UCSE 2006UCSE 2006
GOBIERNO Y AUDITORIA GOBIERNO Y AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema I
““Necesidad de Control”Necesidad de Control”
UCSE 2006
Tema I – Necesidad de Control
¿Como hacer para lograr tener bajo control la tecnología de información de manera tal que esta entregue la información según las necesidades ?
UCSE 2006
Tema I – Necesidad de Control
Definiciones
Datos: descripción de cosas o eventos que observamos.
Información: son datos organizados para ayudar a elegir o no una acción futura.
Tecnología de Información: abarca todas las formas de tecnologías involucradas en la captura, manipulación, comunicación, presentación y uso de datos e información.
UCSE 2006
Tema I – Necesidad de Control
La sociedad se ha globalizado en el ciberespacio para el intercambio de información sin restricciones.
Las organizaciones se han percatado de la importancia de la Información y TI relacionada.
Los informáticos se preocupan por su propio gobierno de la TI.
UCSE 2006
Tema I – Necesidad de Control
El Ámbito Social
Existe un creciente desarrollo y utilización de Tecnologías de Información
Existe una creciente vulnerabilidad y un amplio espectro de amenazas.
UCSE 2006
Tema I – Necesidad de Control
El Ámbito Empresario reconoce:
El potencial que tienen las tecnologías para cambiar radicalmente: la estructura de la empresa (Organización por Procesos) las prácticas de negocio (Ubicuidad) Nuevas estrategias (Globalización y Fusión)
El riesgo que implica la creciente dependencia de: la información y los sistemas que proporcionan dicha información
Los Beneficios Crear Nuevas Oportunidades Reducir Costos
UCSE 2006
Tema I – Necesidad de Control
Situación Actual
Ambiente Empresario
Competitivo
Cambiante
ReducirCostos
DependenciaInformática
UCSE 2006
Tema I – Necesidad de Control
El Ámbito Informático se preocupa por la manera de:
Informar acerca de la finalidad que cumple y el impacto de TI en la organización.
Saber si la dirección seguida y el retorno de las inversiones son los esperados
Determinar la escalabilidad de los sistemas y el costo de las inversiones actuales y futuras.
Medir el desempeño actual y las restricciones dentro de las que debe operar.
Determinar los riesgos y limitantes del empleo de las tecnologías.
UCSE 2006
Tema I – Necesidad de Control
Situación Actual
Ambiente Informático
Avance Tecnológico Permanente
Incorporación de Mecanismosde control más poderosos
Estandarización de Herramientas
Demanda aumentoy mejora de habilidades
Nuevos Escenarios: computación distribuida, computación Móvil
UCSE 2006
Tema I – Necesidad de Control
Caso de Estudio
Adquisición e Implementación
UCSE 2006
Tema I – Necesidad de Control
Visión: es una expresión escrita del futuro deseado para el uso de la información y el manejo de la organización.
Arquitectura: describe la manera en que los recursos de información deben ser desplegados para llevar a cabo la visión
Managing Information Technology
UCSE 2006
Tema I – Necesidad de Control
Recursos de TIDatos: en un sentido amplio pueden ser internos y externos,
estructurados y no estructurados.Aplicaciones: la suma de los procedimientos manuales y
programados.Tecnología: abarca el hardware, los sistemas operativos, los
sistemas de administración de base de datos, las redes, etc.Instalaciones: recursos utilizados para alojar y dar soporte a los
sistemas de información.Personal: habilidades, aptitudes, conocimiento y productividad
del personal para planificar, organizar, adquirir, brindar soporte y monitorear los sistemas y servicios de información.
Cobit
UCSE 2006
Tema I – Necesidad de Control
Ejemplo de Visión:
El manejo electrónico de información es estratégicamente importante para un futuro exitoso. El uso de los recursos debe ser basado en las necesidades de la totalidad de la población de clientes y al mismo tiempo el control y la seguridad deben ser altamente prioritarios.
UCSE 2006
Tema I – Necesidad de Control
Ejemplo de Arquitectura:
• Procesadores: estaciones de trabajo y servidores
• Redes: redes locales
• Servicios: acceso a terminales, transferencia de archivos, mail
• Estándares: sistemas operativos, protocolo de comunicaciones
UCSE 2006
Tema I – Necesidad de Control
Arquitectura Basada en Servicios
Servicios
Dispositivos
Sistemas Internos
Economía de Servicios
PersonasOrganizaciónCanales
A Medida Paquetes En Alquiler
Clientes Empleados Socios
Pc Servidores PDA Teléfonos
Proveedores de Servicio Independientes
Intermediarios
UCSE 2006
Tema I – Necesidad de Control
Razones
• Las aplicaciones de TI no están manejadas por una sola persona.
• Brinda un entendimiento compartido entre profesionales de TI.
• Ayuda a comunicar el futuro.
• Provee un gran esquema que permite la toma de decisiones individuales sea consistente.
UCSE 2006
Tema I – Necesidad de Control
Atributos
• Comunicar claramente: debe ser comprensiva más que detallada
• No debe especificar una acción exacta sino debe dar la imagen de un posible futuro.
• Es referente para realizar comparaciones y toma de decisiones.
UCSE 2006
Tema I – Necesidad de Control
Caso de Estudio
Visión y Arquitectura
UCSE 2006
Tema I – Necesidad de Control
Proyectos de TI
Concepto: es una tarea o conjunto de trabajos asignados que puede ser llevado a cabo por un conjunto de personas, empleando una simple lista de <cosas por hacer>
Joseph W.Weiss, Robert k. Wysocki
UCSE 2006
Tema I – Necesidad de Control
Características de los Proyectos de TI
• Objetivos Multidimensionales• Tiempo de entrega• Sujeto a una Planificación• Minimización de costos
• recursos disponibles• flujo de dinero• restricciones de performance tecnológicas
• Presencia de incertidumbre
UCSE 2006
Tema I – Necesidad de Control
Proyectos de TI
¿Donde estála empresa?
¿A donde quiere llegar la empresa?
Brecha
Describir la brecha en mayor detalle permitirá planificar una serie de proyectos para que la empresa alcance sus metas.
Cobit PG 6
UCSE 2006
Tema I – Necesidad de Control
Clasificación de Proyectos
• Iniciativas Estratégicas• Proyectos Tácticos• Mejoras Organizacionales• Desarrollo de Procedimientos
Cobit PG 6
UCSE 2006
Tema I – Necesidad de Control
Prioridad de los Proyectos
Se basa en identificar los proyectos con:
• Resultados favorables que pueden obtenerse rápidamente.
• Bajo costo de cerrar la brecha
• Bajo riesgo de fracaso
• Mayor impacto en los beneficios de la empresa
Impacto
Costo / Riesgo
1 5 10
5
10
UCSE 2006
Tema I – Necesidad de Control
Impacto de los Proyectos de TI
Objetivos de Negocios
• Impacto por el costo• Dirección estratégica de los negocios• Ventajas competitivas• Administración del soporte a las decisiones• Otros beneficios intangibles• Soporte para nuevas tecnologías
UCSE 2006
Tema I – Necesidad de Control
Riesgos de Gestión del Proyecto de TI
Categorización de Riesgos sobre Proyectos
1. Gestión de Proyectos 2. Enfoque de Negocios 3. Proceso de Negocios 4. Usuarios 5. Tecnología 6. Datos
Information Systems Control Journal, Volume 5, 2002
UCSE 2006
Tema I – Necesidad de Control
Riesgos de Gestión del Proyecto de TI
Escalera de Reducción de Riesgos
1. La prevención de riesgo (por ejemplo, por el cambio del alcance del proyecto)
2. La minimización de riesgo (por ejemplo, remediando los pobres controles identificados en el proyecto)
3. La limitación de riesgo (por ejemplo, desarrollando las alternativas en caso de un fracaso del proyecto)
4. El traslado del riesgo (por ejemplo, estando de acuerdo en los daños y perjuicios contractuales)
5. La aceptación de riesgo
Information Systems Control Journal, Volume 5, 2002
UCSE 2006
Tema I – Necesidad de Control
Caso de Estudio
• Evaluación de Proyectos• Propuesta de Solución
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema II
““Gobierno de TI”Gobierno de TI”
UCSE 2006
Tema II – Gobierno de TI
Información & TI
Ámbito
Gobierno & Control
UCSE 2006
Tema II – Gobierno de TI
El gobierno de TI apunta a alinear la TI y el negocio, midiendo su desempeño y logrando que se agregue valor a la organización.
El control de TI es una definición del resultado o propósito que desea alcanzar implementando procedimientos de control en una actividad de TI particular.
SAC – Informe de Auditoría y control – Instituto de la Fundación de Investigadores de Auditoría Interna
UCSE 2006
Tema II – Gobierno de TI
La dirección y la administración ejecutiva de las empresas necesitan extender su gobierno a la TI
El gobierno de la TI no es una disciplina aislada, sino debe convertirse en parte integral del manejo total de una empresa; es decir, la TI necesita adoptarse como parte integral de la empresa.
Governance Institute
UCSE 2006
Tema II – Gobierno de TI
Definición
Consiste en el liderazgo, las estructuras de la organización y los procesos para asegurar que la TI mantenga y amplíe los objetivos y estrategias de la empresa.
Governance Institute
UCSE 2006
Tema II – Gobierno de TI
Objetivos
Que la TI esté alineada con la empresa y produzca los beneficios prometidos.
Que la TI habilite a la empresa a explotar oportunidades y generar los máximos beneficios.
Que los recursos de la TI se empleen responsablemente.
Que los riesgos relacionados se manejen adecuadamente.
Governance Institute
UCSE 2006
Tema II – Gobierno de TI
Para aplicar el enfoque de gobierno se necesita...
Alinear las estrategias de TI con las estrategias de negocios.
Difundir estrategias y objetivos a toda la empresa Proveer la estructura organizacional para facilitar la
implementación de estrategias y objetivos. Insistir en que la estructura de control se adopte e
implemente Medir el desempeño de la TI.
Governance Institute
UCSE 2006
Tema II – Gobierno de TI
ModeloProporcionar Dirección
Actividades de TI
•Aumentar Automatización•Reducir Costos•Manejar Riesgos (seguridad, confianza y cumplimiento reglamentario)
MedirDesempeño
Establecer Objetivos
•TI alineado con el negocio•TI crea negocios y produce máximos beneficios•Recursos TI empleados responsablemente•Manejo adecuado de Riesgos relacionados con TI
Comparar
Governance Institute
UCSE 2006
Tema II – Gobierno de TI
Objetivos
Governance Institute
Producir valor comercial: se lleva a cabo por la alineación
Mitigar riesgos: se realiza al establecer responsabilidades dentro de la empresa
UCSE 2006
Tema II – Gobierno de TI
Areas de Enfoque
Valor Derivado de
la TI
Manejo de Riesgos
MedirDesempeño
Alineación Estratégica
de TI
Conductores de Valor
del Inversionist
a
Governance Institute
UCSE 2006
Tema II – Gobierno de TI
Alineación de TI
Governance Institute
Definición: Consiste en determinar si la inversión en TI está en armonía con los objetivos estratégicos (la visión, estrategia actual y la misión) creando así la capacidad de generar valor para el negocio.
La alineación es una tarea constante que sirve para responder o justificar acerca del valor que tiene invertir en tecnología.
UCSE 2006
Tema II – Gobierno de TI
Alineación de TI
Governance Institute
Estrategia Empresarial
Estrategia de TI
Operaciones de TI
Operaciones de la
Empresa
Actividades de
Alineación
Futuro
UCSE 2006
Tema II – Gobierno de TI
Alineación de TI
Governance Institute
Requiere Crear y mantener la conciencia del papel estratégico de la TI a
los altos gerentes. Clarificar que papel debe desempeñar la TI Crear principios-guía de la TI a partir de máximas de negocio.
Ej. Consolidar una base única de clientes Verificar el impacto de la infraestructura de TI en el negocio y
el portafolio de aplicaciones Evaluar, después de implementar, los beneficios producidos
por los proyectos de TI.
UCSE 2006
Tema II – Gobierno de TI
Valor Derivado de la TI: Principios Básicos
Governance Institute
En Términos de TI
Entregar a Tiempo
Dentro del Presupuesto Con los Beneficios
Prometidos
En Términos de Negocio
Ventaja Competitiva Satisfacción del Cliente Utilidad y Productividad
del Empleado
UCSE 2006
Tema II – Gobierno de TI
Valor Derivado de la TI: Percepción del Valor
Unidad Financiera
Unidad Operativa
Unidad de Operaciones de TI
Infraestructura de TI
•Aumento de Ingresos•Ingreso por Empleado
•Tiempo para introducir un nuevo producto en el mercado
•Disponib. y Costo de la Infraestructura y por Área
•Tiempo y costo de implementación
Tiempo para el Impacto
UCSE 2006
Tema II – Gobierno de TI
Beneficios empresariales por el manejo eficaz de la TI ?
Governance Institute
Reputación Confianza Liderazgo en productos/servicios Costos reducidos Tiempo para llevar un producto al mercado
UCSE 2006
Tema II – Necesidad de Control
Caso de Estudio
AlineaciónValor derivado de la TI
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema III
““Control Interno””
UCSE 2006
Tema III – Control Interno
Definición
Control: cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Piattini – Del Peso.
UCSE 2006
Tema III – Control Interno
Control: las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.
COSO – Comité de partocinadores de Organizaciones de la Comisión de Treadway
Definición
UCSE 2006
Tema III – Control Interno
Clasificación Histórica Controles preventivos: para tratar de evitar el hecho. Ej. un
software que impida los accesos no autorizados.
Controles detectivos: se realizan para tratar de conocer cuanto antes el evento. Ej. Registro de intentos de acceso no autorizados, registro de errores diarios, etc.
Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej. Recuperación de un archivo dañado a partir de las copias de seguridad.
UCSE 2006
Tema III – Control Interno
Características de los controles
Completos Simples Fiables Revisables Adecuados Rentables
Tanto en diseño como en la implementación deben ser:
UCSE 2006
Tema III – Control Interno
¿Para que se aplican los controles?
Efectividad Eficiencia Confidencialidad Disponibilidad Integridad Cumplimiento Confiabilidad
“Para satisfacer los criterios de control de
información”
UCSE 2006
Tema III – Control Interno
Para aplicar el enfoque de control se necesita...
Traducir los objetivos de negocio a satisfacer en requerimientos de información
Visualizar la información necesaria para dar soporte a los procesos
Obtener información como resultado de la aplicación combinada de recursos de tecnología de TI que deben ser administrados por procesos de TI.
UCSE 2006
Tema III – Control Interno
Como Gerentes …
Determinación de lo que se está logrando según lo planificado
Control
Evaluación del desempeño
Aplicación de medidas Correctivas
= =
UCSE 2006
Tema III – Control Interno
Modelo de Control Estándar
NormasEstándaresObjetivos
Comparar
Actuar
ControlarInformación
Proceso
UCSE 2006
Tema III – Control Interno
Las Normas
Variedad
Planes y Estrategias de alto nivel Indicadores Claves de Desempeño (ICD) Factores Críticos de Éxito (FCE) Etc.
Documentadas Mantenidas Comunicadas
Custodia
UCSE 2006
Tema III – Control Interno
Deferencias entre Control Interno y AuditoriaControl Interno Definición de Propietarios y
Perfiles: Clasificación de la Información
Administración delegada en control Dual
Responsable del desarrollo y actualización del Plan de Contingencias, Manual de Procedimientos y Planes de Seguridad
Define procedimientos de control Control de calidad Control de costos
Auditoria Vigilancia y evaluación mediante
dictámenes Evalúan eficiencia, costo y
Seguridad Operan según un plan Utilizan metodologías de
evaluación Repetición de auditoria por nivel
de exposición de área auditada y el resultado de la última auditoria de la misma.
Piattini – Del Peso.
UCSE 2006
Tema III – Control Interno
Control Interno – Metodología
Busca establecer una situación de control según el grado de importancia de las entidades de información.
Los controles se diferencian según el activo o recurso que protege
“Clasificación de la Información”
UCSE 2006
Tema III – Control Interno
Control Interno – Metodología
1. Identificación de la Información2. Inventario de Entidades de Información3. Identificación de Propietarios4. Definición de Jerarquías de Información5. Definición de la Matriz de Clasificación6. Confección de la Matriz de Clasificación7. Realización del Plan de Acciones8. Implantación y Mantenimiento
“Clasificación de la Información”
UCSE 2006
Tema III – Control Interno
Control Interno – Plan de Contingencias
Definición
Es una estrategia planificada constituida por: Un conjunto de recursos de respaldo Una organización de emergencia Procedimientos de actuación encaminada
encaminada a conseguir una restauración progresiva y ágil de los servicios del negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa.
Piattini – Del Peso.
UCSE 2006
Tema III – Control Interno
Control Interno – Plan de Contingencias
Fases
1. Análisis y Diseño2. Desarrollo del Plan3. Pruebas de
Mantenimiento
UCSE 2006
Tema III – Control Interno
Control Interno – Plan de Contingencias
Fases 1 - “Análisis y Diseño”
Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo y el costo beneficio de las mismas utilizando alguna de las siguientes metodologías:
Análisis de Riesgo Impacto de Negocios
UCSE 2006
Tema III – Control Interno
Definiciones para profundizar en las metodologías
Amenaza: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catástrofe. Ejemplos: inundación, incendio, robo de datos, sabotaje, falta de procedimientos de emergencia, divulgación de datos, implicaciones con la ley, aplicaciones mal diseñadas, gastos no controlados, etc.
Vulnerabilidad: situación creada, por la falta de uno o varios controles, con la que la amenaza pudiera acaecer y así afectar al entorno informático. Ej. falta de control de acceso lógico, falta de control de versiones, inexistencia de un control sobre soporte magnético, falta de cifrado en las comunicaciones, etc. Piattini – Del Peso.
UCSE 2006
Tema III – Control Interno
Definiciones para profundizar en las metodologías
Riesgo: es la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Exposición o Impacto: es la evaluación del efecto del riesgo. Ej. Es frecuente evaluar el impacto en términos económicos, aunque también puede ser en vida humanas, imagen de la empresa, honor, defensa nacional, etc.
Piattini – Del Peso.
UCSE 2006
Tema III – Control Interno
Control Interno – Plan de ContingenciasMetodología - “Análisis de Riesgo”
1. Identificación de amenazas2. Análisis de la probabilidad de materialización de la amenaza3. Selección de amenazas4. Identificación de entornos amenazados5. Identificación de servicios afectados6. Estimación del impacto económico por la paralización de cada servicio.7. Selección de los servicios a cubrir8. Selección final del ámbito del Plan.9. Identificación de alternativas para los entornos10. Selección de alternativas11. Diseño de estrategias de respaldo12. Selección de estrategias de respaldo
UCSE 2006
Tema III – Control Interno
Control Interno – Plan de ContingenciasMetodología - “Impacto de Negocio”
1. Identificación de los servicios finales2. Análisis del impacto: daños económicos, de imagen y otros aspectos3. Selección de servicios críticos4. Determinación de recursos de soporte5. Identificación de alternativas para entornos6. Selección de alternativas7. Diseño de estrategias globales de respaldo8. Selección de la estrategia global de respaldo
UCSE 2006
Tema III – Control Interno
El sistema de Control debe asegurar que los objetivos de negocio se puedan cumplir, teniendo en cuenta:
La TI debe estar alineada con los negocios
La TI debe crear negocios y maximizar los beneficios.
Los recursos deben ser usados responsablemente.
Los riesgos relacionados con la TI deben ser manejados apropiadamente.
UCSE 2006
Tema III – Control Interno
Caso de Estudio
Clasificación de la Inf.Plan de Contingencias
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema IV
““Seguridad”Seguridad”
UCSE 2006
Tema IV – Seguridad
Definición
Cobit 2003
Seguridad: consiste en proteger la información contra…
Su uso no autorizado Divulgación Modificación Daño Pérdida
UCSE 2006
Tema IV – Seguridad
Objetivo General de la Auditoria
Evaluar la seguridad informática debido a los riesgos que crea la misma informática a la organización.
Evaluar la calidad y eficiencia de las medidas destinadas a proteger y preservar a la organización.
UCSE 2006
Tema IV – Seguridad
Administración de Medidas
Cobit 2003
Traducir la información de evaluación de planes de riesgo en planes de seguridad de TI.
Implementar el plan de seguridad de TI Actualizar el plan de seguridad de TI para reflejar los
cambios en la configuración de TI. Evaluar el impacto de las solicitudes de cambio en la
seguridad de TI. Monitorear la implementación del plan de seguridad de TI. Alinear los procedimientos de seguridad con otras políticas
y procedimientos.
UCSE 2006
Tema IV – Seguridad
Auditoria de Seguridad - Clasificación Física: se evalúan las protecciones de recursos
De Sistemas: datos, programas, instalaciones, equipos, redes y soportes manuales, magnéticos, etc.
Instalaciones: ergonomía, confort, iluminación, vigilancia, accesos, evacuación, alarmas, fuego, salidas alternativas, materiales utilizados.
Recursos humanos: acceso, presencia, seguros, enfermedad, negligencias, errores.
Lógica: se verificará que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función y con las posibilidades que el propietario le haya fijado: lectura, modificación.
UCSE 2006
Tema IV – Seguridad
Relaciones de Seguridad y Auditoria
Piattini – Del Peso.
Auditoria de TI Externa
Auditoria de TI Interna
Control Interno General
Administración de Seguridad
Ámbito Protegido
UCSE 2006
Tema IV – Seguridad
Caso de Estudio
Seguridad FísicaSeguridad de los Datos
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema V
““Concepto de Auditoría”Concepto de Auditoría”
UCSE 2006
Tema V – Concepto de Auditoría
¿Para qué se realizan las Auditorias de TI?
Una auditoria se realiza para dar soporte al control y seguridad de la tecnología de información utilizada en la empresa, aplicando un enfoque de control orientado a los procesos de la misma.
UCSE 2006
Tema V – Concepto de Auditoría
Orígen Auditoría: deriva del latín “audire” que signigfica OIR Auditor: todo aquel que tiene la virud de oir.
Conceptualización
Consiste en la emisión de la opinión profesional sobre si el objeto sometido al análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.
Piattini – Del Peso.
UCSE 2006
Tema V – Concepto de Auditoría
Definición: La auditoria de los sistemas de información consiste en la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
ISACA – Asociación de Auditoría y Control de Sistemas de Información.
UCSE 2006
Tema V – Concepto de Auditoría
Los Jugadores – Ambito Informático
Gobierno de TI: implementa procesos informáticos alineados
Control Interno: aplica los controles
Auditoría Informática: evalúa las prácticas de control
UCSE 2006
Tema V – Concepto de Auditoría
Los Jugadores – Ambito Empresario
Ejecutivos: implementan nuevas estrategias competitivas
Administradores: responsables de los procesos de negocio o áreas Auditor Informático:
opina y aconseja si está bien lo que se hace.
UCSE 2006
Clases de Auditoria
Tema V – Concepto de Auditoría
Clase
Auditoria Financiera
Auditoria GestiónAuditoría de TI
Objeto
Cuentas anualesDirecciónTI
UCSE 2006
Tipos de Auditoria de TI
Tema V – Concepto de Auditoría
Soporte de la auditoria tradicional.
Auditoria de la Gestión del Entorno Informático.
Auditoria como función independiente enfocada a la seguridad, riesgo y eficiencia del entorno.
Auditoria como función de control dentro del departamento de gobierno de TI.
UCSE 2006
Tema V – Concepto de Auditoría
Objetivos
Garantizar que se logren los objetivos de control
Identificación de las deficiencias significativas
Sustanciación del riesgo asociado a las deficiencias
Asesoramiento sobre las acciones correctivas a adoptar
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema VI
““Auditor de TI”Auditor de TI”
UCSE 2006
Tema VI – Auditor de TI
Concepto
Es un profesional especializado en TI y en Auditoria de TI, que tiene conocimientos generales de los ámbitos en que se mueve; y está obligado a lograr que sus destrezas evolucionen con la TI
UCSE 2006
Tema VI – Auditor de TI
Principio General:
Los auditores deben suministrar…
Garantías y asesoramiento respecto de los controles de la organización.
Garantías razonables que están cumpliendo los objetivos de control pertinentes.
Identificar donde se encuentran las deficiencias significativas en dichos controles.
Definir el riesgo que puede estar asociado a dichas deficiencias.
Asesorar a los ejecutivos sobre las medidas correctivas que se deberían tomar.
UCSE 2006
Tema VI – Auditor de TI
Puede actuar como:
Evaluador de prácticas de control
Consultor: dando ideas de cómo enfocar buenas prácticas de control.
Asesor en seguridad y control de TI
UCSE 2006
Tema VI – Auditor de TI
Amplio Perfil Profesional Gestión de Proyectos Gestión del Departamento de TI Análisis de riesgos de un entorno informático Sistemas operativos Telecomunicaciones Bases de Datos Redes Encriptación Gestión de Seguridad Ofimática …
Nuevos Paradigmas y
Herramientas de TI
UCSE 2006
Tema VI – Auditor de TI
Código de Ética de Auditores CISA:
1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorias de sistemas de información.
2. Cumplir con las normas de auditorias de sistemas de información, según adopte la ISACF
3. Actuar en interés de sus empleadores, accionistas clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.
4. Mantener la confidencialidad de la información obtenida en el curso de sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.
UCSE 2006
Tema VI – Auditor de TI
Riesgos a los que se enfrenta el Auditor
Errores de importancia que ocurran en el proceso de captura de datos del cual se obtienen los informes
Errores de importancia que pueda existir
UCSE 2006
Tema III – Auditor de TI
Reducción de Riesgos
Confía en el control interno para reducir el primer riesgo.
Confía en sus pruebas y en sus procedimientos para reducir el segundo riesgo.
UCSE 2006
Tema VI – Auditor de TI
Evaluación del Control
Pruebas de Cumplimiento
Pruebas Sustantivas
UCSE 2006
Tema VI – Auditor de TI
Tipos de Pruebas Sustantivas
Pruebas para identificar errores en el procesamiento o falta de seguridad o confidencialidad
Pruebas para asegurar la calidad de los datos Pruebas para identificar la inconsistencia de los datos Pruebas para comparar con los datos o contadores físicos Confirmación de datos con fuentes externas Pruebas para confirmar la adecuada comunicación Pruebas para determinar la falta de seguridad Pruebas para determinar problemas de legalidad
UCSE 2006
Tema VI – Auditor de TI
Dominios de Alto Nivel
Planificación y Organización: abarca la estrategia de TI. Se identifica la forma en que la TI puede contribuir más adecuadamente con el logro de los objetivos de negocio.
Adquisición e Implementación: deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio.
Entrega y Soporte: abarca la entrega de los servicios y el soporte de los mismos.
Monitoreo: abarca la evaluación de todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.
UCSE 2006
Tema VI – Auditor de TI
Tipos de Controles
Esenciales de TI
Detallados de TI
Aplicación Generales
Planificación y Organización
Adquisición e Implementación
Entrega y Soporte
Monitoreo
UCSE 2006
Tema VI – Auditor de TI
Tipos de Controles Esenciales de TI: son aquellos diseñados para administrar y
monitorear el ambiente de TI
Detallados de TI: son aquellos aplicados a la adquisición, implementación, entrega y soporte de servicios y sistemas de información.
Generales: son controles que se aplican al ambiente en el que se desarrollan, mantienen y operan el conjunto de sistemas.
Aplicación: se refiere a las transacciones y a los datos permanentemente relacionados con cada uno de los sistemas computarizados.
UCSE 2006
Tema VI – Auditor de TI
Caso de Estudio
PruebasControles
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Tema VII
““Ejecución de una Auditoria”Ejecución de una Auditoria”
UCSE 2006
Enfoques de Auditoria de TI
Tema VII – Auditoría: Ejecución
Reactiva:
¿Está bien lo que se hace?, ¿Cómo se corrige?
Proactiva:
¿Qué necesito para que no sea necesario corregirlo?
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas y Procedimientos
El elemento esencial de la Auditoría es la opinión profesional que se fundamenta y justifica por medio de procedimientos específicos tendentes a proporcionar una seguridad razonable de lo que se afirma.
Piattini – Del Peso.
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas Generales para la Auditoría de TI
010 Título de la Auditoría020 Independencia030 Ética y Normas profesionales040 Idoneidad050 Planificación060 Ejecución del Trabajo de Auditoría070 Informes080 Actividades de Seguimiento
UCSE 2006
Tema VII – Auditoría: Ejecución
050 Normas (Planificación) Requerimientos de Negocios: debe conocer los objetivos
de la auditoria, el área a auditar y la infraestructura. Conocimiento de la Organización: debe obtener el
entendimiento de la organización y los procesos. Materialidad: es una expresión del grado de importancia
que tiene una cosa en particular en el contexto de la organización.
Evaluación de Riesgo: se deben identificar aras con relativa existencia de alto riesgo de problemas.
Evaluación del Control Interno: debe considerar hasta que punto es necesaria la revisión del control interno.
Documentación – Programa de Auditoría: conjunto de pasos para realizar el objetivo de la auditoría.
UCSE 2006
Tema VII – Auditoría: Ejecución
Programa de Auditoria
Listado del trabajo a realizar Factibilidad Personal y otros recursos requeridos Un calendario de actividades Un presupuesto
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas 060.020 (Evidencia)
Concepto:
se constituye por aquellos hechos susceptibles de ser probados por el auditor que están relacionados con los objetivos de control que evalúa,
y que se manifiesta a través de las pruebas de cumplimiento y sustantivas de los controles,
y están de acuerdo con el juicio profesional.
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas 060.020 (Evidencia)
En el transcurso de la auditoria, el auditor de sistemas de información debe obtener la evidencia suficiente, confiable, pertinente y útil a fin de que se alcancen los objetivos de auditoria con eficacia.
Los hallazgos y las conclusiones de la auditoria deben ser sustentados mediante el análisis y la interpretación de dicha evidencia.
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas 060.020 (Evidencia)
Evidencia obtenida por parte independiente
Evidencia obtenida por la organización
Fuente de obtención
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas 060.020 (Evidencia)
Evidencia Física: Ej. observación de cómo se realizan las actividades, etc.
Evidencia Documentada: Ej. registros de transacciones, inventarios, etc.
Representaciones: Ej. diagramas, afirmaciones que realizan los usuarios, etc.
Análisis: análisis de la información a través de comparaciones, etc.
Tipos de Evidencia
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas 060.020 (Evidencia)
El auditor debe considerar el tiempo durante el cual existe la información y está disponible en su naturaleza, duración en el tiempo, para realizar pruebas sustantivas y, si es aplicable, su comprobación.
Disponibilidad de la Evidencia
UCSE 2006
Tema VII – Auditoría: Ejecución
Normas 060.020 (Evidencia)
Entrevista Observación Inspección Confirmación Re-Evaluación Monitoreo
Recolección de la Evidencia
UCSE 2006
Tema VII – Auditoría: Ejecución
Evidencia
La evidencia obtenida deberá recogerse en los papeles de trabajo del auditor como justificación del trabajo efectuado y la opinión expresada.
Corolario
Piattini – Del Peso.
UCSE 2006
1 - Definición del Requerimiento del Proceso de Auditoria de TI
Tema VII – Auditoría: Requerimiento
Definir el alcance de la auditoria Identificar los requerimientos de información
relacionados con el proceso de negocio Identificar los riesgos inherentes y el nivel de control
general Seleccionar los procesos y plataformas para auditar Establecer la estrategia de la auditoria
Cobit 2003
UCSE 2006
Tema VII – Auditoría: Ejecución
2 - Pauta de Auditoria Genérica
Cobit
Obtención del entendimiento
Evaluación de los controles
Evaluación del cumplimiento
Definición del riesgo
Lo que existe
Se decide que evaluar, como y si son suficientes los controles.
Obtener evidencia para garantizar que el control funciona
Opinión confidencial de puntos débiles y del impacto real y potencial
UCSE 2006
3 - Informe de Auditoria
Tema VII – Auditoría: Informe
Descripción del Problema El impacto que produce (según los riesgos) Sugerencia u Opinión
Cobit
Criterios Modelo Cobit Normas de la Empresa Reglas del Sector Estándares
UCSE 2006
Análisis del Riesgo – Metodología
Tema VII – Auditoría: Ejecución
Cobit
Valuación de los Bienes Análisis de Vulnerabilidad Observación de Amenazas Evaluación del Riesgo = (Prob. de la Amenaza + Grado de Vulnerabilidad + Severidad del impacto) Selección de Contramedidas (Controles) Identificación de Riesgo Residual Plan de acción
UCSE 2006
Análisis del Riesgo - Tipos
Tema VII – Auditoría: Ejecución
Cobit
Potencial: la capacidad que una amenaza explote alguna vulnerabilidad de los recursos provocando pérdida o daño.
Inherente: riesgo asociado a un evento en la ausencia de controles específicos.
Residual: riesgo asociado a un evento cuando los controles reducen el efecto o la probabilidad de dicho evento.
Riesgo: es la probabilidad que un acto o evento ocurra produciendo un efecto adverso en la organización y en la información.
UCSE 2006
Tema VII – Auditoría: Ejecución
Caso de Estudio
Requerimientos del ProcesoPautas Genéricas
UCSE 2006UCSE 2006
GOBIERNO Y AUDITORIA GOBIERNO Y AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
Bibliografía
UCSE 2006
Libros:
Bibliografía
Título: Auditoria Informática Un enfoque práctico 2ª Edición Autor: Mario G. Piattini – Emilio del Peso Editorial: Alfaomega – RA-MA
Título: Auditoria Informática 2ª Edición Autor: José Antonio Echenique García Editorial: Mc Graw Hill
UCSE 2006UCSE 2006
AUDITORIA AUDITORIA DE DE
TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN
APÉNDICE
UCSE 2006
UNIDAD I – Concepto de Auditoría
Estructura Cobit de la Auditoria
Cobit
Nivel 1 Marco Cobit Requerimientos del Proceso de Auditoria Observaciones de Control Pauta de Auditoria Genérica Nivel 2
Pauta de auditoria detallada
Nivel 3 Condiciones Locales (criterios específicos del
sector, normas de la industria, elementos específicos de la plataforma, etc.)
UCSE 2006
UNIDAD I – Necesidad de Control
Gobierno de TI
ResultadosObjetivos
Procesos de Negocio
Procesos de TI
Eventos
Servicios TI