21/11/2014

Programa de Certificacin para

Auditores Internos
Gubernamentales y Municipales

Buenas prcticas:
Auditora en Sistemas
Informticos

Lic. Guillermo de Len Sosa

Auditor en Sistemas Informticos
gdeleons@contraloria.gob.gt
Guatemala, 21 de noviembre 2014

AGENDA PROPUESTA
Conceptos

Metodologa en UAGSI

Auditora de Sistemas Informticos

Modelos de buenas prcticas

Certificacin

1
 21/11/2014

Conceptos

La Carta Iberoamericana de Gobierno Electrnico,

establece:
Es eluso de las TIC en los rganos de la Administracin para
mejorar la informacin y los servicios ofrecidos a los
ciudadanos,

orientar la eficacia y eficiencia de la gestin pblica e

incrementar sustantivamente la transparencia del sector pblico y

la participacin de los ciudadanos (sector pblico, civil y

empresa)
(Punto 3 Concepto de Gobierno Electrnico).

Santiago de Chile, 10 de noviembre de 2007

2
 21/11/2014

Educacin Redes
Legislacin
Contenidos

l t u
u
Accesibilidad r Mercado

C a
Servicios
Conectividad Transaccionales Observatorio
en lnea

Comunicacin Gobierno Sociedad Empresas Academia

Auditora es el examen crtico y metodolgico que realiza una persona o

grupo de personas independientes del sistema auditado, que puede ser una persona,
organizacin, sistema, proceso, proyecto o producto.

FUENTE: http://es.wikipedia.org/wiki/Auditor%C3%ADa

3
 21/11/2014

Informtica
Procesamiento automtico de informacin mediante dispositivos electrnicos
y sistemas computacionales. Los sistemas informticos deben contar con la
capacidad de cumplir tres tareas bsicas: entrada (captacin de la informacin),
procesamiento y salida (transmisin de los resultados).

Pensamiento Memoria Comunicacin

Auditora Informtica, Evala los sistemas de

informacin, para medir la conveniencia y capacidad de los
recursos tecnolgicos asignados, para la optimizacin de los
procesos de informacin y toma de decisiones de los entes
pblicos y la sostenibilidad de los mismos.

FUENTE: www.contralora.gob.gt/i_docs/i_mcag.pdf
Marco Conceptual, Sistema de Auditora Gubernamental

4
 21/11/2014

Es el alineamiento de las Tecnologas de la informacin y la Comunicacin (TI) con

Gobierno de TI la estrategia del negocio para obtener gobernabilidad (autosostenibilidad, utilidades)

Ofimtica,

Automatizacin de oficinas,
conjunto de tcnicas, aplicaciones y herramientas
informticas que se utilizan en funciones de oficina

Permite idear, crear, manipular, transmitir, o

almacenar, la informacin necesaria en una oficina.

Actualmente es fundamental que las oficinas estn

conectadas a una red local o a Internet.

5
 21/11/2014

Gobierno TI
Gobierno
(Tecnologas de
electrnico
Informacin)

Sistema

OBJETIVO

INTER INTER INTER

SISTEMA
DEPENDIENTES RELACIONADOS ACTUANTES

6
 21/11/2014

Elementos bsicos

Entrada Proceso Salida

Jerarqua cognitiva
Sabidura

Conocimientos

Informacin

Dato

7
 21/11/2014

Imgenes

Fotos

Textos

Sonidos

Videos

Caractersticas de la informacin
Completa

Accesible Exacta

Reutilizable Veraz

Oportuna

8
 21/11/2014

Metodologa

Acuerdo A-26-2005
Con fundamento en el artculo 232 de la Constitucin Poltica
de la Repblica de Guatemala; los artculos 4, literal a) y 13
literal g) del Decreto nmero 31-2002 del Congreso de la
Repblica, Ley Orgnica de la Contralora General de Cuenta

Se aprueba el:
Manual de Auditora Gubernamental
Manual de Auditora Interna Gubernamental

9
 21/11/2014

Mdulos

Mdulo de planificacin

Realizacin de la visita Preliminar

Evaluacin Preliminar del Control Interno

Redaccin de Objetivos

Seleccin de la Muestra

Elaboracin de Programa de Auditora

10
 21/11/2014

Mdulo de Ejecucin
Evaluacin del Control Interno
Evaluacin del Cumplimiento de Disposiciones Legales y
Reglamentarias
Preparacin de Papeles de Trabajo
Obtencin de la Carta de Representacin
Creacin y Actualizacin del Archivo Permanente
Organizacin del Archivo Corriente
Seguimiento de Recomendaciones
Supervisin

Mdulo de comunicacin de resultados

Gua General para la Comunicacin de

Resultados

Gua para la redaccin de hallazgos

11
 21/11/2014

Acuerdo A-28-2012
Artculo 7. Contenido de los Informes de Auditora. El contenido de los informes de auditora, ser

Pre-cartula
Carta de Oficializacin del Informe
Cartula
ndice
Resumen Gerencial
Contenido Informacin General (Base Legal, Funcin)
Fundamento Legal de la Auditora
Objetivos de la Auditora (General y Especfico)
Alcance de la Auditora (rea Financiera, tcnica, limitaciones al alcance)
Comentarios y Conclusiones
Resultados de la Auditora (hallazgos con el control interno, hallazgos relacionados con el
cumplimiento a leyes y regulaciones)
Autoridades de la Entidad, durante el perodo auditado
Comisin de Auditora
Anexos (Nombramiento, Forma nica de Estadstica, Formulario SR1)

Auditora de Sistemas Informticos

Gobierno TI

12
 21/11/2014

Controles de TI, ms comunes

a. Procesos de planificacin estratgico institucional y de TI;
b. Organizacin y administracin de TI;
c. Polticas y estndares organizacionales, especialmente los
relacionados con TI, tales como poltica de seguridad,
poltica de control de acceso etc.;
d. Definicin de los roles y responsabilidades de cargos,
funciones y ambientes de TI y de negocio, con respecto al
principio de la segregacin de funciones;
e.Procesos de capacitacin, elaboracin de presupuesto y
gestin de proyectos de TI; .../.

Controles de TI, ms comunes

f. Del ciclo de vida del desarrollo de un Sistema;
g. De gestin de cambios;
h. De acceso lgico;
i. De seguridad fsica sobre los centros de procesamiento de
datos (data centers);
j. De copias de seguridad y de recuperacin de sistemas y
datos;
k. De operaciones de TI;
l. Del plan de continuidad de negocios.

13
 21/11/2014

EJEMPLO No. 1

Ciclo de vida del Desarrollo de un Sistema

Anlisis y Diseo del Sistema Desarrollo del Software Implementacin del Sistema Administracin y Control
Trminos Manual Instalacin Definicin Existe Acta Monitoreo y
Prue
Diseo de de del de niveles de evaluacin
Requerimie Supervisin bas Capacitac Carga
No. SUBSISTEMAS ETAPAS de la referencia Operac software de Aceptacin del
ntos del del del in de inicial de
base de del in del (Gua de seguridad del funcionamien
Sistema desarrollo Siste usuarios datos
datos desarrollo Sistem instalacin de acceso Subsistema to del
ma
del sistema a ) al sistema (fecha) sistema
1 Componente 1
2 Componente 2
3 Componente 3
4 Componente 4
5 Componente 5
6 Componente 6
7 Componente 7
8 Componente 8

EJEMPLO No. 2 Diagrama de Flujo del caso de Auditora

Backup
Inicio Muestra A fecha

Restauracin
Anlisis

Diseo de
Restore Criterios Despliegues
registro

Captura Obtener Informe

Muestra Vista BD de Final
Auditora

Archivo
muestra Vista BD

Compara Resultados

14
21/11/2014

15
 21/11/2014

Modelos de buenas prcticas

Buenas prcticas basadas en COSO

Comit de Organizaciones Patrocinadas por la Comisin Treadway
5 Componentes de Control Interno
Supervisin o monitoreo
Actividades de
Control
1 1

Informacin y
5
2 2 Comunicacin
Evaluacin de 5
los riesgos
3 3

4 4

Ambiente de Control

FUENTE:
https://www.google.com.gt/search?q=iso+38500&source=lnms&tbm=isch&sa=X&ei=UbrzU6eBMpPlsATOioHABw&ved=0CAgQ_AUoAQ&biw=1366&bih=650#q=COSO&tbm=isch&facrc=_&imgdii=_&imgrc=gESXZ0ApIo50hM%253A%3BYr7
p7tcK6Z60xM%3Bhttp%253A%252F%252Fphotos1.blogger.com%252Fblogger%252F1720%252F3562%252F1600%252Fimage002.1.gif%3Bhttp%253A%252F%252Fauditoria-interna.blogspot.com%252F%3B711%3B534

16
 21/11/2014

Evaluacin de los riesgos

Generar back up a los 15 das

Generar back up cada 3 das

Generar back up cada da

Buenas prcticas con base a COBIT 5

Objetivos de Control para la Informacin y Tecnologas Relacionadas

AREAS
1.Cinco principios.

2.Modelo de referencia de dominios procesos y actividades

3.Modelo de madurez de procesos.

17
 21/11/2014

rea 1. COBIT

Principio 1 (abarcar las necesidades de los interesados):

Los indicadores clave de metas y de proceso, que finalmente

traducen las necesidades de los interesados, internos y
externos, se transformaron en una estrategia empresarial
llamada cascada de metas

FUENTE: http://www.magazcitum.com.mx/?p=1893

rea 1. COBIT

Principio 2 (cubrir la empresa de extremo a extremo):

Considera todas las funciones y procesos dentro de la

organizacin. Cobit 5 no se centra solo en el gobierno de TI,
pues ahora considera la informacin y las tecnologas
relacionadas como activos que deben ser tratados como
cualquier otro.

FUENTE: http://www.magazcitum.com.mx/?p=1893

18
 21/11/2014

rea 1. COBIT

Principio 3 (aplicar un solo marco integrado):

COSO 2013 marco apropiado y exhaustivo para el control interno.
COBIT 5, Objetivos de Control para Informacin y Tecnologas Relacionadas
ISO/IEC 9000, estndar para el control de calidad en procesos empresariales.
ISO/IEC 31000, estndar de administracin de riesgos, principios y directrices,
ISO-38500, estndar para el gobierno corporativo de TI.
ITIL, mejores prcticas para servicios de TI con un enfoque de procesos de TI.
La familia ISO-27000, enfocada en el tema de seguridad informtica.

FUENTE: http://www.magazcitum.com.mx/?p=1893

rea 1. COBIT

Principio 4 (habilitar un enfoque holstico):

4. Cultura, tica
3. Estructuras
En esta nueva versin se 2. Procesos
Organizacionales
y
Comportamiento
introducen los habilitadores, que
son factores mnimos a cumplir
para que el gobierno y la
1. Principios, Polticas y Marcos de Trabajo
administracin empresarial de TI
funcionen de manera correcta al
ayudar a optimizar la informacin,
la inversin en tecnologa y su 6. Servicios, 7. Personas,
5. Informacin Infraestructura y Habilidades y
uso para el beneficio de todos los Aplicaciones Competencias
interesados:
RECURSOS

Fuente: COBIT 5, figura 12. 2012 ISACA Todos los derechos reservados

FUENTE: http://www.magazcitum.com.mx/?p=1893

19
 21/11/2014

rea 1. COBIT

Principio 5 (separar gobierno de administracin):

Cobit 5 reconoce que estas dos disciplinas

incluyen tipos de actividades y estructuras
organizacionales diferentes, que sirven para
diferentes propsitos.

El gobierno es responsabilidad de la junta

directiva, mientras que la administracin
(gestin), es responsabilidad de la alta
administracin, bajo el liderazgo del CEO
(Director Ejecutivo)

FUENTE: http://www.magazcitum.com.mx/?p=1893

RESUMEN

20
 21/11/2014

rea 2. COBIT Modelo de referencia de Dominios, Procesos y Actividades

EVALUAR, DIRIGIR Y MONITOREAR (Dominio de gobierno de TI)
Garantizar Garantizar Garantizar
Definir y mantener el Garantizar entrega
Optimizacin de los Optimizacin de los Transparencia con
marco de gobierno de beneficios
Riesgos Recursos los interesados

ALINEAR, PLANEAR Y ORGANIZAR

MONITOREAR,
Definir el Marco de Administrar la
Gestionar
Gestionar
Gestionar
Gestionar Recursos EVALUAR Y
Arquitectura de la Gestionar Portafolio presupuesto y
Gestin TI Estrategia
Empresa
Innovacin
costos
Humanos VALORAR

Gestionar Gestionar Acuerdos Gestionar Monitorear y Evaluar,

Gestionar Calidad Gestionar Riesgos Gestionar Seguridad
Relaciones de Servicio Proveedores Desempeo y
Conformidad

CONSTRUIR, ADQUIRIR E IMPLEMENTAR

Gestionar la
Gestionar Gestionar
Definir Identificar y Facilitar el Cambio Aceptacin y
Programas y Disponibilidad y Gestionar Cambios
Requerimientos Construir Soluciones Organizacional Transicin del Monitorear, Evaluar y
Proyectos Capacidad
Cambio Valorar el Sistema de
Control Interno
Gestionar el
Gestionar Activos Configuracin
Conocimiento

ENTREGA, SERVICIO Y SOPORTE Monitorear y Evaluar

Cumplimiento con
Gestionar Gestionar Controles Requerimientos Externos
Gestionar Gestionar Gestionar Gestionar Seguridad
Solicitudes Servicio de Procesos de
Operaciones Problemas Continuidad de los Servicios
e Incidentes Negocio

Procesos para la Gestin de la Tecnologa de Informacin Empresarial

FUENTE: http://www.magazcitum.com.mx/?p=1893 UAGSI-CGC

rea 3. COBIT

Modelo de madurez de los procesos

Optimizado 5
Administrado y Medible 4
Proceso Definido 3
Repetible pero Intuitivo 2
Inicial. Ad hoc 1
No existe 0

Leyenda para la calificacin usada Leyenda para smbolos usados

0. No se aplican procesos administrativos en lo absoluto Estado actual de la Institucin
1. Los procesos son ad-hoc y desorganizados
2. Los procesos siguen un patrn regular Promedio de los Estados
3. Los procesos se documentan y se comunican
4. Los procesos se monitorean y se miden Objetivo de la Institucin
5. Las buenas prcticas se siguen y se automatizan

FUENTE: https://www.google.com.gt/search?q=modelo+madurez+cobit

21
 21/11/2014

Buenas prcticas sobre seguridad de la Informacin

Basadas en ISO 27002:2005

FUENTE: http://oscargiudice.wordpress.com/2012/03/25/la-norma-isoiec-27002-seguridad-de-la-informacion-proteccion-de-datos-personales-y-responsabilidad-social/

Buenas prcticas basadas en ISO 38500:2008

Evaluar

Dirigir Controlar

Planes
Polticas Usos de TI
Desempeo
Actuales y
Conformidad
Futuros

Proyectos Operaciones TI
(Cambios por TI) (Del negocio por TI)

FUENTE:
https://www.google.com.gt/search?q=iso+38500&source=lnms&tbm=isch&sa=X&ei=UbrzU6eBMpPlsATOioHABw&ved=0CAgQ_AUoAQ&biw=1366&bih=650#facrc=_&imgdii=_&imgrc=dZlaI2HVbkghJM%25
3A%3BqV8EI7XF_h3npM%3Bhttp%253A%252F%252Fwww.ittrendsinstitute.org%252Fimages%252F38500.jpg%3Bhttp%253A%252F%252Fwww.ittrendsinstitute.org%252Fperspectives%252Fitem%252Fla
-zona-gris%3B859%3B611
Informe Cadbury y en Principios de Gobierno Corporativo de la OCDE y Norma AS8015:2005

22
 21/11/2014

Buenas prcticas basadas en ITIL

Biblioteca de Infraestructura de Tecnologas de Informacin

Servicio de
Diseo
Estrategia
de Servicio

Servicio de Servicio de
Operacin Transicin
Mejora continua del servicio

FUENTE:
https://www.google.com.gt/search?q=iso+38500&source=lnms&tbm=isch&sa=X&ei=UbrzU6eBMpPlsATOioHABw&ved=0CAgQ_AUoAQ&biw=1366
&bih=650#q=MODELO+ITIL&tbm=isch&imgdii=_

El World Wide Web Consortium (W3C) es una comunidad

internacional que desarrolla estndares que aseguran el
crecimiento de la Web a largo plazo.

Diseo y aplicaciones WEB

Arquitectura WEB

WEB Semntica

WEB Servicios

WEB Dispositivos

http, html, browser

23
 21/11/2014

Certificaciones

Asociacin de Auditora y Control de Sistemas de

Informacin -ISACA -
(Information Systems Audit and Control Association)

Asociacin internacional que apoya y patrocina el desarrollo

de metodologas y certificaciones para la realizacin de
actividades de auditora y control en sistemas de
Informacin.

www.isaca-guatemala.org

24
 21/11/2014

Custodios del framework COBIT

Desarrollaron cuatro CERTIFICACIONES:

CISA - Certified Information Systems Auditor

(Certificacin de auditores de sistemas de informacin).

CISM - Certified Information Security Manager,

(Certificacin de gestores de seguridad).

CGEIT - Certified in the Governance of Enterprise IT,

(Certificacin de gestores de la gobernanza empresarial TI).

CRISC - Certified in Risk and Information Systems Control

(Certificacin de gestores de control de riesgos en sistemas de
informacin).

Muchas gracias

?
gdeleons@contraloria.gob.gt

25