• Los riesgos relacionados con IT se administran en forma adecuada.

Actividadesde IT

• Aumentar la automatización (Efectividad)• Reducir costos (Eficiencia)• Manejar riesgos (Seguridad)

Comparar


Ejemplo 01 – Dominio Planear y Organizar

El equipo de control durante su labor de auditoria, pudo determinar la siguienteocurrencia:

Pregunta:

Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?

Carencia de Documentación de las Pruebas que se Realiza a Productos y Soluciones de TI

Durante la revisión del equipo de control se apreció la ausencia deprocedimientos formales que documenten apropiadamente el plan de pruebasde nuevos productos y soluciones, así como de sus modificaciones posteriores;en cuanto a descripción de las mismas, datos a ser usados, metodología para eldesarrollo de dichos pruebas, datos, casos de pruebas, script de pruebas y losresultados esperados.


Ejemplo 02 – Dominio Adquirir e Implementar


Pregunta:


Carencia de Herramientas de Modelamiento de datos

Se ha observado que la Dirección de TI, no cuenta con herramientas de tecnología de información que permita realizar las actividades de Modelamiento de Datos y Elaboración de Diagramas de Entidad Relación.


Ejemplo 03 – Dominio Entrega y Dar Soporte


Pregunta:


Falta de UPS para la Operatividad del Negocio

Se ha verificado que la organización cuenta con 30 servidores de red, de loscuales se han identificado que existen 7 servidores críticos que deben estar almenos operativo 3hrs cuando exista perdida de fluido eléctrico la zona, para locual se pudo identificar que los UPS no tienen la suficiente autonomía de cargapara mantener al menos operativo 2hrs


Ejemplo 04 – Dominio Monitorear y Evaluar


Pregunta:


Uso excesivo de internet con fines ajenos a los objetivos institucionales

Del Log de navegación de internet registrado por el firewall se pudo determinar que los consumo de anchos de banda se vinieron y vienen dando a paginas que no tienen que ver con actividades institucionales como:

-Paginas de juegos por web

-Música y videos en línea

-Paginas de adultos

-Uso de P2P


Conclusiones• La importancia de certificaciones para labores de

auditoria de sistemas

• Cobit, enlaza los objetivos de control y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito

• Cobit, se puede aplicar a todo tipo de organizaciones independiente de sus plataformas de TI

• Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.


Preguntas ..?• …….• …….• …….• …….• …….• …….


Desarrollo de una Metodología Para una labor de Auditoría de

Sistemas

Capitulo 06


La metodología consiste en dar a conocer las pautas yprocedimientos mínimos necesarios para el desarrollo de unalabor de auditoría, desde la planificación hasta laimplementación de las recomendaciones emitidas en el informede auditoría. .

DEFINICION

Fuente:NAGU y MAGU de la CGREstándares para la Práctica Profesional de la Auditoría Sistemas de Información de ISACA-Argentina


Planeamiento

FASES DE LA METODOLOGIA

Trabajo de campo

Formulación del informe

Seguimiento


Etapa 01.- Conocimiento de la Organización a Auditar

Etapa 02.- Elaboración del Plan de Auditoria

Etapa 03.- Programas de Auditoria

Etapa 04.- Aprobación del plan de auditoria

FASE 01.- PLANEAMIENTO DE AUDITORIA


Etapa 01.- Acreditación, instalación y solicitud deinformación

Etapa 02.- Aplicación de programas y técnicas de auditoriapara la obtención de evidencias

Etapa 04.- Comunicación de hallazgos de auditoria.

Etapa 05.- Evaluación de descargos y desarrollo de debilidadesde control interno, observaciones, conclusiones yrecomendaciones

Etapa 06.- Elaboración y revisión de los papeles de trabajo

FASE 02.- DESARROLLO DE TRABAJO DE CAMPO


FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”

01 Titulo del informe02 Índice03 Introducción

03.01 Origen03.02 Objetivo03.03 Alcance03.04 Antecedentes/Resumen del Negocio

04 Comentarios / Otros Aspectos de Importancia (Opcional)05 Observaciones

05.01 Formulación del hallazgo convertido en observación05.02 Comentarios y/o aclaraciones del personal comprendido en las

observaciones05.03 Evaluación de los comentarios y/o aclaraciones presentados

06 Conclusiones07 Recomendaciones08 Anexos


La finalidad es determinar si la Organización a través de losfuncionarios responsables implemento las recomendaciones dadasen los informes de auditoria en su oportunidad. El estadosituacional de la recomendación puede ser: pendiente, en proceso oimplementado.

Etapa 1.- Recopilación de información.

Etapa 2.- Evaluación de la documentación.

Etapa 3.- Formulación de Informes de Seguimiento.

Etapa 4.- Elevación de Informes de Seguimientos

FASE 04.- SEGUIMIENTO DE MEDIDAS CORRECTIVAS DE LOS INFORMES DE AUDITORIA


Conclusiones• Conocer una metodología general

para la labor de auditoria.

• Las estructuras de los informes de control respetan una estructura

• No todas las organizaciones tienen oficinas de auditoria interna que permitan realizar seguimiento a las recomendaciones


Preguntas ..?• …….• …….• …….• …….• …….• …….


Desarrollo de Casos Aplicando la Metodología Para una labor de

Auditoría de Sistemas

Capitulo 07


Caso Práctico• En la entidad financiera ABC, se va ha

realizar la auditoria de sistemas a laDirección de Tecnologías deInformación del período 2008-2009. Porla Sociedad de Auditoria XYZ. Para locual todos somos miembros del equipode control por la magnitud de laEntidad Financiera

• Por lo que se le pide al equipo decontrol preparar el Plan de Auditoria deSistemas a ser ejecutado en el trabajode campo.


Lo más importante…• El equipo de control debe tener

bien claro el objetivo general de auditoria

• Para este caso es:? …….• Auditoria de Sistemas, a la

Dirección de TI de la Entidad Financiera ABC, Período 2008-2009


Etapa 01.- Conocimiento de la Organización a Auditar

Etapa 02.- Formulación de los objetivos específicos en relación al objetivo general de la Auditoria

Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar

Etapa 04.- Desarrollo del cronograma de auditoria

Etapa 05.- Aprobación de la formulación del plan de auditoria

FASE 01.- PLANEAMIENTO DE AUDITORIA


Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar


Estructura Orgánica de la Dirección de TI de la Entidad Financiera

Dirección de TI

Subdirección deDesarrollo

y Soluciones de TI

Subdirección deAseguramientode la Calidad

Subdirección deOperaciones

Jefatura de la PMO Jefatura de Seguridadde la Información

Jefatura deAplicacionesde Negocio

Jefatura deAplicaciones

Administrativas

Jefatura deCalidad

Jefatura deCertificación

Jefatura deData Center

Jefatura deHelp Desk

Jefatura de Telecomunicaciones


Fase 01 - Etapa 02.- Formulación de los objetivos específicos en relación al objetivo general de la Auditoria

Objetivo General Objetivos Específicos

Auditoria de Sistemas a la Dirección de Tecnologías de

Información de la Entidad Financiera ABC, Período 2008-

2009

Evaluar el licenciamiento de software

Evaluar las adquisiciones y contrataciones del Área

Evaluar los sistemas de información

Evaluar cumplimiento de la normatividad

Evaluar la Seguridad de la Información

Determinar el cumplimiento de planes de TI

Evaluar el Data Center y Data Center Alterno

Evaluación de los proyectos informáticos

Evaluar el cableado de data y eléctrica de la red

Evaluación de la satisfacción de la áreas usuarias

Evaluación de la Tercerización


Los programas de auditoria, son procedimientos que comprendenuna relación lógica, secuencial y ordenada que deberán seraplicados por el equipo de auditoria a efectos de obtener evidenciassuficientes, competentes y relevantes, necesarias para alcanzar ellogro del objetivo(s) de auditoria.

Estructura:• Un objetivo especifico• Alcance (área(s) y periodo de control)• Criterios a aplicar (normatividad afecta)• Personal encargado del desarrollo• Requerimiento de recursos necesarios• Un cronograma de ejecución• Procedimientos específicos (detallados)

Fase 01 - Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar


Ejemplo: Programa de Auditoría para evaluar Sistemas de Información

Fase 01 - Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar


Definición de Cuestionario• Un cuestionario es un instrumento de investigación

que se utiliza para el desarrollo de una investigación en el campo de las ciencias sociales; es una técnica ampliamente aplicada en la investigación de carácter cualitativa.

• El cuestionario es "un medio útil y eficaz para recoger información en un tiempo relativamente breve" que tiene como objetivo buscar un fin determinado. En su construcción pueden considerarse preguntas cerradas, abiertas o mixtas. Su construcción, aplicación y tabulación poseen un alto grado científico y objetivo.


SUPUESTOS DE CUESTIONARIO

El uso de cuestionarios en investigación supone que

• El investigador debe partir de objetivos de estudio perfectamente definidos

• Cada pregunta es de utilidad para el objetivo planteado por el trabajo.

• El investigador debe estructurar las preguntas teniendo en mente siempre los objetivos del trabajo.

• El que contesta está dispuesto y es capaz de proporcionar respuestas fidedignas


CUATRO PREGUNTAS CLAVE. CUESTIONARIO

• 1. ¿De cuánto tiempo disponen quienes responderán para contestar el cuestionario?

• 2. ¿Cuánto tiempo tiene el investigador para editarlo, presentarlo, aplicarlo, codificarlo, procesarlo y analizarlo?

• 3. ¿Qué tan dispuestos están para responder quienes van a contestar?

• 4. ¿Cuánto costará su aplicación?


Tipos de Preguntas de Aplicación en los Cuestionarios

Preguntas Cerradas?

Preguntas Abiertas?


Tipos de Preguntas de Aplicación en los Cuestionarios

Preguntas x Rango?

Preguntas, Varias

Fuente: Guía para la implementación de un SCI para Entidades del Estado (CGR)


Ejemplo de Estructura de Cuestionarios

Ejemplo


Formular el tiempo que demoraría la labor de control, cuando se tenga en forma completa los procedimientos a aplicar para cada objetivo, el cual es recomendable que no exceda de 3 meses

Fase 01 - Etapa 04.- Desarrollo del cronograma de auditoria

Ejemplo:


Desarrollo del Cronograma para la Auditoria de Sistemas a la Dirección de Tecnologías de Información de la Entidad Financiera ABC, Período 2008-2009


Fase 01 - Etapa 05.- Aprobación de la formulación del plan de auditoria

Nuestro plan de auditoria para ser aprobado, deberá tener:

• Un objetivo general claramente establecido

• Un alcance de la labor de control

• Objetivos específicos bien determinados

• Programas de auditoria para los objetivos específicos

• Relación de Recursos Humanos requeridos

• Cronograma de ejecución y control

• Detalle de los recursos logísticos necesarios


Conclusiones• En base a la aplicación de la

metodología el equipo de control puede realizar en forma planificación de control.

• Las preguntas de un cuestionario deben ser formuladas en función al objetivo que se defina alcanzar.

• La información recepcionada de los CCI deben permiten aportar indicios casi razonable para el cumplimiento del objeto de auditoria.


Preguntas ..?• …….• …….• …….• …….• …….• …….


Formulación de Hallazgos, Observaciones, Conclusiones y

Recomendaciones

Capitulo 08


Desarrollo de un Objetivo de AuditoriaEn cada objetivo especifico de control los auditores responsables, deben tener claro que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una labor de auditoría.

Objetivo XYZ

Programade Auditoria

(PA)

RRHHAsignados

Criterios deControl y Soporte

Logístico

La aplicación del PA, conlos RRHH adecuados bajo

los criterios de controladecuados, bajo un tiempo

determinado va permitirencontrar las …..

Evidenciasy/o

Riesgosen TIdel

Negociopara los

Hallazgos


FORMULACION DE FORMULACION DE HALLAZGOS DE AUDITORIAHALLAZGOS DE AUDITORIA


¿Qué son los Hallazgos de Auditoría?

Los Hallazgos de Auditoría, son el resultadode la comparación realizado entre un criterioy la situación encontrada (pasada y/o actual)durante el desarrollo de la labor de auditoria.

Es toda información que a juicio del auditorle permite identificar hechos o circunstanciasimportantes que inciden en la gestión delárea en cumplimiento de sus objetivos, y quepor su naturaleza merecen ser comunicadasposiblemente en el informe de auditoría.Consultar: NAGU de la CGR y Normas de ISACA


ELEMENTOS DEL HALLAZGO DE AUDITORÍA

CONDICIÓN CRITERIO CAUSA EFECTO “LO QUE ES” “LO QUE DEBE SER” “POR QUÉ OCURRIÓ” “DIF: LO QUE ES/ DEBIÓ SER”

Es la situación actual encontrada por el auditor al examinar una actividad, área o transacción.

Comprende la norma con la cual el auditor mide la condición. Puede ser la meta, que se está logrando alcanzar

Es la razón básica, por la cual ocurrió la condición, o el motivo de incumplimiento del criterio. El simple incumplimiento no es suficiente.

Constituye el resultado adverso o potencial de la condición encontrada. A veces representa la pérdida monetaria.

Formas: *Los criterios no vienen lográndose en forma satisfactoria *Los criterios no se logran *Los criterios se están logrando parcialmente

Los criterios pueden ser: * Disposiciones

aplicables a la entidad: Leyes, reglamentos, normas, Manuales.

* Metodologías, estandares

Características: * Inadecuada

segregación de funciones,

* Carencia de personal,

* Falta de honestidad, * Insuficiente

capacitación, * Desconocimiento

normas * Insuficiente

supervisión del desarrollo de tareas

Uso antieconómico Pérdida de ingresos, Gastos indebidos, Controles deficiente, Informes inexactos,


Estructura de un HallazgoSumilla.- Se refiere al titulo que se utiliza el hechoobservado.Condición.- Descripción de la situación irregular odeficiencia hallada, cuyo grado de desviación debe serdemostrada.Criterio.-Normas transgredidas de carácter legal, operativo ode control que regulan el accionar de la entidad examinada.Causa.- Es la razón fundamental por la cual ocurrió lacondición, o el motivo por el que no se cumplió el criterio onorma.Efecto.- Es la consecuencia real o potencial, cuantitativa ocualitativa, que ocasiono(a) la condición.


Ejemplo 01

Evaluación de la funcionalidad de un Sistemas de Información


Diferencia entre una Observación y un Hallazgo

• Un hallazgo, es una debilidad, delitoy/o deficiencia encontrada durantela fase de trabajo de campo.

• Una observación, es un hallazgo nosuperado durante la etapa deevaluación de descargos quecomprende a los responsables delhallazgo, la cual es puesto en elinforme de auditoria.


RECOMENDACIÓN

CONCLUSIÓN

OBSERVACIÓN

Efecto Causa Criterio

Que se refleja en un informe de auditoria?Que se refleja en un informe de auditoria?

Evidencia y/o Riesgo

Quien respalda el informe de auditoria?

Los papeles de trabajo de la labor de auditoria


• Definición de Observación, Conclusión y Recomendación

• Estructura de una Observación, Conclusión y Recomendación

• Diferencia entre una Observación y un Hallazgo

• Ejemplos de aplicación

• Conclusión

Formulación de Observaciones, Formulación de Observaciones, Conclusiones y RecomendacionesConclusiones y Recomendaciones


La Observación

• Las observaciones son el resultado de laaplicación de los procedimientos deauditoria en la fase de trabajo de campo através de la evaluación y contrastación delos hallazgos comunicados y no superadocon los correspondientes comentarios y/oaclaraciones formulados por el personalcomprendido en los mismos, con ladocumentación y evidencia sustentada.

• Las observaciones se refieren a hechos osituaciones de carácter significativo y deinterés para la organización.


Estructura de la Observación

• 01 Sumilla.- Es el título o encabezamiento que identifica el asunto materia de la observación

• 04 Elementos (condición, criterio, efecto y causa)

• Comentarios y/o aclaraciones del personal comprendido en las observaciones

• Evaluación de los comentarios y/o aclaraciones presentados

• Un número asignado en forma secuencial con el que será puesto en el informe.


Estructura de la Observación, Conclusión y Recomendación

• La conclusión.- Es el juicio de carácterprofesional que reflejara el auditor, basados enla(s) observacion(es) correspondientes.

• La recomendación.- Es la formulacionpreferentemente de orientación constructivapara propiciar el mejoramiento de la gestión, seformulan siguiendo el orden jerárquico de losfuncionarios responsables de implementarlos.Basado en las observaciones y conclusionescorrespondientes.


Relación entre observación, conclusión y recomendación

• Observación N° 01 “…………………………………...”• ………………………………………………………………......• ………………………….

• Conclusión N° 01• ………………………………………………………………......• ………………………………………………………………......• …………………………….(Observación N° 01)

• Recomendación N° 01• …………………………………………………………………..• ……………………………………………..(Conclusión N° 01)


Ejemplo 02: Formulación de la Observación, Conclusión y Recomendación

SIGUIENDO EL CASO DEL HALLAZGO DEL APLICATIVO “CORE”

Instructor Oscar Gómez 123Auditoría de Sistemas Expositor: Ing. Oscar Gómez Marín 123

Conclusiones• Lo mas importante en el desarrollo de trabajo de

campo es poder y saber encontrar hallazgos y que estos esten debidamentes sustentados

• Los hallazgos deben haber tenido un gran impacto en el que hacer del Negocio.

• Las hallazgos son la escencia/base para la formulación del informe de auditoria

• El equipo de auditoria deberá determinar y clasificar la importancia en la que se presentaran los hallazgos al supervisor de auditoria

• Los hallazgos deben ser comunicados a los responsables


Conclusiones• Tomar conocimiento de la importancia

en la formulación de las observaciones de auditoria y que estas se formulan a través de hallazgos no superados.

• Saber que siempre debe existir una relación entre la observación, conclusión y recomendación.

• En los casos que se justifique, las observaciones irán acompañada de anexos en el informe de auditoría


Preguntas ..?• …….• …….• …….• …….• …….• …….


Formulación de Informes

Capitulo 09


FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”

01 Titulo del informe02 Índice03 Introducción

03.01 Origen03.02 Objetivo03.03 Alcance

03.04 Antecedentes / Resumen del Negocio04 Comentarios / Otros Aspectos de Importancia (Opcional)

04.01 Formulación del comentario (condición, “causa”, efecto)04.02 Evaluación del comentario formulado

05 Observaciones05.01 Formulación del hallazgo convertido en observación05.02 Comentarios y/o aclaraciones del personal comprendido en las observaciones05.03 Evaluación de los comentarios y/o aclaraciones presentados

06 Conclusiones07 Recomendaciones08 Anexos, Cuadros, Gráficos


Ejemplo 01• En base al objetivo general de control:

• Así como del conocimiento de la Entidad a Auditar y

• Con la relación de observaciones, conclusiones y recomendaciones que se tenga después de la aplicación de los programas de auditoria estos serán adicionados al informe de auditoria según la estructura señalada


Desarrollo de ejemplo 01

Instructor Oscar Gómez 130Auditoria de Sistemas Ing. Oscar Gómez Marin 130

Conclusiones• El informe de auditoria, es el

documento que se presentara a la Alta Dirección para la toma de decisiones sobre las recomendaciones y sobre los hechos observados en ella.

• El informe de auditoria deberá contener hechos significativos y representativos que ocurrieron bajo el período de control.


Preguntas ..?• …….• …….• …….• …….• …….• …….


Muchas Gracias

Ing. Oscar Gómez [email protected]@hotmail.comCelular 995382424RPM #719749

fundamentos de auditoria de sistemas

Documents