Auditoria de Sistemas IS-547 Ingeniera de Sistemas

AUDITORA DE SISTEMAS E INFORMATICA

SEM 7

PLANIFICACION DE LA AUDITORIA Para realizar una planificacin de auditora, el auditor de SI debe: 1. Lograr un entendimiento del propsito, objetivos, procesos y tecnologa del negocio, as como los requerimientos de procesamiento como disponibilidad, integridad y seguridad y los requerimientos de la arquitectura de la informacin. 2. Realizar un anlisis de riesgo 3. Llevar a cabo una revisin del Control Interno 4. Establecer el alcance y objetivo de la auditora 5. Desarrollar un enfoque de auditora o estrategia de auditora 6. Asignar recursos para auditar y los requerimientos logsticos. LEYES Y REGULACIONES Requerimientos reguladores Constitucin Organizacin Responsabilidades Correlacin con las funciones de la auditora financiera, operativa y de TI NORMAS Y DIRECTRICES DE ISACA PARA LA AUDITORA DE SI Normas de ISACA para la Auditora de SI Directrices de ISACA para la Auditora de SI Cdigo de tica Profesional de ISACA OBJETIVOS DE LAS NORMAS DE AUDITORA DE ISACA PARA SI Informar a la Gerencia y a las partes interesadas, acerca de las expectativas de la profesin respecto al desempeo de quienes participan en esta actividad Informar a los Auditores de Sistemas de Informacin cul es el mnimo nivel de desempeo aceptable, requerido para cumplir las responsabilidades profesionales fijadas en el Cdigo de tica Profesional de ISACA. Estndares 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. aplicables a la Auditoria de Sistemas Estatuto de Auditora Independencia tica Profesional y Estndares Competencia Planificacin Realizacin del Trabajo de Auditora Informe Seguimiento de las Actividades Irregularidades y Actos Ilegales Gobierno de TI Empleo de evaluacin de riesgo en planificacin de auditora

Definicin de auditora Proceso sistemtico por el cual una persona independiente y competente, de manera objetiva obtiene y evala evidencia respecto a las aseveraciones sobre una entidad, o un evento de tipo econmico, con el propsito de formarse una opinin e informar acerca del grado hasta el cual la aseveracin se aproxima a un determinado conjunto de normas. Normas, Metodologas , Legislaciones aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Informacin podemos encontrar: Information System an Audit Control Association- ISACA: British Estndar Institute: BS

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

International Standards Organization : Normas ISO Departamento de Defensa de USA: Orange Book /Common Criteria Sarbanes Oxley Act, HIPAA Act

Clasificacin de las auditoras: Financieras: Determinar la correccin del estatus o registros financieros Operativas: Evaluar la estructura de control interno de un proceso o rea determinada Integradas: Auditoria Financiera + Auditora Operativa (Pruebas de cumplimiento y pruebas sustantivas Administrativas: Eficiencia de la productividad operativa Sistemas de Informacin: Aquella que salvaguarda adecuadamente los activos para mantener la integridad de datos, del sistema a fin de proveer informacin relevante Definicin de la auditora de SI La auditora de SI es el proceso de recopilar y evaluar evidencia, para determinar si los sistemas de informacin y los recursos relacionados, adecuadamente protegen los activos, mantienen la integridad de los datos y de los sistemas, proveen informacin relevante y confiable logran las metas organizacionales, utilizan eficientemente los recursos, y cuentan con controles internos vigentes que brindan una seguridad razonable de que se cumplirn los objetivos operativos y de control, y que se evitar, o detectar y corregir, de manera oportuna, cualesquier eventos indeseables. Procedimientos generales de auditora Conocimiento del rea / tema de la auditora Evaluacin del riesgo y plan general de la auditora Planeamiento detallado de la auditora Revisin preliminar del rea / tema de la auditora Pruebas de Cumplimiento Comprobar que los controles funcionen, si estn definidos los resultados de estas pruebas permiten al auditor extender a pruebas sustantivas, Por ejemplo: Si las versiones fuente y objeto son las mismas Pruebas Sustantivas Evala la integridad de las transacciones individuales de datos. Revisin cuantitativa, por ejemplo: Pruebas de Caja Blanca Metodologa / Estrategia de Auditora Declaracin del alcance Declaracin de los objetivos de la auditora Declaracin del programa de trabajo Fases tpicas de la auditora Objetivos de control Objetivos de auditora Diferencia entre los objetivos de control y los objetivos de auditora o Saber que controles estn funcionado, a fin de minimizar los riesgos del negocio, y Asegurar el cumplimiento de requisitos legales Como es que un control funcionar o Como es que un control debe funcionar para minimizar el riesgo y que las cosas se hagan segn indique la norma Riesgo de auditora y materialidad Se aplica un enfoque de auditora basado en el riesgo, para evaluarlo y ayudar al auditor de SI a decidir si realiza pruebas de cumplimiento o pruebas sustantivas. Enfoque basado en el riesgo nfasis en el conocimiento del negocio y de la tecnologa Centrado en evaluar la eficacia de la combinacin de los controles

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

Asocia la evaluacin del riesgo con las pruebas orientadas a los objetivos de control Enfoca la entidad desde una perspectiva gerencial

1. Reunir informacin y Planificar Conocimiento del negocio Informacin del ao anterior Leyes Regulatorias Riesgos inherentes 2. Lograr entender el control interno Ambiente de control Procedimientos de control Control del riesgo 3. Efectuar Pruebas de Cumplimiento Comprobar las polticas y procedimientos Comprobar segregacin de funciones 4. Efectuar Pruebas Sustantivas Procedimientos analticos 5. Concluir la Auditoria GESTION ADMINISTRATIVA: 1- Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que est estructurado tanto desde del punto de vista organizacional y administrativo, as como el organigrama, nmero y distribucin de empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la utilizacin del sistema informtico. 2- Verificar si se ha diseado un manual de organizacin y funciones a ser aplicado a los y por los usuarios del rea de informtica. 3- Verificar si las contrataciones del personal del rea de informtica se han realizado con base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto. 4- Verificar si la administracin provee oportunamente los recursos necesarios para la adquisicin del software actualizado para la proteccin de los sistemas informticos. 5- Verificar si la administracin promueve la capacitacin y adiestramiento constante del personal del rea de informtica. 6- Verificar si la administracin ha establecido polticas claras con respecto a la adjudicacin de claves de acceso a las bases de datos. 7- Verificar que las instalaciones donde labora el personal del rea de informtica estn adecuadas a las necesidades y no representen peligro para los empleados. GESTION INFORMATICA: 1) Examinar la informacin preliminar correspondiente al rea de informtica, la cual puede ser: a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informtico. Se verificar si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del rea de informtica y los horarios en los cuales, han utilizado el equipo del centro. Tambin se solicitar informacin correspondiente a si se ha realizado en otras ocasiones auditoras al sistema informtico. b) Externa: Conocimiento e identificacin de los usuarios del rea de informtica, as como de los proveedores de materiales y accesorios y otros clientes.
3

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

2) Conocimiento de las instalaciones fsicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relacin al rea de informtica y la ubicacin de sucursales, en caso de que tambin utilicen dicho sistema. 3) Verificar si los programas utilizados dentro de la entidad han sido diseados especficamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad. 4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informticos. 5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informticos. 6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciacin del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja. 7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello ser necesario contratar a un perito programador, para que efectue las pruebas correspondientes. 8) Verificar si el software tiene las licencias correspondientes. 9) Verificar quienes estn autorizados para realizar modificaciones a los sistemas informticos y quien autoriza cada una de estas modificaciones. 10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informticos, verificar si existe algn documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de manera verbal. 11) En el caso de que exista el registro de las solicitudes de cambios mencionados en el punto anterior, realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya autorizado. 12) Verificar quien es el responsable de autorizar los niveles de jerarqua y niveles de acceso a utilizar dentro del sistema y si existe algn registro escrito por medio del cual se hayan emitido dichas autorizaciones. 13) Verificar si en la entidad se han establecido polticas con respecto a la creacin de respaldos de la informacin ms importante, cuyo dao pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anmalas dentro del sistema informtico. 14) Verificar si existen procedimientos y polticas en cuanto a la seguridad y proteccin del personal que trabaja como usuario de los sistemas informticos de la entidad. 15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no deberan acceder. METODOS APLICABLES PARA SU DOCUMENTACION: A) DESCRIPTIVO La documentacin utilizada durante la auditora, ser en primer lugar de tipo descriptiva o sea basada en la narracin verbal de los procedimientos, la cuales son conocidas como cdulas narrativas.

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

B) CUESTIONARIO En segundo lugar, los procedimientos se documentarn a travs de la preelaboracin de preguntas, contestadas personalmente por los lderes de la empresa o por el personal encargado de los sistemas informticos y por algunos usuarios dentro de la empresa que tenga relacin con el mismo.. PLANEACION DETALLADA Cuyo lema se basa en la individualizacin tcnica de los procedimientos a ejecutar as como las consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los siguientes apartados:

1)

Objetivos: Al obtener una clara comprensin del negocio, se fijan las metas tanto a corto plazo como la general que se espera alcanzar al ejecutar la auditora; se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva. Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informtico, en secciones manejables, facilitando con ello el anlisis integral y exhaustivo, con el propsito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informtico. a. Primera descomposicin: Hardware, software, personal, instalaciones elctricas, seguridad. b. Segunda descomposicin o detalle: Computadores, perifricos, software de uso general, software de uso especfico, personal del rea de informtica, usuarios del sistema informtico, red elctrica, seguridad fsica de los sistemas informticos, seguridad lgica del sistema, seguridad del personal, seguridad de la informacin y las bases de datos, seguridad en el acceso y uso del software, seguridad en la operacin del hardware, seguridad en las telecomunicaciones. c. Tercera descomposicin: Las reas de mayor riesgo, son descompuestas en sus subdivisiones ms significativas, por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las polticas institucionales en cuanto a su uso y aplicacin.

2)

d. Cuarta descomposicin: Esta ltima se refiere al examen propio de cada una de las reas especficas, con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informtico, estos casos requerirn su validacin. 3) Comparaciones: Se establecern comparaciones sobre el actual funcionamiento de los sistemas informticos y las especificaciones de sobre como deberan funcionar, para establecer si se les est dando el uso adecuado y si se est obteniendo los mximos resultados de la aplicacin de dichos sistemas. Generacin de detalles peridicos: Algunas reas sern analizadas por perodos, con el fin de verificar su desarrollo a travs del tiempo, en cambio, habr otros que por su naturaleza, se pueden analizar en un momento fijo y que pueden generalizarse a diversos perodos, para ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuacin inmediata, se generarn reportes intermedios hacia la gerencia, con el fin de que sean buscados los correctivos correspondientes de manera inmediata. Examen documental: se consolida como la base de la auditora y el enlace entre la investigacin y la emisin de una opinin e informe, la inspeccin de los
5

4)

5)

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

documentos anexos a cada operacin del sistema informtico, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones. 6) Margen de Importancia: Dentro de este apartado, se deben analizar y sealar aquellos conceptos cuyo impacto de su inclusin, exclusin o revelacin textual pueda modificar la opinin sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informticos. Riesgos: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de los sistemas informticos; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera: a. Riesgo Inherente: Asociado con la generacin de estimaciones sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como eventos presuntos, su anlisis parte de la naturaleza del negocio, naturaleza de los sistemas de control de informacin, de los mismos sistemas informticos y otros. b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los mtodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. c. Riesgo de Deteccin: Vinculado directamente con la funcin de auditora, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberan ser visualizadas.

7)

8)

Elaboracin de cuestionario de control interno: Para conocer el funcionamiento del departamento de informtica dentro de la entidad, se disear un cuestionario de control interno, en el cual se harn en su mayora preguntas cerradas, con en propsito de conocer las actividades a las cuales se dedica la institucin, quienes las efectan, en que momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirn en su conjunto para la realizacin de la correspondiente planilla de decisiones preliminares y el programa de auditora. Planilla de decisiones preliminares: En este documento, luego de obtener los resultados del cuestionario de control interno, se establecer el tipo de riesgo (alto, medio o bajo) que tiene cada una de las operaciones que se realizan a travs de los sistemas informticos, y con base en ellos se podr establecer la profundidad con la que se examinarn cada uno de los rubros que componen dicha rea.

9)

10) Elaboracin del programa de auditora: Con posterioridad al conocimiento general del negocio y a la evaluacin del control interno adoptado, se dejar constancia documental de los pasos a seguir en las diferentes reas involucradas, las tareas programadas, quedan plasmadas en una gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y comprobacin de la misma. Dentro de ellos se hace mencin a los pasos, enfoques, oportunidades, volmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a efectuar. Es importante mencionar que este no se caracterizar por su naturaleza inflexible, por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios de la investigacin.

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

11) Verificacin de generalidades concernientes a los documentos emitidos. 12) Anlisis y validacin de los documentos anexados que soportan las adquisiciones de bienes y servicios a utilizarse por los diversos usuarios del sistema informtico. 13) Conocimiento sobre controles de inventarios o la ausencia de los mismos con respecto a los bienes del rea de informtica. 14) Verificacin documental y fsica de las adquisiciones de bienes del rea de informtica. 15) Elaboracin de cdulas narrativas por los procedimientos alternos efectuados cuya documentacin no se refiere a papeles de clculo, anexos proporcionados por el contribuyente o por terceros. 16) Documentacin adecuada de hallazgos. 17) Rendimiento de informes parciales o previos, ante la deteccin de errores cuyo impacto sea relevante, con firma y fecha de recibidos, como constancia de divulgacin oportuna. 18) Adicin de notas oportunas sobre la atencin u omisin de las observaciones a que se refiere el apartado anterior. 19) Preparacin del informe final de auditora, con copia para los encargados del sistema de informtico del negocio. Nota: Toda la metodologa y procedimientos detallados, no inhiben de sostener reuniones peridicas o eventuales con la administracin, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuar de forma escrita como constancia de realizado. RECURSOS A UTILIZAR EN LA AUDITORIA HUMANOS Auditor Auditores auxiliares Programador analista Especialista en redes informticas

MATERIALES Folders Papel Bond Combustibles Lapiceros Computadoras TIEMPO Estimar el tiempo segn la naturaleza y de acorde a lo que se va a auditar. Ejm: Se espera realizar la auditora al sistema conformado de 40 computadoras conectadas en red en un tiempo probable de 10 das.