La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Servicio de Auditoría Interna Auditoría de Sistemas de Información Auditoría de Sistemas de Información Servicio de Auditoría Interna Fernando Rodríguez.

Publicada porJulia Santos Cortés Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Servicio de Auditoría Interna Auditoría de Sistemas de Información Auditoría de Sistemas de Información Servicio de Auditoría Interna Fernando Rodríguez."— Transcripción de la presentación:

1 Servicio de Auditoría Interna Auditoría de Sistemas de Información Auditoría de Sistemas de Información Servicio de Auditoría Interna Fernando Rodríguez Rivadulla Colaborador de Auditoría (CISA)

2 Servicio de Auditoría Interna Índice  Estrategia para la Auditoría de Sistemas de la Información  Esquema Organizativo  Auditor Informático  Estándares y Normas Técnicas  Planificación de Actuaciones  Proceso de Auditorías de Sistemas de Información  Guión para Auditorías de Sistemas de Información  Informes de Auditorías de Sistemas de Información

3 Servicio de Auditoría Interna Estrategia para la Auditoría de Sistemas de Información Necesidad de definir una estrategia  Las TIC han acompañado la automatización y el crecimiento  La información y los recursos TIC como activos de las organizaciones  Dependencia de las TIC Implicación de la Dirección  Incremento vulnerabilidad de los sistemas  Dar respuesta a la dependencia de la información  Importancia costes e inversiones TIC  Potencial de las TIC para introducir cambios  Desconfianza en los procedimientos automatizados

4 Servicio de Auditoría Interna Objetivos de las Administraciones Públicas:  Cumplimiento de la legalidad vigente  Eficacia  Eficiencia Auditoría Sistemas de Información > Supervisión de los riesgos de los sistemas de información que pudieran afectar al cumplimiento de la legalidad vigente, la eficiencia y la eficacia de los procesos soportados por los sistemas de información, en especial los de la administración electrónica. Estrategia para la Auditoría de Sistemas de Información

5 Servicio de Auditoría Interna Estrategia para la Auditoría de Sistemas de Información

6 Servicio de Auditoría Interna Esquema Organizativo  Independencia  Autoridad

7 Servicio de Auditoría Interna Esquema Organizativo Mandato para una Auditoría Interna

8 Servicio de Auditoría Interna Esquema Organizativo Mandato para una Auditoría Externa

9 Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (I) Actuaciones de apreciación independiente para supervisar el control establecido A- Actividades básicas  Dirección o Gobierno de las TIC (Gobernanza TIC)  Supervisar el control interno TIC  Supervisar la gestión de riesgos TIC

10 Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (II)  Protección de datos de carácter personal  Control de accesos  Administración Electrónica  Equipamiento informático  Seguridad sistemas  Desarrollo y mantenimiento de aplicaciones  Explotación de sistemas de información  Contratación bienes y servicios TIC  Técnica de sistemas  Continuidad del servicio TIC  Acreditación de confianza

11 Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (III) B- Acciones proactivas Participación en el ciclo de control  Asegurar existencia de controles internos razonables y adecuados  Divulgar y fomentar las buenas prácticas  Fomentar la documentación de los sistemas y procedimientos  Asesorar en la implementación de pistas de auditoría  Asesorar en las salvaguardas de activos  Asegurar eficiencia gestión recursos

12 Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (IV) C- Auditoría forense Desafío ante delitos informáticos, garantizando la evidencia digital que se presentase en un proceso judicial.  Recuperar información  Determinar cusa y origen de una situación  Identificar autor(es) acciones ilícitas  Identificar uso inapropiado de los medios de la Organización

13 Servicio de Auditoría Interna Esquema Organizativo Naturaleza del trabajo de auditoría de sistemas de información (V) D- Apoyo en auditorías externas Supervisión de auditores externos. E- Apoyo a otras áreas de Auditoría Asistencia para la obtención, estructuración y análisis de la información.

14 Servicio de Auditoría Interna Auditor Informático Áreas de Conocimiento (certificables)  Técnica o metodología de auditoría informática  Gestión, planificación y organización de las TIC  Infraestructura técnica, prácticas operativas y protección de activos  Recuperación de desastres y continuidad de la actividad  Desarrollo, adquisición, implementación y mantenimiento de sistemas  Evaluación de procesos y gestión de riesgos

15 Servicio de Auditoría Interna Auditor Informático Otras características (no certificables)  Comprender procesos de gestión y normativa legal  Identificar problemas y plantear soluciones  Llenar vacío de comunicación entre dirección, usuarios y técnicos  Saber comunicar  Negociar situaciones de conflicto  Saber cuando solicitar asistencia

16 Servicio de Auditoría Interna Estándares y Normas Técnicas Principios  Salvar brechas entre riesgos del proceso de gestión, necesidades de control y aspectos técnicos  Determinar el alcance de las actuaciones e identificar los controles mínimos  Observar e incorporar estándares y regulaciones nacionales o internacionales Hechos  Adecuar técnicas auditoría tradicionales a los controles de las TIC  Generar resultados homogéneos  Organizar los trabajos (tipificar tareas)  Emplear distintos referentes según tipo de auditoría  Estándares basados en buenas prácticas

17 Servicio de Auditoría Interna Estándares y Normas Técnicas 1)Instrumentos de normalización de las Administraciones Públicas en España  Normas de Auditoría del Sector Público de la IGAE: No son específicas a la auditoría de sistemas de información  MAGERIT Versión 2: Es la metodología de análisis y gestión de riesgos de los sistemas de información.  Modelo EFQM de Excelencia: Es una orientación de la Fundación Europea para la Gestión de la Calidad que contempla algunos criterios que hacen referencia a las TIC  Serie Seguridad de las Tecnologías de la Información del Centro Criptográfico Nacional (CCN-STIC)

18 Servicio de Auditoría Interna Estándares y Normas Técnicas 2)Instrumentos de normalización de las Administraciones Públicas en EE.UU.  Government Auditing Standars (GAGAS): Son las normas de aplicación para el General Accountability Office (GAO) de EE.UU.  Federal Information System Controls Audit Manual (FISCAM): Una guía metodológica que aplica las normas del GAO y del NIST.  Serie de Publicaciones Especiales SP-800 del Instituto Nacional de Estándares y Tecnología (NIST)

19 Servicio de Auditoría Interna Estándares y Normas Técnicas 3)Prácticas y recomendaciones de asociaciones internacionales (I)  Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (The Institute of Internal Auditors)  Asociación de Auditoría y Control de Sistemas de Información (ISACA)  Control Objetives for Information and Related Technologies (COBIT)  IS Standars, Guidelines and Procedures for Auditing and Control Professionals  Information Technology Infraestructure Library (ITIL)

20 Servicio de Auditoría Interna Estándares y Normas Técnicas 3)Prácticas y recomendaciones de asociaciones internacionales (II)  Modelo de Madurez de las Capacidades Integrado para el Desarrollo (CMMI) del Instituto de Ingeniería del Software (SEI)  Instituto SANS (SysAdmin, Audit, Network, Security)  Normalización internacional ISO:  Gestión de Servicios de las Tecnologías de la Información (IT Service Management): ISO/IEC 20000:2005  Seguridad de la Información: Familia ISO/IEC 27000  Criterios comunes de evaluaci ó n de la seguridad de las tecnolog í as de la informaci ó n ISO/IEC 15408:2005 (Common Criteria for Information Technology Security Evaluation)

21 Servicio de Auditoría Interna Planificación de Actuaciones Qué auditar  Cumplimiento de requerimientos legales  Sensibilidad de la organización a riesgos / resultado de análisis  Resultado de auditorías anteriores  Condicionantes de la Organización Cuándo auditar  Priorizar las actuaciones detectadas y ajustando el alcance a los recursos disponibles y las demandas de la dirección  Elaborar el documento de planificación periódica de la unidad de auditoría  Revisión periódica del plan inicial para incorporar actuaciones no previstas Cómo auditar  Proceso para planificar las actuaciones individuales

22 Servicio de Auditoría Interna Planificación de Actuaciones Análisis de riesgos Sensibilidad de la Dirección Requerimientos legales Prioridades de la Organización Situaciones de riesgo inicialmente no previstas Plan de Actuaciones de Auditoría Actuación 1Actuación 2Actuación n.... Tarea 2 Tarea 1 Tarea n

23 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información

24 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información

25 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información PLANIFICACIÓN DE ACTIVIDADES  Identificar la información a recopilar  Identificar las tareas de campo  Identificar interlocutores  Recursos necesarios/disponibles  Responsabilidades de los miembros del equipo auditoría  Calendario tentativo

26 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Identificar el Alcance de la Actuación  Que se quiere comprobar  Que se pretende demostrar  Que se va a informar Obtención de Información Preliminar  Actividad llevada a cabo por el área a auditar  Esquema de control interno (políticas, normas, etc.)  Estándares de referencia  Informes anteriores  Familiarizarse con el entorno tecnológico a auditar

27 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Identificar Objetivos Detallados  Evaluación preliminar para identificar objetivos de control  Identificar posibles condicionantes  Grado de extensión acorde al alcance Auditorías de cumplimiento:  Modelo de control de referencia  Existencia de controles  Adecuación y eficacia de los controles  Proporcionalidad Auditorías operativas:  Modelo de control de referencia  Planificación y gestión de controles  Aseguramiento de los controles  Oportunidad de introducir cambios

28 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN  Notificación del responsable de la unidad de auditoría al responsable del área a auditar  Reunión del equipo auditor con el responsable de la unidad a auditar para comunicar:  Alcance de los trabajos  Necesidad/obligación de colaboración  Interlocutor del equipo auditor Se debe tener presente no interferir con el trabajo realizado por el área auditada

29 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información TRABAJOS DE CAMPO Técnicas Recolección de Evidencias  Revisión de documentos  Entrevistas  Observación del trabajo realizado  Pruebas y verificaciones  Uso de herramientas

30 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT (I)  Obtención de información de los SI  Recolección de evidencias de los SI  Creación de muestras para realizar pruebas Ventajas  Aseguran independencia en la recolección de datos  Disminuyen el riesgo propio del proceso de auditoría  Mayor cobertura y consistencia de la pruebas

31 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Características  Productos informáticos ad-hoc o herramientas de los sistemas  Acceso a distintas estructuras o formatos de datos  Aplicación de criterios de selección  Reorganización de la información obtenida  Funciones estadísticas y aritméticas Precauciones  El acceso a los datos reales por los auditores debe ser siempre sólo en modo lectura  Los datos extraídos deben aislarse del entorno de producción para evitar que las manipulaciones alteren los originales  El empleo de herramientas que puedan causar perturbaciones debe ser limitado Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT (II)

32 Servicio de Auditoría Interna Proceso de Auditorías de Sistemas de Información Uso de Herramientas Informáticas o Técnicas de Auditoría Asistidas por Ordenador - CAAT (III) Ejemplos  Logs: contienen el registro de actividad  Utilidades de sistema: contienen los parámetros que implementan las políticas de control  Software generalizado de auditoría: acceso a archivos, selección de datos, reorganización, etc.  Software específico: herramientas empleadas con un propósito concreto

33 Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información GUIÓN El GUIÓN es la herramienta fundamental de apoyo para el auditor que documenta el proyecto de la auditoría  Identifica que tareas se deben efectuar durante la actuación  Cuantifica los medios necesarios  Define la secuencia de los trabajos  Para que el equipo comprenda lo que debe realizar y obtenga una visión del conjunto

34 Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información ESTRUCTURA DEL GUIÓN 1. Punto(s) de control objetivos de control detallados En función del objetivo y alcance de la actuación se habrán establecido objetivos de control detallados => apartados del guión. Identifica lo que se va a supervisar del sistema de control. 2. Directriz de auditoría tareas a efectuar  Desarrollan los Puntos de control señalando las tareas a efectuar, antes o durante la actuación.  Determinan los medios y técnicas necesarios para cada punto de control  Limitadas por el desarrollo de la función de auditoría en la Organización

35 Servicio de Auditoría Interna Guión para Auditorías de Sistemas de Información Esquema COBIT para el guión Secuencia de las actividades

36 Servicio de Auditoría Interna Informes de Auditorías de Sistemas de Información Contenidos del Informe de Auditoría

37 Servicio de Auditoría Interna Informes de Auditorías de Sistemas de Información Ejemplos de Informes de Auditorías Sistemas de Información Elaboración propia  Basado en actuaciones reales  Cumplimiento de políticas e instrucciones Georgia Department of Audits and Accounts  Informe sistema información para la gestión del IVA  Informe de seguimiento National Audit Office  Informe de calidad de la información Impuesto Renta  Progreso en información y servicios on-line Goverment Accountabillity Office  Uso de datos adquiridos  Desafío en el uso del correo electrónico

38 Servicio de Auditoría Interna www.agenciatributaria.es Fernando Rodríguez Rivadulla frrivadulla@correo.aeat.es

Descargar ppt "Servicio de Auditoría Interna Auditoría de Sistemas de Información Auditoría de Sistemas de Información Servicio de Auditoría Interna Fernando Rodríguez."

Presentaciones similares

PROCEDIMIENTO AUDITORIAS INTERNAS.

PROCEDIMIENTO AUDITORIAS INTERNAS.
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
INTERPRETACIÓN DE NORMAS ISO

INTERPRETACIÓN DE NORMAS ISO
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
SISTEMA DE GESTIÓN DE CALIDAD

SISTEMA DE GESTIÓN DE CALIDAD
¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.

¿ Qué es Control Interno ? Una herramienta para que la administración de todo tipo de organización, obtenga una seguridad razonable sobre el cumplimiento.
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Ciclo PDCA.

Ciclo PDCA.
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
AUDITORIA INTERNA.

AUDITORIA INTERNA.
Medición, Análisis y Mejora

Medición, Análisis y Mejora

Presentaciones similares

Anuncios Google