metodo de auditoria y controlcotana.informatica.edu.bo/downloads/metodo-auditoria.pdf · manera...
TRANSCRIPT
Noviembre 2010
Mg. Sc. Miguel Cotaña Mier
METODO DE AUDITORIA Y
CONTROL
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
MAESTRIA EN AUDITORIA Y CONTROL FINANCIERO
AUDITORIA DE SISTEMAS INFORMATICOS
Las diferentes organizaciones, cuenta con unidades de
Auditoria Interna. Sólo se limitan a la auditoria y
control financiero.
La información, elemento fundamental, requiere de un
control a sus diferentes sistemas informáticos que
generan dicha información, implementadas casi
desordenadamente; velando por la correcta utilización
de sus amplios recursos tecnológicos, económicos y
humanos.
1. INTRODUCCION
Cada día es mayor el número de situaciones
irregulares. Algunos generan irregularidades en
provecho propio; situación que ligada a la perdida de
valores morales, éticos y religiosos, han originado
acciones fraudulentas.
Pero lo que es peor, no se controla ó supervisa
adecuadamente las diferentes implementaciones de
Sistemas de Información.
Los SI, son cajas negras, que sólo los que han
implementado dichos sistemas saben las fortalezas
y debilidades.
Por lo que de alguna manera el personal que diseñó
esos sistemas llegaron a ser imprescindibles en la
administración de la información.
Lamentablemente, no existe en un buen procentaje,
la documentación respectiva, que respalde si los
requerimientos de los usuarios fueron satisfechos,
que represente adecuadamente la realidad de cada
unidad o departamento y las metodologías
utilizadas en el desarrollo de los sistemas de
información.
Se debe diseñar una alternativa de control interno en el
ambiente de Tecnologías de la Información y
Comunicaciones en la Organizacion, para contar con
Sistemas de Información que minimicen los riesgos
relacionadas a la actividad desarrollada por la
organizacion.
PROPUESTA
Los Sistemas de Información existentes y
a ser desarrollados, pueden ser auditados y
controlados, donde la confiabilidad del
Sistema de Información auditado,
minimice errores en cada una de las etapas
del ciclo de vida.
OBJETIVO
2. MARCO REFERENCIAL
El marco referencial aplicable para proporcionar una
metodología de Auditoria y Control aplicada a la
actividad de una determinada Organización, estará
basado en conceptos como la Auditoria Financiera,
Auditoria Informática, ISO 17799, la familia ISO
27000, la metodología Cobit y las Tecnologías de la
Información y Comunicaciones.
3. EL METODO
La función de auditoria de sistemas no solo se basa
en la experiencia, habilidades, criterios y
conocimientos sin una referencia metodológica.
Contar con un método de Auditoria y Control en
cualquier organización, garantiza que las cualidades
de cada auditor de sistemas sean orientadas a trabajar
en equipo para la obtención de productos de calidad
estandarizados.
CARACTERISTICAS DEL METODO
Esta enfocada a unidades o departamentos, la
ASI es aplicable a todo tipo de entes;
Es genérica, podra ser aplicable a cada una de las
unidades, conservando la independencia con respecto
a las plataformas tecnológicas;
Esta adecuada a la realidad de nuestro país, la
brecha cultural entre los países desarrollados y los
países subdesarrollados como el nuestro, de alguna
manera incidirán en el alcance del método de
auditoria y control.
OBJETIVOS DEL METODO
Objetivos para la alta gerencia, podrán contar
con información confiable, íntegra, oportuna y fiable
para una adecuada toma de decisiones;
Objetivos para unidades de auditoria interna,
incentivar a que las unidades de auditoria interna, no
solo se dediquen al control interno financiero;
Objetivos para unidades a auditar, la
información y la tecnología que la soporta, satisfaga
los objetivos de la Organización.
DESARROLLO DEL METODO
La aplicación del método de auditoria y control,
puede definirse como un proceso sistemático,
por el cual el ASI, con un adecuado perfil
obtiene y evalúa objetivamente evidencias
respecto a afirmaciones sobre un área
especifica con el fin de formarse una opinión
sobre ello y reportar sobre el grado en que
dicha afirmación se ajusta a un conjunto de
estándares.
DIAGNOSTICO PRELIMINAR
Detallar en forma específica las actividades para
realizar una auditoria de TIC´s, para la emisión de
una opinión profesional e independiente con
relación:
A la confidencialidad, integridad, disponibilidad
y confiabilidad de la información;
Al uso eficiente y eficaz de recursos
tecnológicos;
A la efectividad del sistema de control interno
asociado a las TIC´s.
La ASI, está orientada a los siguientes tipos:
Auditoria a la informática;
Auditoria a la información;
Auditoria a la Base de Datos;
Auditoria a las redes de comunicación;
Auditoria al desarrollo;
Auditoria a la infraestructura;
Auditoria al Software;
Auditoria al Hardware.
La función de Auditoria y Control de los diferentes
SI se basa en un cuestionario de diagnostico
preliminar, luego debe estar contemplada en el POA.CONCEPTO DESCRIPCION OBSERVACIONES
Plan estratégico de la organi-
zación (solicitar organigrama )
Áreas de la actividad
institucionalPolíticas, estándares
referente a la función de
sistemas de información
Manual de funciones, planes
de contingencia, seguridad,
informes
La alta autoridad puede sugerir una ASI, para la cual:
Determinar la predisposición de la alta gerencia;
Determinar la auditabilidad del objeto;
Analizar y conocer la documentación existente
para su análisis;
Identificar características propias;
Estimar recursos humanos, tecnológicos para su
evaluación.
La alta gerencia serán los responsables de desarrollar
e implementar planes a corto y largo plazo que
satisfagan los objetivos institucionales.
La organización debe delegar autoridad a la función
de auditoria de SI. Este documento o memorando
debe ser emitida por la alta gerencia describiendo la
autoridad general, el alcance y las responsabilidades
de la función de auditoria.
Soluciones de consultoría- Asesoria y soporte en la definición, evaluación y selección de estrategias para la obtención de soluciones en la actividad institucional
( ) ( ) ( ) ( )
Soluciones de sistematización de procesos- Implementación de sistemas de información de acuerdo a requerimientos en la operatividad, eficiencia y bajo métodos apropiados?
( ) ( ) ( ) ( )
Soluciones de desarrollo tecnológico- Evaluación adecuada y selección de TI, globalización de la información, redes de ordenadores, automatización de procesos
( ) ( ) ( ) ( )
Servicios operativos- Instalación de equipos y redes - Capacitación al personal en el uso de la tecnología- Soporte a fallas de software- Soporte a fallas de hardware y comunicaciones
( ) ( ) ( ) ( )
Los sistemas de información en explotación, han solucionado 4=Excelente, 3=Buena
los siguientes aspectos y como los califica ? 2=Regular, 1=Deficiente
4 3 2 1
La ejecución de una ASI, debe considerar
previamente las siguientes actividades:
Designación del equipo de trabajo;
Comunicación del inicio de actividades;
Captura de requerimientos;
Solicitud de información relevante;
Análisis y especificación de requerimientos;
Elaboración de informe de gestión de requisitos.
ETAPAS DEL METODO
ETAPA DE PLANEACION
DE LA AUDITORIA
ETAPA DEL PROCESO
DE LA AUDITORIA
ETAPA DE REPORTES
DE LA AUDITORIA
ETAPA DE SEGUIMIENTO
DE LA AUDITORIA
Diagnostico
preliminar
El gerente de sistemas designará mediante
memorándums al Supervisor Evaluador y al equipo
de auditores.
A través de la gestión de información obtenida
previamente, los ASI deberán:
Entender la naturaleza de la organización y los
procesos de negocio que fueron automatizados
(verificar leyes que respalden la creación de la
entidad y normativas internas)
3.1 ETAPA DE PLANEACION
Comprender del objeto de auditoria: diseño
conceptual, políticas de gestión, registro de
datos, niveles de seguridad y uso de las redes de
comunicación;
Identificar políticas, procedimientos, normas y
estrategias que cumplan los objetivos de la
organización haciendo uso de TI;
Comprender la relación del área de sistemas
respecto a la misión de la organización.
Planeación de la Auditoria
Conocimiento sobre los fines y objetivos de la
Organizacion
Conocimiento de los Sistemas de Información
en la Organizacion
Conocimiento preliminar de análisis de riesgos
y controles para mitigarlos
FASES DE TRABAJO DE ASI- Determinación de áreas
- Elaboración de plan
- Presentación de plan
- Ejecución del plan
Conocimiento adecuado
de la realidad con
documentación
Documento emitido
por la alta gerencia
delegando autoridad.E
P
S
Fases de la Planeacion
DETERMINACIÓN
DE LAS AREAS A
AUDITAR
ELABORACIÓN
DEL PLAN DE
A.S.I.
PRESENTACIÓN
DEL PLAN A
AUTORIDADES
EJECUCIÓN
DEL PLAN DE
A.S.I.
Diagnostico
actual
Detección de
riesgos
Debilidades
Alcance
Definir
estrategia
Fechas y
periodos
Calificación
preliminar del
riesgo
Presentación
oportuna
Autorización y
apoyo por parte
de las
autoridades
Debilidades
Trabajo en
dominios
Riesgos
inherentes y de
control
Pruebas
sustantivas y de
cumplimiento
TAREA ACTIVIDAD PRODUCTOS RESPONSABLE FECHA I/F ACTORES
Verifica datos 1.Revisar datos de la
unidad
2.Documentar
Prioridades y matriz
de riesgos aprobados
Supervisor / auditor
de sistemas
Dd/mm/aa Alta gerencia / empleados
jerarquicos / niveles
operativos
Evaluación de
unidades por auditar
1.Concertar citas
2.Realizar entrevistas
3.Realizar visitas
4.Aplicar cheklist
5.analizar información
6.Informe preliminar
7.Ordenar informe
preliminar
8.Revisar informe
preliminar
- Comprometer
- Doc. de respaldo
-
- Datos
- Obs.Conclus., rec
- Fortalezas, debilida,
- Documentos
- Datos
- Informe preliminar
actualizado, aprobado
ASI
ASI
ASI
ASI
ASI
SUPERVISOR/ASI
ASI
ASI
COMUNIDAD/RH
COMUNIDAD/RH
RESPONSABLES
COMUNIDAD/RH
COMUNIDAD/RH
COMUNIDAD/RH
COMUNIDAD/RH
COMUNIDAD/RH
Documentar el
informe final
1.Elaborar informe de
autoridades
2.Informe detallado
- Informe de alto nivel
- Informe detallado
para usuarios
SUPERVISOR
ASI
COMUNIDAD/RH
Revisión del informe 1.Presentar informes
2.Aprobación informe
3.Compromiso
autoridades
- Informes revisados
- Informes aprobados
- Ejecutar acciones
sugeridas
ASI
ASI
ALTA GERENCIA
USUARIOS
SUPERVISOR
Plan detallado
COBIT•Planear y organizar (PO
•Adquirir e implementar (AI)
•Entregar y dar soporte (DS)
•Monitorear y Evaluar (ME)
Evaluar
controles en los
sistemas
Comprensión
de actividades
Pruebas de
cumplimiento
Sustentar el
riesgo
Revisión de
Objetivos
de Control
Medición
del riesgo
P
Entrevistas, visitas, cheklist
documentados, relativos a
fortaleza y/o debilidades o
falta de políticas, métodos de
control
S
3.2 ETAPA DE PROCESO
compromiso de
autoridades para
ejecutar acciones E
Comprension de actividades
La acumulación de evidencia se apoyarán en
metodologías y técnicas de auditoria.
Los ASI obtendrán evidencia:
Válida;
Relevante;
Suficiente.
Con la cual se puedan lograr los objetivos de la
auditoria. Con las evidencias obtenidas, se
elaborarán, clasificarán, organizarán y archivaran los
papeles de trabajo.
Los ASI evaluarán la evidencia obtenida, con el
propósito de determinar si ésta es válida, relevante y
suficiente, y sustente los hallazgos y conclusiones a
las que ha llegado. Para la evaluación de la evidencia
se deberá considerar que:
La evidencia, es el conjunto de hechos
comprobados, suficientes, competentes y pertinentes
que sustentan las conclusiones del ASI. Es la
información específica obtenida mediante técnicas
como las entrevistas, observación, recorridos,
inspecciones, y análisis detallado de los datos e
información.
La validez de la evidencia se evaluará si fue
obtenida en forma directa o indirecta;
La relevancia de la evidencia se evalúa con relación
al objeto que es sometido a análisis;
La suficiencia de la evidencia, está relacionada con
lo cuantitativo y calidad (validez y relevancia) de la
evidencia obtenida, que generalmente depende de la
experticia y conocimiento necesario y suficiente del
ASI.
Evaluar controles
El control interno está conformado por 5
componentes:
Ambiente de control;
Evaluación de riesgos;
Actividades de control;
Información y comunicación;
Supervisión.
Para el estudio y evaluación del control interno, el
ASI previamente debe:
Conocer comprender las actividades y
procedimientos de la organización relacionados
con los SI. Luego, ser capaz de emitir una
opinión preliminar presumiendo un satisfactorio
cumplimiento del control interno;
Comprobar que los procedimientos están siendo
aplicados adecuadamente.
Riesgos de los controles internos, para
identificar áreas críticas que requieren un
examen detallado y determinar el grado de
confiabilidad a fin de establecer la naturaleza,
alcance y oportunidad de los procedimientos de
auditoria a aplicar;
Aplicar controles generales y/o detallados;
Delimitación de las áreas.
Evaluar los procesos por medio de los cuales se
desarrollan e implementan los SI.
Evaluar los procesos por medio de los cuales se
adquieren e implementan los SI.
Evaluar los procesos por medio de los cuales se
realiza el mantenimiento a los Sistemas de
Información para asegurar el soporte continuo de
los objetivos del negocio
En funcion de la importancia de los riesgos
detectados, se establece los objetivos de la auditoria.
Se considera que el riesgo es la presentacion negativa
de un objetivo de auditoria. Si la oracion negativa se
transforma en oracion afirmativa, se tiene como
resultado un objetivo de control, para luego aplicar
las pruebas de cumplimiento o sustantivas
Permitirá documentar actividades de las unidades
con referencia a los objetivos de control, como
también internalizar conocimiento del estado de los
controles y medidas existentes:
Entrevistas;
Observación;
Inspección;
Recorrido;
Checklist;
Documentar los recursos de TI.
CONCEPTO DESCRIPCION OBS.
- Plan estratégico de la carrera- Objetivos a corto plazo- Objetivos a largo plazo
- Organigrama de la carrera
- Si
- Proporcionar información, de cosas como ser:
estudiantil, docente, planes de trabajo
- No existe organigrama
Áreas de la actividad académica - Kardex académico
- Biblioteca
- Políticas de la carrera en lo académico
- Estándares referente a la función de sistemas de información- Documentos de recursos informaticos
(manual del usuario, manual técnico, características de equipos, cantidad, localización y seguro)
- Elevar el nivel académico
- Mantener la actualización del programa educativo
- No se utilizo estándares actuales - No existe
documentación
actualizada
- Manual de funciones de recursos
humanos (perfil del personal de sistemas, numero)- Planes de contingencia- Planes de seguridad- Informes de auditorias anteriores
- No se tiene
- No se tiene
- No se tiene
- No se tiene
FACULTAD: Ciencias Puras UNIDAD ACADÉMICA: Carrera de Informática
CARGO RESPONSABLE UNIDAD ACADEMICA: Director académico
CARGO RESPONSABLE SISTEMA DE INFORMACION: Director académico
FECHA: FORMULARIO: 001 PAGINA:
1
Evaluacion Checklist - Likert
La escala de Likert, es un tipo de instrumento de
medición o de recolección de datos, es una escala
para medir las actitudes, que consiste en un conjunto
de variables bajo la forma de afirmaciones o juicios
ante los cuales se solicita la reacción (favorable,
desfavorable, positiva o negativa) de las personas
encuestadas, nivel de medida ordinal, son escalas
sumativas.
Toma en cuenta las siguientes alternativas:
Alternativa A:
(5) Muy de acuerdo;
(4) De Acuerdo;
(3) Ni de acuerdo, ni en desacuerdo (afirmación);
(2) En desacuerdo;
(1) Muy en desacuerdo.
Alternativa B:
(5) Totalmente de acuerdo;
(4) De Acuerdo;
(3) Neutral (afirmación);
(2) En desacuerdo;
(1) Totalmente en desacuerdo.
Alternativa C:
(5) Completamente verdadero;
(4) Verdadero;
(3) Ni falso, ni verdadero (afirmación);
(2) Falso;
(1) Muy en desacuerdo.
Para obtener las puntuaciones de la escala de Likert, se
suman los valores obtenidos respecto de cada frase. El puntaje
mínimo resulta de la multiplicación del numero de variables por 1.
Una puntuación se considera alta o baja respecto del puntaje
total; este ultimo esta dado por el numero de variables o
afirmaciones multiplicado por 5. Utilizamos las siguientes
formulas:
n
Xi * Ni suma cada uno de los pesos multiplicado por el valor;
i=1
--- n
X = (Xi * Ni)/n obtiene promedio;
i=1
---
(X / peso mas alto) * 100 obtiene porcentaje;
Medicion del riesgo - Normal
Distribución probabilística normal, una variable
aleatoria continua es la que puede tomar un numero
infinito de valores posibles dentro de una gama o
variedad especifica. Generalmente, es el proceso de
medir algo. Existe una familia de distribuciones
normales, cada distribución tiene media (μ) o
desviación estándar (s), con valores diferentes.
Para poder obtener la probabilidad de que ocurra un
determinado evento, aplicado a las variables y pesos
respectivos, se debe:
1) Calcular las frecuencias:
xi fi xi * fi xi2 * fi
∑ ∑ ∑ ∑
Medicion del riesgo - Normal
Media estimada: --- N
X = ( Xi * fi)/ fi
i=1
Varianza: N ---
s2 = ( Xi2 * fi – n * X2)/ (n-1), n = tamaño muestra
i=1
Desviación estándar:
s = √ ( Xi2 * fi – n * X2)/ (n-1)
Valor Normal estándar: ----
z = ( X – X ) / s
El valor z mide la distancia entre el valor especifico X y la media, en unidades
de la desviación estándar. Conociendo el valor z, se obtiene el área o la
probabilidad bajo la curva normal tipificada de 0 a z.
Medicion del riesgo - Normal
Papeles de trabajo
Los ASI elaborarán los papeles de trabajo que son el
registro de la evidencia obtenida, que respaldarán la
opinión reflejada en el informe.
La evidencia obtenida debe conservarse en papel de
trabajo electrónico, como también físico.
Los papeles de trabajo deben ser:
Claros;
Concisos;
Pertinentes;
Objetivos;
Ordenados e íntegros.
Controles en Bases de Datos
Establecer normas de definición y monitoreo;
Controles de acceso para los datos, atributos,
entidades;
Establecer controles para asegurar que solo el personal
autorizado pueda actualizar la BD;
Establecer controles para asegurar la corrección,
integridad y consistencia;
Usar puntos de verificación de la Base de Datos para
reiniciar el procesamiento después de una falla;
Documentar los procedimientos de reestructuración;
Usar herramientas analizadores de Bases de Datos.
La administración efectiva de los datos almacenados,
permite asegurar que los datos permanezcan
completos, precisos y validos.
Diseño
Controles sobre documentos fuente.
Recuperación y almacenamiento de datos
Autenticación e integridad de los datos
Integración y consistencia en todas las
plataformas
Pruebas de cumplimiento
Determina si los controles están siendo aplicados en
una forma que cumple con las políticas y los
procedimientos establecidos en la organización. La
identificación de puntos clave de control permitirá al
ASI desarrollar un entendimiento preliminar a través
de pruebas de cumplimiento de esos controles para
verificar si están funcionando como se esperaba. Los
resultados de las pruebas de cumplimiento permitirá
diseñar mas pruebas extensivas de cumplimiento o;
Pruebas de sustantivas
Si los resultados de los controles de comprobación
detectan la presencia de controles internos
adecuados, entonces se tiene la justificación para
minimizar los procedimientos sustantivos. Lo
contrario, si la prueba de control revelara que existen
puntos débiles en los controles que podrían generar
dudas sobre la integridad, exactitud o validez de la
información, seria conveniente aplicar una prueba
sustantiva para aliviar dudas.
OBJETIVOS DE
CONTROL
PRUEBAS DE
CUMPLIMIENTO
PRUEBA
SUSTANTIVA
COMENTARIO
Comprobar
normas para
pasar de
desarrollo a
explotacion
Como no se tiene
documentación.
Revisar si
antes de pasar
fueron
evaluadas y
autorizadas
Instar a
autoridades
hacer cumplir
procedimientos
de IS.
Revisar
solicitudes de
cambios a
programas
Como no se tiene
documentación.
Comprobar si
tiene librerías
para registrar
los cambios
Las autoridades
deben exigir
documentación
Objetivos de control
OBJETIVOS DE
CONTROL
PRUEBAS DE
CUMPLIMIENTO
PRUEBA
SUSTANTIVA
COMENTARIO
Revisar el
esquema lógico
y físico de la
base de datos
Como no se tiene
documentación.
Revisar si
entidades,
atributos,
longitud sea el
adecuado
Instar a
autoridades
controlar la
optimizacion del
disco.
Se debe
controlar la
seguridad de la
base de datos
Como no se tiene
documentación.
Se deben
probar los
niveles de
seguridad para
los usuarios
Instar a las
autoridades
contar con
planes de
seguridad
Objetivos de control
El informe debe ser emitido en forma escrita, lógica
y organizada.
El informe debe se claro, preciso, íntegro, oportuno,
interesante y coherente.
El informe debe referenciar a los papeles de trabajo
que lo sustentan, que luego deberá ser aprobado por
el supervisor.
El informe, debe ser revisado por las instancias
respectivas, para su posterior impresión y empastado
del informe de auditoria.
3.3 ETAPA DE REPORTES
Presentación formal en forma resumida e
inteligible, para su aprobación final,
obteniendo un compromiso de los actores
para ejecutar de las recomendaciones
realizadas en la auditoria.
Identificación de informe
Identificación del cliente
Identificación de unidad o depto.
Objetivos de la auditoria
Normativa aplicada y excepciones
Alcance de la auditoria
Conclusiones y recomendaciones
Identificación y firma del auditor
fecha reporte
Investigacion y
evaluacion de
objetivos de control
P
E
S
3.4 ETAPA DE SEGUIMIENTO
Documento de
aprobacion formal de
auditoria
Verificar documentos
de respaldo
Unidades académicas CERTIFICADAS,
que brindan información eficiente,
confiable, oportuna
Verificación in-situ
Aplicar sanciones
E
P
S
4 CONCLUSIONES
La insatisfacción de los clientes con los SI en
explotación, se produce frecuentemente. Los
requerimientos del usuario no son tomados en cuenta
o no son entendidos adecuadamente para plasmarlos
en el diseño.
Estos sistemas generalmente no son controlados o
auditados, por ello se desarrollaron aplicaciones que
solo la persona que la diseñó sabe las verdaderas
potencialidades o vulnerabilidades de esa “caja
negra” considerada intocable.
………….. CONCLUSIONES
El método de auditoria y control, es aplicable a los
sistemas de información de cualquier organización,
en base a los riesgos detectados. A partir de esta
evaluación, se sugiere la adopción de procedimientos
adecuados para minimizar posibles errores.
Hoy en día es recomendable, tener conocimientos
necesarios y suficientes en Auditoria de Sistemas de
Información y Auditoria Informática Forense