+50.

000
39 aos
140 Pases
+70.000
10 Idiomas

Edson Vittoriano P.

Corporativo TI

Seguridad de
Auditora de

Informacin
Gobierno
Sistemas

Director CISM
Estndares de Auditoria SI ISACA

Parte de Curso
Certified Information System Auditor
(CISA)
 1.2.1 Organizacin de la Funcin de
Auditoria de SI

Estatutos de Auditoria
Declaracin de responsabilidad de gerencia y
objetivos para, y delegacin de la autoridad a,
Funcin de la auditoria del SI
Delinear la autoridad total, alcance y
responsabilidades de la funcin de auditoria
Aprobacin de los estatutos de auditoria
Cambios en los estatutos de auditoria
 1.2.2 Gestin de Recursos de
Auditoria de SI

Nmero limitado de auditores del SI

Mantenimiento de su capacidad tcnica
Asignacin del personal de la auditoria
 1.2.3 Planificacin de Auditoria

Planificacin a corto plazo

Planificacin a largo plazo
Cosas a considerar
Nuevas Aspectos del control
Tecnologas cambiantes
Procesos de negocio cambiantes
Tcnicas realzadas de la evaluacin
Planificacin de auditoria individual
Comprensin del ambiente total
Prcticas empresariales y funciones
Sistemas y tecnologa de informacin
 1.2.3 Planificacin de Auditoria
(Continuacin)

Pasos de la Planificacin de Auditoria

Ganar una comprensin de la misin de negocio,
objetivos, propsito y procesos.
Identificar el contenido indicado (polticas, estndares,
pautas, procedimientos y estructura organizacional).
Evaluar la valorizacin de riesgo y anlisis de impacto en
la privacidad.
Realizar un anlisis de riesgo.
 1.2.3 Planificacin de Auditoria
(Continuacin)

Pasos de la Planificacin de Auditoria

(Continuacin)
Conducir revisin del control interno.
Fijar el alcance y los objetivos de la auditoria.
Desarrollar el acercamiento o la estrategia de la auditoria.
Asignar los recursos de personal para revisar y para tratar
logstica del contrato.
 1.2.4 Efecto de Leyes y
Regulaciones sobre la
Planificacin de Auditoria de SI

Requisitos Regulatorios
Establecimiento
Organizacin
Responsabilidades
Correlacin de las funciones de auditoria financiera,
operacional y de TI
 1.2.4 Efecto de Leyes y
Regulaciones sobre la Planificacin
de Auditoria SI (continuacin)
Pasos para determinar la conformidad con
requisitos externos
Identificar los requisitos externos
Documentar las leyes y regulaciones pertinentes
Determinar si la gerencia y la funcin del SI tienen
considerados los requisitos externos relevantes
Documentos internos del departamento de SI de la
revisin que tratan adherencia a las leyes aplicables
Determinar la adherencia a los procedimientos
establecidos
 1.3.1 ISACA Code de
Professional Los ticas

El Cdigo de tica Profesional de la Asociacin

proporciona la directriz para ella conducta
profesional y personal de los miembros de
ISACA y/o quienes cuentan con las
certificaciones CISA y CISM.
 1.3.2 Marco de Trabajo ISACA
para Auditoria de SI

Marco de trabajo ISACA para Auditoria de SI

Estndares:
Estndares
Pautas (Guidelines)
Procedimientos
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

Objetivos de ISACA SI Auditing Standards:

Informar a la gerencia y a otras partes interesadas
expectativas de la profesin referentes al trabajo de la
auditoria mdicos
Informar a los auditores del sistema de informacin el
mnimo nivelar del funcionamiento aceptable requerido
para encontrarse responsabilidades profesionales
precisadas en el ISACA Code de Professional Ethics
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S1 Estatutos de Auditoria S7 Reportes

S2 Independencia S8 Seguimientos de Actividades

S3 tica y Estndares S9 Irregularidades y actos ilegales

S4 Capacidad S10 Gobierno del TI

S5 Planificacin S11 Uso de la valorizacin de

riesgo en la planificacin de
S6 Desempeo del trabajo auditoria
de auditoria
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S1 Estatutos de auditoria
Propsito, responsabilidad, autoridad y
responsabilidad
Aprobacin

S2 Independencia
Independencia profesional
Independencia organizacional
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S3 tica y Estndares Profesional

Cdigo de tica Profesional
Debido Cuidado profesional

S4 Capacidad
Habilidades y conocimiento
Educacin profesional continua
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S5 Planeamiento
Cobertura del Plan de Auditoria
Desarrollar y documentar un acercamiento basado en
riesgos para auditoria
Desarrollar y documentar un plan de auditoria
Desarrollar un programa y procedimientos de
auditoria
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S6 Desempeo del trabajo de auditoria

Supervisin
Evidencia
Documentacin
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S7 Reportes
Identificar la organizacin, recipientes previstos y cualquier
restriccin
Indicar el alcance, objetivos, cobertura y naturaleza del trabajo
realizado de la auditoria
Indicar resultados, conclusiones, recomendaciones y
limitaciones
Justificar los resultados reportados
Firmardos, fechados y distribuidos de acuerdo a los estatutos
de auditoria
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S8 Seguimiento de Actividades
Revisin de conclusiones y recomendaciones
anteriores
Revisin de resultados relevantes anteriores
Determinar si han sido tomadas las acciones
apropiadas por la gerencia en forma oportuna
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S9 Irregularidades y Actos Ilegales

Considerar el riesgo de irregularidades y actos
ilegales
Mantener una actitud del escepticismo profesional
Obtener comprensin de la organizacin y su
ambiente
Considerar relaciones inusuales o inesperadas
Probar la conveniencia del control interno
Determinar cualquier declaracin errnea
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S9 Irregularidades y Actos Ilegales

(Continuacin)
Obtener representaciones escritas de la gerencia
Tener conocimiento de cualquier alegato de irregularidades o actos
ilegales
Comunicar las irregularidades materiales o los actos ilegales
Considerar acciones apropiadas en caso de inhabilidad para
continuar realizando la auditoria
Documentar la irregularidad o acto ilegal relacionado con
comunicaciones, planificacin, resultados, evaluaciones y
conclusiones
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S10 Gobierno del TI

Repasar y determinar la alineacin de la funcin SI
con la misin de la organizacin, visin, valores,
objetivos y estrategias
Repasar la declaracin de la funcin del SI sobre el
desempeo y determinar su logro
Repasar y determinar la eficacia de los recursos de
SI y procesos de gestin del rendimiento
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S10 Gobierno TI (Continuacin)

Repasar y determinar la conformidad requerimientos
legales, ambientales y de calidad de informacin, y
fiduciario y seguridad.
Uso de un acercamiento basado en riesgo para evaluar
la funcin de SI
Repasar y determinar el ambiente de control de la
organizacin
Repasar y determinar los riesgos que pueden afectar
negativamente el ambiente de SI
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S11 Uso de Valorizacin de Riesgos en

Planificacin de Auditoria
Uso de una tcnica de valorizacin de riesgo en el
desarrollo del plan de la auditoria de SI
Identificar y determinar los riesgos relevantes en el
planificacin de revisiones individuales
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S12 Materialidad de la auditoria

El auditor de SI debe considerar la materialidad de la
auditoria y su relacin con los riesgo de auditoria

El auditor de SI debe considerar debilidades potenciales o

ausencia de controles al planear una auditoria
El auditor de SI debe considerar el efecto acumulativo de
deficiencias o debilidades de menor importancia en los
controles
Los reportes de auditora de SI deben exponer controles
ineficaces o ausencia de controles
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S13 Usar el trabajo de Otros Expertos

El auditor de SI debe considerar el trabajo de otros expertos
El auditor de SI debe ser satisfecho con las calificaciones,
capacidades, etc., de otros expertos
El auditor de SI debe determinar, repasar y evaluar el trabajo de
otros expertos
El auditor de SI debe determinar si el trabajo de otros expertos es
adecuado y completo
El auditor de SI debe aplicar mtodos de prueba adicionales para
obtener evidencia suficiente y apropiada de la auditoria
El auditor de SI debe proporcionar la opinin apropiada de
auditoria
 1.3.2 Marco de Trabajo ISACA para
Auditoria de SI (continuacin)

S14 Evidencia de auditoria

Incluye los procedimientos realizados por el auditor y
resultados de esos procedimientos
Incluye documentos de origen, registros y la
corroboracin de informacin
Incluye conclusiones y resultados del trabajo de
auditoria
Demuestra que el trabajo fue realizado y cumple con
leyes, regulaciones y polticas aplicables
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project

Started in 2003
Integration of Standards
Update of CobiT
 CobiT Mapping Project
Futuros mapeos
En proceso
TOGAF (Architecture)
Started in 2003 COSO ERM
Integration of Standards GBPM
Update of CobiT En carpeta
ITIL v3
FFEIC (US banking)
NIAC (Insurance)
NIST SP800-53
FISMA
IAIS Framework (Solvency II)
HIPAA (Health Insurance)
GLBA (Privacy)
ISO19770-1 (SW Asset Mgmt)
ISO 20000 (Service Mgmt)
ISO 27005 (Risk Mgmt)
ISO 27002 (ISO17799)
 Service Support

Service Delivery
Service Desk
Service Level
Management
Service Support

Service Delivery
Incident
Management
Availability
Management
Service Support

Service Delivery
Problem
Management
Capacity
Management
Service Support

Service Delivery
Change
Management
Financial
Management
Service Support

Service Delivery
Release
Management
Continuity
Management
Service Support

Configuration
ITIL Overview

Management
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ITIL
CobiT & ISO/IEC 17799:2005
 Regulaciones en Banca Chilena

Estndares Bsicos de Seguridad de

Informacin de la Asociacin de Bancos e
Instituciones Financieras (ABIF:2004).
Anexo: Outsourcing Criterios Bsicos de
Seguridad.

SuperIntendencia de Bancos e Instituciones

Financieras: Recopilacin de Actualizada de
Normas (SBIF RAN 20-7:2008)
 Proceso de Seleccin de Proveedor
ABIF:2004

Experiencia con trabajos similares:

Nombre del proyecto y donde fue realizado.
Descripcin del trabajo realizado.
Inicio y duracin del proyecto.
Nombre del cliente (Empresa).
Nmero de personal utilizado en el proyecto.
Detalle de empresas subcontratadas.

En caso de subcontratar servicio:

Detalle del trabajo a realizar por la empresa subcontratada.
Reporte con la estructura de la compaa.

Evidencia de Estados Financieros

 Contrato de Prestacin de Servicios
ABIF:2004

Prohibicin explcita de Acuerdos Verbales.

Clusulas Exigibles:
Alcance de los servicios prestados.
Capacitacin
Inicio y trmino de la prestacin de servicios.
Clusulas de Trmino Anticipado.
Reglas, cdigos de conducta y polticas a seguir.
Forma de pago por los servicios prestados.
Clusulas de confidencialidad.
Clusulas de propiedad intelectual y acuerdos de licencias del
producto.
Garantas, en caso del no-cumplimiento de los acuerdos tomados.
 Ejemplos de Clusulas a Incorporar
ABIF:2004

3.1 Confidencialidad de la Informacin

No divulgacin General
3.2 Conf. y Privacidad de la Informacin
Preferentemente para contratos de Desarrollo,
Mantencin o Implantacin de Software.
3.3 Propiedad Intelectual
3.4 Control de Seguridad de la Informacin
 Ejemplos de Clusulas a Incorporar
ABIF:2004

3.5 Reglas de Control Acceso a Sistemas, Redes Aplicaciones

a. El Proveedor utilizar el equipamiento, redes y/o aplicaciones para el

nico propsito de ejecutar los servicios descritos en este Contrato.
b. El Proveedor acuerda que sus empleados y terceros, por los que
responde, no violarn, o intentarn violar, ninguno de los sistemas de
seguridad del Banco, u obtener, o intentar obtener, acceso a ningn
programa o dato fuera de lo que les pertenece o aquellos a los que
se les ha otorgado acceso.
c. El Proveedor es responsable de utilizar todos los medios disponibles
para evitar la introduccin de Virus en el equipamiento del Banco, e
informar en forma inmediata de cualquier violacin que detecte al
respecto.
d. El Proveedor no podr intervenir el equipamiento ni el software
bsico bajo ningn aspecto que no sea el especfico para el que fue
contratado.
e. El Proveedor declara conocer y respetar las Polticas, Normas y
Procedimientos de Seguridad de la Informacin vigentes en el Banco.
 Ejemplos de Clusulas a Incorporar
ABIF:2004

3.6 Contingencias
3.7 Independencia y Sub Contratacin
3.8 Prohibicin de Soborno
 mbito de Aplicacin
RAN 20-7

Todas aquellas tareas realizadas por terceros que el Banco tambin

podra realizar
Servicios Ofrecidos por los Bancos (11-6)
Definiciones
Procesamiento Externo (OutSourcing)
Es la ejecucin por un proveedor externo de servicios o actividades
en forma continua u ocasional, las que normalmente podran ser
realizadas por la entidad contratante.
Proveedor de Servicios
Entidad relacionada o no al banco contratante, que preste servicios
o provea bienes e instalaciones a este.
Cadenas de Procesamiento Externo
Las formadas por terceros subcontratados por el proveedor inicial
de servicios para realizar parte importante de las actividades
contratadas con este (subcontrato de otro proveedores)
 Actividades Significativas o
Estratgicas
RAN 20-7

I. Actividades de importancia o crticas en las que

cualquier debilidad o falla en la provisin o ejecucin
del servicio tiene un efecto significativo sobre el
cumplimiento normativo, continuidad del negocio,
seguridad de la informacin (propia o de sus clientes)
y la calidad de los servicios, productos, informacin e
imagen del banco contratante.
II. Cualquier actividad que tenga impacto significativo en
la gestin de riesgos.
III. Aquellas actividades de alta interaccin sistmica en
el mercado o que incorporan riesgos significativos a
la entidad bancaria.
 Riesgos
RAN 20-7

Riesgo Operacional
Riesgo Imagen
Riesgo Estratgico
Riesgo de Cumplimiento
Incorporar al Outsourcing en la estructura de
Riesgo Operacional (RAN 1-13).
 Condiciones Procesamientos Externos
1. General (1/2)
RAN 20-7

El banco que decida procesar en el exterior debe c

A. Poltica de Outsourcing
Alcance (Que NO debe externalizarse)
Captacin de dinero de terceros
Cuentas Corrientes
Apertura
Procesamiento o registro de sus movimientos.
Evaluacin de Riesgos
Tipo de Servicios Externalizables
Criticidad de Servicios Externalizables
 Condiciones Procesamientos Externos
1. General (2/2)
RAN 20-7

B. Procedimientos para la contratacin y

monitoreo de proveedores
C. Catastro de Servicios
D. Procedimientos que aseguren el cumplimiento
con los clientes
E. Auditorias externas
F. Riesgos en la cadena de procesamiento
externo
G. Incorporar al reporte de Riesgo Operacional
 Condiciones Procesamientos Externos
RAN 20-7

2. Continuidad de Negocios
3. Seguridad de la Informacin Propia y de sus
clientes, en los casos que corresponda
4. Acceso a la informacin por parte del
supervisor
5. Riesgo Pas
6. Responsabilidad por la gestin
 Servicios de Procesamiento Externo
RAN 20-7

1. Servicios que pueden prestar los bancos

establecidos en el pas
2. Servicios que pueden contratar las
instituciones bancarias
Servicios de Procesamiento de Datos
En el Pas
En el extranjero
Otros Servicios.
Actividades propias del Giro, requiere
autorizacin de la SBIF
 Gracias

evittoriano@gmail.com