AUDITORIA DE SISTEMAS

MSc. Ing. Guido Rosales Uriona, CISA, CISM

ALGUNOS PARADIGMAS ..

Auditoria de Sistemas? Seguridad en Sistemas? Auditoria Informtica? Auditoria de la Informacin? f ? Auditoria de los Sistemas de Informacin? Auditoria a los Sistemas de Informacin relacionados a la Tecnologa Informtica.

GRAFICO DEL PROCESO DE UNA AUDITORIA DE SISTEMAS

FASE DE PLANIFICACIN FASE DE VALORACIN FASE DE INFORME FASE DE SEGUIMIENTO

Relevar conocimiento sobre el perfil de la entidad

Revisar los Obj de control para TI

Elaborar borrador del Informe

Revisar documentacin de respaldo de la entidad

Relevar y actualizar el conocimiento sobre los sistemas de informacin

Dominio Planificacin y Organizacin

Obtener entendimiento Discusin del informe en borrador Verificacin en el sito

Dominio Adquicisin e Implementacin

Evaluar controles Elaborar el informe final

Evaluar el riesgo tecnolgico

Dominio Entrega y Soporte Verificar cumplimiento

Determinar Sanciones

Desarrollar el programa de trabajo para la auditoria

Dominio Monitoreo

Planificacin Estratgica

Determinar el riesgo tecnolgico

Sustentar el Riesgo

Planificacin detallada

PRUEBAS DE AUDITORIA

PRUEBAS DE CUMPLIMIENTO
El propsito de las pruebas de cumplimiento es suministrar un razonable grado de seguridad de que los procedimientos relativos a los controles estn siendo aplicados tal como fueron prescritos

PRUEBAS SUSTANTIVAS
Pruebas especficas, de revisin .Generalmente se aplican cuando existen controles internos pobres.

EVIDENCIAS DE AUDITORIA

Informacin que corrobora o refuta una afirmacin o hecho.La cuales se clasifican en:
Evidencias

Fsicas (Que se puede ver)

Declaraciones de Terceros ( Clientes habituales, distribuidores,

instituciones financieras y abogados)

Evidencias Documentales (Contratos de TI, facturas, PNPs Clculos (Algoritmos de encriptacin) Declaraciones o representaciones orales y escritas de los clientes.(Preguntas a los empleados de todos los niveles de la organizacin)

CONDICION DE LAS EVIDENCIAS

La Evidencia debe ser acumulado, mediante un proceso supervisado de aplicacin de metodologas y tcnicas de auditoria. La evidencia es relevante, cuando tiene directa relacin con el objeto de la auditoria y contribuye a sustentar el logro de los objetivos. Las CAATTs pueden producir parte de la evidencia de la Auditoria, como consecuencia el Auditor debe ser competente en el uso de las mismas. La evidencia debe conservarse en papeles de trabajo fsicos y/ o digitales.

TECNICAS PARA LA RECOLECCIN DE EVIDENCIAS

La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada. Algunas formas son las siguientes: Revisin de las estructuras organizacionales de sistemas de informacin. Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas ,manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, si no en medios magnticos para lo cual el auditor deber conocer las formas de recopilarlos mediante el uso del computador

TECNICAS PARA LA RECOLECCIN DE EVIDENCIAS

Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente g grado de detalle como para p presentarlo p como evidencia de auditoria. Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujogramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Utilizacin de tcnicas de auditoria asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario.

Auditora de los Sistemas de Informacin

Gobierno Corporativo

Gobierno de TI

Auditora Financiera

Auditora de los Sistemas de Informacin

Seguridad

CAAT,s. Auditora Operativa

Evaluacin del rendimiento de sistemas

METODOLOGIA: COSO

DEFINICION DE RIESGO

El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos ocasionando perdida o dao de los activos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la perdida/dao y a la frecuencia estimada de la amenaza
Fuente: Directrices para la administracin de seguridad TI

RIESGOS DE AUDITORA

Vulnerabilidad Riesgo Expocisin o Impacto Control / mitigacin

Riesgo inherente
Relativo al Giro especfico del Negocio

Riesgo de Control
Es el riesgo de que no existan adecuados controles de TI en la organizacin

Riesgo de Deteccin
Es el riesgo de que el auditor no detecte hallazgos, con los procedimientos de auditoria

Ejemplo de Riesgos con la informacin

Fraude Extorsin Robo de Informacin Robo de servicios Actos terroristas Reto de penetrar un sistema Deterioro

Ejemplo de Riesgos Tecnolgicos

Tecnologa
Fallas en procedimientos Fallas en el software aplicativo Fallas en el software Operativo Fallas en el hardware Fallas en los equipos de soporte

MODELO MATRIZ DE RIESGOS

Riesgos

Generales

Negocios

Tecnolgico

Operacional

Recursos 5 Humanos

Cumplimiento

Imagen

Gestin

1.1

2.1

3.1

4.1

5.1

7.1

8.1

Crdito
1.2 2.1.1

Adecuacin
3.2

Fraude Interno
4.2

Seleccin
5.2

Social
7.2

Estrategia
8.2

Concentracin
1.3 2.1.2

Desarrollo
3.3

Fraude Externo Empleo 4.3 Salud Seguridad Fallas Clientes Productos Daos Activo Fijo Interrupc. Negocios Sistemas
4.4

Pertenencia
5.3

Etico
7.3

Planificacin
8.3

Sistmico
1.4

Admisin
2.1.3

Mantencin
3.4

Persona
5.4

Blanqueo
7.4

Financiero
8.4

Clasificacin Interna
1.5

Control y Seguimiento
2.1.4

Seguridad Informacin
3.5

Remuneraciones
5.5

Comunicaciones

Clientes
8.5

4.5

Gobernabilidad
1.6

Recuperacin
2.2

Disponibilidad

Liderazgo
4.6 5.6

Eficiencia
8.6

Legal
1.7

Financiero
2.2.1

Rotacin
4.7 5.7

Innovacin y Aprendizaje
8.7

Cultura

Tasa de Inters
2.2.2

Procesos
4.8

Capacitacin
5.8

Estructura
8.8

Tipo de Cambio
2.2.3

Outsourcing
4.9

Gestin del Cambio

5.9

Control e Informacin 1 2 3 4 5 6 7 8
8.9

Descalce
2.2.4

Administracin
4.10

Clima Laboral
5.10

Inteligencia de Mercado
8.10

Liquidez

Contable

Procesos

Riesgos sucursales

Calidad

MATRIZ DE RIESGO

TABLAS

DELPHY
Ejemplo: Mas Importante

Acceso ilegal

Acceso ilegal 3 Fraude y Robo 3,5 5 0 1 3 2

Fraude y Robo 2 Violacion de la Privacidad 1,5 Perdida de Informacion 4

Violacion de la Privacidad 0 Perdida de 5 Informacion

Perdida de Informacion Fraude y Robo Acceso ilegal Violacion de la Privacidad total

11 10 7,5 1,5 30

37% 33% 25% 5% 100%

NORMAS ESPECIFICAS

NIA 15. Auditoria en un Ambiente de Sistemas de Informacin por Computadora. NIA 16. Tcnicas de Auditoria con Ayuda d lC del Computador. t d NIA 18. Uso del Trabajo de un Experto. NAG 270. Normas de auditoria de Tecnologa de la Informacin y Comun.

AUDITORIA DE TECNOLOGAS DE INFORMACIN Y COMUNICACIN (NAG 270)

Enfoque a las Seguridades Enfoque a la Informacin Enfoque a la Infraestructura Tecnolgica Enfoque de Software de Aplicacin Enfoque a las Comunicaciones y Redes

EEFF: CIRC. SB 443/03

COMUNICACIN DE RESULTADOS

INFORME DE AUDITORIA

El informe de la auditoria de sistemasTI debe ser oportuno, objetivo, claro, preciso y ser el medio para comunicar los resultados obtenidos durante la misma.
INFORME 1. Antecedentes 2 Obj 2. Objetivos i 3. Alcance y Limitaciones 4. Metodologa 5. Resultados Hallazgos Recomendaciones

COMUNICACIN DE HALLAZGOS RESULTADOS

N Condicin Criterio Causa Efecto Recomendacin Elaborado por: Revisado por: DETALLE NIVEL RIESGO Alto Medio Bajo REF P/T REF. INFORME Si No

Fecha: Fecha:

Condicin - Los hechos encontrados en la auditoria que indican que no se cumpli con uno o ms criterios. Criterio - El marco de referencia para evaluar la situacin. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administracin, principio de contabilidad generalmente aceptado, opinin de un experto o juicio del auditor. Causa - La razn fundamental por la cual ocurri la situacin. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio.

EJEMPLO DE COMUNICACIN HALLAZGOS: c-c-c-e-r DE RESULTADOS

N 1 DETALLE Los contratos del personal del departamento de sistemas no cuenta con clusulas contractuales de Confidencialidad y Propiedad Intelectual.
CONDICION

NIVEL RIESGO Alto

REF P/T

REF. INFORME Si

Puntos 6.1.3 y 12.1.2 de la ISO 17799 Esta situacin se debe a la falta de formalizacin de un procedimiento de de contratacin que est enmarcado la Poltica de Seguridad
CAUSA CRITERIO

Se podran generar conflictos legales en caso de desvinculacin de los funcionarios y litigios respecto a la propiedad de software.
EFECTO

Se recomienda a corto y largo plazo: Incluir adendos a los contratos con clusulas de Confidencialidad y Propiedad Intelectual Formalizar e implementar una Poltica de Seguridad que tome como base la ISO 17799 o mediante una Evaluacin de Riesgos
RECOMENDACION

Elaborado por: Revisado por:

Fecha: Fecha:

EJEMPLO DE COMUNICACIN HALLAZGOS DE RESULTADOS

N 2 DETALLE Existen contrasea utilizadas inclusive con una antigedad mayores a 1 ao Poltica de Seguridad de la institucin Esta situacin se debe a una deficiencia del aplicativo que no controla la reutilizacin de las contraseas anteriores Podra generar la adivinacin de contraseas o el uso inapropiado de contraseas por parte de compaeros de trabajo Se recomienda: Pedir la modificacin del aplicativo para controlar repeticin de contraseas. Implementar una tabla de histrico de cambio de contraseas. Elaborado por: Revisado por: Fecha: Fecha: NIVEL RIESGO Medio REF P/T REF. INFORME Si

COMUNICACIN DE RESULTADOS IMPLICACIONES DE LOS HALLAZGOS RESPONSABILIDAD: (RECOMENDACIN) EJECUTIVA: Gestin deficiente o negligente . Determina el
Directorio.

ADMINISTRATIVA: Contravencin a Normas, Reglamentos

por parte de los funcionarios funcionarios, segn Reglamento Interno Interno.

CIVIL: Dao al Patrimonio de la Entidad, valuable en dinero

Determina el Juez competente

PENAL: Tipificado en Cdigo Penal

ALGUNAS HERRAMIENTAS

Estndares de ISACA
Los objetivos de los Estndares de ISACA para la Auditoria de los Sistemas de Informacin son informar:
A los auditores de los sistemas de informacin sobre el nivel mnimo requerido de rendimiento aceptable pasa cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica Profesional para los Auditores de Sistemas de Informacin. A la Gerencia y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores.

El marco de los Estndares de Auditoria

El marco de los Estndares de Auditoria: Los Estndares definen los requisitos obligatorios para la auditora y el informe de SI Las directrices brindan una gua para aplicar los estndares de auditora de SI. El auditor de SI debe considerarlas para determinar cmo llevar a cabo la implementacin de los estndares t d citados it d aqu anteriormente, t i t usar su juicio j i i profesional al aplicarlas y estar preparado para justificar cualquier desviacin de las mismas. Los Procedimientos ofrecen ejemplos de los procedimientos que deberan ser seguidos por un auditor de SI en una asignacin de Auditora. Los documentos de procedimiento brindan informacin sobre la manera de cumplir con los estndares cuando se est realizando un trabajo de auditora de los sistemas de informacin, pero no fijan requisitos.

Los estndares aplicables

010 Estatuto de Auditora 010.010 Responsabilidad y Autoridad 020 Independencia 020.010 Independencia Profesional 020.020 Relacin con la Organizacin 030 tica Profesional y Estndares 030.010 Cdigo de tica Profesional 030.020 Debido Cuidado Profesional 040 Competencia 040.010 Destrezas y Conocimientos 040.020 Educacin Profesional Continua

Los estndares aplicables

050 Planificacin 050.010 Planificacin de la Auditoria 060 Realizacin del Trabajo de Auditoria 060.010 Supervisin 060.020 060 020 Evidencia 070 Informe 070.010 Contenido y Forma del Informe 080 Seguimiento de las Actividades 080.010 Seguimiento

10

Cdigo de tica ISACA

a)Apoyar el establecimiento y cumplimiento apropiado de estndares, procedimientos y controles en los sistemas de informacin. b)Cumplir con los Estndares de Auditora de Sistemas de Informacin adoptados por la Asociacin de Auditora y Control de Sistemas de Informacin. ) Dar servicio a sus empleadores, p , accionistas, , clientes y pblico p c) en general en forma diligente, leal y honesta y no formar parte de actividades impropias o ilegales. d) Mantener la confidencialidad de la informacin obtenida en el curso de sus tareas. Dicha informacin no debe ser usada en beneficio propio ni ser entregada a terceros. e) Realizar sus tareas en forma objetiva e independiente, y rechazar la realizacin de actividades que amenacen o parezcan amenazar su independencia.

Cdigo de tica ISACA

f) Mantener competencia en los campos relacionados a la auditoria de sistemas de informacin a travs de la participacin en actividades de desarrollo profesional. g) Obtener suficiente material y documentacin de sus observaciones que le permita respaldar sus recomendaciones y conclusiones. h) I Informar f a las l partes t que correspondieren di los l resultados lt d del trabajo de auditora realizado. i) Dar apoyo a la educacin y el conocimiento de clientes, gerentes y pblico en general sobre la auditoria de sistemas de informacin. j) Mantener altos estndares de conducta y personalidad tanto en las actividades profesionales como personales.

11