P. 1
Fundamentos de Auditoria de Sistemas

Fundamentos de Auditoria de Sistemas

|Views: 7.339|Likes:
Publicado porRonald Ccalloquispe

More info:

Published by: Ronald Ccalloquispe on Apr 19, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/07/2013

pdf

text

original

Conceptos Previos Antes de una Labor de Auditoría de Sistemas

Capitulo 01

Instructor

Oscar Gómez

1

Objetivo del Seminario
Que los participantes conozcan y estén preparados para desarrollar labores de auditoria de sistemas así como de apoyo en otros tipos de auditoria, aplicando una metodología y herramientas que les permita cumplir con el objetivo de auditoria.
Instructor Oscar Gómez 2 2

Que es lo más importante que custodia TI del negocio?

La información

Instructor

Oscar Gómez

3

Que es la información del negocio?
Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada
Confidencialidad: La información debe ser accesible sólo a aquellos que se encuentren debidamente autorizados. Integridad: La información debe ser completa, exacta y válida. Disponibilidad: La información debe estar disponible en forma organizada para los usuarios autorizados cuando sea requerida. Confidencialidad

Disponibilidad

Integridad
4

Instructor

Oscar Gómez

Qué le sirve al negocio para:
• • Tomar decisiones Obtener una ventaja competitiva

Instructor

Oscar Gómez

5

Middleware

Back End

Fron End

Instructor

Middleware

Oscar Gómez

6

IMAGEN DE LA NECESIDAD DE REALIZAR UNA AUDITORIA DE SISTEMAS
PARA VERIFICACION DE CUMPLIMIENTO DE LOS OBJETIVOS DEL NEGOCIO ASÍ COMO DE DISMINUIR EL INCREMENTO DE DELITOS INFORMATICOS (FRAUDES, ROBO ELECTRÓNICO, ALTERACIÓN O MODIFICACIÓN DE PROGRAMAS, DIFAMACIÓN, ETC..., POR MEDIOS ELECTRÓNICOS) QUE HAN LLEVADO A LAS EMPRESAS A QUIEBRAS Y A PÉRDIDAS CUANTIOSAS, AFECTANDO A LOS ACCIONISTAS, CLIENTES, EMPLEADOS Y A LA PROPIA ECONOMIA NACIONAL.

MAYOR AUTOMATIZACIÓN

MAYOR DEPENDENCIA

MAYOR RIESGO

Instructor

Oscar Gómez

7

Metodologías y Fundamentos para una labor de Auditoria de Sistemas Existe una regulación internacional en materia de Auditoría de Sistemas, donde las más importantes para los profesionales en dicha labor son:
– – – – – – – COBIT (ISACA) COSO AICPA (SAS) IFAC (NIA) SAC MARGERIT EDP
Oscar Gómez 8

Instructor

Marco Conceptual
Dar los lineamientos que permita saber encontrar evidencias y riesgos en el área de TI y áreas del negocio en una labor de auditoria. Evidencia.- es el conjunto de hechos comprobados,

suficientes, competentes y relevantes que sustentan los hallazgos, comentarios y/o observaciones, conclusiones y recomendaciones del auditor.
Riesgo.- es una amenaza o acción que puede afectar

negativamente a la organización para el logro de sus objetivos, metas, etc.
Instructor Oscar Gómez 9

Marco Conceptual
Vulnerabilidad.- Es una debilidad en un sistema,

aplicación o infraestructura que lo haga susceptible a la materialización de una amenaza
Impacto.- es el conjunto medida o grado del daño

sobre un activo producto de la materialización de una amenaza.
Amenaza.- es un evento o acción no deseable que

puede afectar negativamente a la organización para el logro de sus objetivos, metas, etc.
Instructor Oscar Gómez 10

Conocimiento de la Organización a Auditar

Personal
Estructura Orgánica (Macro y Micro)

Web y Posición en el Mercado
Instructor Oscar Gómez 11

Taller 01
Partiendo del supuesto que las Auditorias de Sistemas se realizan a empresas que están debidamente organizadas y estructuradas, resuelva las siguientes preguntas: 1. ¿Cómo debería ser su estructura orgánica del Área de TI, para la empresa modelo explicado? 2. ¿Qué normas, metodologías, estándares entre otros consideran que debe tener implementada y normada el Área de TI?
Instructor Oscar Gómez 12

Solución Taller 01

Instructor

Oscar Gómez

13

Conclusiones
• • Conocimiento de la importancia de la auditoria de sistemas Existencia de metodologías para el desarrollo de una auditoria de sistemas El seminario es teóricopractico Que los participantes estén preparados para integrar equipos de auditoria
Oscar Gómez 14

• •

Instructor

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 15

Instructor

Derecho Informático

Capitulo 02

Instructor

Oscar Gómez

16

Derecho Informático
El Derecho Informático se define como un conjunto de principios y normas que regulan los efectos jurídicos nacidos de la interrelación entre el Derecho y la informática. Se puede señalar que es una rama del derecho especializado en el tema de la informática, sus usos, sus aplicaciones y sus implicaciones legales. Existe una serie de términos para el Derecho Informático como Derecho Telemático, Derecho de las Nuevas Tecnologías, Derecho de la Sociedad de la Información, Informática Jurídica, Derecho Tecnológico, Derecho del Ciberespacio, Derecho de Internet, etc.
Instructor Oscar Gómez 17

Pirámide del Kelsen

Instructor

Oscar Gómez

18

Instructor

Oscar Gómez

19

PRINCIPALES ENTIDADES EMISORAS DE NORMAS INFORMATICAS EN EL PERÚ

• Congreso de la Republica • Contraloría General de la Republica • Poder Ejecutivo y Legislativo • Presidencia del Consejo de Ministros • Indecopi • INEI (En su oportunidad) • ONGEI
Instructor Oscar Gómez 20

Normas Informáticas Generales de Aplicación para las labores de Auditoria de Sistemas

Instructor

Oscar Gómez

21

Normas Aplicables en General para Auditoria de Sistemas (Publico o Privado)
• NL19960424 Decreto Legislativo 822 Ley sobre el Derecho de Autor • NL20040720 Ley 28289 Ley de Lucha Contra La Piratería • NL20000717-Ley 27309 Ley que Incorpora los Delitos Informáticos al Código Penal • NL20010207-Ley 27419 Ley Sobre Notificación por Correo Electrónico • NL20050412 Ley 28493-Ley que regula el uso del correo electrónico comercial no solicitado (SPAM) • Contratos de TI con Terceros • Requerimientos Funcionales de las Áreas Usuarias sobre los aplicativos que se requiera a TI

Instructor

Oscar Gómez

22

Normas Aplicables como Buenas Practicas en General para Auditoria de Sistemas (Preferentemente Sector Privado)

Normas ISO COBIT ITIL CMMI PMBOK ISTQB

Instructor

Oscar Gómez

23

Similitud con la labor de un Policía de Transito

Instructor

Oscar Gómez

24

Caso 01
El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia:

Pregunta: Cual norma(s), estaría aplicando por incumplimiento? ……………………….
Instructor Oscar Gómez 25

Solución Caso 01

Instructor

Oscar Gómez

26

Conclusiones
• Conocimiento de la Estructura Normativa a través de la Pirámide de Kelsen Saber que en el Perú existen entidades emisoras de normas informáticas que deben cumplir en su mayoría las empresas del estado. Conocer las normas informáticas que se utilizaran y aplicaran según el escenario se presente
Instructor Oscar Gómez 27

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 28

Instructor

¿Qué es la Auditoría de Sistemas?
Capitulo 03

Instructor

Oscar Gómez

29

¿Qué es la Auditoría de Sistemas?
Es el examen crítico que se realiza con carácter objetivo con el fin evaluar la eficiencia y eficacia de la utilización de los recursos informáticos y de la gestión informática de un período determinado en cumplimiento de los objetivos del negocio

Instructor

Oscar Gómez

30

CARACTERISTICAS DE UNA AUDITORIA
OBJETIVA Es la medida en que considera que el auditor debe mantener una actitud inteligente, respecto de las actividades a examinar en la entidad; en función de los objetivos de auditoria. SISTEMÁTICA Y PROFESIONAL Porque responde a un proceso que es debidamente planeado y porque debe ser desarrollada por profesionales idóneos y expertos, sujetos a normas profesionales y al código de ética profesional. CONCLUYENTE Termina en un informe escrito, en cuyo contenido se presentan los resultados del examen realizado, incluyendo observaciones, conclusiones y recomendaciones.
Instructor Oscar Gómez 31

JUSTIFICACIÓN DE UNA AUDITORÍA DE SISTEMAS
• Aumento considerable e injustificado del presupuesto e inversiones del Área de Informática, sin la obtención de resultados favorables. • Desconocimiento de la alta dirección sobre la situación informática de la empresa y carece de tiempo para poder educarse en áreas técnicas • Descubrimiento de fraudes, robos, estafas electrónicos. • Falta de organización y planificación informática, que no funciona eficientemente y no genera independencia a otras áreas • Descontento de las áreas usuarios sobre las TIC implementadas • Documentación incompleta o faltante de los sistemas en explotación que limita efectuar un mantenimiento oportuno. • Evaluación y resultados de la tercerización (outsourcing) • Otras que estén debidamente justificadas.
Instructor Oscar Gómez 32

OBJETIVOS DE UNA AUDITORIA DE SISTEMAS

• Evaluar la relación costo-beneficio de las TIC implementados • Evaluar la satisfacción de las necesidades de los usuarios sobre las TIC utilizadas en la organización. • Verificación de la integridad, confidencialidad y confiabilidad de la información registrada y procesada por los sistemas de información. • Establecer la situación del área de informática, las actividades y esfuerzos realizados para el logro de los objetivos propuestos. • Verificar si existen de riesgos en el uso de tecnología de información y comunicaciones. • Evaluar las decisiones de inversión y gastos.
Instructor Oscar Gómez 33

TIPOS Y CLASIFICACIONES DE AUDITORIAS DE SISTEMAS

Instructor

Oscar Gómez

34

EL AUDITORIA DE SISTEMAS ?
 Es el profesional de ingeniería de sistemas o afín que pone a disposición de la labor de auditoria sus conocimientos de informática y experiencia profesional aplicando técnicas y herramientas según el caso lo requiera  Las actividades típicas donde el auditor de sistemas se desarrolla se pueden clasifican en:
• • • • • • • Auditoría a la Gestión del Área de Informática. Auditoría informática de sistemas Auditoría informática de explotación Auditoría informática de comunicaciones Auditoría informática de desarrollo Auditoría informática de seguridad Apoyo a los auditores no informáticos
Oscar Gómez 35

Instructor

PERFIL DEL AUDITOR DE SISTEMAS
-

(1)

Profesional de la especialidad de ingeniería de sistemas o afín Habilidad para investigar un hecho y documentar su trabajo Experiencia en el área de sistemas Conocimiento de Técnicas de Auditoria Asistido por Computadora TAAC Capacidad de trabajar con equipos multidisciplinarios Habilidad para comunicarse con las personas de las áreas auditadas Conocimientos de normatividad y procedimientos de auditoria Conocimientos de técnicas de análisis de riesgo aplicado a la auditoria de sistemas de información De preferencia con años de experiencia en auditoria Deseable contar con certificaciones de auditoria de sistemas y horas de capacitación en auditoria.

(1) Debido a la característica cambiante del ambiente del área de sistemas, producto en mucho de los casos por la continua incorporación de nuevas tecnologías, es necesario que el Auditor de Sistemas este en permanente proceso de capacitación, perfeccionamiento y actualización. Instructor Oscar Gómez 36

ROL DEL AUDITOR DE SISTEMAS (*)

• • • •

Revisar documentación de su competencia. Validar hechos que hagan daño a la Organización y estrategias para reducirlos a través de las recomendaciones. Responder al nivel de participación en una labor de auditoria. Preparar, revisar y modificar el programa de auditoria en caso de ser necesario.
Verificación y evaluación de controles
exigidos por la sociedad para reforzar su capacidad de integración (“La Enciclopedia” Salvat Editores S.A. 2004 Pag. 13521)
Instructor Oscar Gómez 37

(*) Rol.- Conjunto de funciones que definen la conducta social del individuo y que le son

Conclusiones
• • • Conocer la definición de auditoria de sistemas Tipos y clasificación de la auditoria de sistemas Conocer los objetivos y justificación de una auditoria de sistemas Conocer la importancia el rol y perfil que debe tener el auditor de sistemas
Oscar Gómez 38

Instructor

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 39

Instructor

Técnicas de Auditoria Asistido por Computadora
Capitulo 04

Instructor

Oscar Gómez

40

¿Qué son las TAAC?
• Las Técnicas de Auditoría Asistidas por Computador (TAACs), son programas de ordenador (software) que el auditor de sistemas utiliza como herramienta de auditoría durante el desarrollo de sus procedimientos establecidos en una labor de auditoría, en búsqueda de evidencias y/o riesgos. • TAACs deben ser desarrolladas en situaciones donde existe interés por aumentar la eficiencia o efectividad de la auditoría. Por ejemplo:
– Inventario remoto de hardware y software instalados – Velocidad de internet – Verificación de data almacenada en las Base de Datos de Sistemas – Trafico de la red – Entre otras
Instructor Oscar Gómez 41

OBJETIVOS
• Oportunidad para aplicar los métodos del muestreo • Verificación de la integridad de la población. • Aumento en la extensión procedimientos de auditoría • Eliminación del trabajo tedioso • Reducción en el tiempo de la auditoría • Flexibilidad
Instructor Oscar Gómez 42

de

los

CLASIFICACIÓN DE LAS HERRAMIENTAS TAAC
• Orientadas al desarrollo de los sistemas de información
– Active File Compare – Endevor – QA Run, QA File – Erwin

• Orientadas a la explotación de datos e información
– ACL – IDEA TOAD para Oracle Database SQL-ANSI de la misma Base de Datos

• Herramientas automatizadas
– Sniffers (CommView, Sniffer Pro, Lan Scan, ) – Microsoft Software Inventory Analizer - MSIA – Inventario de HW y SW (Aida32, Network Inventory Navigator, iInventory)
Instructor Oscar Gómez 43

Orientado al desarrollo de los Sistemas de Información El Active File Compare - AFC permite: •El correcto algoritmo de comparación de archivos de texto •Comparación del contenido de dos carpetas •Generación del archivo Informe de diferencias
Instructor

Oscar Gómez

44

Orientado a la explotación de Datos e Información Con ACL, el auditor puede analizar los datos desde el principio hasta el final, como:
• Planificar el proyecto • Adquirir los datos • Acceder a los datos con ACL • Verificar la integridad de los datos • Analizar los datos
Instructor • Generar reportes de los resultados Oscar Gómez 45

Herramientas Automatizadas Microsoft Software Inventory Analizer – MSIA •Es una herramienta diseñada para realizar un inventario de software clave de Microsoft •MSIA reconoce los productos más populares y comúnmente usados de Microsoft. Instructor

Oscar Gómez

46

Instructor

Oscar Gómez

47

Baseline Security Analyzer

Instructor

Oscar Gómez

48

Retina Network Security Scanner es el estándar para el análisis de vulnerabilidades. Identifica todas las vulnerabilidades de seguridad conocidas y asigna prioridades según el tipo de amenaza para su corrección.

Retina

Instructor

Oscar Gómez

49

Ejemplo 01: Validación de Tráfico de la Red con Acceso a Internet

Instructor

Oscar Gómez

50

Ejemplo 02 – AdminSecure 2007
• Actividad Global de la Seguridad Ante Ataques de Virus y Códigos Maliciosos

• Informe de Actividad por Capas Ante Ataques de Virus y Códigos Maliciosos

Instructor

Oscar Gómez

51

VENTAJAS
• Nivel reducido de riesgos en auditoría (control y muestral). • Cobertura consistente. • Ahorro de tiempos en busca de evidencias y evaluación del control interno • Algunas herramientas TAAC pueden ser utilizados por auditores que no necesariamente sean de la especialidad de sistemas
Instructor Oscar Gómez 52

de

auditoría

más

amplia

y

más

DESVENTAJAS
• • • • Ponderar un análisis costo/beneficio antes de adquirirlos o de desarrollarlos. Requerimientos sofisticados de instalación. Eficiencias de procesamientos (Pc, Server, Red) Esfuerzo que se requiera para tener la información de datos fuentes para ser analizados por las herramientas TAAC Algunas herramientas TAAC ejecutados por especialistas.
Instructor Oscar Gómez

demanda

ser

53

Conclusiones
• Las TAAC's pueden ser empleadas cuando no pueda obtenerse evidencia adecuada y suficiente con los métodos tradicionales • El auditor debe tener un comprensión profunda de las TAAC y debe saber dónde y cuándo aplicarlas. • El auditor debe considerar una combinación apropiada de técnicas de auditoría manuales y con ayuda del computador. La efectividad y los procedimientos de auditoría pueden ser mejorados mediante el uso de TAAC's
Instructor Oscar Gómez 54

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 55

Instructor

Visión General de COBIT

Capitulo 05

Instructor

Oscar Gómez

56

Que es ISACA?
• ISACA es: "Information System Audit and Control Association“. Una asociación de profesionales dedicados a la práctica de la auditoria, control y seguridad de sistemas de información, fundada en los Estados Unidos en 1967 (www.isaca.org). • En 1997 en el Perú se fundo el Capítulo 146 de ISACA, cuyo objetivo principal es brindar a sus miembros capacitación e información para mejorar sus competencias relacionados con la práctica de la auditoria, control y seguridad de sistemas de información (www.isaca.org.pe). • ISACA se ha convertido actualmente en una organización global que establece las pautas para los profesionales de auditoria, control y seguridad de sistemas de información.
Instructor Oscar Gómez 57

LATIN AMERICAN CACS – COSTA RICA - 2009

Instructor

Oscar Gómez

58

Instructor

Oscar Gómez

59

Certificaciones de ISACA?
• Certified Information Systems Auditor (Auditor Certificado de Sistemas de Información, o CISA)

• Certified Information Security Manager (Gerente Certificado de Seguridad de Información, o CISM).
Instructor Oscar Gómez 60

¿Qué significa COBIT?
• COBIT es un acrónimo formado
por las siglas derivadas de

– Control – OBjectives

• for Information
– and related Technology

Instructor

Oscar Gómez

61

¿Qué significa COBIT?
• Es un marco de referencia general para el gobierno de TI que ayuda a comprender y administrar los riesgos y beneficios asociados con TI • Es una suite de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados (Stakeholders) • Permite el desarrollo de políticas claras y de buenas prácticas para control de TI • Es un marco de referencia en constante actualización
Instructor Oscar Gómez 62

OBJETIVO DEL NEGOCIO
M1 Monitorear los Procesos M2 Evaluar lo Adecuado del Control Interno M3 Obtener Aseguramientos Independientes M4 Proporcionar Auditoría Independiente

COBIT

INFORMACIÓ N Efectividad MONITOREO
Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad

PO1 Definir un Plan Estratégico de Tecnología e Información PO2 Definir la Arquitectura de Información PO3 Determinar la dirección Tecnológica PO4 Definir la Organización y las Relaciones de las TI PO5 Manejar la Inversión en Tecnología de la Información PO6 Comunicar la dirección y aspiraciones de la gerencia PO7 Administrar Recursos Humanos PO8 Asegurar el Cumplimiento de Requerimientos Externos PO9 Evaluar Riesgos PO10 Administrar Proyectos PO11 Administrar Calidad
PLANEACIÓN Y ORGANIZACIÓN

ENTREGA Y SOPORTE

RECURSOS DE Datos TI
Sistemas de Aplicación Tecnología Instalaciones Gente

DS1 Definir Niveles de Servicio DS2 Administrar Servicios prestados por Terceros DS3 Administrar Desempeño y Capacidad DS4 Asegurar Servicio Continuo DS5 Garantizar la Seguridad de Sistemas DS6 Identificar y Asignar Costos DS7 Educar y Entrenar a los Usuarios DS8 Apoyar y Asistir a los Clientes de TI DS9 Administrar la Configuración DS10 Administrar Problemas e Incidentes DS11 Administrar Datos Instructor DS12 Administrar Instalaciones DS13 Administrar Operaciones

ADQUISICIÓN E IMPLEMENTACIÓN

Oscar Gómez

AI1 Identificar Soluciones AI2 Adquirir y Mantener Software de Aplicación AI3 Adquirir y Mantener Arquitectura de Tecnología AI4 Desarrollar y Mantener Procedimientos relacionados con TI 63 AI5 Instalar y Acreditar Sistemas AI6 Administrar Cambios

Estructura de Cobit
4 Dominios
Agrupación natural de procesos, normalmente correspondientes a un dominio o responsabilidad organizacional Series de actividades unidas con cortes naturales de control.

34 Procesos

Actividades o tareas
Instructor

Acciones necesarias para lograr un resultado medible. Las actividades tienen un ciclo de vida.

Oscar Gómez

64

Características de COBIT
• Orientación al negocio. • Alineación con estándares y regulaciones. • Basado en una revisión critica de tareas y actividades en tecnología de información. • Alineamiento con estándares de control y auditoría: COSO, IFAC, IIA, ISACA, AICPA, OECD, ISO9000-3, NIST
Instructor Oscar Gómez 65

Gobierno de IT
Estructura organizacional y conjunto de procedimientos que buscan administrar y controlar las actividades de IT para alcanzar las metas y objetivos de la empresa, añadiendo valor y administrando los riesgos. La estructura de gobierno IT debe estar inmersa en la organización y debe ser aplicada a todas las actividades y procesos de IT (Planeación, implementación, ejecución y monitoreo) Instructor Oscar Gómez 66

COBIT

Instructor

Oscar Gómez

67

Marco de Referencia Cobit
Establecer Objetivos
• IT debe estar alineada con el negocio, lo cual permitirá maximizar beneficios • Los recursos de IT son usados eficiente y responsablemente • Los riesgos relacionados con IT se administran en forma adecuada.

Proporcionar Dirección

Actividades de IT Comparar
• Aumentar la automatización (Efectividad) • Reducir costos (Eficiencia) • Manejar riesgos (Seguridad)

Medir el Desempeño
Oscar Gómez 68

Instructor

Instructor

Oscar Gómez

69

Ejemplo 01 – Dominio Planear y Organizar
El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia: Carencia de Documentación de las Pruebas que se Realiza a Productos y Soluciones de TI Durante la revisión del equipo de control se apreció la ausencia de procedimientos formales que documenten apropiadamente el plan de pruebas de nuevos productos y soluciones, así como de sus modificaciones posteriores; en cuanto a descripción de las mismas, datos a ser usados, metodología para el desarrollo de dichos pruebas, datos, casos de pruebas, script de pruebas y los resultados esperados. Pregunta: Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Instructor Oscar Gómez 70

Instructor

Oscar Gómez

71

Ejemplo 02 – Dominio Adquirir e Implementar
El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia:

Carencia de Herramientas de Modelamiento de datos Se ha observado que la Dirección de TI, no cuenta con herramientas de tecnología de información que permita realizar las actividades de Modelamiento de Datos y Elaboración de Diagramas de Entidad Relación.

Pregunta: Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Instructor Oscar Gómez 72

Instructor

Oscar Gómez

73

Ejemplo 03 – Dominio Entrega y Dar Soporte
El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia: Falta de UPS para la Operatividad del Negocio Se ha verificado que la organización cuenta con 30 servidores de red, de los cuales se han identificado que existen 7 servidores críticos que deben estar al menos operativo 3hrs cuando exista perdida de fluido eléctrico la zona, para lo cual se pudo identificar que los UPS no tienen la suficiente autonomía de carga para mantener al menos operativo 2hrs

Pregunta: Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Instructor Oscar Gómez 74

Instructor

Oscar Gómez

75

Ejemplo 04 – Dominio Monitorear y Evaluar
El equipo de control durante su labor de auditoria, pudo determinar la siguiente ocurrencia: Uso excesivo de internet con fines ajenos a los objetivos institucionales Del Log de navegación de internet registrado por el firewall se pudo determinar que los consumo de anchos de banda se vinieron y vienen dando a paginas que no tienen que ver con actividades institucionales como: -Paginas de juegos por web -Música y videos en línea -Paginas de adultos -Uso de P2P Pregunta: Cual o cuales procesos de COBIT se podrían aplicar como criterio de control?
Instructor Oscar Gómez 76

Conclusiones
• La importancia de certificaciones para labores de auditoria de sistemas • Cobit, enlaza los objetivos de control y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito • Cobit, se puede aplicar a todo tipo de organizaciones independiente de sus plataformas de TI • Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa.

Instructor

Oscar Gómez

77

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 78

Instructor

Desarrollo de una Metodología Para una labor de Auditoría de Sistemas
Capitulo 06

Instructor

Oscar Gómez

79

DEFINICION
La metodología consiste en dar a conocer las pautas y procedimientos mínimos necesarios para el desarrollo de una labor de auditoría, desde la planificación hasta la implementación de las recomendaciones emitidas en el informe de auditoría. .

Fuente: NAGU y MAGU de la CGR Estándares para la Práctica Profesional de la Auditoría Sistemas de Información de ISACA-Argentina
Instructor Oscar Gómez 80

FASES DE LA METODOLOGIA

Planeamiento Trabajo de campo Formulación del informe Seguimiento
Instructor Oscar Gómez 81

FASE 01.- PLANEAMIENTO DE AUDITORIA
Etapa 01.- Conocimiento de la Organización a Auditar

Etapa 02.- Elaboración del Plan de Auditoria

Etapa 03.- Programas de Auditoria

Etapa 04.- Aprobación del plan de auditoria

Instructor

Oscar Gómez

82

FASE 02.- DESARROLLO DE TRABAJO DE CAMPO Etapa 01.Acreditación, información instalación y solicitud de

Etapa 02.Aplicación de programas y técnicas de auditoria para la obtención de evidencias

Etapa 04.- Comunicación de hallazgos de auditoria. Etapa 05.- Evaluación de descargos y desarrollo de debilidades de control interno, observaciones, conclusiones y recomendaciones Etapa 06.- Elaboración y revisión de los papeles de trabajo
Instructor Oscar Gómez 83

FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”

01 02 03

Titulo del informe Índice Introducción 03.01 03.02 03.03 03.04 Origen Objetivo Alcance Antecedentes/Resumen del Negocio

04 05

Comentarios / Otros Aspectos de Importancia (Opcional) Observaciones 05.01 05.02 05.03 Formulación del hallazgo convertido en observación Comentarios y/o aclaraciones del personal comprendido en las observaciones Evaluación de los comentarios y/o aclaraciones presentados

06 07 08

Conclusiones Recomendaciones Anexos
Oscar Gómez 84

Instructor

FASE 04.- SEGUIMIENTO DE MEDIDAS CORRECTIVAS DE LOS INFORMES DE AUDITORIA La finalidad es determinar si la Organización a través de los funcionarios responsables implemento las recomendaciones dadas en los informes de auditoria en su oportunidad. El estado situacional de la recomendación puede ser: pendiente, en proceso o implementado. Etapa 1.- Recopilación de información. Etapa 2.- Evaluación de la documentación. Etapa 3.- Formulación de Informes de Seguimiento. Etapa 4.- Elevación de Informes de Seguimientos
Instructor Oscar Gómez 85

Conclusiones
• Conocer una metodología general para la labor de auditoria. • Las estructuras de los informes de control respetan una estructura • No todas las organizaciones tienen oficinas de auditoria interna que permitan realizar seguimiento a las recomendaciones
Instructor Oscar Gómez 86

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 87

Instructor

Desarrollo de Casos Aplicando la Metodología Para una labor de Auditoría de Sistemas
Capitulo 07

Instructor

Oscar Gómez

88

Caso Práctico
• En la entidad financiera ABC, se va ha realizar la auditoria de sistemas a la Dirección de Tecnologías de Información del período 2008-2009. Por la Sociedad de Auditoria XYZ. Para lo cual todos somos miembros del equipo de control por la magnitud de la Entidad Financiera • Por lo que se le pide al equipo de control preparar el Plan de Auditoria de Sistemas a ser ejecutado en el trabajo de campo.
Instructor Oscar Gómez 89

Lo más importante…
• El equipo de control debe tener bien claro el objetivo general de auditoria • Para este caso es:? ……. • Auditoria de Sistemas, a la Dirección de TI de la Entidad Financiera ABC, Período 20082009
Instructor Oscar Gómez 90

FASE 01.- PLANEAMIENTO DE AUDITORIA
Etapa 01.- Conocimiento de la Organización a Auditar Etapa 02.- Formulación de los objetivos específicos en relación al objetivo general de la Auditoria Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar Etapa 04.- Desarrollo del cronograma de auditoria Etapa 05.- Aprobación de la formulación del plan de auditoria
Instructor Oscar Gómez 91

Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar

Instructor

Oscar Gómez

92

Estructura Orgánica de la Dirección de TI de la Entidad Financiera
Dirección de TI

Jefatura de la PMO

Jefatura de Seguridad de la Información

Subdirección de Desarrollo y Soluciones de TI

Subdirección de Aseguramiento de la Calidad

Subdirección de Operaciones

Jefatura de Aplicaciones de Negocio

Jefatura de Aplicaciones Administrativas

Jefatura de Calidad

Jefatura de Certificación

Jefatura de Data Center

Jefatura de Help Desk

Jefatura de Telecomunicaciones

Instructor

Oscar Gómez

93

Fase 01 - Etapa 02.- Formulación de los objetivos específicos en relación al objetivo general de la Auditoria
Objetivo General Objetivos Específicos
Evaluar el licenciamiento de software Evaluar las adquisiciones y contrataciones del Área Evaluar los sistemas de información

Auditoria de Sistemas a la Dirección de Tecnologías de Información de la Entidad Financiera ABC, Período 20082009

Evaluar cumplimiento de la normatividad Evaluar la Seguridad de la Información Determinar el cumplimiento de planes de TI Evaluar el Data Center y Data Center Alterno Evaluación de los proyectos informáticos Evaluar el cableado de data y eléctrica de la red Evaluación de la satisfacción de la áreas usuarias

Instructor

Oscar Gómez

Evaluación de la Tercerización

94

Fase 01 - Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar Los programas de auditoria, son procedimientos que comprenden una relación lógica, secuencial y ordenada que deberán ser aplicados por el equipo de auditoria a efectos de obtener evidencias suficientes, competentes y relevantes, necesarias para alcanzar el logro del objetivo(s) de auditoria. Estructura: • Un objetivo especifico • Alcance (área(s) y periodo de control) • Criterios a aplicar (normatividad afecta) • Personal encargado del desarrollo • Requerimiento de recursos necesarios • Un cronograma de ejecución • Procedimientos específicos (detallados)
Instructor Oscar Gómez 95

Fase 01 - Etapa 03.- Formulación de los Programas de Auditoria para los objetivos específicos a desarrollar

Ejemplo: Programa de Auditoría para evaluar Sistemas de Información

Instructor

Oscar Gómez

96

Definición de Cuestionario
• Un cuestionario es un instrumento de investigación que se utiliza para el desarrollo de una investigación en el campo de las ciencias sociales; es una técnica ampliamente aplicada en la investigación de carácter cualitativa. • El cuestionario es "un medio útil y eficaz para recoger información en un tiempo relativamente breve" que tiene como objetivo buscar un fin determinado. En su construcción pueden considerarse preguntas cerradas, abiertas o mixtas. Su construcción, aplicación y tabulación poseen un alto grado científico y objetivo.
Instructor Oscar Gómez 97

SUPUESTOS DE CUESTIONARIO El uso de cuestionarios en investigación supone que • El investigador debe partir de objetivos de estudio perfectamente definidos • Cada pregunta es de utilidad para el objetivo planteado por el trabajo. • El investigador debe estructurar las preguntas teniendo en mente siempre los objetivos del trabajo. • El que contesta está dispuesto y es capaz de proporcionar respuestas fidedignas
Instructor Oscar Gómez 98

CUATRO PREGUNTAS CLAVE. CUESTIONARIO

• 1. ¿De cuánto tiempo disponen quienes responderán para contestar el cuestionario? • 2. ¿Cuánto tiempo tiene el investigador para editarlo, presentarlo, aplicarlo, codificarlo, procesarlo y analizarlo? • 3. ¿Qué tan dispuestos están para responder quienes van a contestar? • 4. ¿Cuánto costará su aplicación?
Instructor Oscar Gómez 99

Tipos de Preguntas de Aplicación en los Cuestionarios
Preguntas Cerradas?

Preguntas Abiertas?

Instructor

Oscar Gómez

100

Tipos de Preguntas de Aplicación en los Cuestionarios
Preguntas x Rango?

Preguntas, Varias
Fuente: Guía para la implementación de un SCI para Entidades del Estado (CGR) Instructor Oscar Gómez 101

Ejemplo de Estructura de Cuestionarios

Ejemplo
Instructor Oscar Gómez 102

Fase 01 - Etapa 04.- Desarrollo del cronograma de auditoria Formular el tiempo que demoraría la labor de control, cuando se tenga en forma completa los procedimientos a aplicar para cada objetivo, el cual es recomendable que no exceda de 3 meses

Ejemplo:

Instructor

Oscar Gómez

103

Desarrollo del Cronograma para la Auditoria de Sistemas a la Dirección de Tecnologías de Información de la Entidad Financiera ABC, Período 2008-2009

Instructor

Oscar Gómez

104

Fase 01 - Etapa 05.- Aprobación de la formulación del plan de auditoria Nuestro plan de auditoria para ser aprobado, deberá tener: • Un objetivo general claramente establecido • Un alcance de la labor de control • Objetivos específicos bien determinados • Programas de auditoria para los objetivos específicos • Relación de Recursos Humanos requeridos • Cronograma de ejecución y control • Detalle de los recursos logísticos necesarios
Instructor Oscar Gómez 105

Conclusiones
• En base a la aplicación de la metodología el equipo de control puede realizar en forma planificación de control. • Las preguntas de un cuestionario deben ser formuladas en función al objetivo que se defina alcanzar. • La información recepcionada de los CCI deben permiten aportar indicios casi razonable para el cumplimiento del objeto de auditoria.
Instructor Oscar Gómez 106

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 107

Instructor

Formulación de Hallazgos, Observaciones, Conclusiones y Recomendaciones
Capitulo 08

Instructor

Oscar Gómez

108

Desarrollo de un Objetivo de Auditoria
En cada objetivo especifico de control los auditores responsables, deben tener claro que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una labor de auditoría. Programa de Auditoria (PA) Evidencias y/o Riesgos La aplicación del PA, con en TI los RRHH adecuados bajo del RRHH los criterios de control Objetivo XYZ Negocio Asignados adecuados, bajo un tiempo para los determinado va permitir Hallazgos encontrar las ….. Criterios de Control y Soporte Logístico
Instructor Oscar Gómez 109

FORMULACION DE HALLAZGOS DE AUDITORIA

Instructor

Oscar Gómez

110

¿Qué son los Hallazgos de Auditoría? Los Hallazgos de Auditoría, son el resultado de la comparación realizado entre un criterio y la situación encontrada (pasada y/o actual) durante el desarrollo de la labor de auditoria. Es toda información que a juicio del auditor le permite identificar hechos o circunstancias importantes que inciden en la gestión del área en cumplimiento de sus objetivos, y que por su naturaleza merecen ser comunicadas posiblemente en el informe de auditoría.
Consultar: NAGU de la CGR y Normas de ISACA
Instructor Oscar Gómez 111

CONDICIÓN
“LO QUE ES”

ELEMENTOS DEL HALLAZGO DE AUDITORÍA CRITERIO CAUSA
“LO QUE DEBE SER” “POR QUÉ OCURRIÓ”

EFECTO

“DIF: LO QUE ES/ DEBIÓ SER”

Es la situación actual encontrada por el auditor al examinar una actividad, área o transacción. Formas: *Los criterios no vienen lográndose en forma satisfactoria *Los criterios no se logran *Los criterios se están logrando parcialmente

Comprende la norma con la cual el auditor mide la condición. Puede ser la meta, que se está logrando alcanzar Los criterios pueden ser: * Disposiciones aplicables a la entidad: Leyes, reglamentos, normas, Manuales. * Metodologías, estandares

Es la razón básica, por la cual ocurrió la condición, o el motivo de incumplimiento del criterio. El simple incumplimiento no es suficiente. Características: * Inadecuada segregación de funciones, * Carencia de personal, * Falta de honestidad, * Insuficiente capacitación, * Desconocimiento normas * Insuficiente supervisión del desarrollo de tareas

Constituye el resultado adverso o potencial de la condición encontrada. A veces representa la pérdida monetaria. Uso antieconómico Pérdida de ingresos, Gastos indebidos, Controles deficiente, Informes inexactos,

Instructor

Oscar Gómez

112

Estructura de un Hallazgo
Sumilla.- Se refiere al titulo que se utiliza el hecho observado. Condición.- Descripción de la situación irregular o deficiencia hallada, cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control que regulan el accionar de la entidad examinada. Causa.- Es la razón fundamental por la cual ocurrió la condición, o el motivo por el que no se cumplió el criterio o norma. Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa, que ocasiono(a) la condición.
Instructor Oscar Gómez 113

Ejemplo 01

Evaluación de la funcionalidad de un Sistemas de Información

Instructor

Oscar Gómez

114

Diferencia entre una Observación y un Hallazgo

• Un hallazgo, es una debilidad, delito y/o deficiencia encontrada durante la fase de trabajo de campo. • Una observación, es un hallazgo no superado durante la etapa de evaluación de descargos que comprende a los responsables del hallazgo, la cual es puesto en el informe de auditoria.
Instructor Oscar Gómez 115

Que se refleja en un informe de auditoria?
RECOMENDACIÓN CONCLUSIÓN OBSERVACIÓN

Efecto

Causa

Evidencia y/o Riesgo

Criterio

Quien respalda el informe de auditoria?
Instructor Oscar Gómez 116

Los papeles de trabajo de la labor de auditoria

Formulación de Observaciones, Conclusiones y Recomendaciones
• Definición de Observación, Conclusión y Recomendación • Estructura de una Observación, Conclusión y Recomendación • Diferencia entre una Observación y un Hallazgo • Ejemplos de aplicación • Conclusión
Instructor Oscar Gómez 117

La Observación
• Las observaciones son el resultado de la aplicación de los procedimientos de auditoria en la fase de trabajo de campo a través de la evaluación y contrastación de los hallazgos comunicados y no superado con los correspondientes comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, con la documentación y evidencia sustentada. Las observaciones se refieren a hechos o situaciones de carácter significativo y de interés para la organización.
Instructor Oscar Gómez 118

Estructura de la Observación
• • • • • 01 Sumilla.- Es el título o encabezamiento que identifica el asunto materia de la observación 04 Elementos (condición, criterio, efecto y causa) Comentarios y/o aclaraciones del personal comprendido en las observaciones Evaluación de los comentarios y/o aclaraciones presentados Un número asignado en forma secuencial con el que será puesto en el informe.
Oscar Gómez 119

Instructor

Estructura de la Observación, Conclusión y Recomendación • La conclusión.- Es el juicio de carácter profesional que reflejara el auditor, basados en la(s) observacion(es) correspondientes. • La recomendación.- Es la formulacion preferentemente de orientación constructiva para propiciar el mejoramiento de la gestión, se formulan siguiendo el orden jerárquico de los funcionarios responsables de implementarlos. Basado en las observaciones y conclusiones correspondientes.
Instructor Oscar Gómez 120

Relación entre observación, conclusión y recomendación
• Observación N° 01 “…………………………………...” • ………………………………………………………………...... • …………………………. • • • • Conclusión N° 01 ………………………………………………………………...... ………………………………………………………………...... …………………………….(Observación N° 01)

• Recomendación N° 01 • ………………………………………………………………….. Oscar Gómez • Instructor ……………………………………………..(Conclusión N° 121 01)

Ejemplo 02: Formulación de la Observación, Conclusión y Recomendación

SIGUIENDO EL CASO DEL HALLAZGO DEL APLICATIVO “CORE”

Instructor

Oscar Gómez

122

Conclusiones
• Lo mas importante en el desarrollo de trabajo de campo es poder y saber encontrar hallazgos y que estos esten debidamentes sustentados • Los hallazgos deben haber tenido un gran impacto en el que hacer del Negocio. • Las hallazgos son la escencia/base para la formulación del informe de auditoria • El equipo de auditoria deberá determinar y clasificar la importancia en la que se presentaran los hallazgos al supervisor de auditoria • Los hallazgos deben ser comunicados a los responsables
Instructor de Sistemas Auditoría Expositor: Oscar Gómez Ing. Oscar Gómez Marín 123 123

Conclusiones
• Tomar conocimiento de la importancia en la formulación de las observaciones de auditoria y que estas se formulan a través de hallazgos no superados. • Saber que siempre debe existir una relación entre la observación, conclusión y recomendación. • En los casos que se justifique, las observaciones irán acompañada de anexos en el informe de auditoría
Instructor Oscar Gómez 124

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 125

Instructor

Formulación de Informes

Capitulo 09

Instructor

Oscar Gómez

126

FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”

01 02 03

Titulo del informe Índice Introducción 03.01 03.02 03.03 03.04 Origen Objetivo Alcance Antecedentes / Resumen del Negocio Formulación del comentario (condición, “causa”, efecto) Evaluación del comentario formulado Formulación del hallazgo convertido en observación Comentarios y/o aclaraciones del personal comprendido en las observaciones Evaluación de los comentarios y/o aclaraciones presentados

04

Comentarios / Otros Aspectos de Importancia (Opcional) 04.01 04.02

05

Observaciones 05.01 05.02 05.03

06 07 08

Conclusiones Recomendaciones Anexos, Cuadros, Gráficos
Instructor Oscar Gómez 127

Ejemplo 01
• En base al objetivo general de control: • Así como del conocimiento de la Entidad a Auditar y • Con la relación de observaciones, conclusiones y recomendaciones que se tenga después de la aplicación de los programas de auditoria estos serán adicionados al informe de auditoria según la estructura señalada
Instructor Oscar Gómez 128

Desarrollo de ejemplo 01

Instructor

Oscar Gómez

129

Conclusiones
• El informe de auditoria, es el documento que se presentara a la Alta Dirección para la toma de decisiones sobre las recomendaciones y sobre los hechos observados en ella. • El informe de auditoria deberá contener hechos significativos y representativos que ocurrieron bajo el período de control.
Instructor de Sistemas Auditoria Ing. Oscar Gómez Marin Oscar Gómez 130 130

Preguntas ..?
• • • • • • ……. ……. ……. ……. ……. …….
Oscar Gómez 131

Instructor

Muchas Gracias
Ing. Oscar Gómez Marin ogomez@ciplima.org.pe ogomezm@hotmail.com Celular 995382424 RPM #719749
Instructor Oscar Gómez 132

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->