¿cómo implementar auditoría de ti que agregue valor a la organización?

¿Cómo Implementar Auditoría de TI que Agregue

Valor a la Organización?

AGENDA• Concepto de valor• Evolución de la tecnología y la auditoría• Elementos necesarios para implementar una auditoría

de TI que agregue valor– Cambio de enfoque– Evaluación de riesgos– Mejores prácticas en auditoría de TI

• Condiciones para crear la auditoría de TI– Interna versus outsourcing– Perfil del auditor de TI– Funciones – Herramientas– Auditoría continua– Planeación del desarrollo profesional

Concepto de valor

PlanificaciónConfiguración

Entrega

Soporte

Toma de Decisiones

“Grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite”

Concepto de valor

PlanificaciónConfiguración

Entrega

Soporte

Toma de Decisiones

Evaluación del Riesgo

Objetivos de Control

Evolución de la Tecnología90 hasta hoy

Internet E-Commerce

Rápida difusión de la información

Rompe paradigmas

Nuevo estándar Internet compatible

Pérdida de intimidad

Seguridad la mayor preocupación

Evolución del enfoque de auditoría

Enfoque en administración de riesgos

Va

lor

ha

cia

el n

eg

oci

o

Financiera

Operación

Tecnología de Información

Finanzas y Contabilidad

Económia, Eficiencia y

Eficacia de las operaciones

Alineación con la visión y

misión empresarial

X

Un elemento crítico para el éxito y supervivencia de las organizaciones es la administración efectiva de la información y de la Tecnología de Información TI relacionada. En esta sociedad global donde la información viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta criticidad emerge de:

•La creciente dependencia en información y en los sistemas que proporcionan dicha información

•La creciente vulnerabilidad y el amplio espectro de amenazas, tales como la “ciberamenazas” y la guerra de información

•La escala y el costo de las inversiones actuales y futuras en tecnología de información, y

•El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas del negocio, crear nuevas oportunidades y reducir costos

Un elemento crítico para el éxito y supervivencia de las organizaciones es la administración efectiva de la información y de la Tecnología de Información TI relacionada. En esta sociedad global donde la información viaja en el “ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta criticidad emerge de:

•La creciente dependencia en información y en los sistemas que proporcionan dicha información

•La creciente vulnerabilidad y el amplio espectro de amenazas, tales como la “ciberamenazas” y la guerra de información

•La escala y el costo de las inversiones actuales y futuras en tecnología de información, y

•El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas del negocio, crear nuevas oportunidades y reducir costos

2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos

1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional

3. Auditoría que aplique las mejores prácticas de la industria

¿Cómo implementar auditoría de TI que agregue valor a la organización?

2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos

1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional

3. Auditoría que aplique las mejores prácticas de la industria

¿Cómo implementar auditoría de TI que agregue valor a la organización?

Entrada Proceso Salida

Salida

Entrada Proceso Salida

2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos

1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional

3. Auditoría que aplique las mejores prácticas de la industria

¿Cómo implementar auditoría de TI que agregue valor a la organización?

Riesgo

“La amenaza de que un evento, acción ó

falta de acción afecte

adversamente la habilidad de una

organización para lograr sus objetivos

y ejecutar sus estrategias

exitósamente”

Niv

el d

e de

pend

enci

a

Nivel de utilización de TI

RIESGOSRIESGOS

Dependencia del negocio

Principal riesgo en TI

GerenciaTecnología

Contabilidad

Auditoría

Car

ecer

de

un

a es

trat

egia

com

ún

Riesgos de la tecnología de información

– Información errónea o inoportuna

– Tiempo laboral perdido por mal uso del e-mail e Internet

– Alteración de datos– Insatisfacción del

usuario– Acceso no autorizado– Ineficiente uso de los

recursos tecnológicos– Robo de información

2. Auditoría con la misión de reportar los riesgos y los controles para mitigarlos

1. Cambio del enfoque tradicional1. Cambio del enfoque tradicional

3. Auditoría que aplique las mejores prácticas de la industria

¿Cómo implementar auditoría de TI que agregue valor a la organización?

Mejores prácticas de la industria

COBIT Control Objectives for Information and related Technology

www.isaca.org/cobit.htm

(Guías de Auditoría solo para miembros)

Standards

www.isaca.org/standards

Code of Practice for Information Security Management (ISO17799)

https://www.bspsl.com/secure/iso17799software/cvm.cfm

Generally Accepted Principles and Practices for Securing Information Technology Systems (NIST)

http://csrc.nist.gov/publications/nistpubs/

Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009)

www.ifac.org

COBIT Control Objectives for Information and related Technology

www.isaca.org/cobit.htm

(Guías de Auditoría solo para miembros)

Standards

www.isaca.org/standards

Code of Practice for Information Security Management (ISO17799)

https://www.bspsl.com/secure/iso17799software/cvm.cfm

Generally Accepted Principles and Practices for Securing Information Technology Systems (NIST)

http://csrc.nist.gov/publications/nistpubs/

Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009)

www.ifac.org

1. Interna o Outsourcing

2. Pérfil del auditor o el equipo

3. Funciones4. Herramientas

para agregar valor

5. Auditoría Continua

6. Planeación del desarrollo profesional

¿Creando la función de Auditoría de Tecnología de Información en la organización?

1. Auditoría Interna versus Outsourcing

Interna

Amplio conocimiento del negocio

Integración con otras disciplinas de la Auditoría Interna

Las brechas de seguridad y control no salen de la empresa

Mejor aprovechamiento del recurso humano capacitado

La experiencia adquirida queda en la organización

Interna

Amplio conocimiento del negocio

Integración con otras disciplinas de la Auditoría Interna

Las brechas de seguridad y control no salen de la empresa

Mejor aprovechamiento del recurso humano capacitado

La experiencia adquirida queda en la organización

Outsourcing

Disponibilidad de diferentes habilidades y profesionales

Economías de escala en la adquisición de herramientas y capacitación

Relación contractual puede causar costos ocultos

Requiere dar privilegios a personal externo

Outsourcing

Disponibilidad de diferentes habilidades y profesionales

Economías de escala en la adquisición de herramientas y capacitación

Relación contractual puede causar costos ocultos

Requiere dar privilegios a personal externo

Outsourcing no es sólo una decisión de costo, es también una decisión estratégica que tiene implicaciones de control para la gerencia. (Manual de preparación examen CISA)

Outsourcing no es sólo una decisión de costo, es también una decisión estratégica que tiene implicaciones de control para la gerencia. (Manual de preparación examen CISA)

2. Perfil del auditor de TI

Visión de riesgos

Lenguaje de negocios

Proactivo y preventivo

Entendimiento del entorno

Conocimiento de metodologías y herramientas

2. Perfil del auditor de TI

Contador Público Autorizado

o

Ingeniero en Informática

• Aprender algún lenguaje de programación y técnicas de análisis y diseño

• Entender los riesgos tecnológicos

• Conocimiento de DBMS• Entender los riesgos de los

sistemas operativos• Contar con un

conocimiento general de infraestructura de telecomunicaciones

• Dominio de los objetivos de control para la información y la tecnología relacionada

2. Perfil del auditor de TI

2. Perfil del auditor de TI• Comprender los conceptos

de riesgo de auditoría, riesgo de detección

• Entender los riesgos del negocio y riesgos operativos

• Aprender sobre las normas internacionales de auditoría

• Formarse en administración, contaduría y finanzas

• Contar con conocimiento sobre la metodología para llevar a cabo una auditoría

• Dominio de los objetivos de control para la información y la tecnología relacionada

Misión de la Auditoría de TI

Visió

n y M

isió

n del

neg

ocio

Tecnología de Información

Brecha inaceptable

3. Funciones

3. Funciones• Evaluar si los recursos tecnológicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio

•Verificar que en TI se cumpla con las políticas corporativas y con las regulaciones y normas

•Evaluar la información de la organización (Integridad, Confidencialidad, Disponibilidad y Completitud)

•Evaluar la fortaleza de los controles preventivos, detectivos y correctivos en TI

• Evaluar si los recursos tecnológicos se utilizan en forma eficiente y en concordancia con los requerimientos del negocio

•Verificar que en TI se cumpla con las políticas corporativas y con las regulaciones y normas

•Evaluar la información de la organización (Integridad, Confidencialidad, Disponibilidad y Completitud)

•Evaluar la fortaleza de los controles preventivos, detectivos y correctivos en TI

3. Funciones•Verificar la salvaguarda de los activos de TI (tangibles e intangibles)

•Evaluar si las vulnerabilidades más conocidas en Internet son adecuadamente mitigadas en la organización

•Participar activamente en el ciclo de vida del desarrollo de sistemas

•Evaluar los planes de recuperación de desastres y continuidad del negocio

•Verificar la salvaguarda de los activos de TI (tangibles e intangibles)

•Evaluar si las vulnerabilidades más conocidas en Internet son adecuadamente mitigadas en la organización

•Participar activamente en el ciclo de vida del desarrollo de sistemas

•Evaluar los planes de recuperación de desastres y continuidad del negocio

3. Funciones•Evaluar la seguridad física y lógica a los activos de TI

•Verificar la seguridad y suficiencia de los controles en la infraestructura de red y en las telecomunicaciones

•Evaluar el proceso de adquisiciones de recursos de TI

•Participar en auditorías integrales y facilitar la integración de la auditoría de TI con otras especialidades de la auditoría

•Evaluar la seguridad física y lógica a los activos de TI

•Verificar la seguridad y suficiencia de los controles en la infraestructura de red y en las telecomunicaciones

•Evaluar el proceso de adquisiciones de recursos de TI

•Participar en auditorías integrales y facilitar la integración de la auditoría de TI con otras especialidades de la auditoría

4. Herramientas

UNIVERSO AUDITABLE

4.1 Para determinar los riesgos que más podrían afectar a la organización

4.2 Herramientas que multiplican el alcance de la Auditoría de T I

4. Herramientas

Software de Análisis de Datos

Software para monitoreo de red

Software para monitoreo de cambios en las bases de datos (Alarmas)

Software para la detección de intrusos IDS

Software para evaluar logs

EAM Embedded Audit Modules

Software de Análisis de Datos

Software para monitoreo de red

Software para monitoreo de cambios en las bases de datos (Alarmas)

Software para la detección de intrusos IDS

Software para evaluar logs

EAM Embedded Audit Modules

4.3 Herramientas para el soporte metodológico de la Auditoría de T I

4. Herramientas

Planeación anual y presupuesto

Calendarización de trabajos y control de tiempo

Desarrollo del programa de auditoría (Interacción con COBIT)

Papeles de trabajo y plantillas

Seguimiento de recomendaciones y respuestas de la administración

Planeación anual y presupuesto

Calendarización de trabajos y control de tiempo

Desarrollo del programa de auditoría (Interacción con COBIT)

Papeles de trabajo y plantillas

Seguimiento de recomendaciones y respuestas de la administración

4.4 Reportes a la Gerencia en términos concisos y de valor

4. Herramientas

•Presentar razones y/o hechos

•Considerar que algunos directivos son más conscientes que otros

•Necesitan entender la información sobre riesgos y controles

•Presentar razones y/o hechos

•Considerar que algunos directivos son más conscientes que otros

•Necesitan entender la información sobre riesgos y controles

•No entendemos ni hablamos su lenguaje

•Informes de resultados demasiado técnicos

•Preocupados por costos y gastos

•Esperan el retorno de su inversión

•No entendemos ni hablamos su lenguaje

•Informes de resultados demasiado técnicos

•Preocupados por costos y gastos

•Esperan el retorno de su inversión

• AuditNet www.auditnet.org

– ASAP (Auditors Sharing Audit Programs)• Programas financieros y operativos• Programas IT

– Lista de recursos de Auditoría– Directorio de Programas de Auditoría– AuditZine: compendio de artículos– ACNIA: Foro de discusión para Auditores

Internos (AuditBest, AuditTrain, AuditBooks, AuditJobs, etc)

• KNET www.isaca.org/knet

WWW y Auditoría

Otras fuentes de información

www.isaca.org

www.itaudit.org

www.theiia.org

www.gao.gov

www.ignet.gov

www.anao.gov

www.cert.orgwww.intosai.org

www.isaudit.com

5. Auditoría Continua

COSO

COBIT

COSO

COBITMonitoreoMonitoreo

Universo Auditable > Recursos de Auditoría

• Un sistema con características apropiadas• Un sistema de información confiable que

incluya controles primarios y un sistema de recolección de datos

• Una auditoría o control secundario que esté altamente automatizado

• Auditores hábiles en tecnología de información

• Control sobre el proceso de reporte de la auditoría

5. Auditoría Continua

PRECONDICIONES

5. Auditoría Continua

EAM Embedded Audit Modules(Modulos de Auditoría Integrados)

“Son modulos puestos en determinados puntos para obtener información acerca de las transacciones o eventos en los sistemas que los auditores pueden considerar materiales” Weber (1999)

Se implementan en los ambientes de DBMS como triggers o procedimientos almacenados

6. Planeación del desarrollo profesional

International Federation of Accountants IFAC emitió desde el año

1993 el documento:

“Minimum Skill Levels in Information Technology for Professional

Accountants”

International Federation of Accountants IFAC emitió desde el año

1993 el documento:

“Minimum Skill Levels in Information Technology for Professional

Accountants”

Estándar Auditoría SI 040.020 Educación Profesional Continua

• Es un camino para crecer y actualizarse en el nivel de servicio

• Incluye capacitación formal e informal (auto estudio)

• Define el conocimiento y las habilidades necesarias

• Define los métodos para el aseguramiento del desarrollo

• Establece los métodos para la actualización y retroalimentación

6. Planeación del desarrollo profesional

Es una estrategia que garantiza el adecuado enfoque de educación continua

y desarrollo profesional es la Certificación CISA

Es una estrategia que garantiza el adecuado enfoque de educación continua

y desarrollo profesional es la Certificación CISA

6. Planeación del desarrollo profesional

Establec

ida

Establec

ida

Estandari

zada

Estandari

zada

Indefinido

Indefinido

Calidad Total

Calidad Total

Índice de madurez de la Auditoría de Tecnología de Información

Índice de madurez de la Auditoría de Tecnología de Información

Índice de madurez

Indefinido: En su mayoría los procesos claves no están definidos o posiblemente no existen, la capacidad de realizar auditoría de TI no existe o esta basada solamente en la experiencia individual por lo que se dificulta su administración

Indefinido: En su mayoría los procesos claves no están definidos o posiblemente no existen, la capacidad de realizar auditoría de TI no existe o esta basada solamente en la experiencia individual por lo que se dificulta su administración

Índice de madurez

Establecida: Este ambiente incluye:

•Una infraestructura estable y soportada en TI

•Mediciones del desempeño efectivo de los sistemas son desarrolladas, permitiéndole a la Auditoría Interna tener entendimiento del impacto de la tecnología

•El resultado de las auditoría de TI se aplica exitósamente y está sustentado en normas de auditoría

•Se realizan auditorías por Outsourcing

Establecida: Este ambiente incluye:

•Una infraestructura estable y soportada en TI

•Mediciones del desempeño efectivo de los sistemas son desarrolladas, permitiéndole a la Auditoría Interna tener entendimiento del impacto de la tecnología

•El resultado de las auditoría de TI se aplica exitósamente y está sustentado en normas de auditoría

•Se realizan auditorías por Outsourcing

Índice de madurez

Estandarizada: La auditoría se realiza en concordancia con los procesos estándares documentados.

Existe un proceso de auditoría integrado que es aplicado y administrado consistentemente (AC).

Hay programas de aseguramiento de la calidad de los sistemas

Existen programas de desarrollo profesional establecidos

Estandarizada: La auditoría se realiza en concordancia con los procesos estándares documentados.

Existe un proceso de auditoría integrado que es aplicado y administrado consistentemente (AC).

Hay programas de aseguramiento de la calidad de los sistemas

Existen programas de desarrollo profesional establecidos

Índice de madurez

Calidad Total: Tiene un estatus de clase mundial

Se aplican procesos de mejoramiento continuo, mediante la evaluación del desempeño por parte de los usuarios de la auditoría.

Existe un proceso de calidad total en la auditoría de TI.

Calidad Total: Tiene un estatus de clase mundial

Se aplican procesos de mejoramiento continuo, mediante la evaluación del desempeño por parte de los usuarios de la auditoría.

Existe un proceso de calidad total en la auditoría de TI.

Ejemplos de herramientas que ayudan al Auditor de

hoy

ADM Plus – Audit Department Manager Plus www.pleier.com

Planificación, Administración de Riesgos, Reporte de Tiempos, gastos y costos, indicadores, asignación de tareas, seguimiento de recomendaciones y observaciones y administración de RRHH, y papeles de trabajo

AutoAudit www.paisleyconsulting.com

Control de tiempos y gastos, papeles de trabajo electrónicos, seguimiento de recomendaciones y observaciones, planificación y otros

Auditor Assistant www.auditorassistant.com

Workflow para trabajos colaborativos, programación y automatización de papeles de trabajo, generacion de reportes y seguimiento de recomendaciones

Gestión de Procesos de Auditoría GPA www.umccr.com

Contempla los componentes necesarios para llevar a cabo la labor de auditoría y por eso contiene varios módulos que son: Catálogos (Base de Conocimiento), Análisis de Riesgo, Planificación, Ejecución, Comunicación , Indices de Gestión y Misceláneos.

Pentana www.pentana.com

Planificación, control de tiempos, checklists y programas y seguimiento de planes de acción

De Soporte Metodológico

AutoAudit www.paisleyconsulting.com

Control de tiempos y gastos, papeles de trabajo electrónicos, seguimiento de recomendaciones y observaciones

CaseWare Working Papers www.caseware.com

Planificación y papeles de trabajo para Auditorías financieras y customizable para otras, incluye checklists y programas de trabajo y actualiza los papeles de trabajo automáticamente, seguimiento recomendaciones.

AuditLeverage www.AuditLaverage.com

Sistema de auditoría que permite crear un data warehouse de auditoría incluyendo una solución integrada para la planificación, trabajo de campo y reporte y seguimiento, permite seleccionar programas de auditoría de TI basados en estándares como COBIT, CMM y BS7799

Internal Audit Software www.methodware.com

Ofrece varios productos para la planficiación de la auditoría con base en riesgos Planning Advisor, soporte para papeles electrónicos y ejecución de auditorías internas ProAudit Advisor, Producto orientado a facilitar la aplicación de CobIT, registrando los resultados de las auditorías, reportes y módulo de revisión y análisis al completarse la auditoría. Cobit Advisor

De Soporte Metodológico

De Análisis de Datos

CaseWare IDEA www.caseware-idea.com

Funciones de Análisis de Datos avanzadas y Auditoría, permite lectura de datos de cualquier orígen

DATAS for IDEA www.audimation.com

Plug-in desarrollado para Data Mining y Análisis predictivo y de Fraude con IDEA, incorporó la Ley de Benford que hoy ya se ha incorporado al producto.

ACL www.acl.com Funciones de Análisis de Datos avanzadas y Auditoría, permite lectura de datos de cualquier orígen

WizRule www.wizsoft.com Software de data mining y reportes, orientado a detectar patrones o relaciones entre datos, identificando aquellas que no responden a los patrones detectados.

BindViewwww.bindview.com

Diversos sistemas y productos orientados a la seguridad y control de los activos de Tecnología de Información

Internet Security Systemswww.iss.net

Diversos sistemas y productos orientados a la seguridad y control de los activos de Tecnología de Información

XP Auditor for IDEA www.caseware-idea.com

Plug in – Auditor de NT y Firewalls para IDEA

Unix Auditor for IDEA www.audimation.com

Plug in – Auditor de Unix para IDEA

Kane www.intrusion.com

Analiza la seguridad de redes y notifica de vulnerabilidades detectadas

AuditCASE para Oraclewww.orcase.com

Permite evaluar sistemas que utilicen bases de datos ORACLE, seleccionando campos sobre los cuales crea un pista de auditoría, también permite implementar un modelo de auditoría continua mediante una serie de alertas

De Revisiones Seguridad de IT

Bibliografía recomendada

• Accountant´s guide to fraud detection and control; Howard R Davia y otros

• Auditing in a computerised environment, Mohan Bhatia• Practical IT Auditing 2 Edition Jack Champlain• Claves para el gobierno de los sistema de información

Reynaldo J de la Fuente y otros• Cobit 3 Edition

www.isaca.org/ordinfo.htm

• Revista Control Journal para los afiliados a la ISACAwww.isaca.org

Muchas Gracias!