gobierno y auditoria de tecnologia de informacion

UCSE 2006UCSE 2006

GOBIERNO Y AUDITORIA GOBIERNO Y AUDITORIA DE DE

TECNOLOGÍA DE TECNOLOGÍA DE INFORMACIÓNINFORMACIÓN

Tema I

““Necesidad de Control”Necesidad de Control”

UCSE 2006

Tema I – Necesidad de Control

¿Como hacer para lograr tener bajo control la tecnología de información de manera tal que esta entregue la información según las necesidades ?

UCSE 2006


Definiciones

Datos: descripción de cosas o eventos que observamos.

Información: son datos organizados para ayudar a elegir o no una acción futura.

Tecnología de Información: abarca todas las formas de tecnologías involucradas en la captura, manipulación, comunicación, presentación y uso de datos e información.

UCSE 2006


La sociedad se ha globalizado en el ciberespacio para el intercambio de información sin restricciones.

Las organizaciones se han percatado de la importancia de la Información y TI relacionada.

Los informáticos se preocupan por su propio gobierno de la TI.

UCSE 2006


El Ámbito Social

Existe un creciente desarrollo y utilización de Tecnologías de Información

Existe una creciente vulnerabilidad y un amplio espectro de amenazas.

UCSE 2006


El Ámbito Empresario reconoce:

El potencial que tienen las tecnologías para cambiar radicalmente: la estructura de la empresa (Organización por Procesos) las prácticas de negocio (Ubicuidad) Nuevas estrategias (Globalización y Fusión)

El riesgo que implica la creciente dependencia de: la información y los sistemas que proporcionan dicha información

Los Beneficios Crear Nuevas Oportunidades Reducir Costos

UCSE 2006


Situación Actual

Ambiente Empresario

Competitivo

Cambiante

ReducirCostos

DependenciaInformática

UCSE 2006


El Ámbito Informático se preocupa por la manera de:

Informar acerca de la finalidad que cumple y el impacto de TI en la organización.

Saber si la dirección seguida y el retorno de las inversiones son los esperados

Determinar la escalabilidad de los sistemas y el costo de las inversiones actuales y futuras.

Medir el desempeño actual y las restricciones dentro de las que debe operar.

Determinar los riesgos y limitantes del empleo de las tecnologías.

UCSE 2006


Situación Actual

Ambiente Informático

Avance Tecnológico Permanente

Incorporación de Mecanismosde control más poderosos

Estandarización de Herramientas

Demanda aumentoy mejora de habilidades

Nuevos Escenarios: computación distribuida, computación Móvil

UCSE 2006


Caso de Estudio

Adquisición e Implementación

UCSE 2006


Visión: es una expresión escrita del futuro deseado para el uso de la información y el manejo de la organización.

Arquitectura: describe la manera en que los recursos de información deben ser desplegados para llevar a cabo la visión

Managing Information Technology

UCSE 2006


Recursos de TIDatos: en un sentido amplio pueden ser internos y externos,

estructurados y no estructurados.Aplicaciones: la suma de los procedimientos manuales y

programados.Tecnología: abarca el hardware, los sistemas operativos, los

sistemas de administración de base de datos, las redes, etc.Instalaciones: recursos utilizados para alojar y dar soporte a los

sistemas de información.Personal: habilidades, aptitudes, conocimiento y productividad

del personal para planificar, organizar, adquirir, brindar soporte y monitorear los sistemas y servicios de información.

Cobit

UCSE 2006


Ejemplo de Visión:

El manejo electrónico de información es estratégicamente importante para un futuro exitoso. El uso de los recursos debe ser basado en las necesidades de la totalidad de la población de clientes y al mismo tiempo el control y la seguridad deben ser altamente prioritarios.

UCSE 2006


Ejemplo de Arquitectura:

• Procesadores: estaciones de trabajo y servidores

• Redes: redes locales

• Servicios: acceso a terminales, transferencia de archivos, mail

• Estándares: sistemas operativos, protocolo de comunicaciones

UCSE 2006


Arquitectura Basada en Servicios

Servicios

Dispositivos

Sistemas Internos

Economía de Servicios

PersonasOrganizaciónCanales

A Medida Paquetes En Alquiler

Clientes Empleados Socios

Pc Servidores PDA Teléfonos

Proveedores de Servicio Independientes

Intermediarios

UCSE 2006


Razones

• Las aplicaciones de TI no están manejadas por una sola persona.

• Brinda un entendimiento compartido entre profesionales de TI.

• Ayuda a comunicar el futuro.

• Provee un gran esquema que permite la toma de decisiones individuales sea consistente.

UCSE 2006


Atributos

• Comunicar claramente: debe ser comprensiva más que detallada

• No debe especificar una acción exacta sino debe dar la imagen de un posible futuro.

• Es referente para realizar comparaciones y toma de decisiones.

UCSE 2006


Caso de Estudio

Visión y Arquitectura

UCSE 2006


Proyectos de TI

Concepto: es una tarea o conjunto de trabajos asignados que puede ser llevado a cabo por un conjunto de personas, empleando una simple lista de <cosas por hacer>

Joseph W.Weiss, Robert k. Wysocki

UCSE 2006


Características de los Proyectos de TI

• Objetivos Multidimensionales• Tiempo de entrega• Sujeto a una Planificación• Minimización de costos

• recursos disponibles• flujo de dinero• restricciones de performance tecnológicas

• Presencia de incertidumbre

UCSE 2006


Proyectos de TI

¿Donde estála empresa?

¿A donde quiere llegar la empresa?

Brecha

Describir la brecha en mayor detalle permitirá planificar una serie de proyectos para que la empresa alcance sus metas.

Cobit PG 6

UCSE 2006


Clasificación de Proyectos

• Iniciativas Estratégicas• Proyectos Tácticos• Mejoras Organizacionales• Desarrollo de Procedimientos

Cobit PG 6

UCSE 2006


Prioridad de los Proyectos

Se basa en identificar los proyectos con:

• Resultados favorables que pueden obtenerse rápidamente.

• Bajo costo de cerrar la brecha

• Bajo riesgo de fracaso

• Mayor impacto en los beneficios de la empresa

Impacto

Costo / Riesgo

1 5 10

5

10

UCSE 2006


Impacto de los Proyectos de TI

Objetivos de Negocios

• Impacto por el costo• Dirección estratégica de los negocios• Ventajas competitivas• Administración del soporte a las decisiones• Otros beneficios intangibles• Soporte para nuevas tecnologías

UCSE 2006


Riesgos de Gestión del Proyecto de TI

Categorización de Riesgos sobre Proyectos

1. Gestión de Proyectos 2. Enfoque de Negocios 3. Proceso de Negocios 4. Usuarios 5. Tecnología 6. Datos

Information Systems Control Journal, Volume 5, 2002

UCSE 2006


Riesgos de Gestión del Proyecto de TI

Escalera de Reducción de Riesgos

1. La prevención de riesgo (por ejemplo, por el cambio del alcance del proyecto)

2. La minimización de riesgo (por ejemplo, remediando los pobres controles identificados en el proyecto)

3. La limitación de riesgo (por ejemplo, desarrollando las alternativas en caso de un fracaso del proyecto)

4. El traslado del riesgo (por ejemplo, estando de acuerdo en los daños y perjuicios contractuales)

5. La aceptación de riesgo

Information Systems Control Journal, Volume 5, 2002

UCSE 2006


Caso de Estudio

• Evaluación de Proyectos• Propuesta de Solución

UCSE 2006UCSE 2006

AUDITORIA AUDITORIA DE DE


Tema II

““Gobierno de TI”Gobierno de TI”

UCSE 2006

Tema II – Gobierno de TI

Información & TI

Ámbito

Gobierno & Control

UCSE 2006


El gobierno de TI apunta a alinear la TI y el negocio, midiendo su desempeño y logrando que se agregue valor a la organización.

El control de TI es una definición del resultado o propósito que desea alcanzar implementando procedimientos de control en una actividad de TI particular.

SAC – Informe de Auditoría y control – Instituto de la Fundación de Investigadores de Auditoría Interna

UCSE 2006


La dirección y la administración ejecutiva de las empresas necesitan extender su gobierno a la TI

El gobierno de la TI no es una disciplina aislada, sino debe convertirse en parte integral del manejo total de una empresa; es decir, la TI necesita adoptarse como parte integral de la empresa.

Governance Institute

UCSE 2006


Definición

Consiste en el liderazgo, las estructuras de la organización y los procesos para asegurar que la TI mantenga y amplíe los objetivos y estrategias de la empresa.


UCSE 2006


Objetivos

Que la TI esté alineada con la empresa y produzca los beneficios prometidos.

Que la TI habilite a la empresa a explotar oportunidades y generar los máximos beneficios.

Que los recursos de la TI se empleen responsablemente.

Que los riesgos relacionados se manejen adecuadamente.


UCSE 2006


Para aplicar el enfoque de gobierno se necesita...

Alinear las estrategias de TI con las estrategias de negocios.

Difundir estrategias y objetivos a toda la empresa Proveer la estructura organizacional para facilitar la

implementación de estrategias y objetivos. Insistir en que la estructura de control se adopte e

implemente Medir el desempeño de la TI.


UCSE 2006


ModeloProporcionar Dirección

Actividades de TI

•Aumentar Automatización•Reducir Costos•Manejar Riesgos (seguridad, confianza y cumplimiento reglamentario)

MedirDesempeño

Establecer Objetivos

•TI alineado con el negocio•TI crea negocios y produce máximos beneficios•Recursos TI empleados responsablemente•Manejo adecuado de Riesgos relacionados con TI

Comparar


UCSE 2006


Objetivos


Producir valor comercial: se lleva a cabo por la alineación

Mitigar riesgos: se realiza al establecer responsabilidades dentro de la empresa

UCSE 2006


Areas de Enfoque

Valor Derivado de

la TI

Manejo de Riesgos

MedirDesempeño

Alineación Estratégica

de TI

Conductores de Valor

del Inversionist

a


UCSE 2006


Alineación de TI


Definición: Consiste en determinar si la inversión en TI está en armonía con los objetivos estratégicos (la visión, estrategia actual y la misión) creando así la capacidad de generar valor para el negocio.

La alineación es una tarea constante que sirve para responder o justificar acerca del valor que tiene invertir en tecnología.

UCSE 2006


Alineación de TI


Estrategia Empresarial

Estrategia de TI

Operaciones de TI

Operaciones de la

Empresa

Actividades de

Alineación

Futuro

UCSE 2006


Alineación de TI


Requiere Crear y mantener la conciencia del papel estratégico de la TI a

los altos gerentes. Clarificar que papel debe desempeñar la TI Crear principios-guía de la TI a partir de máximas de negocio.

Ej. Consolidar una base única de clientes Verificar el impacto de la infraestructura de TI en el negocio y

el portafolio de aplicaciones Evaluar, después de implementar, los beneficios producidos

por los proyectos de TI.

UCSE 2006


Valor Derivado de la TI: Principios Básicos


En Términos de TI

Entregar a Tiempo

Dentro del Presupuesto Con los Beneficios

Prometidos

En Términos de Negocio

Ventaja Competitiva Satisfacción del Cliente Utilidad y Productividad

del Empleado

UCSE 2006


Valor Derivado de la TI: Percepción del Valor

Unidad Financiera

Unidad Operativa

Unidad de Operaciones de TI

Infraestructura de TI

•Aumento de Ingresos•Ingreso por Empleado

•Tiempo para introducir un nuevo producto en el mercado

•Disponib. y Costo de la Infraestructura y por Área

•Tiempo y costo de implementación

Tiempo para el Impacto

UCSE 2006


Beneficios empresariales por el manejo eficaz de la TI ?


Reputación Confianza Liderazgo en productos/servicios Costos reducidos Tiempo para llevar un producto al mercado

UCSE 2006

Tema II – Necesidad de Control

Caso de Estudio

AlineaciónValor derivado de la TI

UCSE 2006UCSE 2006



Tema III

““Control Interno””

UCSE 2006

Tema III – Control Interno

Definición

Control: cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

Piattini – Del Peso.

UCSE 2006


Control: las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.

COSO – Comité de partocinadores de Organizaciones de la Comisión de Treadway

Definición

UCSE 2006


Clasificación Histórica Controles preventivos: para tratar de evitar el hecho. Ej. un

software que impida los accesos no autorizados.

Controles detectivos: se realizan para tratar de conocer cuanto antes el evento. Ej. Registro de intentos de acceso no autorizados, registro de errores diarios, etc.

Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej. Recuperación de un archivo dañado a partir de las copias de seguridad.

UCSE 2006


Características de los controles

Completos Simples Fiables Revisables Adecuados Rentables

Tanto en diseño como en la implementación deben ser:

UCSE 2006


¿Para que se aplican los controles?

Efectividad Eficiencia Confidencialidad Disponibilidad Integridad Cumplimiento Confiabilidad

“Para satisfacer los criterios de control de

información”

UCSE 2006


Para aplicar el enfoque de control se necesita...

Traducir los objetivos de negocio a satisfacer en requerimientos de información

Visualizar la información necesaria para dar soporte a los procesos

Obtener información como resultado de la aplicación combinada de recursos de tecnología de TI que deben ser administrados por procesos de TI.

UCSE 2006


Como Gerentes …

Determinación de lo que se está logrando según lo planificado

Control

Evaluación del desempeño

Aplicación de medidas Correctivas

= =

UCSE 2006


Modelo de Control Estándar

NormasEstándaresObjetivos

Comparar

Actuar

ControlarInformación

Proceso

UCSE 2006


Las Normas

Variedad

Planes y Estrategias de alto nivel Indicadores Claves de Desempeño (ICD) Factores Críticos de Éxito (FCE) Etc.

Documentadas Mantenidas Comunicadas

Custodia

UCSE 2006


Deferencias entre Control Interno y AuditoriaControl Interno Definición de Propietarios y

Perfiles: Clasificación de la Información

Administración delegada en control Dual

Responsable del desarrollo y actualización del Plan de Contingencias, Manual de Procedimientos y Planes de Seguridad

Define procedimientos de control Control de calidad Control de costos

Auditoria Vigilancia y evaluación mediante

dictámenes Evalúan eficiencia, costo y

Seguridad Operan según un plan Utilizan metodologías de

evaluación Repetición de auditoria por nivel

de exposición de área auditada y el resultado de la última auditoria de la misma.


UCSE 2006


Control Interno – Metodología

Busca establecer una situación de control según el grado de importancia de las entidades de información.

Los controles se diferencian según el activo o recurso que protege

“Clasificación de la Información”

UCSE 2006


Control Interno – Metodología

1. Identificación de la Información2. Inventario de Entidades de Información3. Identificación de Propietarios4. Definición de Jerarquías de Información5. Definición de la Matriz de Clasificación6. Confección de la Matriz de Clasificación7. Realización del Plan de Acciones8. Implantación y Mantenimiento

“Clasificación de la Información”

UCSE 2006


Control Interno – Plan de Contingencias

Definición

Es una estrategia planificada constituida por: Un conjunto de recursos de respaldo Una organización de emergencia Procedimientos de actuación encaminada

encaminada a conseguir una restauración progresiva y ágil de los servicios del negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa.


UCSE 2006



Fases

1. Análisis y Diseño2. Desarrollo del Plan3. Pruebas de

Mantenimiento

UCSE 2006



Fases 1 - “Análisis y Diseño”

Se estudia la problemática, las necesidades de recursos, las alternativas de respaldo y el costo beneficio de las mismas utilizando alguna de las siguientes metodologías:

Análisis de Riesgo Impacto de Negocios

UCSE 2006


Definiciones para profundizar en las metodologías

Amenaza: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o catástrofe. Ejemplos: inundación, incendio, robo de datos, sabotaje, falta de procedimientos de emergencia, divulgación de datos, implicaciones con la ley, aplicaciones mal diseñadas, gastos no controlados, etc.

Vulnerabilidad: situación creada, por la falta de uno o varios controles, con la que la amenaza pudiera acaecer y así afectar al entorno informático. Ej. falta de control de acceso lógico, falta de control de versiones, inexistencia de un control sobre soporte magnético, falta de cifrado en las comunicaciones, etc. Piattini – Del Peso.

UCSE 2006


Definiciones para profundizar en las metodologías

Riesgo: es la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.

Exposición o Impacto: es la evaluación del efecto del riesgo. Ej. Es frecuente evaluar el impacto en términos económicos, aunque también puede ser en vida humanas, imagen de la empresa, honor, defensa nacional, etc.


UCSE 2006


Control Interno – Plan de ContingenciasMetodología - “Análisis de Riesgo”

1. Identificación de amenazas2. Análisis de la probabilidad de materialización de la amenaza3. Selección de amenazas4. Identificación de entornos amenazados5. Identificación de servicios afectados6. Estimación del impacto económico por la paralización de cada servicio.7. Selección de los servicios a cubrir8. Selección final del ámbito del Plan.9. Identificación de alternativas para los entornos10. Selección de alternativas11. Diseño de estrategias de respaldo12. Selección de estrategias de respaldo

UCSE 2006


Control Interno – Plan de ContingenciasMetodología - “Impacto de Negocio”

1. Identificación de los servicios finales2. Análisis del impacto: daños económicos, de imagen y otros aspectos3. Selección de servicios críticos4. Determinación de recursos de soporte5. Identificación de alternativas para entornos6. Selección de alternativas7. Diseño de estrategias globales de respaldo8. Selección de la estrategia global de respaldo

UCSE 2006


El sistema de Control debe asegurar que los objetivos de negocio se puedan cumplir, teniendo en cuenta:

La TI debe estar alineada con los negocios

La TI debe crear negocios y maximizar los beneficios.

Los recursos deben ser usados responsablemente.

Los riesgos relacionados con la TI deben ser manejados apropiadamente.

UCSE 2006


Caso de Estudio

Clasificación de la Inf.Plan de Contingencias

UCSE 2006UCSE 2006



Tema IV

““Seguridad”Seguridad”

UCSE 2006

Tema IV – Seguridad

Definición

Cobit 2003

Seguridad: consiste en proteger la información contra…

Su uso no autorizado Divulgación Modificación Daño Pérdida

UCSE 2006


Objetivo General de la Auditoria

Evaluar la seguridad informática debido a los riesgos que crea la misma informática a la organización.

Evaluar la calidad y eficiencia de las medidas destinadas a proteger y preservar a la organización.

UCSE 2006


Administración de Medidas

Cobit 2003

Traducir la información de evaluación de planes de riesgo en planes de seguridad de TI.

Implementar el plan de seguridad de TI Actualizar el plan de seguridad de TI para reflejar los

cambios en la configuración de TI. Evaluar el impacto de las solicitudes de cambio en la

seguridad de TI. Monitorear la implementación del plan de seguridad de TI. Alinear los procedimientos de seguridad con otras políticas

y procedimientos.

UCSE 2006


Auditoria de Seguridad - Clasificación Física: se evalúan las protecciones de recursos

De Sistemas: datos, programas, instalaciones, equipos, redes y soportes manuales, magnéticos, etc.

Instalaciones: ergonomía, confort, iluminación, vigilancia, accesos, evacuación, alarmas, fuego, salidas alternativas, materiales utilizados.

Recursos humanos: acceso, presencia, seguros, enfermedad, negligencias, errores.

Lógica: se verificará que cada usuario solo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función y con las posibilidades que el propietario le haya fijado: lectura, modificación.

UCSE 2006


Relaciones de Seguridad y Auditoria


Auditoria de TI Externa

Auditoria de TI Interna

Control Interno General

Administración de Seguridad

Ámbito Protegido

UCSE 2006


Caso de Estudio

Seguridad FísicaSeguridad de los Datos

UCSE 2006UCSE 2006



Tema V

““Concepto de Auditoría”Concepto de Auditoría”

UCSE 2006

Tema V – Concepto de Auditoría

¿Para qué se realizan las Auditorias de TI?

Una auditoria se realiza para dar soporte al control y seguridad de la tecnología de información utilizada en la empresa, aplicando un enfoque de control orientado a los procesos de la misma.

UCSE 2006


Orígen Auditoría: deriva del latín “audire” que signigfica OIR Auditor: todo aquel que tiene la virud de oir.

Conceptualización

Consiste en la emisión de la opinión profesional sobre si el objeto sometido al análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.


UCSE 2006


Definición: La auditoria de los sistemas de información consiste en la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

ISACA – Asociación de Auditoría y Control de Sistemas de Información.

UCSE 2006


Los Jugadores – Ambito Informático

Gobierno de TI: implementa procesos informáticos alineados

Control Interno: aplica los controles

Auditoría Informática: evalúa las prácticas de control

UCSE 2006


Los Jugadores – Ambito Empresario

Ejecutivos: implementan nuevas estrategias competitivas

Administradores: responsables de los procesos de negocio o áreas Auditor Informático:

opina y aconseja si está bien lo que se hace.

UCSE 2006

Clases de Auditoria


Clase

Auditoria Financiera

Auditoria GestiónAuditoría de TI

Objeto

Cuentas anualesDirecciónTI

UCSE 2006

Tipos de Auditoria de TI


Soporte de la auditoria tradicional.

Auditoria de la Gestión del Entorno Informático.

Auditoria como función independiente enfocada a la seguridad, riesgo y eficiencia del entorno.

Auditoria como función de control dentro del departamento de gobierno de TI.

UCSE 2006


Objetivos

Garantizar que se logren los objetivos de control

Identificación de las deficiencias significativas

Sustanciación del riesgo asociado a las deficiencias

Asesoramiento sobre las acciones correctivas a adoptar

UCSE 2006UCSE 2006



Tema VI

““Auditor de TI”Auditor de TI”

UCSE 2006

Tema VI – Auditor de TI

Concepto

Es un profesional especializado en TI y en Auditoria de TI, que tiene conocimientos generales de los ámbitos en que se mueve; y está obligado a lograr que sus destrezas evolucionen con la TI

UCSE 2006


Principio General:

Los auditores deben suministrar…

Garantías y asesoramiento respecto de los controles de la organización.

Garantías razonables que están cumpliendo los objetivos de control pertinentes.

Identificar donde se encuentran las deficiencias significativas en dichos controles.

Definir el riesgo que puede estar asociado a dichas deficiencias.

Asesorar a los ejecutivos sobre las medidas correctivas que se deberían tomar.

UCSE 2006


Puede actuar como:

Evaluador de prácticas de control

Consultor: dando ideas de cómo enfocar buenas prácticas de control.

Asesor en seguridad y control de TI

UCSE 2006


Amplio Perfil Profesional Gestión de Proyectos Gestión del Departamento de TI Análisis de riesgos de un entorno informático Sistemas operativos Telecomunicaciones Bases de Datos Redes Encriptación Gestión de Seguridad Ofimática …

Nuevos Paradigmas y

Herramientas de TI

UCSE 2006


Código de Ética de Auditores CISA:

1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorias de sistemas de información.

2. Cumplir con las normas de auditorias de sistemas de información, según adopte la ISACF

3. Actuar en interés de sus empleadores, accionistas clientes y público en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilícitas o incorrectas.

4. Mantener la confidencialidad de la información obtenida en el curso de sus deberes. La información no deberá ser utilizada en beneficio propio o divulgada a terceros no legitimados.

UCSE 2006


Riesgos a los que se enfrenta el Auditor

Errores de importancia que ocurran en el proceso de captura de datos del cual se obtienen los informes

Errores de importancia que pueda existir

UCSE 2006

Tema III – Auditor de TI

Reducción de Riesgos

Confía en el control interno para reducir el primer riesgo.

Confía en sus pruebas y en sus procedimientos para reducir el segundo riesgo.

UCSE 2006


Evaluación del Control

Pruebas de Cumplimiento

Pruebas Sustantivas

UCSE 2006


Tipos de Pruebas Sustantivas

Pruebas para identificar errores en el procesamiento o falta de seguridad o confidencialidad

Pruebas para asegurar la calidad de los datos Pruebas para identificar la inconsistencia de los datos Pruebas para comparar con los datos o contadores físicos Confirmación de datos con fuentes externas Pruebas para confirmar la adecuada comunicación Pruebas para determinar la falta de seguridad Pruebas para determinar problemas de legalidad

UCSE 2006


Dominios de Alto Nivel

Planificación y Organización: abarca la estrategia de TI. Se identifica la forma en que la TI puede contribuir más adecuadamente con el logro de los objetivos de negocio.

Adquisición e Implementación: deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio.

Entrega y Soporte: abarca la entrega de los servicios y el soporte de los mismos.

Monitoreo: abarca la evaluación de todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.

UCSE 2006


Tipos de Controles

Esenciales de TI

Detallados de TI

Aplicación Generales

Planificación y Organización

Adquisición e Implementación

Entrega y Soporte

Monitoreo

UCSE 2006


Tipos de Controles Esenciales de TI: son aquellos diseñados para administrar y

monitorear el ambiente de TI

Detallados de TI: son aquellos aplicados a la adquisición, implementación, entrega y soporte de servicios y sistemas de información.

Generales: son controles que se aplican al ambiente en el que se desarrollan, mantienen y operan el conjunto de sistemas.

Aplicación: se refiere a las transacciones y a los datos permanentemente relacionados con cada uno de los sistemas computarizados.

UCSE 2006


Caso de Estudio

PruebasControles

UCSE 2006UCSE 2006



Tema VII

““Ejecución de una Auditoria”Ejecución de una Auditoria”

UCSE 2006

Enfoques de Auditoria de TI

Tema VII – Auditoría: Ejecución

Reactiva:

¿Está bien lo que se hace?, ¿Cómo se corrige?

Proactiva:

¿Qué necesito para que no sea necesario corregirlo?

UCSE 2006


Normas y Procedimientos

El elemento esencial de la Auditoría es la opinión profesional que se fundamenta y justifica por medio de procedimientos específicos tendentes a proporcionar una seguridad razonable de lo que se afirma.


UCSE 2006


Normas Generales para la Auditoría de TI

010 Título de la Auditoría020 Independencia030 Ética y Normas profesionales040 Idoneidad050 Planificación060 Ejecución del Trabajo de Auditoría070 Informes080 Actividades de Seguimiento

UCSE 2006


050 Normas (Planificación) Requerimientos de Negocios: debe conocer los objetivos

de la auditoria, el área a auditar y la infraestructura. Conocimiento de la Organización: debe obtener el

entendimiento de la organización y los procesos. Materialidad: es una expresión del grado de importancia

que tiene una cosa en particular en el contexto de la organización.

Evaluación de Riesgo: se deben identificar aras con relativa existencia de alto riesgo de problemas.

Evaluación del Control Interno: debe considerar hasta que punto es necesaria la revisión del control interno.

Documentación – Programa de Auditoría: conjunto de pasos para realizar el objetivo de la auditoría.

UCSE 2006


Programa de Auditoria

Listado del trabajo a realizar Factibilidad Personal y otros recursos requeridos Un calendario de actividades Un presupuesto

UCSE 2006


Normas 060.020 (Evidencia)

Concepto:

se constituye por aquellos hechos susceptibles de ser probados por el auditor que están relacionados con los objetivos de control que evalúa,

y que se manifiesta a través de las pruebas de cumplimiento y sustantivas de los controles,

y están de acuerdo con el juicio profesional.

UCSE 2006



En el transcurso de la auditoria, el auditor de sistemas de información debe obtener la evidencia suficiente, confiable, pertinente y útil a fin de que se alcancen los objetivos de auditoria con eficacia.

Los hallazgos y las conclusiones de la auditoria deben ser sustentados mediante el análisis y la interpretación de dicha evidencia.

UCSE 2006



Evidencia obtenida por parte independiente

Evidencia obtenida por la organización

Fuente de obtención

UCSE 2006



Evidencia Física: Ej. observación de cómo se realizan las actividades, etc.

Evidencia Documentada: Ej. registros de transacciones, inventarios, etc.

Representaciones: Ej. diagramas, afirmaciones que realizan los usuarios, etc.

Análisis: análisis de la información a través de comparaciones, etc.

Tipos de Evidencia

UCSE 2006



El auditor debe considerar el tiempo durante el cual existe la información y está disponible en su naturaleza, duración en el tiempo, para realizar pruebas sustantivas y, si es aplicable, su comprobación.

Disponibilidad de la Evidencia

UCSE 2006



Entrevista Observación Inspección Confirmación Re-Evaluación Monitoreo

Recolección de la Evidencia

UCSE 2006


Evidencia

La evidencia obtenida deberá recogerse en los papeles de trabajo del auditor como justificación del trabajo efectuado y la opinión expresada.

Corolario


UCSE 2006

1 - Definición del Requerimiento del Proceso de Auditoria de TI

Tema VII – Auditoría: Requerimiento

Definir el alcance de la auditoria Identificar los requerimientos de información

relacionados con el proceso de negocio Identificar los riesgos inherentes y el nivel de control

general Seleccionar los procesos y plataformas para auditar Establecer la estrategia de la auditoria

Cobit 2003

UCSE 2006


2 - Pauta de Auditoria Genérica

Cobit

Obtención del entendimiento

Evaluación de los controles

Evaluación del cumplimiento

Definición del riesgo

Lo que existe

Se decide que evaluar, como y si son suficientes los controles.

Obtener evidencia para garantizar que el control funciona

Opinión confidencial de puntos débiles y del impacto real y potencial

UCSE 2006

3 - Informe de Auditoria

Tema VII – Auditoría: Informe

Descripción del Problema El impacto que produce (según los riesgos) Sugerencia u Opinión

Cobit

Criterios Modelo Cobit Normas de la Empresa Reglas del Sector Estándares

UCSE 2006

Análisis del Riesgo – Metodología


Cobit

Valuación de los Bienes Análisis de Vulnerabilidad Observación de Amenazas Evaluación del Riesgo = (Prob. de la Amenaza + Grado de Vulnerabilidad + Severidad del impacto) Selección de Contramedidas (Controles) Identificación de Riesgo Residual Plan de acción

UCSE 2006

Análisis del Riesgo - Tipos


Cobit

Potencial: la capacidad que una amenaza explote alguna vulnerabilidad de los recursos provocando pérdida o daño.

Inherente: riesgo asociado a un evento en la ausencia de controles específicos.

Residual: riesgo asociado a un evento cuando los controles reducen el efecto o la probabilidad de dicho evento.

Riesgo: es la probabilidad que un acto o evento ocurra produciendo un efecto adverso en la organización y en la información.

UCSE 2006


Caso de Estudio

Requerimientos del ProcesoPautas Genéricas

UCSE 2006UCSE 2006

GOBIERNO Y AUDITORIA GOBIERNO Y AUDITORIA DE DE


Bibliografía

UCSE 2006

Libros:

Bibliografía

Título: Auditoria Informática Un enfoque práctico 2ª Edición Autor: Mario G. Piattini – Emilio del Peso Editorial: Alfaomega – RA-MA

Título: Auditoria Informática 2ª Edición Autor: José Antonio Echenique García Editorial: Mc Graw Hill

UCSE 2006UCSE 2006



APÉNDICE

UCSE 2006

UNIDAD I – Concepto de Auditoría

Estructura Cobit de la Auditoria

Cobit

Nivel 1 Marco Cobit Requerimientos del Proceso de Auditoria Observaciones de Control Pauta de Auditoria Genérica Nivel 2

Pauta de auditoria detallada

Nivel 3 Condiciones Locales (criterios específicos del

sector, normas de la industria, elementos específicos de la plataforma, etc.)

UCSE 2006

UNIDAD I – Necesidad de Control

Gobierno de TI

ResultadosObjetivos

Procesos de Negocio

Procesos de TI

Eventos

Servicios TI

gobierno y auditoria de tecnologia de informacion

Education