Auditoría y Seguridad de Sistemas de Información Principales Actividades de la Auditoría de Sistemas MBA Luis Elissondo

Agenda Introducción Conceptos Iniciales Riesgos de Aplicación Base de Datos y Sistemas Integrados Auditoria del Proceso de Adq. De Soft Seguridad y Plan de Contingencia COBIT y Normas de Seguridad y Auditoría Herramientas para la Auditoria ACL Negocios en Internet Introducción Conceptos Iniciales Riesgos de Aplicación Base de Datos y Sistemas Integrados Auditoria del Proceso de Adq. De Soft Seguridad y Plan de Contingencia COBIT y Normas de Seguridad y Auditoría Herramientas para la Auditoria ACL Negocios en Internet

Se solicitan Auditores para el próximo milenio.... “La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio” Fuente: “Future Report: Audit and Data Analysis Technology” “La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio” Fuente: “Future Report: Audit and Data Analysis Technology”

Nvas. Ideas sobre Auditoría  Tiene que ser percibida como un valor agregado a la organización.  Los auditores internos deben adoptar la perspectiva de la cadena entera de valor.  Ver más allá de sus propios procesos para reflejarse como conductores de servicios organizacionales.  Los estándares y otras guías profesionales no sólo deben orientar la profesión, sino también, lograr simbolizar una calidad distintiva en el mercado.

Nuevos retos a superar Mayor productividad Reducción de costos Mayor calidad y confiabilidad Menor plazo de entrega de los trabajos Servicios de valor agregado Mayor productividad Reducción de costos Mayor calidad y confiabilidad Menor plazo de entrega de los trabajos Servicios de valor agregado

Por que preocuparme por este tema? Hacia el año 2010, Gartner prevé que los gastos en IT representarán el 50 por ciento del presupuesto de capital de la mayoría de las empresas. Es necesario utilizar mejores prácticas y disciplinas de management para administrar estos activos.

Como Compramos Hoy?

Ir al Banco

Como es una Oficina Hoy?

Leer el Diario

Nuevos Negocios

Nuevos Problemas

TI y Empresas TradicionalesCombinadasTecnológicas

Empresa y TI Comprar Vender ProducirD istribuir Campaña MKT Atención Clientes Cobrar Pagar Base de Datos Internet Redes ERP E- Business BI CRM SCM

Área Demandante de TI Fte:Encuesta Information Technology 2007

Inversión 2006 Fte:Encuesta Information Technology 2006

Problemas que surgen de los diagnósticos organizacionales En el plan de negocios no se suele tener presente al área de informática. Problemas de procesos (duplicidad de tareas, falta de conexión entre procesos, etc.) Problemas de actualización tecnológica soft, hard y recursos humanos. Falta del integración del usuario al proceso de desarrollo e implementación. Mal uso de recursos del negocio falta de priorización de los proyectos. Falta de Formalización de los procesos

Impacto del ambiente SIC Afecta la comprensión del auditor del sistema de contabilidad y de control interno. Afecta la forma en que el auditor realiza la evaluación de los riesgos. Afecta el diseño y desarrollo de pruebas de control y de procedimientos sustantivos. Requiere de nuevos conocimientos por parte del auditor (participación de otros profesionales).

Una definición de Auditoría de Sistemas Es un proceso formal que es llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.

IFAC International Education Practice Statement 2 User Role IT Control Compentences (Agosto 2006) Evaluar el ambiente de Control Interno de TI (Regulaciones, Comité de Control, Estructura Organizacional, politicas de RRHH,etc) Evaluar los objetivos de TI (Objetivos estratégicos de TI) Evaluar como la Org. Identificar y estimar el impacto funcional y monetario de los riesgos de TI. Evaluar las actividades de control interno de TI(efectividad del diseño y explotación de los sistemas, integridad de datos, adquisición y desarrollo de sistemas, uso de estándares para el diseño, desarrollo y adq. De sistemas. Evaluar el proceso de comunicación Evaluar el proceso de cambios Conocimiento de sistemas operativos, software de procesamiento, base de datos,seguridad, plan de contigencia, ERP, CRM, Comercio Electrónico.

Ciclo de vida de la Información Generación Registro Modificación / Consulta Eliminación

Que es un SI Sistema de Información EntradaProceso Salida Clientes ProveedoresBancos DGI Accionistas Competidores Almc

Flujo de los Procesos PERSONAS TECNOLOGIA Flujo Trabajo Flujo Información

¿De que hablamos cuando decimos Tecnología Informática? Tecnología Informática (Oferta) – Hardware y Software – Tecnología de Comunicaciones y Base de datos – Metodología para la construcción de aplicaciones. Sistemas de Información (Demanda) – Necesidades de Información – Requermientos del Negocio A P L I C A C I O N E S

Control Interno – Def COSO (Committee Of Sponsoring Organizations). PROCESO EFECTUADO POR EL DIRECTORIO DE UNA ENTIDAD, LA GERENCIA Y OTROS MIEMBROS DE LA ENTIDAD DISEÑADO PARA PROPORCIONAR UNA SEGURIDAD RAZONABLE ACERCA DEL LOGRO DE OBJETIVOS

Definición de Control Interno Ambiente de Control Proceso de análisis de Riesgos El sistema de información, y los procesos de negocios relacionados, que son relevantes para el proceso de comunicación y de reportes financieros. Actividades de Control Monitoreo de controles

Características de elementos automatizados o manuales del CI La TI brinda beneficios en efectividad y eficiencia y le permite a la organización: Aplicación consistente de las reglas de negocio y realización de cálculos complejos y el procesamiento de grandes volúmenes de datos. Permite mejorar los tiempos, acceso y exactitud de la información. Facilita análisis adicionales de información. Permite monitorear el desempeño de la organización y de sus políticas y procedimientos. Reduce el riesgo de que los controles sean eludidos. Permite la efectiva separación de responsabilidades a través de controles de aplicación, base de datos y sistemas operativos

Características de elementos automatizados o manuales del CI IT también poses riesgos específicos, tales como: Existen sistemas o programas que procesan inadecuadamente los datos o no procesan los datos, o ambos. Accesos no autorizados pueden resultar en la destrucción o cambios inapropiados de los datos, incluyendo el registro de transacciones no autorizadas o inexistentes. Este riesgo se ve incrementado cuando varios usuarios acceden a la base de datos. Personal de TI posea privilegios de accesos que exceden lo necesario para la realización de sus tareas. Cambios no autorizados en registros maestros Cambios no autorizados a programas Fallos que hacen necesarios cambios en los sistemas. Potencial para la pérdida de datos o falta de acceso a los mismos.

Características de elementos automatizados o manuales del CI La intervención manual en los sistemas suele ser necesaria en los siguientes casos: Transacciones inusuales. Circunstancias donde los errores son difíciles de definir, anticipar o predecir. Circunstancias cambiantes que requieren un control no previsto, distinto a los controles automatizados. En el monitoreo de la efectividad de los controles automatizados.

Como obtener el conocimiento de los sistemas de información Determinar los tipos de operaciones que son significativas para los estados contables. Los procesos donde las transacciones son iniciadas, registradas, procesadas y reportadas en los estados contables. Los registros contables soportados en los sistemas de información. Como los sistemas capturan hechos u otras clases de transacciones que son significativas para los estados financieros. Analizar como se transfiere la información desde los sistemas de procesamientos generales al sistema contable La preparación de la información para los estados financieros suele ser acumulada, registrada, procesada y sumarizada.

Como obtener el conocimiento de los sistemas de información Se debe tener cuidado cuando se realiza la transferencia automática de información, ya que podría no quedar evidencia de tales movimientos. Se debe prestar atención a situaciones tales como el tratamiento de errores o items en suspenso y como son aclarados. Como los sistemas que utiliza para registrar sus operaciones básicas se encuentran respecto a la normativa legal vigente.

Desarrollo Práctico Caso Fabrica de Helados

Actividades de Control Existencia de Actividades de Control respecto de: Autorización Análisis de performance Procesamiento de la Información Controles físicos Segregación de responsabilidades El auditor debe obtener conocimiento acerca de cómo la entidad responde a los riesgos que presenta el uso de TI, mediante el análisis de los controles generales y de aplicación. Los SI seran efectivos en lamedida que mantengan la integridad y seguridad en el procesamiento de la información.

Actividades de Control Son controles generales aquellos que corresponden a muchas aplicaciones y soportan el efectivo funcionamiento de los mismos y aseguran el efectiva continuidad de operación de los sistemas de información: Data center y operación de la Red. Adquisición, cambio y mantenimiento de sistemas. Seguridad de acceso Adquisición, desarrollo y mantenimiento de Aplicativos. Los controles de aplicación son aquellos que se corresponden con tareas realizadas en los procesos de negocios y que tiene por objetivo el adecuado ingreso, registro, procesamiento y reporte de la información

? ? ? ? ? Conclusiones y Preguntas