dominio1_2010
-
Upload
seba-cabrera -
Category
Documents
-
view
6 -
download
0
Transcript of dominio1_2010
1
El proceso de laEl proceso de la
Auditoría de SIAuditoría de SI
El proceso de laEl proceso de la
Auditoría de SIAuditoría de SI
Dominio 1
2
Contenido Contenido
Misión de la Auditoría de SIEstándares y Lineamientos Análisis de RiesgoControles Ejecución de la Auditoría de SI
3
Misión de la Auditoría de SI Misión de la Auditoría de SI
Origen de la función de Auditoría de SI Tipos de Auditoría Evolución
Cometidos de la Auditoría de SIGerenciamiento de la Auditoría de SIReglas y regulaciones
4
Tipos de AuditoríaTipos de Auditoría
Según la naturaleza de las tareas: Contables /Financieras Operativas (SI y Calidad) Global
Según su vinculación con la empresa Interna (sus funciones se establecen a partir de un Estatuto o
Carta de Creación de la función de Auditoría) Externa (Contrato entre Firma auditora y la jerarquía de la
empresa que corresponda- carta de gerencia)
5
Evolución de la práctica de Auditoría
Evolución del ambiente de TI Complejidad creciente de los sistemas Computación de usuario final a bajo costo Tendencia a la descentralización Outsourcing Reducción de tiempos de desarrollo Utilización de comercio electrónico
Aumento de la dependencia de las organizaciones hacia sus SI
Agregar valor a la práctica de la auditoríaProactividad Vs. reactividad
6
Cometidos de la Auditoría de SI
Revisión de sistemasRevisión de operaciones de producciónApoyo a otros auditoresApoyo a la organizaciónAuditorías al cumplimiento de contratos y
aseguramiento de la calidad
7
Revisión de sistemasRevisión de sistemas
Sistemas bajo desarrolloMetodología de desarrolloAsesorar a los comités de dirección y control de
cambios
8
Revisión de operaciones de producciónRevisión de operaciones de producción
Auditorías de infraestructuraRedes y comunicacionesRevisiones de SeguridadRevisiones de aplicacionesRevisiones de procesamiento y backup
9
Apoyo a otros auditoresApoyo a otros auditores
Apoyo técnico y entrenamiento a auditores internos operativos y contables
Coordinar revisiones de aplicaciones con auditores internos operativos y contables
Apoyo técnico a auditores externos
10
Apoyo a la organizaciónApoyo a la organización
Proveer guías técnicas, de control y de seguridad al personal de sistemas
Apoyar el desarrollo de aplicaciones de controlFacilitar la implementación de programas de
Control Self AssesmentEntrenamiento cruzado con auditores contablesEducación profesional continua
11
Contratos y aseguramiento de calidadContratos y aseguramiento de calidad
Verificar la participación de la gerencia en el proceso de contratación.
Asegurar que existen revisiones oportunas del cumplimiento de los contratos
Verificar la existencia de la función de aseguramiento de la calidad
12
Gerenciamiento de la Auditoría
Términos de la auditoría Planificación
Determinación de áreas de auditoría Conocimientos y experiencias requeridas
(organización, ambiente tecnológico, industria y sector)
Administración de los recursos Cronograma
Aprobación de la planificación (Comité de Auditoría)
Seguimiento
13
Gerenciamiento de la AuditoríaAdministración de recursos de la Auditoría
Identificar el alcance de la auditoría Identificar el universo de la auditoría Determinar los recursos disponibles Asignar los recursos a las áreas de mayor riesgo o de
mayor retorno para la empresaRestricciones
Reemplazo reciente de personal Disponibilidad de recursos capacitados Fechas de entrega de informes Falta de documentación y/o conocimientos
14
Reglas y Regulaciones
Internas y externas Prácticas operativas, controles y utilización de
sistemas computarizados y datos Función de auditoría
Foco en: Definición de la función de Auditoría Organización Responsabilidades Relación entre Auditorías Financieras y
Operativas
15
Reglas y Regulaciones (Cont.)Evaluación de cumplimiento de requerimientos
externos: Identificar los requerimientos externos relevantes
Prácticas y controles de sistemas computarizadosAlmacenamiento de datos y programasOrganización de servicios de información
Documentar leyes y regulaciones Evaluar si la gerencia y el área de SI los consideran Revisar la documentación interna del área de SI (verificar
adherencia respecto a leyes y requerimientos del sector) Determinar adherencia de los procedimientos
establecidos respecto a los requerimientos
16
Estándares y LineamientosEstándares y Lineamientos
Estándares
Políticas
Procedimientos
Conceptos Generales de Seguridad
Fundamentos de Seguridad Informática
Mejores Prácticas
Prácticas Operativas de IT
Prácticas Administrativas
Prácticas de Gerenciamiento
Procedimientos Técnicos y
Administrativos
Controles Técnicos específicos
Independiente de la
Arquitectura Tecnológica
Dependiente de la
Arquitectura Tecnológica
¿Por qué son importantes los estándares y las políticas?
17
Estándares y LineamientosEstándares y Lineamientos
Marco provisto por ISACA Estándares Lineamientos Código de Etica
18
Estándares de ISACA
Objetivo
Brindar un marco mínimo aceptable de cumplimiento de los requerimientos incluidos en el Código de Etica.
Informar a las partes interesadas de las expectativas concernientes al desempeño de los profesionales
19
Lineamientos de ISACA
Objetivo
Brindar información adicional, a aplicar con juicio profesional, para implementar estándares y justificar opiniones y/o acciones.
20
Código de ética profesional Definir y cumplir con estándares, lineamientos y procedimientos de SI
sugeridos. Servir a los intereses del empleador, accionistas, clientes y público en
general de manera diligente, leal y honesta. Mantener la confidencialidad sobre la información obtenida Ser independiente en esencia y apariencia. Mantener la competencia en campos vinculados al tema de auditoría y SI
a través del desarrollo de actividad profesional Reunir y documentar material suficiente para sustentar sus hallazgos. Informar a quien corresponda sobre el resultado y desarrollo de los
trabajos de Auditoría. Apoyar a la gerencia y clientes en general en la capacitación para lograr
un entendimiento sobre los hallazgos y observaciones informados.
Mantener una conducta profesional y personal intachable.
21
Análisis de Riesgo Análisis de Riesgo
Definición de RiesgoElementos Proceso de administración del riesgo de
negocio
22
Amenazas
Datos
Software
Hardware
RRHH, etc.
RIESGOS
Capacidad que tiene una amenaza de explotar las vulnerabilidades de un activo o conjunto de activos y causar pérdida o daños en éstos.
Definición de Riesgo
Vu
lner
abil
idad
23
Elementos Amenazas
Errores Ataques y acciones
maliciosas Fraude o robo Fallas de hard/soft
Activos Información y datos Hardware Software Servicios Documentos Personal
Vulnerabilidades Carencias en el conocimiento de los usuarios Funciones de seguridad con carencias Selección de passwords pobre Utilización de tecnología no probada Transmisión a través de comunicaciones no protegidas
24
Elementos (Cont.)Impacto
Pérdidas económicas directas Romper normas Pérdidas de imagen, buena reputación Pérdida de confidencialidad Pérdida de oportunidades de negocio Reducción del nivel de cumplimiento/eficiencia en
las operaciones Interrupción de la continuidad de las operaciones
Riesgo general Riesgo residual
25
Proceso de adm. del riesgo de negocio
Proceso: Identificar el activo informático Identificar potenciales amenazas y determinar su
impacto en relación a las vulnerabilidades asociadas al activo.
Identificar y evaluar los controles existentes que prevengan, detecten la ocurrencia y/o mitiguen el impacto.
Definir y evaluar algún control adicional Clasificar los riesgos identificados considerándolos
junto a los controles que los mitigan
26
Proceso de adm. del riesgo de negocio
Análisis costo-beneficio de una contramedida El costo del control Vs. el beneficio de mitigar el
riesgo (exposición del riesgo) El nivel de riesgo que la gerencia está dispuesta a
aceptar Método preferido para reducir el riesgo (eliminar el
riesgo, minimizar la probabilidad de ocurrencia, minimizar el impacto, transferir/asegurar)
27
Controles Controles
Definición Clasificación de controlesEstructura de Control Interno Objetivo de Control Interno Objetivo de Control de SICOBIT Procedimientos de Control de SI
28
Definición
Políticas, prácticas y estructuras organizativas diseñadas para asegurar razonablemente que se pueden alcanzar los objetivos del negocio, y que los eventos indeseables son prevenidos o detectados y corregidos
29
Clasificación Controles preventivos
Identifican potenciales problemas antes de que ocurran Monitorean operaciones y E/S Previenen errores, omisiones u actos maliciosos
Controles Detectivos Identifican y reportan la ocurrencia de un error, omisión u acto
malicioso ocurridoControles Correctivos
Minimizan el impacto de una amenaza Solucionan errores detectados por controles detectivos Identifican la causa de los problemas y corrigen errores
producidos Modifican los procedimientos de SI para minimizar futuras
ocurrencias del problema
30
Estructura de Control Interno
Proceso llevado a cabo por el Directorio, la Gerencia y el Personal de una organización para proveer un aseguramiento razonable del logro de los objetivos de la misma.
31
Estructura de Control Interno (Cont.)
Promueve:
Logro de los objetivos del negocio a través de: Efectividad y eficiencia de las operaciones Confiabilidad de los reportes internos Cumplimiento de las leyes y regulaciones
aplicablesConstrucción de controles para los procesos
del negocio Participación de la gente (Directorio, Gerencia,
Staff)
32
Objetivo de Control Interno Contables
Orientados a la función contable Persiguen la protección de activos y correctitud de los
registros contables
Operativos Orientados a las operaciones diarias de la organización Persiguen asegurar que funciones y actividades están
alineadas con los objetivos de la organización
Administrativos Orientados a las funciones administrativas Persiguen la eficiencia de las mismas en adherencia a las
normas de la gerencia
33
Objetivo de Control de SI
Una declaración del resultado o propósito que se desea lograr mediante la implementación de procedimientos de control en una actividad de Tecnología de Información particular.
34
Objetivo de Control de SI
Están dirigidos a Directivos, Gerencia y Staff de la empresa
Conjunto de controles mínimos para asegurar la efectividad, eficiencia y economía en la identificación y utilización de los recursos de IT
Ejemplos: La información se encuentra resguardada Cada transacción se autoriza e ingresa una sola vez Se informa de transacciones duplicadas o rechazadas Se hacen copias de respaldo (Backups) Cambios de software son debidamente probados y
aprobados
37
Procedimiento de Control de SI
Políticas y prácticas establecidas por la gerencia a los efectos de asegurar razonablemente que se cumplen ciertos objetivos de SI
38
Procedimiento de Control de SI
Areas de interés: Controles generales de la organización Acceso a datos y programas Metodologías de desarrollo de Sistemas Operaciones de procesamiento de datos Funciones de configuración y soporte técnico Aseguramiento de la calidad del procesamiento
de datos
39
Procedimiento de Control de SI (Cont.)
Se puede establecer una correlación entre: Procedimientos de Control generales Procedimientos de Control específicos de TI.
Ejemplos:
PC GeneralPC General
Protección de Activos
PC SIPC SI
• Control de acceso físico al CPD (Protección del equipamiento de TI)
• Control de acceso a datos y programas
• Control de cambios a programas
40
Procedimiento de Control de SI (Cont.)
PC GeneralPC GeneralContinuidad de las operaciones del Negocio
PC SIPC SI
• Procesos de Backups/Recovery de datos y programas
• Infraestructura redundante • Entrenamiento cruzado
41
Ejercicios
Procedimiento de Control:
“Toda la actividad de acceso que no está de acuerdo con las políticas y procedimientos establecidos de la organización es investigada”
¿Cuáles son los riesgos asociados a este procedimiento de control?
42
Ejercicios
Riesgo:
“Si el acceso no está restringido basado en el rol del solicitante, puede resultar muy restrictivo o muy generoso. En el último caso, la requerida segregación de tareas puede ser violada o la confidencialidad, integridad o disponibilidad de información puede correr riesgo.”
Describir el procedimiento de control asociado a este riesgo
43
Ejecución de una Auditoría de SI Ejecución de una Auditoría de SI
Fases de una Auditoría Acciones de la Gerencia (para implementar
recomendaciones) Documentación de la Auditoría
44
Fases de Auditoría
1. Selección del tema/area de Auditoría
2. Definición de los objetivos de la Auditoría
3. Definición del alcance de la auditoría
4. Programación de la Auditoría
5. Procedimientos de Auditoría
6. Procedimientos de evaluación de resultados
7. Procedimientos de comunicación con la gerencia
8. Reporte de Auditoría
45
Fases de Auditoría (Cont.)
1.Selección del tema/area de Auditoría
Criterios para la determinar el tema de AuditoríaTipos de Riesgos Técnica de Evaluación de Riesgos Ventajas de aplicar la Técnica de Evaluación de
Riesgos
46
1. Selección del tema/area de Auditoría
Criterios para la determinar el tema de Auditoría Nuevos temas de control
Nuevas tecnologías
Disponibilidad de recursos
Exigencias normativas
Técnica de Evaluación de Riesgos
47
1. Selección del tema/area de Auditoría (Cont.)
Tipos de Riesgos Riesgo inherente Riesgo de control Riesgo de detección Riesgo global de Auditoría
48
1. Selección del tema/area de Auditoría (Cont.)
Técnica de Evaluación de Riesgos Identificación del riesgo a través de la
identificación y análisis de las amenazas asociadas (Análisis de Riesgo)
Clasificar los riesgos (considerar los controles asociados)
49
1. Selección del tema/area de Auditoría (Cont.)
Ventajas de aplicar la Técnica de Evaluación de Riesgos Posibilita una asignación efectiva de recursos Da valor agregado a la Auditoría enfocándola en los
riesgos más altos del negocio Asegurar que se obtuvo la información relevante Establece las bases para un funcionamiento efectivo del
área de Auditoría Interna Obtiene un resumen del impacto de cada tema de
auditoría en relación a los planes generales del negocio
50
Fases de Auditoría (Cont.)
2. Definición de los objetivos de la Auditoría
Dependen de la meta específica de la auditoríaSe basan en probar el cumplimiento del
conjunto de objetivos de control interno relacionados con esta meta: Identificar los procedimientos de control
(detección, reducción, transferencia del riesgo) Evaluar los procedimientos de control Evaluar la necesidad de implementar nuevos
controles
51
Fases de Auditoría (Cont.)
3. Definición del alcance de la auditoría
Tener en cuenta : Objetivo de la Auditoría Minimizar el Riesgo de Auditoría
52
Fases de Auditoría (Cont.)
4. Programación de la Auditoría
Identificar destrezas técnicas y recursos requeridos
Identificar fuentes de información Identificar lugares físicos e instalaciones a
auditar Actualizar los programas de auditoría existentes
53
Fases de Auditoría (Cont.)
5. Procedimientos de Auditoría
Recopilación de datos Identificación de personas a entrevistar Identificar y obtener políticas, normas y
directivas del departamento para su revisión Desarrollar herramientas y metodología para
probar y verificar los controles.Identificar y seleccionar enfoque apropiado para
verificar y probar los controles
54
5. Procedimientos de Auditoría Recopilación de datos
Reglas de Evidencia Independecia de quien la proveeCalificación de quien la proveeObjetividad Suficiencia
Técnicas para reunir evidencia Revisar la estructura organizativa del área de ITRevisar estándares para la documentación de los
Sistemas Entrevistar al personal apropiado Observar la operativa y a los empleados
56
5. Procedimientos de Auditoría
Recopilación de datos (Cont.) Computer Assisted Audit Techniques (CAAT)
Ejemplos:Generador de datos de prueba Sistemas expertos Utilitarios estándarSoftware especializado de auditoría
Algunas ventajas :Reduce el nivel de riesgo de la auditoría Genera evidencia con independecia del auditadoDa confiabilidad en la información reunida
57
5. Procedimientos de Auditoría
Recopilación de datos (Cont.) Computer Assisted Audit Techniques (CAATs)
Algunas ventajas :Se puede disponer de infomación en forma más rápidaPermite cuantificar debilidades de control internoMejora la identificación de excepciones Fáciles de utilizar No requieren demasiado entrenamiento Uso flexible (diferentes plataformas, BD, etc.)Facilidades para documentar la selección y
procesamiento de los datos
58
5. Procedimientos de Auditoría
Identificar y seleccionar enfoque apropiado para
verificar y probar los controles
Pruebas de cumplimiento
Pruebas sustantivas
59
Fases de Auditoría (Cont.)Fases de Auditoría (Cont.)
6. Procedimientos de evaluación de resultados
Evaluación de fortalezas y debilidadesMaterialidad de los hallazgos
60
6. Procedimientos de evaluación de resultados
Evaluación de fortalezas y debilidades
Luego de desarrollar un programa de auditoría y reunir evidencia de auditoría se debe evaluar la información reunida para emitir una opinión.
El auditor de SI debe tener cuidado profesional
61
6. Procedimientos de evaluación de resultados
Evaluación de fortalezas y debilidades (Cont.)Evaluar el cumplimiento de los objetivos de control a partir
de la evidencia obtenidaIdentificar información pertinente y periféricaEvaluar controles compensatorios y redundantesInterrelación de controles Evaluar eficiencia y eficacia de las operaciones Considerar técnicas para analizar la evidencia
(tendencias) Materialidad del hallazgo (respecto a las normas y realidad
de la organización).
62
6. Procedimientos de evaluación de resultados
Materialidad de los hallazgos Considerar: Objetivo de la Auditoría Ambiente de seguridad y control del
sector/organización
63
Fases de Auditoría (Cont.)
7. Procedimientos de comunicación con la gerencia
El auditor de SI debe comunicar sus hallazgos y recomendaciones a Gerencia General, Directorio, o Comité de Auditoría según corresponda
Es una práctica recomendable discutir el borrador previamente con el gerente del área auditada.
65
8. Reporte de Auditoría (Cont.)
Estructura y contenido Introducción (objetivo, alcance y período de la
auditoría, términos generales de referencia, tipo de procedimientos acordados, etc.)
Conclusiones generales del auditor sobre adecuación de procedimientos y controles revisados
La información obtenida debe soportar las conclusiones
Hallazgos y recomendacionesSeleccionar la información a incluir dependiendo de
quien es el destinatarioClasificarlos según su materialidad
66
8. Reporte de Auditoría (Cont.)
Estructura y contenido (Cont.) Descargos de la gerencia, medidas tomadas en
el transcurso de la auditoría, etc. Respuesta de la Gerencia:
Plan de acciónResponsableFecha estimadaDebe ser realista para la empresa, tanto en
oportunidad como alcance.
67
8. Reporte de Auditoría (Cont.)
Técnicas de exposición Resumen Ejecutivo Informe Presentación visual
68
Seguimiento
El proceso de Auditoría debe ser recurrenteEl éxito de la Auditoría también depende de las
medidas que tome la GerenciaEl Auditor de SI debe realizar un seguimiento
de las acciones que tome la Gerencia El Auditor de SI no es responsable de
implementar las recomendaciones
69
Documentación de la Auditoría
Papeles de trabajo Notificaciones a la Gerencia Programa de Auditoria Resultados de los testeos Evidencia Reporte de Auditoria
Organizado en Bases de Datos Documentales