Documentos de Académico
Documentos de Profesional
Documentos de Cultura
OBJETIVOS - Obtener los conocimientos necesarios para proporcionar servicios de Auditoria de Tecnologas de Informacin (TI) en conformidad con los estndares, directrices y mejores prcticas para apoyar a la organizacin a validar que su tecnologa de informacin y sus sistemas de negocios estn protegidos y controlados - Revisar el contenido del rea de procesos a auditar. - Discutir tpicos, tareas y declaraciones de conocimiento especficos dentro del rea de procesos. - Revisar casos de estudio y ejemplos prcticos.
1.1 Introduccin
La auditoria es una actividad independiente diseada para agregar valor y mejorar las operaciones de una organizacin. Ayuda a la organizacin a alcanzar sus metas mediante un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad de la administracin de los riesgos, control y gobierno de una empresa.
Nuevos problemas de control. Cambios tecnolgicos. Cambios en los procesos de negocio. Tcnicas mejoradas de evaluacin. Planeacin individual de auditora: o Comprensin general del ambiente Practicas del negocio y funciones relativas. Sistemas de informacin y tecnologa. o o o o
1.2.3.1 Pasos de la Auditoria de TI Obtener un entendimiento de la misin, objetivos, propsito y procesos del negocio. Identificar el estado del marco normativo y organizacional (polticas, estndares, directrices, procedimientos y estructura organizacional).
Evaluar el anlisis de riesgos y el anlisis de impacto a la privacidad. Desarrollar un anlisis de riesgos. Conducir una revisin de control interno. Establecer el alcance y los objetivos de la auditoria. Desarrollar el enfoque o la estrategia de auditora. Asignar los recursos de personal a la auditoria y dirigir la logstica del trabajo
de auditora.
1.2.4 Efecto de las Leyes y regulaciones sobre la planeacin de Auditoria de TI 1.2.4.1 Requerimientos regulatorios Establecimiento
Organizacin Responsabilidades Correlacin con las funciones de auditora financiera, operacionales y de TI
requerimientos externos relevantes. Revisar los documentos internos del departamento de TI que se ocupan del cumplimiento de las leyes que le son aplicables. Determinar el cumplimiento con los procedimientos establecidos.
Informar a la direccin y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores. Informar a los auditores de TI del nivel mnimo de desempeo requerido y aceptable para cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica de ISACA
Estatuto de Auditoria Independencia tica y Estndares Competencia Planeacin Desempeo del trabajo de Auditoria Reporte Seguimiento de las actividades Irregularidades y actos ilegales Gobierno de TI Uso de la evaluacin de riesgos en la planeacin de auditoria
S1. S2. S3. S4. S5. S6. S7. S8. S9. S10 S11
S1. Estatuto de auditoria Propsito, responsabilidad, autoridad y obligacin de rendir cuentas. Aprobacin. S2. Independencia Independencia profesional. Independencia organizacional. S5. Planeacin Alcance del plan de auditora de TI. Desarrollar y documentar el enfoque de auditora basado en riesgos. Desarrollar y documentar el plan de auditora. Desarrollar el programa y los procedimientos de auditora. S6. Desempeo del trabajo de auditoria
S7. Informe Identificar la organizacin, los destinatarios y cualquier restriccin. Establecer el alcance, objetivos, periodo cubierto y naturaleza del trabajo de auditora realizado. Establecer los hallazgos, conclusiones, recomendaciones y limitaciones. Justificar los resultados reportados. Debe estar firmado, fechado y distribuido de acuerdo con el estatuto de auditora o contrato. S8. Actividades de seguimiento Revisin previa de conclusiones y recomendaciones. Revisin previa de hallazgos relevantes. Determinar si la administracin ha tornado las acciones apropiadas de manera oportuna. S9. Irregularidades y actos ilcitos Considerar el riesgo de las irregularidades y actos ilcitos. Mantener una actitud de escepticismo profesional. Obtener un entendimiento de la organizacin y de su ambiente. Considerar relaciones inusuales o inesperadas. Evaluar lo adecuado del control interno. Evaluar cualquier declaracin errnea. Obtener declaraciones escritas de la administracin. Tener conocimiento de cualquier alegato, irregularidad o acto ilegal. Comunicar irregularidades y actos ilegales materiales. Tomar acciones apropiadas en caso de ver afectada su capacidad para continuar con el trabajo de auditora. Documentar comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades/actos ilegales. S10. Gobierno de TI Revisar y evaluar la alineacin de la funcin de TI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisar el estatuto de la funcin de TI acerca del desempeo esperado y evaluar su cumplimiento. Revisar y evaluar la efectividad de TI en la administracin de los recursos y del desempeo. Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la informacin, fiduciarios y de seguridad. Utilizar un esquema basado en riesgos para evaluar la funcin de TI. Revisar y evaluar el ambiente de control de la organizacin. Evaluar los riesgos que puedan afectar adversamente al ambiente de TI. S11. Uso de la evaluacin de riesgos en la planeacin de auditoria Usar tcnicas de evaluacin de riesgos en el desarrollo de todo el plan de auditora de TI.
S12. Materialidad de la auditoria El auditor de TI debera considerar la materialidad de la auditoria y su relacin con el riesgo de auditora. El auditor de TI debera considerar potenciales debilidades o ausencia de controles cuando se planea para una Auditoria. El auditor de TI debera considerar el efecto acumulativo de las deficiencias o debilidades menores y la ausencia de controles. El auditor de TI debera revelar controles ineficaces o ausencia de controles. S13. Usar el trabajo de otros expertos El auditor de TI debera considerar utilizar el trabajo de otros expertos. El auditor de TI debera evaluar y quedar satisfecho con las calificaciones, competencias, etc., de otros expertos. El auditor de TI debera analizar, revisar y evaluar el trabajo de otros expertos para determinar si su trabajo es completo y adecuado. El auditor de TI debe aplicar procedimientos adicionales de prueba para obtener evidencia suficiente y apropiada de auditora. El auditor de TI debera proveer una opinin apropiada de auditora. S14. Evidencia de auditoria Incluir procedimientos ejecutados por el auditor y sus resultados. Incluir documentos fuente, registros y evidencia o soporte de la informacin. Incluir hallazgos y resultados del trabajo de auditora. Demostrar que el trabajo de auditora realizado cumple con las leyes, regulaciones y polticas aplicables.
G16 G17 G18 G19 G20 G21 G22 G23 G24 G25 G26 G27 G28 G29 G30 G31 G32 G33 G34 G35 G36
Efecto de terceros en los controles de TI de una organizacin, efectivo el 1 Marzo 2002 Efecto de funciones ajenas a la Auditoria sobre la Independencia del Auditor, efectivo el 1 Julio 2002 Gobierno de TI, efectivo el 1 Julio 2002 Irregularidades y actos ilegales, efectivo el 1Julio 2002 Informes, efectivo 1 Enero 2003 Revisin de Sistemas de Planeacin de Recursos Empresariales (ERP), efectivo 1 Agosto 2003 Revisin Comercio Electrnico Negocio a Consumidor (B2C), efectivo 1 Agosto 2003 Ciclo de Vida del Desarrollo de Sistemas (SDLC), efectivo 1 Agosto 2003 Banca por Internet, efectivo 1 Agosto 2003 Revisin Redes Privadas Virtuales, efectivo 1 Julio 2004 Revisin de Proyectos de Reingeniera de Procesos de Negocio (BPR), efectivo 1 Julio 2004 Computacin Mvil, efectivo 1 Septiembre 2004 Cmputo Forense, efectivo 1 Septiembre 2004 Revisin Post-Implementacin, efectivo 1 Enero 2005 Competencia, efectivo 1 Junio 2005 Privacidad, efectivo 1 Junio 2005 Revisin del Plan de Continuidad del Negocio (BCP) desde la perspectiva de TI, efectivo 1 Septiembre 2005 Consideraciones General para el use de Internet, efectivo 1 Marzo 2006 Responsabilidad, Autoridad, Responsabilidad de rendir cuentas, efectivo 1 Marzo 2006 Actividades de Seguimiento, efectivo 1 Marzo 2006 Controles Biomtricos, efectivo 1 Marzo 2007
Planeamiento: Ej. Modelo Priorizador Puntaje = Exposicin x Riesgo x Factor Perdida de Confianza Exposicin (Importancia del rea/Actividad). o Activos (recursos monetarios) o Actividad (volumen de transacciones) o Visibilidad (impacto en usuarios/clientes)
10
o o o o o
Resultados de Auditorias previas Activos controlados por el sistema (tipo) Madurez del Sistema (antigedad) -Mejoras/Cambios del Sistema (volumen) Complejidad del Sistema (tipo)
Factor de Perdida = (tiempo desde ultima auditoria) Otro ej. Factores de Priorizacin: Soles
11
o o o o
Clasificacin de los controles internos Controles Preventivos Controles Detectivos Controles Correctivos
o Autorizacin para ingreso de datos o Exactitud e integridad del procesamiento de transacciones o Confiabilidad de las actividades de procesamiento de informacin Exactitud, integridad y seguridad de la informacin de salida o Integridad de la base de datos
Asegurar la identificaci6n y autenticaci6n apropiada de los usuarios de los recursos de TI. Aseguramiento de eficiencia y efectividad en las operaciones. Cumplimiento con los requerimientos de los usuarios, con las polticas y procedimientos organizacionales y con las leyes y reglamentaciones aplicables.
12
Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de continuidad del negocio y de recuperaci6n de desastres. Desarrollando un plan de respuesta a incidentes. Implementando procedimientos efectivos de administracin de cambios.
ITIL Best practices in IT service management. ISO/IEC 27001:2005 Information Security Management System. ISO/IEC TR 13335 Guidelines for the Management of IT Security ISO/IEC 15408 Evaluation Criteria for IT Security TickIT Scheme for certification of the software quality management system. NIST 800-14 Generally Accepted Principles and Practices for Securing IT Systems COSO Integrated Framework process of internal control.
1.5.5 Controles de TI
Estrategia y direccin Organizacin general y administrativa Acceso a los recursos de TI, incluyendo datos y programas Metodologas de desarrollo de sistemas y control de cambios Procedimientos de operacin Programacin de sistemas y funciones de soporte tcnico Procedimientos de aseguramiento de calidad Controles de acceso fsico
10
13
Planeacin de continuidad del negocio / recuperacin de desastres Redes y comunicaciones Administracin de la base de datos Proteccin y mecanismos de deteccin contra ataques internos y externos
14
o Seguridad (confidencialidad, integridad y disponibilidad) o Calidad (efectividad, eficiencia) o Fiduciaria (cumplimiento, confiabilidad) o Servicio y Capacidad 1.6.4.1 Procedimientos Generales de Auditoria
Conocimiento del rea/sujeto de auditoria Evaluacin de riesgo y plan general de auditoria Planeacin detallada de auditoria Revisin Preliminar del rea/sujeto de auditoria Evaluacin rea/sujeto de auditoria Pruebas de cumplimiento Pruebas sustantivas Informe (comunicacin de resultados) Seguimiento
15
Uso de software especializado para evaluar el contenido de los archivos de parmetros del sistema operativo Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas y procesos de negocio Uso de registros de auditora disponibles en los sistemas operativos Revisin de la Documentacin Observacin
o Declaracin del alcance o Declaracin de los objetivos de auditoria o Declaracin del programa de trabajo
Establecida y aprobada por la gerencia de auditoria Comunicada a todo el personal de auditoria
16
1.6.8.2 Materialidad
Un concepto de auditora con respecto a la importancia de un "tem" de informacin con respecto a su impacto o efecto sobre el funcionamiento de la entidad que est siendo auditada.
1.6.9 Evaluacin y Tratamiento del Riesgo 1.6.9.1 Evaluacin de los riesgos de seguridad
Las evaluaciones del riesgo deben identificar, cuantificar y categorizar los riesgos contra criterios para aceptacin del riesgo y objetivos relevantes para la organizacin. Deben realizarse peridicamente para ocuparse de los cambios en el entorno, los requerimientos de seguridad, en la situacin del riesgo, y cuando ocurren cambios significativos. Cada uno de los riesgos identificados en la evaluacin del riesgo necesita ser tratado. Los controles deben ser seleccionados para asegurar que los riesgos se reduzcan a un nivel aceptable.
17
Confiabilidad Disponibilidad
1.6.13 Evidencia
Es un requisito que las conclusiones del auditor deben basarse en evidencia suficiente, relevante y competente. Independencia del proveedor de la evidencia. Calificacin del individuo que provee la informacin o evidencia. Objetividad de la evidencia. Tiempo de disponibilidad de la evidencia.
1.6.15 Muestreo
Enfoques generales para muestreo de auditora: Muestreo estadstico Muestreo no estadstico Muestreo de atributos
o Media estratificada por unidad o Media no estratificada por unidad o Estimacin de la diferencia Trminos de muestreo estadstico:
Coeficiente de Confianza Nivel de riesgo Precisin Tasa de error esperada
18
1.6.16 Uso de los servicios de otros auditores y expertos Consideraciones cuando se usa servicios de otros auditores y expertos:
Restricciones sobre "outsourcing" de servicios de auditora/seguridad dispuestas por leyes y regulaciones. Estatuto de auditora o estipulaciones contractuales. Impacto general sobre objetivos especficos de auditora de TI. Impacto sobre el riesgo de auditora y responsabilidad profesional. Independencia y objetividad de otros auditores y expertos. Competencia profesional, calificaciones y experiencia. Alcance del trabajo que se propone sea dado en outsourcing y mtodo. Controles de supervisin y direccin de auditora. Mtodos y modalidades de comunicacin de resultados del trabajo de auditora. Cumplimiento con regulaciones y estipulaciones legales. Cumplimiento con los estndares profesionales aplicables.
1.6.17 Tcnicas de auditora asistidas por computador (CAAT) CAAT facilitan al auditor de TI obtener informacin de manera independiente, incluye:
Software generalizado de auditoria Software utilitario Datos de prueba Aplicaciones de software de auditora continua y en lnea Sistemas Expertos de Auditoria
19
o Desarrollar tcnicas de auditora apropiadas para ser usadas con sistemas computarizados avanzados. o Estar involucrados en la creacin de sistemas avanzados. o Hacer mayor use de las herramientas automatizadas. 1.6.18 Evaluacin de fortalezas y debilidades de la auditoria
Valoracin de la evidencia Evaluar la estructura general de control Evaluar procedimientos de control Valorar las fortalezas y debilidades de control
20
o Hechos correctos o Recomendaciones realistas o Fechas de implementacin para las recomendaciones acordadas
Tcnicas de presentacin
21
22
Combinacin de hardware y software. Uso de un sistema de reunin electrnico. Apoyo para la toma de decisiones soportadas por computador. La toma de decisiones del grupo es un componente esencial.
Enfoque CSA
Empleados empoderados /sujetos a rendicin de cuentas Mejora continua /curva de aprendizaje Extensa participacin y capacitacin de empleados Amplio enfoque en accionistas
23
Controles mnimos:
Acceso a los papeles de trabajo Pistas de auditoria Aprobacin de las Fases de Auditoria Controles de Seguridad e Integridad Respaldo y Recuperacin Encripcion y Confidencialidad
Se enfoca en el riesgo de la organizacin (para el caso de la auditora interna). Se enfoca en el riesgo de proveer una opinin de auditora incorrecta o engaosa (para el caso del auditor externo).
Procesos Tpicos:
Identificar controles clave relevantes Revisar y entender el diseo de los controles Probar que los controles clave estn soportados por el sistema de TI Probar que la administracin de los controles opera efectivamente Un informe u opinin combinada sobre riesgos y debilidades de los controles
Conductores
Mejor monitoreo de los aspectos financieros. Permite el monitoreo en tiempo real de transacciones en tiempo real. Previene fiascos financieros y escndalos de auditora. Usa software para determinar el control financiero ms apropiado.
24
Auditoria contina
Auditoria conducida. Se utiliza procedimientos de auditora automatizados.
Prerrequisitos:
Un alto grado de automatizaci6n Un proceso de produccin de informacin automatizado y confiable Alarmas "triggers" para reportar fallas en los controles Implementacin de herramientas de auditora automatizadas Rapids informacin al auditor de SI de anomalas/errores Informes automatizados de auditora en forma oportuna Habilidades tcnicas de los auditores de sistemas Disponibilidad de fuentes confiables de evidencia Adherencia a los lineamientos de materialidad Adopcin de un cambio de actitud del auditor de TI Evaluacin de los factores de costo
Ventajas
Desventajas
Dificultad en la implementacin. Alto costo. Eliminacin del juicio personal del auditor y su evaluacin.
25