Professional Documents
Culture Documents
ALGUNOS PARADIGMAS ..
Auditoria de Sistemas? Seguridad en Sistemas? Auditoria Informtica? Auditoria de la Informacin? f ? Auditoria de los Sistemas de Informacin? Auditoria a los Sistemas de Informacin relacionados a la Tecnologa Informtica.
Determinar Sanciones
Dominio Monitoreo
Planificacin Estratgica
Sustentar el Riesgo
Planificacin detallada
PRUEBAS DE AUDITORIA
PRUEBAS DE CUMPLIMIENTO
El propsito de las pruebas de cumplimiento es suministrar un razonable grado de seguridad de que los procedimientos relativos a los controles estn siendo aplicados tal como fueron prescritos
PRUEBAS SUSTANTIVAS
Pruebas especficas, de revisin .Generalmente se aplican cuando existen controles internos pobres.
EVIDENCIAS DE AUDITORIA
Informacin que corrobora o refuta una afirmacin o hecho.La cuales se clasifican en:
Evidencias
Evidencias Documentales (Contratos de TI, facturas, PNPs Clculos (Algoritmos de encriptacin) Declaraciones o representaciones orales y escritas de los clientes.(Preguntas a los empleados de todos los niveles de la organizacin)
La Evidencia debe ser acumulado, mediante un proceso supervisado de aplicacin de metodologas y tcnicas de auditoria. La evidencia es relevante, cuando tiene directa relacin con el objeto de la auditoria y contribuye a sustentar el logro de los objetivos. Las CAATTs pueden producir parte de la evidencia de la Auditoria, como consecuencia el Auditor debe ser competente en el uso de las mismas. La evidencia debe conservarse en papeles de trabajo fsicos y/ o digitales.
La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas ,manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, si no en medios magnticos para lo cual el auditor deber conocer las formas de recopilarlos mediante el uso del computador
Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente g grado de detalle como para p presentarlo p como evidencia de auditoria. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujogramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilizacin de tcnicas de auditoria asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario.
Gobierno Corporativo
Gobierno de TI
Auditora Financiera
Seguridad
METODOLOGIA: COSO
DEFINICION DE RIESGO
El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos ocasionando perdida o dao de los activos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la perdida/dao y a la frecuencia estimada de la amenaza
Fuente: Directrices para la administracin de seguridad TI
RIESGOS DE AUDITORA
Riesgo inherente
Relativo al Giro especfico del Negocio
Riesgo de Control
Es el riesgo de que no existan adecuados controles de TI en la organizacin
Riesgo de Deteccin
Es el riesgo de que el auditor no detecte hallazgos, con los procedimientos de auditoria
Fraude Extorsin Robo de Informacin Robo de servicios Actos terroristas Reto de penetrar un sistema Deterioro
Tecnologa
Fallas en procedimientos Fallas en el software aplicativo Fallas en el software Operativo Fallas en el hardware Fallas en los equipos de soporte
Riesgos
Generales
Negocios
Tecnolgico
Operacional
Recursos 5 Humanos
Cumplimiento
Imagen
Gestin
1.1
2.1
3.1
4.1
5.1
7.1
8.1
Crdito
1.2 2.1.1
Adecuacin
3.2
Fraude Interno
4.2
Seleccin
5.2
Social
7.2
Estrategia
8.2
Concentracin
1.3 2.1.2
Desarrollo
3.3
Fraude Externo Empleo 4.3 Salud Seguridad Fallas Clientes Productos Daos Activo Fijo Interrupc. Negocios Sistemas
4.4
Pertenencia
5.3
Etico
7.3
Planificacin
8.3
Sistmico
1.4
Admisin
2.1.3
Mantencin
3.4
Persona
5.4
Blanqueo
7.4
Financiero
8.4
Clasificacin Interna
1.5
Control y Seguimiento
2.1.4
Seguridad Informacin
3.5
Remuneraciones
5.5
Comunicaciones
Clientes
8.5
4.5
Gobernabilidad
1.6
Recuperacin
2.2
Disponibilidad
Liderazgo
4.6 5.6
Eficiencia
8.6
Legal
1.7
Financiero
2.2.1
Rotacin
4.7 5.7
Innovacin y Aprendizaje
8.7
Cultura
Tasa de Inters
2.2.2
Procesos
4.8
Capacitacin
5.8
Estructura
8.8
Tipo de Cambio
2.2.3
Outsourcing
4.9
Control e Informacin 1 2 3 4 5 6 7 8
8.9
Descalce
2.2.4
Administracin
4.10
Clima Laboral
5.10
Inteligencia de Mercado
8.10
Liquidez
Contable
Procesos
Riesgos sucursales
Calidad
MATRIZ DE RIESGO
TABLAS
DELPHY
Ejemplo: Mas Importante
Acceso ilegal
11 10 7,5 1,5 30
NORMAS ESPECIFICAS
NIA 15. Auditoria en un Ambiente de Sistemas de Informacin por Computadora. NIA 16. Tcnicas de Auditoria con Ayuda d lC del Computador. t d NIA 18. Uso del Trabajo de un Experto. NAG 270. Normas de auditoria de Tecnologa de la Informacin y Comun.
Enfoque a las Seguridades Enfoque a la Informacin Enfoque a la Infraestructura Tecnolgica Enfoque de Software de Aplicacin Enfoque a las Comunicaciones y Redes
COMUNICACIN DE RESULTADOS
INFORME DE AUDITORIA
El informe de la auditoria de sistemasTI debe ser oportuno, objetivo, claro, preciso y ser el medio para comunicar los resultados obtenidos durante la misma.
INFORME 1. Antecedentes 2 Obj 2. Objetivos i 3. Alcance y Limitaciones 4. Metodologa 5. Resultados Hallazgos Recomendaciones
Fecha: Fecha:
Condicin - Los hechos encontrados en la auditoria que indican que no se cumpli con uno o ms criterios. Criterio - El marco de referencia para evaluar la situacin. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administracin, principio de contabilidad generalmente aceptado, opinin de un experto o juicio del auditor. Causa - La razn fundamental por la cual ocurri la situacin. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio.
REF P/T
REF. INFORME Si
Puntos 6.1.3 y 12.1.2 de la ISO 17799 Esta situacin se debe a la falta de formalizacin de un procedimiento de de contratacin que est enmarcado la Poltica de Seguridad
CAUSA CRITERIO
Se podran generar conflictos legales en caso de desvinculacin de los funcionarios y litigios respecto a la propiedad de software.
EFECTO
Se recomienda a corto y largo plazo: Incluir adendos a los contratos con clusulas de Confidencialidad y Propiedad Intelectual Formalizar e implementar una Poltica de Seguridad que tome como base la ISO 17799 o mediante una Evaluacin de Riesgos
RECOMENDACION
Fecha: Fecha:
COMUNICACIN DE RESULTADOS IMPLICACIONES DE LOS HALLAZGOS RESPONSABILIDAD: (RECOMENDACIN) EJECUTIVA: Gestin deficiente o negligente . Determina el
Directorio.
ALGUNAS HERRAMIENTAS
Estndares de ISACA
Los objetivos de los Estndares de ISACA para la Auditoria de los Sistemas de Informacin son informar:
A los auditores de los sistemas de informacin sobre el nivel mnimo requerido de rendimiento aceptable pasa cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica Profesional para los Auditores de Sistemas de Informacin. A la Gerencia y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores.
050 Planificacin 050.010 Planificacin de la Auditoria 060 Realizacin del Trabajo de Auditoria 060.010 Supervisin 060.020 060 020 Evidencia 070 Informe 070.010 Contenido y Forma del Informe 080 Seguimiento de las Actividades 080.010 Seguimiento
10
11