Auditoría de los Sistemas de Informacion SIS-303 SIS-303 - IG

Aseguramiento de la Información El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible cuando se la necesita. Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas con el fin de proteger la información, los sistemas de información y las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet. Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de sistemas de información. SIS-303 - IG

Auditoría de Sistemas de Información Concepto Proceso formal llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad. SIS-303 - IG

Auditoría Auditoría: Conceptos Es una función de control independiente del sistema controlado, que en forma sistemática y organizada debe: Comparar la característica o condición controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor. Determinar los desvíos, e Informar a quien ordena o contrata la auditoría, que jerárquicamente debe estar por encima del sistema auditado. SIS-303 - IG

Concepto Moderno de Auditoría Auditoría: Conceptos Concepto Moderno de Auditoría La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio SIS-303 - IG

Antecedentes Auditoría “alrededor del ordenador” Auditor verificaba los documentos de entrada al ordenador y los informes producidos, sin entender lo que pasaba dentro del ordenador Auditor verificaba la seguridad física (incendios, copias de seguridad, etc.) Auditor financiero Auditoría “a través del ordenador” Auditor financiero utiliza el ordenador como medio para acceder a los datos (a través de paquetes) Auditoría “con el ordenador” Utilizando sus posibilidades, utilidades, etc.

Control Interno Controla que todas las actividades de S.I. sean realizadas cumpliendo los procedimientos, normas y estándares fijados por la Dirección Comprende el plan de organización y coordinación de los métodos y las medidas adoptadas dentro de una empresa: Salvaguardar los activos (Hw, Sw, personas, suministros, etc.) Verificar la exactitud y fiabilidad de sus datos Promover la efectividad operativa Fomentar el seguimiento de las normas y políticas establecidas Es rutinario Abarca todos los métodos y medidas diseñados para asegurar que se cumplen

Elementos del Control Interno Ambiente de control Integridad, Ética y Capacidad del personal de la empresa Factores de Evaluación Existencia e Implantación de Códigos de Conducta Presión para cumplir metas de eficacia poco realistas Descripción de los Puestos de Trabajo Análisis de conocimientos y Habilidades que se requieren Participación de la Alta Dirección Responsabilidad de los empleados Evaluación del Riesgo (progresos tecnológicos, cambios en el entorno operativo, nuevo personal, etc.) Actividades de Control (preventivos, correctivos, etc.) Información y Comunicación de la Información Supervisión de los controles internos para asegurarse que el proceso funciona según lo previsto

Auditoría Interna No puede tomar parte en funciones de tipo operativo Control de los controles Evaluar la adecuación, grado de efectividad y eficiencia del sistema de control interno de una empresa Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos Prestar un servicio de asistencia y de crítica constructiva Funciones principales con respecto al control interno Determinar si los Controles Internos proporcionan la protección necesaria, así como la máxima eficacia operativa Comprobar si los procedimientos operativos y métodos se utilizan tal y como está establecido en las normas de la empresa

Auditoría Interna no es: Sitio de “retiro” para directivo en desgracia u obsoletos Centro de inquisidores (auditoría policíaca) Agrupación de “delatores” Proveedor de “mano de obra”, para solucionar situaciones de emergencia de otros departamentos Departamento de filtraciones, obtenidas a través de la actividad auditora Auxiliar de la auditoría externa o un enemigo permanente de ésta Un “apaga fuegos” para toda situación de emergencia Un lugar de resentidos y descontentos, que se creen los más capacitados y todo lo enjuician negativamente Un departamento sin categoría ni prestigio en la empresa

Auditoría Externa Realizada por alguien ajeno a la entidad auditada Se centran en las deficiencias de los controles internos Diferencias con la auditoría interna: Sujeto Profesional independiente / Empleado de la empresa Objeto Opinión independiente / Control y sugerencias de mejora Informe Dictamen / Sólo recomendaciones internas Responsabilidad Civil e incluso penal / Laboral Continuidad Periódica / Continua

Auditor Informático Es más fácil que un informático adquiera los principios del control, de la auditoría y de la seguridad, que un auditor financiero llegue a adquirir el nivel técnico informático necesario En las grandes empresas, cada día existe más la tendencia de contar con especialistas en áreas de la auditoría informática Para los auditores no informáticos puede ser frustrante auditar un entorno informático, debido p.e. a que jerga propia de cada empresa, de cada proyecto

Auditor Informático Estándares relativos al mantenimiento de la profesionalidad en la relación de auditorías El auditor participará activamente en la revisión del diseño y desarrollo de nuevas aplicaciones informáticas El auditor revisará los controles generales en los sistemas informáticos, para determinar que se diseñado de acuerdo con las normas internas en vigor y los requerimientos legales aplicables El auditor revisar los controles de las aplicaciones informáticas instaladas para evaluar su fiabilidad procesando datos a tiempo, de forma exacta y completa Los auditores informáticos creados a partir de no- informáticos mediante cursos, necesitarán una actualización de sus conocimientos a medida que van surgiendo nuevas facetas de TI

Qué es la Auditoría Informática A.I. es la revisión de la propia informática y de su entorno. Actividades que comprende: Análisis de riesgos: prevención y detección de fraudes informáticos y virus entre otras cosas Plan de contingencia, ante una situación prevista Participación de desarrollo de aplicaciones: auditoría preventiva Asesoramiento, para la instalación de paquetes de seguridad Revisión de controles y cumplimiento de los mismos, así como de las normas legales aplicables Evaluación de la gestión de recursos informáticos, así como existencia de políticas y estándares Apoyo técnico e informático en auditorías generales Entorno informático comprende: Todas o algunas de sus áreas (equipos, S.O., desarrollo, etc.) Los estándares y procedimientos en vigor El grado de satisfacción de los usuarios y directivos Los controles existentes

Qué no es la Auditoría Informática Confusión con auditoría de cuentas con ayuda del ordenador Objeto a examinar: balances, estados de cuentas, etc. Herramienta: el ordenador Asociación de la auditoría informática con PCs, confundiendo la herramienta con el objetivo principal de la auditoría informática Auditoría informática la que realiza un auditor financiero que se ayuda de un ordenador para escribir su informe

Perfiles Profesionales de la Función de A. Informática Responsabilidades Auditar aplicaciones financieras y seguridad física Ofrecer soporte con limitaciones a los auditores financieros y externos Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales Perfil Formación básica con una mezcla de conocimientos de auditoría financiera y de informática en general (p.e. Desarrollo de aplicaciones, gestión de proyectos, BD, S.O., redes, etc.) Especialización en función del entorno empresarial Gestión del Cambio Calidad Total, que hará que su trabajo sea reconocido como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad

Dimensiones del Trabajo del Auditor Informático - 1 Revisión de Controles de las Aplicaciones (19%) Determinar que los sistemas producen la información a tiempo, exacta y completa Revisión de Integridad de Datos (13%) Compleción, consistencia y exactitud Revisión de C.V. de Desarrollo (5%) Determinar la adherencia a los estándares de CV de desarrollo aceptados Revisión de Controles Generales de los Procedimientos Operacionales (12%) Determinar que las aplicaciones se procesan en un entorno controlado Revisión de Seguridad (14%) Asegurar la protección adecuada de los programas, de los datos y de la instalación de procesamiento de datos

Dimensiones del Trabajo del Auditor Informático - 2 Revisión Software de los Sistemas (5%) Determinar el cumplimiento con las políticas de la organización Revisión de Mantenimiento (6%) Determinar que los sistemas se han modificado de acuerdo con las políticas de la organización Revisión de Adquisición (3%) Determinar que los recursos de la organización se están utilizando de forma económica Revisión de la Gestión de Recursos del Procesamiento de Datos (5%) Determinar su adecuación en el cumplimiento de los objetivos organizativos Gestión de Auditoría Informática (9%) Utilizar de forma efectiva los recursos disponibles de la función de la auditoría informática y para cumplir el requisito de auditoría informática de la organización

Organización de la Función de Auditoría Informática Auditor informático es auditor y consultor de la empresa en materia de Seguridad, Control interno operativo, Eficiencia y eficacia, Tecnología informática, Gestión de riesgos, etc. La concepción típica de la función de Auditoría Informática es dentro de la función de Auditoría Interna Nacimiento histórico de la auditoría informática Dificultad de separar el elemento informático de la auditoría operativa y financiera

Principios de la Función de Auditoría Informática Localización ligada a la de auditoría interna, con independencia de objetivos, de planes de formación y de presupuestos Grupo independiente del de auditoría interna, con total accesibilidad a los sistemas informáticos Dependencia del máximo responsable operativo de la organización Recursos humanos mezcla equilibrada entre personas con formación en auditoría y organización, y personas con perfil informático Personal con titulación CISA El tamaño sólo se puede precisar en función de los objetivos de la función.

Organización Interna Jefe Del departamento: Desarrolla el plan operativo del departamento, las descripciones de puestos de trabajo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, gestiona los programas de trabajo, los cambios en los métodos de trabajo, evalúa la capacidad de las personas a su cargo.

Organización Interna (II) Gerente o supervisor de auditoría informática: Trabaja estrechamente con el Jefe de departamento en las tareas operativas diarias. Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza programas de trabajo, dirige y supervisa directamente a las personas en cada de los trabajos de los que es responsable. Realiza formación sobre el trabajo Apoya la jefatura de la obtención del mejor resultado , entroncando los conceptos de valor añadido y gestión del cambio. Es el que más vende la función con el auditado.

Organización Interna (III) Auditor Informático: Son responsables de la ejecución directa del trabajo. Deben tener una especialización genérica, pero también una específica. Debe obtener la información , realzar las pruebas, documentación del trabajo, evaluación y diagnóstico de resultados

Trabajo de Grupo #1 Definir: Definir: auditoria de sistemas Pasos a seguir cuando se hace una auditoria Redactar el aviso del periodico solicitando los servicios de un auditor de sistemas SIS-303 - IG

Auditoría: Conceptos Control Interno Conjunto de métodos coordinados y medidas adoptadas dentro de una organización con el fin de: Salvaguardar activos, Asegurar la confiabilidad y corrección de los datos contables y extracontables Promover la eficacia y eficiencia de las operaciones Promover la adhesión a las políticas vigentes SIS-303 - IG

El Control Interno se instrumenta a partir de: Funciones Preventivas Auditoría: Conceptos El Control Interno se instrumenta a partir de: Funciones Preventivas Políticas Gerenciales Misiones y Funciones Esquemas de organización Normas y procedimientos Políticas de personal Etc. Funciones de Control/Verificación La función de línea, en todos sus niveles (control operativo) La función staff (auditoría) SIS-303 - IG

Auditoría de Sistemas de Información: Conceptos Objeto de la Auditoría de Sist.de Información El ámbito de la ASI se refiere al entorno informático correspondiendo entenderse por tal a todo lo que conforma: Tecnología Informática (Oferta) Hardware y Software Tecnología de Comunicaciones y Base de datos Metodología para la construcción de aplicaciones. A P L I C A C I O N E S Sistemas de Información (Demanda) Necesidades de Información Requerimientos del Negocio SIS-303 - IG

Factores a tener en cuenta Elemento humano Organization Integracion Direccion Supervision Comunicacion y coordinacion Delegacion Recursos materiales Recursos tecnicos Recursos financieros control SIS-303 - IG

Auditoría de Sistemas de Información: Conceptos Principales Funciones de la A.S.I. Evaluación y verificación de controles y procedimientos relacionados con la función de informática Verificación del uso eficiente de los SI. Desarrollo de las actividades del área de auditoría informática de acuerdo a estándares normativos. Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del área. Realizar el monitoreo permanente de las actividades del área. Realizar el monitoreo de la seguridad. Monitoreo de la aplicación de procedimientos. Realizar una adecuada información y seguimiento de las observaciones realizadas. SIS-303 - IG

Auditoría de Sistemas de Información: Conceptos Sensor Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el sistema de información. Normas internas: Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogra-mas, flujogramas, organigramas, documentación de sistemas, etc. Normas externas: Profesionales Organismos de Control Nacionales Internacionales C.O.B.I.T Objetivos de control para la información y la tecnología Relacionada, desarrollado por la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de Información. SIS-303 - IG

Aseguramiento de la Información El aseguramiento de la información es la base sobre la que se construye la toma de decisiones de una organización. Sin aseguramiento, las empresas no tienen certidumbre de que la información sobre la que sustentan sus decisiones de misión crítica es confiable, segura y está disponible cuando se la necesita. Definimos Aseguramiento de la Información como la utilización de información y de diferentes actividades operativas con el fin de proteger la información, los sistemas de información y las redes, de forma de preservar la disponibilidad, la integridad, la confidencialidad, la autenticación y el no repudio, ante el riesgo de impacto de amenazas locales, o remotas a través de comunicaciones e Internet. Veremos dos importantes técnicas de aseguramiento, la auto evaluación y la auditoría de sistemas de información. SIS-303 - IG

COBIT: Autoevaluación de controles (Meycor COBIT CSA) Es una técnica gerencial que asegura a todos aquellos con intereses en el negocio, que el sistema de control interno del mismo es confiable. También asegura que los empleados son concientes de los riesgos del negocio, y que llevan adelante revisiones proactivas periódicas de los controles. SIS-303 - IG

Se audita mediante los siguientes pasos: Obtener un entendimiento de los requerimientos del negocio, los riesgos relacionados, y las medidas de control relevantes. Evaluar la conveniencia de los controles establecidos. Evaluar el cumplimiento al probar si los controles establecidos están funcionando como se espera, de manera consistente y continua. Justificar el riesgo de que los objetivos de control no se estén cumpliendo mediante el uso de técnicas analíticas y/o consultando fuentes alternativas. SIS-303 - IG

Guía Genérica de Auditoría Obtener entendimiento Los pasos de auditoría a realizar para documentar las actividades subyacentes a los objetivos de control, así como también identificar las medidas/procedimientos de control establecidas. Entrevistar al personal administrativo y de staff indicado para lograr la comprensión de: Los requerimientos del negocio y los riesgos asociados. La estructura organizacional. Los roles y responsabilidades. Las medidas de control establecidas. La actividad de reporte a la administración (estatus, desempeño, acciones). Documentar los recursos de TI relacionados con el proceso que se ven especialmente afectados por el proceso bajo revisión. Confirmar el entendimiento del proceso bajo revisión, los Indicadores Clave de Desempeño (KPI) del proceso, las implicaciones de control, por ejemplo, mediante un seguimiento paso a paso del proceso. SIS-303 - IG

Guía Genérica de Auditoría Evaluación de los controles Los pasos de auditoría a realizar en la evaluación de la eficacia de las medidas de control establecidas o el grado en el que se logra el objetivo de control. Básicamente, decidir qué se va a probar, si se va a probar y cómo se va a probar. Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios identificados y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor. Existen procesos documentados. Existen resultados apropiados. La responsabilidad y es clara y eficaz. Existen controles compensatorios en donde es necesario. Concluir el grado en el que se cumple el objetivo de control. SIS-303 - IG

Guía Genérica de Auditoría Valoración del cumplimiento Los pasos de auditoría a realizar para asegurar que las medidas de control establecidas estén funcionando como es debido, de manera consistente y continua, y concluir sobre la conveniencia de ambiente de control. Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta. Realizar una revisión de la suficiencia de los resultados del proceso. Determinar el nivel de pruebas justificantes y trabajo adicional necesarios para asegurar que el proceso de TI es adecuado. Los controles debieron funcionar en el periodo evaluado. SIS-303 - IG

Guía Genérica de Auditoría Justificar el riesgo Los pasos de auditoría a realizar para justificar el riesgo de que no se cumpla el objetivo de control mediante el uso de técnicas analíticas y/o consultas a fuentes alternativas. Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes. Identificar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-raíz. Brindar información comparativa; por ejemplo, mediante puntos de referencia. El objetivo es respaldar la opinión e “impresionar” a la administración para que tome acción. Los auditores tienen que ser buenos comunicadores para encontrar y presentar esta información que con frecuencia es susceptible y confidencial. SIS-303 - IG

Auditoría de Sistemas de Información: Conceptos NORMAS ESPECÍFICAS DE TECNOLOGÍA INFORMÁTICA. Normas COBIT: (Control OBjectives for Information and relatives Technologies) - I.S.A.C.A. ( Information System Audit Control Association) PRIMERA VERSIÓN: 1996, SEGUNDA VERSIÓN: 1998. Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico. MARCO CONCEPTUAL: LA INFORMACIÓN, CUMPLE CON LOS PROCESOS DE NEGOCIOS, SIGUIENDO CRITERIOS DE: Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Marco Conceptual La información, cumple con los procesos de negocios, siguiendo criterios de: Calidad: Eficacia y Eficiencia Seguridad: Confidencialidad, Integridad y Disponibilidad Confianza: Cumplimiento de disposiciones y confiabilidad. Utilizando los recursos de la tecnología informática: Datos, Aplicaciones, Tecnología, Instalaciones y Personal. Las actividades de los procesos informáticos, se analizan por dominios: Planificación y organización, Adquisición e implementación, Entrega y soporte y Monitoreo. SIS-303 - IG