EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION.pdf

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION Curso Area Académica Instructor

Auditoria de Sistemas Computación Omar Palomeque

Proyecto Instructivo Revisión No.

X Referencia 1 Página

ICPP 01-07 1 de 29

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION

CONTENIDO • •

• • • • •

INTRODUCCION ESTANDARES Y DIRECTRICES DE ISACA PARA LA AUDITORIA DE SISTEMAS DE INFORMACION ANALISIS DE RIESGOS CONTROLES INTERNOS EJECUCION DE UNA AUDITORIA DE SISTEMAS DE INFORMACION AUTOEVALUACION DE CONTROL (CONTROL SELF ASSESSMENT) ASSESS MENT) CAMBIOS EMERGENTES EN EL PROCESO DE LA AUDITORIA DE SISTEMAS





ICPP 01-07 2 de 29

INTRODUCCION GENERAL El objetivo de esta sección es garantizar que el estudiante tenga los conocimientos y referencias necesarias para proporcionar servicios de auditoria de sistemas de información en conformidad con los estándares, directrices y mejores prácticas de auditoria de sistemas de información para apoyar a la organización a validar que su tecnología de información y sus sistemas de negocio estén protegidos y controlados. Esta área de estudio comprende el 10% de la valoración de este curso (aproximadamente 15 preguntas) Existen 5 tareas dentro del área de proceso de auditoria de SI: •

•

•

•

•

Desarrollar e implementar una estrategia de auditoria de SI basada en los riesgos de la organización en cumplimiento con los estándares, directrices y mejores prácticas de auditoria de SI Planear auditorías específicas para validar que la TI y los sistemas de negocio estén protegidos y controlados Llevar a cabo auditorias en conformidad con los estándares, directriz y mejores prácticas de auditoria de SI para lograr los objetivos planeados de auditoria Comunicar los hallazgos, los riesgos potenciales y los resultados de la auditoria a los accionistas clave Asesorar sobre la implementación de la administración de riesgos y las prácticas de control dentro de la organización al tiempo que se mantiene la independencia

ORGANIZACION DE LA FUNCION DE AUDITORIA DE SISTEMAS DE INFORMACION La función de auditoria de SI debiera establecerse en un estatuto de la auditoria. Es muy factible que la auditoria de SI sea parte de la auditoria interna; por lo tanto, el estatuto de auditoria puede incluir otras funciones de auditoria. Este estatuto debería establecer claramente la responsabilidad y objetivos de la dirección para la función de auditoria de SI y la delegación de autoridad para la misma. Este documento debiera describir la





ICPP 01-07 3 de 29

autoridad, alcance y responsabilidades generales de la auditoria. El nivel más alto de dirección y el comité de auditoria si existe esta función dentro de la organización debieran aprobar este estatuto. Una vez establecido, este estatuto debería modificarse solo si dicho cambio puede realizarse y esta completamente justificado. Los estándares de auditoria de SI de ISACA requieren que la responsabilidad, autoridad y obligación de render cuentas de la función de auditoria de los sistemas de información estén debidamente documentados en un estatuto o en un contrato de trabajo.

ADMINISTRACION DE LOS RECURSOS DE AUDITORIA DE SISTEMAS DE INFORMACION Los auditores de SI son un recurso limitado y la tecnología de SI esta cambiando constantemente. Por lo tanto, es importante que los auditores de SI mantengan la competencia por medio de la actualización de sus habilidades actuales y que obtengan capacitación sobre las nuevas técnicas de auditoria y áreas tecnológicas. Específicamente, el auditor de SI debería entender las técnicas de administración de proyectos de auditoria con miembros del personal de auditoria debidamente entrenados. Los estándares de auditoria de SI de ISACA requieren que el auditor de SI sea técnicamente competente, teniendo las habilidades y los conocimientos necesarios para realizar el trabajo del auditor. Además, el auditor de SI ha de mantener su competencia técnica a través de una educación profesional continua. Se deben tomar en consideración las habilidades y los conocimientos cuando se planeen las auditorías y se asigne personal para tareas específicas de auditoria. Preferentemente, se debería diseñar un plan anual detallado de capacitación del personal basado en la dirección de la organización, en términos de tecnología y aspectos relacionados de riesgo que necesiten ser considerados. Adicionalmente, la dirección de auditoria de SI debería proveer los recursos necesarios de TI requeridos para efectuar debidamente las auditorías de sI de naturaleza altamente especializada.

PLANEACION DE LA AUDITORIA La planeación de la auditoria consiste tanto de la planeación a corto y largo plazo. La planeación a corto plazo toma en cuenta los problemas de auditoria que serán cubiertos durante el año, mientras que la planeación a largo plazo se refiere a los planes de auditoria que tomarán en cuenta aspectos relacionados con riesgos debido a los cambios en la dirección estratégica de TI de la organización que afectarán el ambiente de TI de la organización.





ICPP 01-07 4 de 29

El análisis de los problemas a corto y largo plazo debe hacerse por lo menos una vez al año. Esto es necesario para tomar en consideración los nuevos aspectos de control, los cambios en la tecnología, los procesos de negocio en constante cambio y las técnicas mejoradas de evaluación. Los resultados de este análisis para la planeación de futuras actividades de auditoria deben ser revisados por la alta dirección, y aprobados por el comité de auditoria, si existiera, o alternativamente por la Junta Directiva y comunicados a los niveles de dirección relevantes. Al planear una auditoria, el auditor de SI debe tener un entendimiento general del ambiente que va a revisar. Esto debería incluir una comprensión general de las diversas prácticas de negocio y de las funciones relativas sujeto de la auditoria, así como también los tipos de sistemas de información y la tecnología que soportan la actividad. Por ejemplo, el auditor de SI debería estar familiarizado con el marco regulatorio en el que opera el negocio. Para realizar la planeación de la auditoria, el auditor de SI debería realizar en orden los siguientes pasos:

•

•

•

• • • • •

Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos de negocio, incluyendo los requerimientos de información y procesamiento, tales como disponibilidad, integridad, seguridad y tecnología de negocio. Identificar contenidos específicos tales como políticas, estándares, directrices y procedimientos requeridos por la organización Evaluar el análisis de riesgos y todo el análisis de impacto sobre la privacidad llevado a cabo por la dirección Realizar un análisis de riesgos Llevar a cabo una revisión de control interno Establecer el alcance y objetivos de la auditoria Desarrollar el enfoque o la estrategia de auditoria Asignar los recursos humanos a la auditoria y encarar la logística del trabajo

Los estándares de Auditoria de SI de ISACA requieren que el auditor de SI planee el trabajo de auditoria se SI para alcanzar los objetivos de auditoria y cumplir con los estándares profesionales de auditoria aplicables. El auditor IT debe desarrollar un plan que tome en consideración los objetivos del auditado relevantes al área auditada y a su infraestructura tecnológica. Los pasos que un auditor de SI pudiera tomar para lograr el entendimiento del negocio incluyen:

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION Curso Area Académica Instructor • •

• • •




ICPP 01-07 5 de 29

Recorrido de las instalaciones claves de la organización Lectura de antecedentes incluyendo publicaciones de la industria, informes anuales e informes de análisis financieros independientes revisión de los planes estratégicos a largo plazo Entrevistas a los gerentes claves para entender pormenores del negocio revisión de informes anteriores

EFECTO DE LAS LEYES Y REGULACIONES, SOBRE LA PLANIFICACION DE LA AUDITORIA DE SISTEMAS Toda organización, independiente de su tamaño o de la industria en la que opera, deberá cumplir con un número de requerimientos gubernamentales y externos relacionados con las prácticas y los controles de los sistemas computarizados, y con la manera en que se almacenan y se usan las computadoras, los programas y los datos. Se deberá prestar especial atención a estos asuntos en aquellas industrias que históricamente han tenido un marco regulatorio muy estricto. Por ejemplo, la industria bancaria en todo el mundo tiene penalizaciones severas par alas compañías y para sus funcionarios en caso de que la organización no pueda proveer un nivel adecuado de servicio a causa de procedimientos de respaldo y recuperación que estén por debajo de los estándares. También, en varios países, los proveedores de servicios de Internet están sujetos, a leyes específicas respecto a la confidencialidad y a la disponibilidad del servicio. Los auditores de SI deberán revisar la política de la administración sobre la privacidad, para determinar si toma en cuenta los requerimientos legales y regulatorios de privacidad aplicables, incluyendo requisitos de flujo de datos al cruzar fronteras tales como Puerto Seguro y las directrices de la Organización para la Cooperación Económica y el Desarrollo que rigen la protección de la privacidad y los flujos transfrontera de los datos personales. Debido a la dependencia mayor de sistemas de información y en la tecnología relacionada, varios países se están esforzando para establecer capas adicionales de requerimientos regulatorios en relación con las auditorias de SI. El contenido de estas regulaciones legales trata sobre: • • •

Establecimiento de los requerimientos regulatorios Organización de los requerimientos regulatorios Responsabilidades asignadas a las entidades correspondientes

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION Curso Area Académica Instructor •




ICPP 01-07 6 de 29

Correlación con las funciones de auditoria financiera, operacional y de TI.

Existen 2 áreas principales de interés. Primero los requerimientos legales (leyes, acuerdos regulatorios y contractuales) aplicables a la auditoria ó a la auditoria de SI. Segundo, los requerimientos legales, aplicables al auditado y a sus sistemas, administración de datos, informes, etc. Estas áreas podrían impactar al alcance y los objetivos de la auditoria. Esto ultimo es importante para los auditores internos y externos. Los asuntos legales también impactan las operaciones del negocio de las organizaciones en términos de cumplimiento con las regulaciones ergonómicas, etc. Un ejemplo de practicas sólidas de control, es la Ley Sarbanes Oxley de 2002 de los EEUU, la cual requiere evaluar los controles de TI de una organización. SOX provee nuevas reglas, regulaciones y estándares de gobierno corporativo para compañías publicas adjuntas a la SEC. Los siguientes son pasos que seguiría un auditor de controles de sistemas de información para determinar el nivel de cumplimiento de una organización con los requerimientos externos: 1. Identificar los requerimientos gubernamentales u otros externos relevantes que se refieran a: a. Datos electrónicos, derechos de autor, comercio electrónico, firmas digitales, etc. b. Practicas y controles de sistemas de información c. La manera en que se almacena los datos, programas, equipos d. La organización ó las actividades de los servicios de información

2. Documentar las leyes y regulaciones pertinentes 3. Determinar la administración ha tomado en cuenta los regulamientos para formar a partir de ellos, las políticas y procedimientos de la organización 4. Revisar los documentos internos del departamento/función/actividad de sistemas de información que se ocupan del cumplimiento de las leyes aplicables a la industria





ICPP 01-07 7 de 29

Debido a escándalos de contabilidad y de quiebras, la calidad de la información suministrada a los inversionistas se ha convertido en un asunto de interés primordial en todo el mundo. En Europa, el comité de Basilea II para la supervisión de la Banca recomienda las condiciones que deben cumplirse, además del tamaño del capital, para soportar vulnerabilidades de operaciones de crédito. Estas condiciones idealmente darán lugar a una mejora en: • • •

La administración de los negocios de crédito La administración de riesgos operativos La administración de los sistemas de información a través de requerimientos claramente definidos

La Ley SOX también intenta lograr un control más estricto de las operaciones y de los sistemas de información que los soportan. El cumplimiento de los requerimientos tanto de la norma Europea de Basilea II como de la Ley SOX debería resultar en una mayor estabilidad de las operaciones.

ESTANDARES DE ISACA PARA LA AUDITORIA DE SI El carácter especializado de la auditoria de sistemas de información, y de las habilidades y conocimientos necesarios para llevar a cabo dichas auditorías, requieren estándares aplicables globalmente que sean pertinentes de forma específica a la auditoria de sistemas de información. Una de las funciones más importantes de ISACA es proveer información para satisfacer los requisitos de conocimiento. Una de las metas de ISACA es proveer los estándares para satisfacer esta necesidad. El desarrollo y divulgación de los estándares para la auditoria de SI es la piedra angular de la contribución profesional de la Asociación a la comunidad de auditores. El auditor de SI necesita estar consciente de que pueden existir estándares adicionales, o incluso requerimientos legales impuestos por la ley que deben ser cumplidos por el auditor. El marco de estándares de Auditoria de SI de ISACA presenta múltiples niveles, como se explica a continuación:





ICPP 01-07 8 de 29

Los estándares definen los requerimientos obligatorios para la auditoria y para los informes de SI Las directrices brindan una guía para aplicar los estándares de auditoria de SI Los procedimientos ofrecen ejemplos de procedimientos que debe seguir un auditor de SI en una asignación de auditoria Los estándares de auditoria de SI son los siguientes:

Estatuto de Auditoria El propósito y responsabilidad, autoridad y obligación de render cuentas de la función de auditoria de sistemas de información o tareas de auditoria de sistemas de información deberían estar debidamente documentados en un estatuto de auditoria o en un contrato. Independencia Profesional En todos los asuntos relacionados con la auditoria, el auditor de SI debería ser independiente del auditado tanto en actitud como en apariencia. Ética y Estándares Profesionales El auditor de Sistemas de Información debería acatar el código de Ética profesional de ISACA. El auditor de SI debería ejercer el debido cuidado profesional, incluyendo la observancia de los estándares de auditoria aplicables. Competencia Profesional El auditor de SI debe ser profesionalmente competente, poseyendo habilidades y los conocimientos para realizar el trabajo de auditoria asignado. Planeación El auditor de SI debería planear el alcance de la auditoria de sistemas de información tomando en cuenta los objetivos de la auditoria y el cumplimiento de las leyes y los estándares profesionales de auditoria aplicables. Ejecución del Trabajo de Auditoria Supervisión: El personal de auditoria de sistemas de información debiera ser supervisado para proveer una certeza razonable de que los objetivos de la auditoria serán alcanzados y que se observan los estándares profesionales de auditoria aplicables. Evidencia: En el curso de la auditoria, el auditor de SI debería obtener evidencia suficiente, confiable y relevante para lograr los objetivos de la auditoria. Los hallazgos y las conclusiones de la auditoria deben estar respaldados por un análisis e interpretación apropiados de esta evidencia.





ICPP 01-07 9 de 29

Documentación: El proceso de auditoria debería estar documentado, describiendo el trabajo de auditoria y la evidencia de auditoria que respalde los hallazgos y las conclusiones del auditor de SI.

Informe El auditor deberá proveer un informe, en un formato apropiado, al terminar la revisión. El informe debería identificar la organización, los destinatarios y cualquier restricción sobre su publicación. El informe debería establecer el alcance, los objetivos, el periodo cubierto y la naturaleza, tiempo y extensión del trabajo de auditoria realizado. El informe debería establecer los hallazgos, conclusiones y recomendaciones, así como cualquier restricción o limitación al alcance que tenga el auditor de SI con respecto a la auditoria. Actividades de Seguimiento Después del informe de los hallazgos y recomendaciones, el auditor de SI debería solicitar y evaluar la información relevante para determinar si la dirección ha realizado las acciones apropiadas de manera oportuna. Irregularidades y Actos Ilícitos Al planificar y ejecutar una auditoria para reducir el riesgo a un nivel mínimo, el auditor de SI debe considerar el riesgo de irregularidades y actos ilícitos. El auditor de SI debe mantener una actitud de escepticismo profesional durante la auditoria, reconociendo la posibilidad de que existan declaraciones erróneas materiales debido a irregularidades y actos ilícitos. El auditor de SI debería obtener un conocimiento de la organización y su ambiente incluyendo sus controles internos. El auditor de SI debería obtener evidencia de auditoria suficiente y relevante para determinar si la dirección o alguien mas dentro de la organización tiene conocimiento de alguna irregularidad o acto ilícito real.

DIRECTRICES DE ISACA PARA LA AUDITORIA DE SI El objetivo de las directrices de ISACA para la auditoria de SI es proveer información adicional sobre como cumplir con los estándares de ISACA para la auditoria de SI. El auditor de SI debería: • •

Considerarlos para determinar como implementar los estándares antes citados Usar juicio profesional para aplicarlos





ICPP 01-07 10 de 29

Poder justificar cualquier desviación o diferencia

Algunas directrices son: 1. Uso del trabajo de otros auditores 2. Uso de técnicas asistidas por computador CAAT 3. Servicio externo de actividades de SI para Otras Organizaciones 4. Conceptos de materialidad 5. Documentación de auditoria 6. Muestreo de auditoria 7. Efecto de los controles generales de computación

PROCEDIMIENTOS DE ISACA PARA AUDITORIA DE SI Los procedimientos desarrollados por la junta de estándares de ISACA proveen ejemplos de procesos que un auditor de SI posiblemente pudiera seguir en un trabajo de auditoria. Para determinar si algún procedimiento especifico es apropiado, el auditor de SI debe aplicar su propio juicio profesional a la situación particular. Los documentos de procedimientos proveen información sobre como satisfacer los estándares al realizar un trabajo de auditoria de SI, pero no establecen requerimientos. No es obligatorio que el auditor de SI siga estos procedimientos, sin embargo, al seguir estos procedimientos el auditor tendrá la certeza de que está siguiendo los estándares. Algunos procedimientos contemplan lo siguientes temas: • • • • • • • •

Evaluación de riesgos de SI Firmas digitales Detección de intrusos Virus y otros códigos maliciosos Autoevaluación de control de riesgos Firewalls Irregularidades y actos ilegales Evaluación de seguridad

RELACION ENTRE ESTÁNDARES, DIRECTRICES Y PROCEDIMIENTOS Los estándares definidos por ISACA deben ser cumplidos por el auditor de SI. Las directrices proveen una guía sobre como puedo el auditor implementar los estándares en diversas tareas de auditoria. Los procedimientos proveen ejemplos de pasos que puede





ICPP 01-07 11 de 29

realizar el auditor para implementar los estándares en una tarea específica de auditoria. Sin embargo, el auditor de SI debería hacer uso de su juicio profesional cuando use directrices y los procedimientos.

ANALISIS DE RIESGOS El análisis de riesgos es parte de la planeación de auditoria y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos. Entender la relación entre riesgo y control es importante para los profesionales de auditoria de SI y de control, al evaluar los procesos de negocio relacionados con TI utilizados por una organización. Además de un entendimiento de los riesgos y los controles de negocio, los auditores de SI deben entender que existe riesgo dentro del proceso de auditoria como tal. Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para diferentes personas. En general, un riesgo es cualquier evento que puede afectar de manera negativa el logro de los objetivos de un negocio. Tal vez una de las definiciones de riesgo más comunes en el negocio de seguridad de información es la provista por las Directrices para la Administración de Seguridad de TI publicada por la ISO: “El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o grupo de activos ocasionando perdida o daño de los activos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la pérdida o daño y a la frecuencia estimada de la amenaza”

Esta definición es usada por la industria de TI ya que coloca al riesgo en un contexto organizacional usando los conceptos de activos y pérdida de valor – términos que los directivos del negocio comprenden fácilmente. En este contexto entonces, el riesgo tiene los elementos siguientes: 1. Amenazas a, y vulnerabilidades de los procesos y/o activos (incluyendo físicos como de información) 2. Impacto sobre los activos en base a amenazas y vulnerabilidades 3. Probabilidad de amenazas (combinación de la probabilidad y la frecuencia de ocurrencia)





ICPP 01-07 12 de 29

Los riesgos del negocio son aquellas amenazas que pueden tener un impacto negativo sobre los activos, procesos u objetivos de un negocio u organización específica. La naturaleza de estas amenazas puede ser financiera, regulatoria u operacional, y puede surgir como resultado de la interacción del negocio con su medio, o como resultado de las estrategias, sistemas, así como la tecnología, procesos, procedimientos e información particulares usados por el negocio. El auditor de SI está a menudo enfocado en asuntos de alto riesgo asociados con la confidencialidad, disponibilidad o integridad de información sensitiva y crítica, y con los sistemas y procesos subyacentes de información que generan, almacena y manipulan dicha información.

CONTROLES INTERNOS Las políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir riesgos también son conocidas como controles internos. Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán evitados o detectados y corregidos, ya sea por cumplimiento o por una iniciativa de la dirección. El control es el medio por el cual se alcanzan los objetivos de control. Existen dos aspectos claves que el control debe atender – que debería lograrse y que debería evitarse- Los controles internos no solo encaran los objetivos de negocio/operativos sino que deberían estar preparados para los eventos no deseados a través de la prevención, detección y corrección de los mismos. Los elementos de control que deberían ser considerados al evaluar la Fortaleza de un control, están clasificados como preventivos, detectivos o correctivos d acuerdo con su naturaleza:


Clase Preventivos



Función • • •

•

Detectar problemas antes de que surjan Monitorear las operaciones como el ingreso de datos Tratar de predecir problemas potenciales y hacer ajustes Impedir que ocurra un error, una omisión o un acto malicioso


Ejemplos • • • •

•

•

Detectivos

Usar controles que detecten y reporten que ha ocurrido un error, una omisión o un acto malicioso

• •

•

• • • •

Correctivos Minimizar el impacto de una amenaza Remediar problemas descubiertos por controles detectivos Identificar la causa de un problema Corregir los errores resultantes de un problema

ICPP 01-07 13 de 29

• • •

Emplear solo personal calificado Segregar funciones Controlar acceso físico Establecer procedimientos adecuados para automatizar transacciones Completar las validaciones de edición programadas Usar Sw de Control de Acceso Hash Totals Puntos de verificación en los trabajos de producción Controles de eco en las telecomunicaciones Doble verificación de cálculos Reportes de variaciones Reportes de cuentas vencidas Funciones de auditoria interna Planeación de contingencias Procedimientos de respaldo Procedimientos para segunda ejecución de programas

OBJETIVOS DEL CONTROL INTERNO Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de procedimientos de control en una actividad particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. Estos generalmente incluyen los siguientes:





ICPP 01-07 14 de 29

Controles internos contables: Principalmente dirigidos a las operaciones contables tales como la salvaguarda de activos y la confiabilidad de los registros financieros. Controles operativos: Dirigidos a las operaciones, funciones y actividades cotidianas para asegurar que la operación esté alcanzando los objetivos de negocio. Controles Administrativos: Se ocupan de la eficiencia operativa de un área funcional y la adherencia a las políticas de la dirección incluyendo controles operativos. Estos tipos de control incluyen aquellos controles relacionados con el entorno tecnológico. Los objetivos de control incluyen: • • • • • • • •

Salvaguarda de los activos de tecnología de información Cumplimiento con las políticas corporativas o requerimientos legales Autorización/introducción de información Exactitud e integridad del procesamiento de transacciones Salida de información Confiabilidad de los procesos Respaldo y recuperación Eficiencia y economía de las operaciones

OBJETIVOS DE CONTROL DE LOS SISTEMAS DE INFORMACION Los objetivos de control interno se aplican a todas las áreas, ya sean manuales o automatizadas. Por lo tanto, los objetivos de control interno deben ser encarados en una forma específica para los procesos con SI. Los objetivos de control de SI incluyen:

Salvaguarda de Activos: La información en los sistemas automatizados está protegida contra accesos inadecuados y se la mantiene actualizada. Asegurar la integridad de los ambientes de sistemas operativos en general: incluyendo la administración y operaciones de la red. Asegurar la integridad de los ambientes de sistemas de aplicación sensitivos y críticos, incluyendo información contable/financiera y gerencial a través de: • • • • •

Autorización para el ingreso de datos Exactitud e integridad del procesamiento de transacciones Confiabilidad de las actividades de procesamiento Exactitud, integridad y seguridad de la información de salida Integridad de la base de datos





ICPP 01-07 15 de 29

COBIT Los objetivos de Control para la Información y Tecnologías relacionadas (COBIT) es un marco con un conjunto de 34 objetivos de control de alto nivel representando procesos de TI agrupados en cuatro dominios: planeación y organización, adquisición e implementación, entrega y soporte, y monitoreo y evaluación. Al tomar en cuenta estos 34 objetivos de control de alto nivel, las organizaciones pueden asegurar que cuentan con una estructura adecuada de gobierno y control para su entorno de TI. Respaldando estos procesos de TI existen más de 200 objetivos de control detallados, necesarios para una implementación efectiva. Cobit utiliza como referencia primaria, 36 estándares y reglamentos principales y relativos con TI. Cobit está dirigido a la dirección y al personal que provee servicios de información, departamentos de control, funciones de auditoria y lo que es más importante, a los propietarios de los procesos de negocio que usan los procesos de TI para garantizar la confidencialidad, la integridad y la disponibilidad de información sensitiva y crítica.

PROCEDIMIENTOS DE CONTROL GENERAL Los controles generales son aplicables a todas las áreas de la organización. Estos incluyen políticas y prácticas establecidas por la dirección para tener una certeza razonable de que se alcanzarán los objetivos específicos. Los procedimientos de control incluyen:

Controles internos de contabilidad que están principalmente dirigidos a las operaciones de contabilidad, ellos se refieren a la salvaguardia de activos y a la confiabilidad de los registros financieros. Controles operativos que se ocupan de las operaciones, funciones y actividades cotidianas y aseguran que la operación esté cumpliendo los objetivos de negocio. Controles administrativos que se ocupan de la eficiencia operativa en un área funcional y la adherencia a las políticas de la dirección. Los controles administrativos dan soporte a los controles operativos que se ocupan específicamente de la eficiencia operativa y la adherencia a políticas organizacionales. Políticas y procedimientos organizacionales de seguridad lógica para asegurar la debida autorización de transacciones y actividades.





ICPP 01-07 16 de 29

Políticas generales para el diseño y uso de documentos y registros adecuados para ayudar a asegurar el registro apropiado de las transacciones – pista de auditoria de transacciones. Procedimientos y funciones para asegurar la protección adecuada en el acceso y el uso de activos e instalaciones Políticas de seguridad física para todos los centros de datos

PROCEDIMIENTOS DE CONTROL DE LOS SISTEMAS DE INFORMACIÓN Los controles incluyen políticas, procedimientos y prácticas que establece la dirección para proveer una certeza razonable de que se lograrán los objetivos específicos. Cada procedimiento de control general puede ser traducido en un procedimiento de control específico de SI. Un sistema de información bien diseñado debiera contra con controles construidos en el mismo para todas las funciones sensitivas o críticas. Por ejemplo, el procedimiento general para asegurar la adecuada custodia del acceso a los activos e instalaciones puede traducirse en un conjunto de procedimientos de control relacionados con sistemas de información, que abarque controles de acceso a los programas de computación, datos y equipos de computo. El auditor de SI debería entender los objetivos básicos de control que existen para todas las funciones. Los procedimientos de control de SI incluyen: • • • • • • • • • • •

Estrategia y dirección Organización general y administrativa Acceso a los programas y datos Metodologías de desarrollo de sistemas y control de cambios Operaciones de procesamiento de datos Programación de sistemas y funciones de soporte técnico Procedimientos de aseguramiento de calidad en el procesamiento de datos Controles de acceso físico Planeación de continuidad del negocio/recuperación de desastres Redes y comunicaciones Administración de base de datos





ICPP 01-07 17 de 29

EJECUCION DE UNA AUDITORIA DE SI La auditoria puede definirse como un proceso sistemático por el cual una persona competente e independiente obtiene y evalúa objetivamente la evidencia respecto de las afirmaciones acerca de una entidad o un evento económico con el fin de formarse una opinión sobre el particular e informar sobre el grado de cumplimiento en dicha afirmación de un conjunto de estándares. Para realizar dicho proceso se requieren varios pasos. Una planeación adecuada es el primer paso necesario para realizar auditorías de SI efectivas. Para usar efectivamente los recursos de auditoria de SI, las organizaciones de auditoria, deben evaluar todos los riesgos del área general y de aplicación a auditor y luego desarrollar un programa de auditoria que comprenda objetivos y procedimientos que satisfagan los objetivos de auditoria. El proceso de auditoria requiere que el auditor de SI recolecte evidencia, evalúe fortalezas y debilidades de los controles basándose en la evidencia reunida y prepare un informe de auditoria que presente en una forma objetiva dichos asuntos a la dirección. La dirección de auditoria debe asegurarse que haya disponibilidad de recursos de auditoria adecuados y una agenda para llevar a cabo la auditoria y para realizar revisiones de seguimiento respecto al avance de las acciones correctivas emprendidas por la dirección. Una discusión sobre auditoria debería incluir el alcance, los objetivos, criterios y procedimientos de auditoria, la evidencia, conclusiones y opiniones e informe.

CLASIFICACION DE LAS AUDITORIAS El auditor de SI debe entender los diversos tipos de auditorias que pueden efectuarse interna o externamente, y los procedimientos de auditoria asociados con cada uno de ellos:

Auditorias Financieras: El propósito de una auditoria financiera es determinar la exactitud de los estados financieros de una organización. Una auditoria financiera normalmente implica pruebas sustantivas detalladas. Este tipo de auditoria se relaciona con la integridad y confiabilidad de la información. Auditorias Operativas: Esta diseñada para evaluar la estructura del control interno en un proceso o área determinada. Las auditorias de SI de control de aplicación o de sistemas de seguridad lógica, son ejemplos de auditorías operativas.





ICPP 01-07 18 de 29

Auditorias Integradas: Una auditoria integrada combina pasos de auditoria financiera y operativa. También se realiza para evaluar los objetivos generales dentro de una organización, relacionados con la información financiera y la salvaguarda de activos, la eficiencia y el cumplimiento. Una auditoria integrada puede ser ejecutada por auditores externos o internos e incluiría tanto pruebas de cumplimiento a los controles internos como pruebas sustantivas. Auditorias Administrativas: Estas se encuentran orientadas a evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización. Auditorias de Sistemas de Información: Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen integridad de los datos y del sistema, proveen información relavante y confiable, logran de forma efectiva las metas organizacionales, usan efectivamente los recursos y tienen en efecto controles internos que proveen una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados y que los eventos no deseados serán prevenidos o detectados y corregidos de forma oportuna. Auditorias Forenses: Tradicionalmente, la auditoria forense ha sido definida como una auditoria especializada en descubrir, relevar y dar seguimiento a fraudes y crímenes. El propósito primario de dicha revisión era el desarrollo de evidencia para ser revisada por autoridades policiales y judiciales. El años recientes, el profesional forense ha sido llamado a participar en investigaciones relacionadas con fraude corporativo y crimen cibernético. En los casos en que los recursos de computadora puedan haber sido mal empleados, una investigación adicional es necesaria para recopilar evidencia de posible actividad criminal que puede ser reportada a las autoridades competentes. Una investigación forense de computadora incluye el análisis de dispositivos electrónicos, tales como computadores, teléfonos, PDA’s, discos, switches, routers, hubs y otro equipo electrónico. La evidencia electrónica es vulnerable a alteraciones. Por lo que es necesario manejarla con extreme cuidado. Se debe establecer una cadena de custodia de evidencia para cumplir con los requerimientos legales.

PROGRAMAS DE AUDITORIA Los programas de auditoria para auditorias financieras, operativas, integradas, administrativas y de sistemas de información se basan en el alcance y el objetivo de la





ICPP 01-07 19 de 29

asignación en particular. Los auditores de SI evalúan a menudo las funciones y los sistemas de TI desde perspectivas diferentes, tales como la seguridad (confidencialidad, integridad y disponibilidad) la calidad (efectividad, eficiencia), fiduciaria (cumplimiento, confiabilidad), el servicio y la capacidad. Es importante subrayar que el programa de trabajo de auditoria es la estrategia y el plan de auditoria – este identifica el alcance, los objetivos y los procedimientos de auditoria para lograr evidencia suficiente y competente para obtener y sustentar las conclusiones y opiniones de auditoria. Los procedimientos generales de auditoria son los pasos básicos en la ejecución de una auditoria y habitualmente incluyen lo siguiente: • • • • • • • • •

Obtención y documentación del conocimiento sobre el área objeto de la auditoria Evaluación de riesgos y planeación general de la auditoria y cronograma Planeación detallada de la auditoria Revisión preliminar del área objeto de la auditoria Evaluación formal del área objeto de la auditoria Ejecución de pruebas de cumplimiento Ejecución de pruebas sustantivas Elaboración de informe Seguimiento

El auditor debe entender los procedimientos para la prueba y evaluación de los controles de los sistemas de información. Estos procedimientos pueden incluir: 1. El uso de software generalizado de auditoria para examinar el contenido de los archivos de datos (incluyendo logs del sistema) 2. El uso de software especializado para evaluar el contenido de los archivos de parámetros del sistema operativa (ó detectar deficiencias en el establecimiento de parámetros del sistema) 3. Técnicas de elaboración de diagramas de flujo para la documentación de aplicaciones automatizadas y del proceso de negocio 4. El uso de reportes de auditoria disponibles en los sistemas operativos 5. Revisión de la documentación 6. Observación

METODOLOGIA DE LA AUDITORIA Una metodología de auditoria es un conjunto de procedimientos documentados de auditoria diseñados para alcanzar los objetivos de auditoria planeados. Sus componentes

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION Curso


Area Académica Instructor



ICPP 01-07 20 de 29

son una declaración del alcance, una declaración de los objetivos de la auditoria y una declaración de los programas de trabajo. La metodología de auditoria debiera ser establecida y aprobada por la dirección para lograr consistencia en el enfoque de la auditoria. Esta metodología debiera ser formalizada y comunicada a todo el personal de auditoria.

Fases de la Auditoria

Descripción

Sujeto de Auditoria Objetivo de Auditoria

Alcance Auditoria

de

Identificar que área será auditada Identificar el propósito de la auditoria. Por ejemplo, un objetivo podría ser determinar que los cambios al código fuente de los programas se realicen en un ambiente bien definido y controlado la Identificar los sistemas específicos, la función o unidad de la organización a ser incluida dentro de la revisión. Por ejemplo, en el ejemplo de cambios a un programa, la declaración de alcance podría limitar la revisión a un solo sistema de aplicación o a un periodo limitado de tiempo

Planeación de Identificar las habilidades y recursos técnicos que se necesitan Auditoria Preliminar o Identificar las Fuentes de información para probarlas o revisarlas tales como organigramas funcionales, políticas, Preauditoria estándares, procedimientos y documentos de trabajo de auditorias previas Identificar la ubicación o las instalaciones que serán auditadas Procedimientos de Identificar y seleccionar el método de auditoria para verificar Auditoria y pasos para y probar los controles la recopilación de datos Identificar la lista de personas a entrevistar Identificar y obtener políticas, estándares y directrices de los departamentos para su revisión Desarrollar herramientas y metodologías de auditoria para comprobar y verificar los controles Procedimientos para Específica de la organización evaluar la prueba o revisar los resultados

Procedimientos

de Específica de la organización





ICPP 01-07 21 de 29

comunicación con la gerencia Elaboración del Identificar los procedimientos de la revisión de seguimiento Identificar los procedimientos para evaluar /probar la informe de auditoria eficiencia y efectividad operativa Identificar los procedimientos para probar los controles Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos

Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoria deberán estar debidamente documentados en papeles de trabajo (WPs) Su formato y medios son opcionales, pero la diligencia y las mejores prácticas requieren que los WPs estén fechados, inicializados, con páginas numeradas, sean relevantes, completos, claros, auto-explanatorios y debidamente etiquetados, archivados y mantenidos en custodia. Los papeles de trabajo no tienen necesariamente que estar en papeles físicos (pueden ser electrónicos)

AUTOEVALUACION DEL CONTROL (Control Self Assessment) La autoevaluación de control (CSA) puede definirse como una técnica de la dirección que asegura a los accionistas, clientes y otros que el sistema de control interno del negocio es confiable. También asegura que los empleados estén concientes de los riesgos de negocio y que realicen revisiones proactivas periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos del negocio y los controles internos diseñados para administrar estos riesgos del negocio en un proceso colaborativo formal y documentado. En la práctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen conocimientos de trabajo cotidiano de un área así como también a sus directivos. Las herramientas básicas usadas durante un proyecto de CSA son las mismas ya sea para un proyecto técnico, financiero u operativo. El programa de CSA puede ser implementado mediante diversos métodos. Para las pequeñas unidades de negocio dentro de las organizaciones, se puede implementar mediante talleres de facilitación en lo que la dirección funcional y los profesionales de





ICPP 01-07 22 de 29

control, como los auditores, pueden reunirse y deliberar sobre como desarrollar de la mejor manera una estructura de control para la unidad de negocio.

Enfoque Gráfico para CSA





ICPP 01-07 23 de 29

1) Identificar los procesos

2) Identificar y evaluar riesgos

3) Identificar y evaluar controles

7) Acción e Informe

6) Concientización 4) Desarrollar cuestionario

5) Recolectar y analizar Quiz

LOS BENEFICIOS DE CSA





ICPP 01-07 24 de 29

Algunos de los beneficios de CSA incluyen los siguientes: • • • •

• • • • •

Detección temprana de riesgos Controles internos más efectivos y mejorados Creación de equipos cohesivos a través de la participación de los empleados Mayor conciencia de los empleados sobre los objetivos organizacionales y mayor conocimiento sobre riesgos y controles internos Mayor comunicación entre los mandos operativos y la alta dirección Empleados altamente motivados Proceso mejorado de calificación en auditorías Reducción en el costo del control Mayor seguridad para los accionistas y clientes

DESVENTAJAS DE CSA CSA contiene potencialmente desventajas, las cuales incluyen: • • • •

Podría confundirse como un reemplazo a la función de auditoria Se le considera una carga de trabajo adicional para la alta dirección No implementar las mejoras sugeridas, puede dañar la moral de los empleados La falta de motivación puede limitar la efectividad en la detección de controles débiles

LA FUNCION DEL AUDITOR EN CSA Cuando se establecen estos programas, los auditores se convierten en profesionales del control interno y facilitadores de la evaluación. Su valor en esta función es evidente cuando la dirección asume la responsabilidad y se considera dueña de los sistemas de control interno bajo su autoridad a través de mejoras del proceso en sus estructuras de control, incluyendo un componente activo de monitoreo. Para que un auditor sea efectivo en su función de facilitador y de innovador, el auditor debe entender el proceso de negocio que se está evaluando. Esto se puede lograr por medio de las herramientas tradicionales de auditoria, tales como la inspección o recorrido preliminar. También los auditores deben recordar que ellos son los facilitadores y que la dirección cliente es el participante en el proceso de CSA.





ICPP 01-07 25 de 29

Por ejemplo, durante un taller de CSA, en lugar de que el auditor realice procedimientos detallados de auditoria, el auditor dirigirá y guiará a los clientes en la evaluación de su ambiente.

CAMBIOS EMERGENTES EN EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION El proceso de auditoria de SI debe cambiar constantemente para mantenerse al paso de las innovaciones en la tecnología. Los temas para encarar estos cambios emergentes incluyen áreas tales como papeles de trabajo automatizados, auditoria integrada y auditoria continua.

PAPELES DE TRABAJO AUTOMATIZADOS Cada vez más, los equipos de auditoria están creando sus papeles de trabajo de auditoria (análisis de riesgos, programas de auditoria, resultados, evidencia de pruebas, conclusiones, informes y otra información complementaria como por ejemplo información de negocio) en formato automatizado, usando aplicaciones especializadas diseñadas para este fin. A pesar de que los auditores a menudo usan paquetes de automatización de oficina tales como procesadores de texto u hojas de cálculo, cada vez más se están implementando paquetes estándar para papeles de trabajo en departamentos de auditoria medianos y grandes y están demostrando ser útiles y apropiados para facilitar el trabajo de la auditoria. En tales casos, se deben aplicar reglas respecto a la integridad, confidencialidad y disponibilidad de los registros de auditoria que sean equivalentes a las requeridas para los documentos impresos. Los controles mínimos que deberían ser atendidos incluyen: •

•

Acceso a los papeles de trabajo de acuerdo con un perfil de usuario Pistas de auditoria, es decir, cuando un documento ha sido modificado, quien realice la modificación, actualización automatizada de la última versión del documento, una vez cambiado.


•




ICPP 01-07 26 de 29

Funciones automatizadas para otorgar y registrar autorizaciones (por ejemplo, director de auditoria, los gerentes, etc.) de las etapas de la auditoria (programa de auditoria, conclusiones e informe) Controles de seguridad y de integridad respecto al sistema operativa, las bases de datos y los canales de comunicación

•

Procedimientos de copia de respaldo y de recuperación

•

Técnicas de encripción para proveer confidencialidad

AUDITORIA INTEGRADA La dependencia de los procesos de negocio en la tecnología de información ha requerido que los auditores financieros y operativos tradicionales comprendan las estructuras de control de TI y que los auditores de SI comprendan las estructuras de control del negocio. La auditoria integrada puede definirse como el proceso por el cual se combinan las disciplinas apropiadas de auditoria para evaluar los controles internos clave de una operación, un proceso o entidad. El enfoque integrado se concentra en el riesgo. Para la función de auditoria interna, este se enfocara en el riesgo para la unidad. Para el auditor externo, el enfoque será el riesgo de proveer una opinión de auditoria incorrecta o engañosa. Una evaluación del análisis de riesgos, esta dirigida a entender e identificar los riesgos que surgen de la entidad y de su ambiente, incluyendo los controles internos relevantes. En esta etapa, la función de auditoria de IT es típicamente entender e identificar los riesgos presentes en áreas de actualidad tales como la administración de información, infraestructura de TI, gobierno de TI y operaciones de TI. Otros especialistas de auditoria buscarán entender el ambiente organizacional, los riesgos de negocio y los controles de negocio. Un elemento clave del enfoque integrado es la discusión sobre riesgos que surgen, entre todo el equipo de auditoria, considerando el impacto y la probabilidad. El proceso integrado de auditoria típicamente incluye: 1. 2. 3. 4.

Identificación de los controles relevantes Revisión y comprensión del diseño de los controles clave Comprobación de que los controles clave están respaldados por el sistema de TI Comprobación de que los controles de la dirección son efectivos





ICPP 01-07 27 de 29

5. Un informe u opinión combinada sobre riesgos, diseño y debilidades de los controles La auditoria integrada exige un enfoque sobre el riesgo del negocio y una motivación por lograr soluciones creativas de control. Es un esfuerzo de equipo de auditores con diferentes habilidades. Usar este enfoque permite una sola auditoria a una entidad auditable con un informe comprensivo. Un beneficio adicional es que este enfoque apoya en el desarrollo y retención del personal suministrando una mayor variedad y la capacidad de ver como todos los elementos se entrelazan juntos para formar el cuadro completo.

Enfoque de la Auditoria Integrada

Auditoria Operativa

Auditoria Financiera

Auditoria de Sistemas de Información

AUDITORIA CONTINUA El enfoque en la efectividad y eficiencia del aseguramiento, de auditoria interna y de control ha provocado el desarrollo de nuevos estudios y el análisis de nuevas ideas





ICPP 01-07 28 de 29

respecto a la auditoria continua, en oposición a revisiones periódicas de auditoria tradicional. Varios estudios de investigación y documentos que tratan el tema dan diferentes definiciones de auditoria continua, sin embargo reconocen que un carácter distintivo de la auditoria continua es el corto lapso de tiempo entre los hechos a ser auditados, la recopilación de evidencia y el informe de auditoria. Los requisitos ó precondicionantes para que la auditoria continua tenga éxito incluyen: • •

• •

•

• • • • • •

Un alto grado de automatización Un proceso automatizado y altamente confiable para producir información sobre un asunto tan pronto hayan ocurrido los eventos subyacentes al asunto Activadores de alarmas para informar oportunamente fallas de control Implementación de herramientas de auditoria altamente sistematizadas que requieren que el auditor de SI participe en la configuración de parámetros Informe rápido a los auditores de SI sobre los resultados de los procedimientos automáticos, en particular cuando el proceso ha identificado anomalías y errores La rápida emisión y distribución automática de informes de auditoria Auditores de SI técnicamente competentes Disponibilidad de Fuentes confiables de evidencia Adherencia a las directrices sobre materialidad Cambio de mentalidad en los auditores Evaluación de factores de costo

Ya se han incluido herramientas más sencillas de auditoria y monitoreo continuo en muchos paquetes ERP y en la mayoría de los sistemas operativos y paquetes de seguridad de redes. Estos entornos, si están configurados de manera oportuna y alimentados con reglas, parámetros y formulas pueden producir listas de excepciones a solicitud mientras operan contra los datos reales. Las técnicas de TI que se usan para operar en un ambiente de auditoria continua deben trabajar en todos los niveles de datos –entrada individual; transacción y base de datos – e incluyen:

• • • • •

Registro de transacción Herramientas de consulta Estadística y análisis de datos (CAAT) Sistemas de administración de base de datos (DBMS) Depósito de datos, data marts, minería de datos

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION Curso Area Académica Instructor • • • •




ICPP 01-07 29 de 29

Inteligencia artificial Módulos integrados de auditoria (EAM) Tecnología de red neural Estándares tales como “Extensible Business Reporting Language” XBRL

El software AI puede ser utilizado para automatizar los procesos de evaluación experta, y para permitir las capacidades de flexibilidad y análisis dinámico. La configuración y aplicación de reglas expertas pueda también ser contratada con externos, permitiendo aseguramiento externo a solicitud.

EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACION.pdf

Recommend Documents