Documentos de Académico
Documentos de Profesional
Documentos de Cultura
S1 - Conceptos Generales de Auditoría-Fusionado
S1 - Conceptos Generales de Auditoría-Fusionado
auditoría
Maestría en gerencia de sistemas de información
Auditoría de TI
Conceptos generales de auditoría
Auditoría de sistemas
Conceptos básicos de auditoria
Auditoría de sistemas
Conceptos básicos de auditoría
Auditoría de sistemas
Conceptos básicos de auditoria
Objetivos de la auditoría:
Realizar una revisión independiente de las actividades, áreas o
funciones especiales de una institución, a fin de emitir un
dictamen profesional sobre la razonabilidad de sus
operaciones y resultados.
Hacer una revisión especializada, desde un punto de vista
profesional y autónomo, del aspecto administrativo,
financiero, operacional, de sistemas o de gobierno de las áreas
de una empresa.
Auditoría de sistemas
Conceptos básicos de auditoria
Objetivos de la auditoría:
Evaluar el cumplimiento de los planes, programas, políticas,
normas y lineamientos que regulan la actuación de los
empleados y funcionarios de una institución, así como evaluar
las actividades que se desarrollan en sus áreas y unidades
administrativas.
Dictaminar de manera profesional e independiente sobre los
resultados obtenidos por una empresa y sus áreas, así como
sobre el desarrollo de sus funciones y el cumplimiento de sus
objetivos y operaciones.
Auditoría de sistemas
Conceptos básicos de auditoria
Auditoría de sistemas
Auditoría de sistemas
Auditoría de sistemas
Busca:
Auditoría de sistemas
Auditoría de sistemas
Alcance:
Informe:
Auditoría de sistemas
Auditoría de sistemas
de la información de la empresa
Auditoría de sistemas
Auditoría de sistemas
Auditorías internas:
Auditorías externas:
•Personal independiente a la
organización.
Auditoría de sistemas
Procesos y métodos
Auditoría Seguimiento
Auditoría de sistemas
Procesos y métodos
Instrumentos de
Técnicas de
recopilación de
evaluación
datos
Técnicas
especiales para
auditoría de
sistemas
Auditoría de sistemas
Procesos y métodos
• Entrevistas.
• Cuestionarios.
• Encuestas.
• Observación.
• Inventarios.
• Muestreo.
• Experimentación.
Auditoría de sistemas
Procesos y métodos
Técnicas de evaluación:
•Examen.
•Inspección.
•Confirmación.
•Comparación.
•Revisión documental.
Auditoría de sistemas
Procesos y métodos
Técnicas especiales:
•Simulación.
•Evaluación.
•Diagramas de sistemas.
•Programas de verificación.
•Seguimiento de programación.
Auditoría de sistemas
Procesos y métodos
Formalización
de la función de
auditoría
Competencia Independencia
profesional organizacional
Estándares
generales
de la
auditoría
Responsabilidad Independencia
profesional profesional
Expectativas
razonables
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Para reflexionar…
Auditoría de sistemas
Mecanismos básicos de
auditoría - Controles
Maestría en gerencia de sistemas de información
Auditoría de TI
Mecanismos básicos de auditoría -
Controles
Estructura interna de control
Tipos de controles
Identificando los controles
Auditoría basada en riesgos
Auditoría de sistemas
Estructura interna de control
Auditoría de sistemas
Estructura interna de control
Origen de los controles
Leyes y
Necesidades
regulaciones
internas
de la industria
Auditoría de sistemas
Tipos de controles
Controles
Controles
de
preventivos
detección
Controles
correctivos
Auditoría de sistemas
Tipo de controles
Auditoría de sistemas
Tipo de controles
Riesgo: Fuego en las instalaciones
¿De qué
tipo son?
Auditoría de sistemas
Tipo de controles
¿Cuál es el
Riesgo: Fuego en las instalaciones incorrecto?
Auditoría de sistemas
Tipo de controles
¿Cuáles debemos
Riesgo: Fuego en las instalaciones
implementar?
- Reducir la
probabilidad
- Reducir el
impacto
Auditoría de sistemas
Tipo de controles
Auditoría de sistemas
Identificando los controles
Controles Controles de
preventivos detección
• ¿Qué previenen y • ¿Qué detectan y
cómo? cómo?
Controles
correctivos
Ejemplos • ¿Qué restauran y
cómo?
Auditoría de sistemas
Tipo de controles
Auditoría de sistemas
Tipos de controles
Recomendaciones
• REDUCIR los riesgos hasta un nivel
aceptable por la gerencia.
• TRANSFERIR los riesgos (al menos los
que tienen evaluación alta).
• ASUMIR los riesgos con información
claramente comunicada a los
niveles adecuados.
• EVITAR los riesgos como última
opción.
Auditoría de sistemas
Auditoría basada en riesgos
Auditoría Seguimiento
Auditoría de sistemas
Auditoría basada en riesgos
Enfocarse en:
• Riesgos inherente:
• Relacionado de manera directa con la actividad de la
empresa, independientemente de controles internos.
• Riesgo de control:
• Influyen los controles internos implementados en la
empresa, los cuales podrían resultar insuficientes o
inadecuados para la aplicación y detección oportuna
de irregularidades.
• Riesgo de detección:
• Asociado con los procedimientos sobre auditoría. Se
trata de la no detección de errores en el proceso de
auditoría.
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Evaluación corta
Auditoría de sistemas
Mecanismos básicos de
auditoría - Riesgos
Maestría en gerencia de sistemas de información
Auditoría de TI
Mecanismos básicos de auditoría -
Riesgos
Generalidades de los riesgos
Evaluación de riesgos
Control de riesgos
Re-evaluación de riesgos
Auditoría de sistemas
Generalidades de los riesgos
Auditoría de sistemas
Generalidades de los riesgos
Ejemplos de actividades diarias que
implican riesgos que asumimos
Invertir
Conducir el
tiempo en
auto
algo nuevo
Iniciar un Conseguir
proyecto o un nuevo
empresa empleo
Auditoría de sistemas
Generalidades de los riesgos
Riesgo
Auditoría de sistemas
Generalidades de los riesgos
Amenazas
•Desastres naturales.
•Producidas por el hombre (internas
a la organización).
•Producidas por el hombre (externas
a la organización).
•Técnicas (Fallas de hw / sw)
Auditoría de sistemas
Generalidades de los riesgos
Amenazas
Auditoría de sistemas
Generalidades de los riesgos
Impacto
• ¿Cómo lo medimos?
• Impacto cuantitativo (normalmente
financiero).
• Impacto cualitativo
• Reputación.
• Satisfacción del cliente.
• Moral (del cliente).
• Moral (de los empleados).
Auditoría de sistemas
Generalidades de los riesgos
Impacto
• Medición cualitativa:
• Mayor
• Serio
• Moderado
• Menor
• Insignificante
Auditoría de sistemas
Generalidades de los riesgos
Probabilidad
• Medición cualitativa:
• Muy probable
• Probable
• Posible
• Improbable
• Muy improbable
Auditoría de sistemas
Evaluación de riesgos
Auditoría de sistemas
Evaluación de riesgos
Evaluación de riesgos
Crear la
Definir el Definir la Evaluar el
matriz de
impacto probabilidad riesgo
riesgos
Auditoría de sistemas
Evaluación de riesgos
Evaluación de riesgos
Crear la
Definir el Definir la Evaluar el
matriz de
impacto probabilidad riesgo
riesgos
Auditoría de sistemas
Evaluación de riesgos
Auditoría de sistemas
Evaluación de riesgos
Impacto Definición
5 – Mayor Operaciones Las fallas producen que todas o casi todas las
operaciones no puedan realizarse.
Personas Muerte o discapacidad permanente de varias
personas.
4 – Serio Operaciones Alguna de las operaciones principales no
pueden realizarse debido a las fallas.
Personas Muerte o discapacidad permanente de una
persona.
3 – Moderado Operaciones Los objetivos operacionales no se logran
debido a las fallas.
Personas Lesiones mayores / Problemas de salud.
2 – Menor Operaciones Ligero retraso en las operaciones.
Personas Lesiones menores.
1– Operaciones Interrupción insignificante.
Insignificante Personas Lesiones insignificantes. Auditoría de sistemas
Evaluación de riesgos
Auditoría de sistemas
Evaluación de riesgos
Evaluación de riesgos
Crear la
Definir el Definir la Evaluar el
matriz de
impacto probabilidad riesgo
riesgos
Auditoría de sistemas
Evaluación de riesgos
Probabilidad Definición
5 – Muy probable Se espera que el evento ocurra sin remedio.
4 – Probable Es probable que el evento ocurra.
3 – Posible El evento puede ocurrir en un tiempo.
2 – Improbable Hay pocas probabilidades de que el evento ocurra en
un tiempo.
1 – Muy improbable El evento es muy seguro que no ocurra.
Auditoría de sistemas
Evaluación de riesgos
Evaluación de riesgos
Crear la
Definir el Definir la Evaluar el
matriz de
impacto probabilidad riesgo
riesgos
Auditoría de sistemas
Evaluación de riesgos
1 2 3 4 5
1 1 2 3 4 5
2 2 4 6 8 10
Impacto
3 3 6 9 12 15
4 4 8 12 16 20
5 5 10 15 20 25
Auditoría de sistemas
Evaluación de riesgos
1 2 3 4 5 1 2 3 4 5
1 1 2 3 4 5 1 1 2 3 4 5
2 2 4 6 8 10 2 2 4 6 8 10
Impacto
Impacto
3 3 6 9 12 15 3 3 6 9 12 15
4 4 8 12 16 20 4 4 8 12 16 20
5 5 10 15 20 25 5 5 10 15 20 25
Auditoría de sistemas
Evaluación de riesgos
Evaluación de riesgos
Crear la
Definir el Definir la Evaluar el
matriz de
impacto probabilidad riesgo
riesgos
Auditoría de sistemas
Evaluación de riesgos
Auditoría de sistemas
Control de riesgos
¿Qué hacemos con los riesgos una vez
que los evaluamos?
Reducir Transferir
Asumir Evitar
Auditoría de sistemas
Control de riesgos
REDUCIR el riesgo
Implementar controles para que el impacto o la
probabilidad del riesgo disminuyan.
Ejemplo:
Escenario: El servidor de la empresa está conectado
a internet y en ese servidor se guardan datos
sensibles a los que los clientes y empleados deben
acceder.
Riesgo: Ataque vía cyber-hacking.
Auditoría de sistemas
Control de riesgos
Riesgo Control
100% -
Auditoría de sistemas
Control de riesgos
Riesgo Control
100% -
80% Establecer accesos vía usuario / contraseña.
Auditoría de sistemas
Control de riesgos
Riesgo Control
100% -
80% Establecer accesos vía usuario / contraseña.
Establecer accesos vía usuario / contraseña.
70%
Prevenir accesos vía firewall.
Auditoría de sistemas
Control de riesgos
Riesgo Control
100% -
80% Establecer accesos vía usuario / contraseña.
Establecer accesos vía usuario / contraseña.
70%
Prevenir accesos vía firewall.
Establecer accesos vía usuario / contraseña.
60% Prevenir accesos vía firewall.
Encriptar la información.
Auditoría de sistemas
Control de riesgos
Riesgo Control
100% -
80% Establecer accesos vía usuario / contraseña.
Establecer accesos vía usuario / contraseña.
70%
Prevenir accesos vía firewall.
Establecer accesos vía usuario / contraseña.
60% Prevenir accesos vía firewall.
Encriptar la información.
No es posible eliminar el riesgo ¿Quién decide hasta
¿0%?
donde reducir?
Auditoría de sistemas
Control de riesgos
Reducir el riesgo
• Los controles cuestan dinero.
• Los controles cuestan recursos de
implementación.
• Los controles cuestan recursos de
seguimiento.
• La gerencia es quien decide hasta
dónde reducir el riesgo.
• Se trata de encontrar el equilibrio
Auditoría de sistemas
Control de riesgos
TRANSFERIR el riesgo
Implementar controles para que el impacto
o la probabilidad del riesgo disminuyan.
Pasar la responsabilidad del riesgo a un
tercero (seguro, subcontratación).
Si no implemento controles, el costo de la
transferencia sería muy alto.
Auditoría de sistemas
Control de riesgos
ASUMIR el riesgo
Implementar controles para que el impacto o la
probabilidad del riesgo disminuyan.
Aceptar que el riesgo puede suceder y preparar la
empresa para que pueda soportar sus efectos
cuando lleguen.
No siempre se cuenta con los recursos para
transferir.
No siempre se cuenta con los recursos para asumir.
Auditoría de sistemas
Control de riesgos
EVITAR el riesgo
No llevar a cabo la actividad que me
provoca el riesgo.
Normalmente implica perder oportunidades
de negocio o crecimiento.
Esta debe ser la última opción a elegir.
La implicación de eliminar un riesgo puede
redundar en pérdidas para la empresa
Auditoría de sistemas
Control de riesgos
Recomendaciones
• REDUCIR los riesgos hasta un nivel
aceptable por la gerencia.
• TRANSFERIR los riesgos (al menos los
que tienen evaluación alta).
• ASUMIR los riesgos con información
claramente comunicada a los
niveles adecuados.
• EVITAR los riesgos como última
opción.
Auditoría de sistemas
Re-evaluación de riesgos
Riesgos
Auditoría de sistemas
Re-evaluación de riesgos
Time-driven:
Event-driven:
• El negocio cambió.
• Hay oportunidades nuevas que se quieren aprovechar.
• La regulación cambió.
• Ocurrieron desastres naturales.
• A alguien más le pasó…
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
La auditoría – El proceso
de auditoría
Maestría en gerencia de sistemas de información
Auditoría de TI
El proceso de auditoría
Auditoría de sistemas
El proceso de auditoría
Proceso de auditoría
Ejecución y Informe y
Planeación
documentación seguimiento
Planeación
• Entender las áreas sujetas de auditoría.
• Ejecutar un análisis de riesgos.
• Generar un plan general de auditoría.
• Generar un plan detallado de auditoría.
Ejecución y documentación
• Ejecutar validaciones de cumplimiento.
• Ejecutar pruebas sustantivas.
• Presentar y discutir desviaciones.
Informe y seguimiento
• Elaborar el informe de auditoría.
• Presentar el informe de auditoría.
• Dar seguimiento a las acciones establecidas.
Auditoría de sistemas
Planeación
Auditoría de sistemas
Planeación
Auditoría de sistemas
Tarea
Auditoría de sistemas
La auditoría – Planeación
de la auditoría
Maestría en gerencia de sistemas de información
Auditoría de TI
Planeación de la auditoría
Auditoría de sistemas
Características mínimas del plan
El plan de auditoría debe:
• Mostrar un entendimiento claro de la naturaleza del
negocio de la organización.
• Mostrar un entendimiento claro de los objetivos que la
organización persigue con la auditoría.
• Mostrar un entendimiento claro de los sistemas y
ambientes de TI que afectan al cumplimiento de los
objetivos de la organización.
• Mostrar un conocimiento básico de las prácticas de
evaluación de riesgos.
• Mostrar un conocimiento claro de los diferentes
mecanismos y procedimientos de evaluación de los
controles internos que tienen que ver con TI.
Auditoría de sistemas
Insumos para el plan de auditoría
¿Dónde buscar?
• Plan anual de auditoría.
• Directores y sponsors de áreas de auditoría.
• Reportes de auditorías anteriores.
• Políticas, estándares y procedimientos organizacionales.
• Evaluaciones de riesgos.
• Normas y regulaciones aplicables.
Auditoría de sistemas
Insumos para el plan de auditoría
¿Dónde buscar?
• Reportes de auditorías anteriores.
• Diagramas de red.
• Contratos con proveedores.
• Resultados de evaluaciones de seguridad.
• Normas y regulaciones aplicables.
• Evaluaciones de riesgo
Auditoría de sistemas
Insumos para el plan de auditoría
Dónde Qué
Dónde Qué
Auditoría de sistemas
Procedimientos y mecanismos
Identificar métodos, herramientas y criterios para llevar a
cabo la evaluación (o desarrollarlos)
Ejemplos de herramientas:
Cuestionarios.
Scripts de revisión.
Muestreos estadísticos.
Bases de datos.
Computer-Assisted Audit Tools (CAAT’s)
Auditoría de sistemas
Procedimientos y mecanismos
Definir una metodología para asegurar que las pruebas y
los resultados son precisos (y repetibles)
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Tarea
Auditoría de sistemas
Mecanismos básicos de auditoría –
Validación de cumplimiento y
pruebas sustantivas
Maestría en gerencia de sistemas de información
Auditoría de TI
Mecanismos básicos de auditoría – Validación de
cumplimiento y pruebas sustantivas
Validación de cumplimiento
Pruebas sustantivas
Auditoría de sistemas
Validación de cumplimiento
Auditoría de sistemas
Validación de cumplimiento
¿Cuál es la mejor manera de revisar que la política: “Los
empleados deben cambiar su contraseña cada 3
meses” se ha cumplido adecuadamente?
Entrevistar una
Revisar la
muestra del 25% de
configuración de los
los empleados para
sistemas de acceso
ver cómo se ejecuta
del último año
esta acción
Entrevistar al
Revisar los registros
administrador de TI
de log de los
para ver cómo se
sistemas de acceso
lleva a cabo el
del último año
control
Auditoría de sistemas
Validación de cumplimiento (ejemplo
extendido)
Las centésimas de unidad restantes en
una transacción bancaria en la sucursal
no son entregadas al usuario, se quedan
en el banco.
¿A dónde van?
¿Quién controla ese mecanismo?
¿Cómo se controla ese mecanismo?
Auditoría de sistemas
Validación de cumplimiento (ejemplo
extendido)
Usuario debe pagar: 357.23
Usuario paga con: 400.00
Se le entregaNecesitamos
de cambio: 42.50 (Los
restantes 0.27 van
un a la cuenta del cajero
control
mandados por el programador y luego se
reparten 50% y 50%).
Auditoría de sistemas
Nuevo control: Change management
El
El El código es
programador El supervisor
programador enviado a
envía el revisa el
hace formar parte
cambio al cambio y lo
cambios al del programa
control de aprueba
código del banco
cambios
Auditoría de sistemas
Nuevo control: Change management
CAMBIO 232
Cambio 228 – Aprobado
Cambio 229 – Aprobado public guarda {
Cambio 230 – Aprobado …
Cambio 231 – Aprobado …
Cambio 232 – Pendiente …
Cambio 233 – Aprobado …
…
…
… PRUEBA
…
} SUSTANTIVA
Auditoría de sistemas
Pruebas sustantivas
¿Cuándo hacerlas?
Cuando las Cuando no
validaciones de existen los
cumplimiento controles
fallan adecuados
El control no
El control existe,
existe y
pero alguien no
provoca un
lo sigue
riesgo
Auditoría de sistemas
Para recordar…
Análisis de riesgos.
Definición y comunicación de tabulación de impactos y
probabilidades.
Identificación de riesgos.
Clasificación de riesgos en la matriz de riesgos.
Definición de controles para cada riesgo.
Planeación de auditoría.
Conocimiento de la organización y el contexto de la auditoría.
Definición de un plan general.
Definición de validaciones de cumplimiento.
Definición de pruebas sustantivas previstas y auxiliares.
Generación del cronograma de trabajo.
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Evidencia
Auditoría de sistemas
Evidencia
Muestreo de datos
• Normalmente la población que debe ser auditada
es muy grande.
• Normalmente los recursos disponibles para ejecutar
la auditoría son muy restringidos.
• Cuando necesitamos restringir el universo de la
población observada, utilizamos alguna técnica de
muestreo.
• Técnicas de muestreo más comunes:
• Dirigido.
• Aleatorio.
Auditoría de sistemas
Evidencia
Muestreo de datos
• Técnicas de muestreo más comunes:
• Muestreo dirigido.
• Se eligen intencionalmente los elementos de la muestra, para
que la muestra sea representativa de la población. Implica un
gran conocimiento de las características de la población.
• Muestreo aleatorio.
• Los elementos de la población tienen la misma probabilidad de
ser elegidos.
• Simple: Se eligen al azar del universo completo.
• Sistemático: Se elige al primer individuo y luego al siguiente en
un intervalo que no cambia.
• Estratificado: Se definen estratos y en cada estrato se elige
simple o sistemáticamente.
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Papeles de trabajo
Consideraciones de la documentación de
la auditoría
• Documentación clara y precisa (debe explicarse por
sí misma).
• Descripción específica en cada papel de trabajo.
• Resultados de los procedimientos y evidencia
asociada (para poder llegar a las mismas
conclusiones).
• Asuntos importantes y conclusiones.
• Indicar metodología y herramientas utilizadas.
• Incluir archivos depurados.
Auditoría de sistemas
Papeles de trabajo
EJEMPLO DE UN
PAPEL DE TRABAJO
Auditoría de sistemas
Papeles de trabajo
EJERCICIO:
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Revisión de políticas y procedimientos
Política: Documento de alto nivel que refleja la filosofía organizacional
Auditoría de sistemas
Revisión de políticas y procedimientos
Procedimiento: Pasos definidos y documentados para alcanzar los
objetivos de una política
Auditoría de sistemas
Revisión de políticas y procedimientos
Objetivo
Política
Procedimiento
Auditoría de sistemas
Revisión de políticas y procedimientos
Al auditar una política se debe evaluar:
• Base sobre la cuál se ha definido la política.
• Pertinencia de la política.
• Contenido de la política.
• Excepciones a la política.
• Proceso de aprobación de la política.
• Proceso de implementación de la política.
• Efectividad de la implementación de la
política.
• Conciencia y capacitación al interior de la
organización.
• Proceso de revisión y actualización.
Auditoría de sistemas
Revisión de políticas y procedimientos
Al auditar un procedimiento se debe:
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Solicita Autoriza
Revisa Ejecuta
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Implementar
controles compensatorios
Solicita / Ejecuta
Autoriza / Revisa
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Controles compensatorios
•Controles internos que pretenden reducir el
riesgo de que las funciones no puedan ser
segregadas de manera adecuada.
•Ejemplo: Un departamento de TI es pequeño y
non hay suficientes recursos para una
adecuada segregación.
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Controles compensatorios
Pistas de
auditoría
Revisiones
independient Conciliación
es
CC
Revisión de Reporte de
supervisión excepciones
Registro de
transacciones
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
La auditoría – Ejecución
de la auditoria 1
Maestría en gerencia de sistemas de información
Auditoría de TI
Hasta ahora…
Análisis de riesgos.
Definición y comunicación de tabulación de impactos y
probabilidades.
Identificación de riesgos.
Clasificación de riesgos en la matriz de riesgos.
Definición de controles para cada riesgo.
Planeación de auditoría.
Conocimiento de la organización y el contexto de la auditoría.
Definición de un plan general.
Definición de validaciones de cumplimiento.
Definición de pruebas sustantivas previstas y auxiliares.
Generación del cronograma de trabajo.
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Evidencia
Auditoría de sistemas
Evidencia
Muestreo de datos
• Normalmente la población que debe ser auditada
es muy grande.
• Normalmente los recursos disponibles para ejecutar
la auditoría son muy restringidos.
• Cuando necesitamos restringir el universo de la
población observada, utilizamos alguna técnica de
muestreo.
• Técnicas de muestreo más comunes:
• Dirigido.
• Aleatorio.
Auditoría de sistemas
Evidencia
Muestreo de datos
• Técnicas de muestreo más comunes:
• Muestreo dirigido.
• Se eligen intencionalmente los elementos de la muestra, para
que la muestra sea representativa de la población. Implica un
gran conocimiento de las características de la población.
• Muestreo aleatorio.
• Los elementos de la población tienen la misma probabilidad de
ser elegidos.
• Simple: Se eligen al azar del universo completo.
• Sistemático: Se elige al primer individuo y luego al siguiente en
un intervalo que no cambia.
• Estratificado: Se definen estratos y en cada estrato se elige
simple o sistemáticamente.
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Papeles de trabajo
Consideraciones de la documentación de
la auditoría
• Documentación clara y precisa (debe explicarse por
sí misma).
• Descripción específica en cada papel de trabajo.
• Resultados de los procedimientos y evidencia
asociada (para poder llegar a las mismas
conclusiones).
• Asuntos importantes y conclusiones.
• Indicar metodología y herramientas utilizadas.
• Incluir archivos depurados.
Auditoría de sistemas
Papeles de trabajo
EJEMPLO DE UN
PAPEL DE TRABAJO
Auditoría de sistemas
Papeles de trabajo
EJERCICIO:
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Revisión de políticas y procedimientos
Política: Documento de alto nivel que refleja la filosofía organizacional
Auditoría de sistemas
Revisión de políticas y procedimientos
Procedimiento: Pasos definidos y documentados para alcanzar los
objetivos de una política
Auditoría de sistemas
Revisión de políticas y procedimientos
Objetivo
Política
Procedimiento
Auditoría de sistemas
Revisión de políticas y procedimientos
Al auditar una política se debe evaluar:
• Base sobre la cuál se ha definido la política.
• Pertinencia de la política.
• Contenido de la política.
• Excepciones a la política.
• Proceso de aprobación de la política.
• Proceso de implementación de la política.
• Efectividad de la implementación de la
política.
• Conciencia y capacitación al interior de la
organización.
• Proceso de revisión y actualización.
Auditoría de sistemas
Revisión de políticas y procedimientos
Al auditar un procedimiento se debe:
Auditoría de sistemas
Ejecución de la auditoría
Evidencia.
Papeles de trabajo.
Revisión de políticas y procedimientos.
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Solicita Autoriza
Revisa Ejecuta
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Implementar
controles compensatorios
Solicita / Ejecuta
Autoriza / Revisa
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Controles compensatorios
•Controles internos que pretenden reducir el
riesgo de que las funciones no puedan ser
segregadas de manera adecuada.
•Ejemplo: Un departamento de TI es pequeño y
non hay suficientes recursos para una
adecuada segregación.
Auditoría de sistemas
Revisión de la estructura organizacional de TI.
Controles compensatorios
Pistas de
auditoría
Revisiones
independient Conciliación
es
CC
Revisión de Reporte de
supervisión excepciones
Registro de
transacciones
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Bussiness Impact Analysis
(Continuidad de negocio)
Maestría en gerencia de sistemas de información
Auditoría de TI
Continuidad de negocio
Auditoría de sistemas
Gestión de continuidad de negocio
(BCM)
Las actividades que se llevan a cabo en una organización para
asegurar que todos los procesos de negocio críticos estarán
disponibles para los clientes, proveedores, y otras entidades
que deben acceder a ellos.
Incluye:
Tareas del día a día como gestión de proyectos, copias de
seguridad, administración de cambios.
Análisis de impacto al negocio (BIA).
Plan de continuidad de negocio (BCP).
Auditoría de sistemas
Gestión de continuidad de negocio
(BCM)
Organización
Organización
Procesos Procesos
Evento
adverso críticos
Servicios
Servicios de TI
de TI
Auditoría de sistemas
Gestión de continuidad de negocio
(BCM)
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
Auditoría de sistemas
Análisis de impacto al negocio (BIA)
Auditoría de sistemas
Análisis de impacto al negocio (BIA)
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
Procesos de negocio
Aplicaciones
Servicios de TI
Auditoría de sistemas
Análisis de impacto al negocio (BIA)
Organización
Procesos de negocio
Aplicaciones
Servicios de TI
Auditoría de sistemas
Análisis de impacto al negocio (BIA)
Auditoría de sistemas
Análisis de impacto al negocio (BIA)
Auditoría de sistemas
Plan de continuidad del negocio (BCP)
Auditoría de sistemas
Plan de continuidad del negocio (BCP)
Auditoría de sistemas
Plan de continuidad del negocio (BCP)
Auditoría de sistemas
Plan de continuidad del negocio (BCP)
Elementos indispensables:
Los datos imprescindibles, como la información de contacto del personal
indispensable y directivo, así como sus datos para un contacto alterno.
Los procesos de gestión y los responsables de cada uno.
Las etapas del plan de continuidad y en qué momento se desata cada
una.
El primer contacto responsable de la respuesta y manejo de emergencias.
Sedes alternas donde operar en caso de ser necesario.
Medidas preventiva y de recuperación de datos y servicios.
Horarios y fechas de simulacros de funcionalidad del plan.
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Tarea
Auditoría de sistemas
La auditoría – Ejecución
de la auditoria 2
Maestría en gerencia de sistemas de información
Auditoría de TI
Ejecución de la auditoría
Auditoría de sistemas
Revisión de la documentación de TI
Documentación auditable en el área de TI:
• Las metodologías del análisis y diseño de sistemas.
• Especificación de software, lenguajes y programas de
desarrollo para la programación y codificación de sistemas.
• La elaboración y seguimiento de pruebas y simulaciones de
sistemas, programas y lenguajes de cómputo nuevos.
• Evidencia de capacitación al personal y usuarios de las áreas
que consuman servicios de TI.
• La documentación de sistemas (actualizada, relevante y
apropiada).
• Los diseños y especificaciones de la infraestructura de TI.
• Los demás estándares que regulen el desempeño de la
función informática en la empresa.
Auditoría de sistemas
Revisión de los estándares de TI
Estándar de TI:
Parámetros que proporcionan los requisitos
mínimos que se deben de cumplir para
garantizar que se realiza una determinada
función o se presta un servicio con una
variabilidad muy pequeña respecto de las
mejores prácticas.
Auditoría de sistemas
Revisión de los estándares de TI
Auditoría de sistemas
Revisión de los estándares de TI
Estándares de TI:
• Estándares para el gobierno de TI.
• Estándares para la gestión de servicios de
TI.
• Estándares para la seguridad de TI.
• Estándares para la auditoría de TI.
• Estándares para el desarrollo de software.
• Estándares para la gestión de proyectos.
Auditoría de sistemas
Revisión de los estándares de TI
Gobierno de TI:
•Conjunto de herramientas y métodos
que ayudan a la Alta Gerencia a
asegurar que la organización
obtenga un óptimo valor de sus
inversiones de negocio relacionadas
a TI, a un costo manejable y bajo un
nivel de riesgo aceptable.
Auditoría de sistemas
Revisión de los estándares de TI
Auditoría de sistemas
Revisión de los estándares de TI
Seguridad de TI:
•Conjunto de estrategias de
ciberseguridad que evita el acceso no
autorizado a activos organizacionales,
como computadoras, redes y datos.
Conserva la integridad y el sigilo de la
información confidencial y bloquea el
acceso a personal no autorizado.
Auditoría de sistemas
Revisión de los estándares de TI
Auditoría de TI:
•Prácticas orientadas a demostrar
y determinar si los sistemas de TI
salvaguardan los activos y
mantienen la integridad de los
datos a través del uso de los
recursos de la organización.
Auditoría de sistemas
Revisión de los estándares de TI
Desarrollo de software:
•Prácticas que se adoptan para
conseguir uniformidad en el
desarrollo, facilitando el
mantenimiento y la actualización
de los sistemas de software,
evitando la dependencia de un
desarrollador.
Auditoría de sistemas
Revisión de los estándares de TI
Gestión de proyectos:
•Conjunto de metodologías para
planificar y dirigir los procesos de
un proyecto y las operaciones
diseñadas para lograr un
objetivo con un alcance, recursos,
inicio y final establecidos.
Auditoría de sistemas
Revisión de los estándares de TI
Auditoría de sistemas
Revisión de los estándares de TI
ITIL
Information Technology
Infrastructure Library (Biblioteca de
Infraestructura de Tecnología de la
Información)
Creada por la Central Computer
and Telecommunications
Agency (CCTA) de Gran Bretaña.
Gestión de servicio
Estrategia de servicio
Diseño de servicio
Transición de servicio(Gestión
del Cambio)
Operación de servicio
Mejora Continua de Servicios
Auditoría de sistemas
Revisión de los estándares de TI
COBIT
Control Objectives for Information and
related Technology (Objetivos de control
para la información y tecnologías
relacionadas)
34 procesos agrupados en estos 4 dominios:
Planificación y organización: Busca
cómo hacer el mejor uso de las
tecnologías para que la empresa logre
sus objetivos.
Adquisición e Implementación: Define,
adquiere, ajusta e implementa las
tecnologías necesarias en línea con los
procesos de negocios de la empresa
Entrega y soporte: Garantiza la
efectividad y eficiencia de los sistemas
tecnológicos en acción.
Monitoreo: Vigila que la solución
implementada corresponda a las
necesidades de la empresa desde una
perspectiva estratégica.
Auditoría de sistemas
Revisión de los estándares de TI
ISO 27000
conjunto de estándares creados
y gestionados por la
Organización Internacional para
la Estandarización (ISO) y la
Comisión Electrónica
Internacional (IEC)
Orientadas al establecimiento
de buenas prácticas en relación
con la implantación,
mantenimiento y gestión del
Sistema de Gestión de
Seguridad de la Información
con una fuerte orientación a la
mejora continua y la mitigación
de riesgos.
Auditoría de sistemas
Revisión de los estándares de TI
CMMI
Software Capability Maturity Model
(Modelo de madurez y capacidad
en el desarrollo de software),
creado por Software Engineering
Institute (SEI).
El CMMI describe una serie de
niveles que pueden alcanzarse en
el desarrollo de software y en el que
las empresas y organizaciones
pueden certificarse:
Inicial
Administrado
Definido
Administrado cuantitativamente
Optimizado
Auditoría de sistemas
Revisión de los estándares de TI
PMBoK
El Project Management Body
of Knowledge (PMBoK),
desarrollado por el Project
Management Institute (PMI)
Es una guía de fundamentos
para la dirección de
proyectos de cualquier tipo y
característica, que describe
de forma precisa los
conocimientos y
herramientas que necesita
conocer todo jefe de
proyecto para poder
abordar la tarea que le ha
sido encomendada.
Auditoría de sistemas
Revisión de los estándares de TI
Auditoría de sistemas
Para reflexionar…
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
La auditoría – Ejecución
de la auditoria 3
Maestría en gerencia de sistemas de información
Auditoría de TI
Ejecución de la auditoría
Auditoría de sistemas
Pruebas de control y análisis de
resultados
El auditor debe llevar a cabo pruebas de control con el objeto de
generar y reunir evidencia sobre la efectividad operacional de los
procedimientos de control interno.
Auditoría de sistemas
Pruebas de control y análisis de
resultados
Se realizan pruebas de control cuando:
La valoración del riesgo se basa en la expectativa de que el
control interno opera de manera correcta (el riesgo disminuye
debido sobre todo a la existencia y ejecución correcta del control).
Los controles por sí mismos no proporcionan evidencia de auditoría
suficiente y adecuada que pueda ser evaluada de manera
independiente al control.
Auditoría de sistemas
Pruebas de control y análisis de
resultados
En las pruebas de control se selecciona una muestra
representativa de transacciones (ya sea que exista o se
genere explícitamente para dicha prueba) para:
Auditoría de sistemas
Pruebas de control y análisis de
resultados
El auditor utiliza cuatro tipos de actividades
para revisar la eficacia del funcionamiento de
los controles internos:
Auditoría de sistemas
Pruebas de control y análisis de
resultados
Auditoría de sistemas
Pruebas de control y análisis de
resultados
Auditoría de sistemas
Pruebas de control y análisis de
resultados
Observación:
• Observar directamente las actividades relacionadas con el
control para identificar si los controles fueron llevados a cabo
de manera correcta y oportuna
• Usado cuando la ejecución del control no deja evidencia
alguna de su ejecución.
• Ejemplo:
• Sistema biométrico de control de acceso antiguo que no
genera archivos de log o que por seguridad está
desconectado de la red.
• Revisar cómo se restringe / asegura el acceso a los usuarios
adecuados.
Auditoría de sistemas
Pruebas de control y análisis de
resultados
Repetición de los procedimientos de control:
Auditoría de sistemas
Pruebas de control y análisis de
resultados
¿Otros casos?
Escribir un ejemplo que tenga que
ver con las comunicaciones o la
protección de datos de los clientes
y comentarlo con la clase.
10 minutos.
Auditoría de sistemas
Ejecución de la auditoría
Auditoría de sistemas
Controles de aplicación
Auditoría de sistemas
Controles de aplicación
Auditoría de sistemas
Controles de aplicación
Auditoría de sistemas
Controles de aplicación
Ejemplos:
•Comprobación de la exactitud
aritmética de los registros.
•Filtros de datos de entrada.
•Comprobación de secuencias
numéricas.
•Comprobación de cálculos sensibles
para el negocio.
Auditoría de sistemas
Controles de aplicación
Clasificación:
• Controles de completitud.
• Controles de exactitud.
• Controles de validez.
• Controles de legalidad.
• Controles de integridad.
• Controles de confidencialidad.
• Controles de disponibilidad.
Auditoría de sistemas
Controles de aplicación
Completitud:
• Todas las transacciones son registradas.
• Las transacciones válidas son procesadas.
• Las transacciones aceptadas son
procesadas solo una vez y de manera
completa.
• Las transacciones rechazadas son
identificadas.
Auditoría de sistemas
Controles de aplicación
Exactitud:
• Las transacciones:
• Se guardan con fecha y datos
correctos.
• Se guardan en el tiempo oportuno y en
el momento adecuado.
• Las entradas se procesan de manera
adecuada y producen resultados
fiables.
Auditoría de sistemas
Controles de aplicación
Validez:
•Las transacciones:
•Han ocurrido realmente.
•Corresponden a la entidad que los contiene.
•Han sido adecuadamente aprobadas.
•Producen salidas que contienen solo datos
válidos.
•Contienen solo información auténtica y fiable.
Auditoría de sistemas
Controles de aplicación
Legalidad:
• Las operaciones han sido tratadas en el
marco de las leyes vigentes y las cumplen.
Integridad:
• La información se guarda de manera segura.
• La información no puede ser alterada o
manipulada por personas no autorizadas.
Auditoría de sistemas
Controles de aplicación
Confidencialidad:
• Los datos, informes o cualquier otra salida de los
procesos de aplicación no puede ser consultada o
accedida por personas no autorizadas.
Disponibilidad:
• Los datos, informes o cualquier otra información es
accesible a los usuarios cuando estos la necesitan.
• Existen los mecanismos adecuados y son
conocidos por los usuarios involucrados.
Auditoría de sistemas
Controles de aplicación
Áreas específicas para los controles de
aplicación
Controles sobre
Controles de
el Controles de
entrada de
procesamiento salida
datos
de datos
Controles sobre
Controles sobre
los datos
las interfaces
maestros
Auditoría de sistemas
Controles de aplicación
• Objetivos:
• La entrada de datos se realiza en el tiempo oportuno y
por el personal o proceso autorizados.
• Los datos introducidos son completos, exactos y
válidos.
• Los errores y las anomalías de captura y registro son
identificados, documentados, comunicados y
corregidos en el tiempo oportuno, por personas con la
adecuada autorización.
• La confidencialidad de los datos está adecuadamente
protegida desde la captura inicial.
Auditoría de sistemas
Controles de aplicación
• Ejemplos:
• Las personas responsables de la captura de datos se
pueden identificar unívocamente dentro del sistema.
• Los formularios de captura de datos son comprensibles.
• Existen procesos de identificación y tratamiento de
errores desde los momentos iniciales de la captura.
• La información de los procesos de negocio existe de
manera digital, ya sea que se capture directamente o
se genere oportunamente.
• Máscaras de entrada de valores comprensibles y
amigables.
• Captura doble de valores importantes.
Auditoría de sistemas
Controles de aplicación
• Objetivos:
• Las transacciones son procesadas de forma exacta,
completa y oportuna.
• Las transacciones no son objeto de pérdida,
duplicación, manipulación o alteración.
• La exhaustividad, exactitud y validez del
procesamiento realizado son verificados según un
procedimiento de rutina.
• Los errores de procesamiento son identificados
rápidamente y documentados y corregidos en las
ventanas de tiempo adecuadas.
Auditoría de sistemas
Controles de aplicación
• Ejemplos:
• La aplicación está diseñada para procesar los datos
con la mínima intervención manual.
• La separación de funciones está garantizada incluso
durante el procesamiento de los datos.
• Las transacciones generadas automáticamente por la
aplicación son objeto de los mismos controles de
exhaustividad, exactitud y validez que las
transacciones aisladas.
• Las decisiones importantes basadas en cálculos
automáticos son adoptadas y verificadas por personas.
• Se puede comparar los datos tratados en el sistema
con confirmaciones externas.
Auditoría de sistemas
Controles de aplicación
Controles de salida
• Objetivos:
• Los resultados del procesamiento son completos y
exactos.
• El acceso a los datos de salida del sistema está
restringido al personal autorizado.
• Los datos de salida del sistema llegan al personal
autorizado en el tiempo oportuno y de conformidad
con los procedimientos definidos.
Auditoría de sistemas
Controles de aplicación
Controles de salida
• Ejemplos:
• Los controles de envío y recepción regulan las
modalidades de comunicación de las salidas (quién,
cuándo, qué, cómo y qué cantidad).
• Se garantiza la trazabilidad de los accesos de los
usuarios a consultas en pantalla o a listados.
• Los controles de numeración y de exhaustividad
garantizan que la gestión, edición, restitución,
recepción y destrucción de salidas críticas se efectúan
de conformidad con los procedimientos establecidos.
Auditoría de sistemas
Controles de aplicación
• Objetivos:
• Las modificaciones deben ser realizadas por personas
autorizadas, de forma exacta y completa.
• Las modificaciones deben ser registradas y archivadas
de forma que se mantenga la pista de auditoría (log).
Auditoría de sistemas
Controles de aplicación
• Ejemplos:
• Existen procedimientos para las modificaciones de los
datos personales y bancarios de los empleados.
• Las actualizaciones se realizan de forma simultánea en
todo el sistema de información.
• Sólo las personas autorizadas pueden modificarlos.
• Se mantiene un registro histórico de todos los cambios
en los datos maestros incluyendo quién los realizó y
cuándo.
Auditoría de sistemas
Controles de aplicación
Las interfaces
Auditoría de sistemas
Controles de aplicación
Las interfaces
Auditoría de sistemas
Controles de aplicación
Las interfaces
Raras veces una organización utiliza un único sistema para gestionar todos sus
procesos e información.
Las interfaces se crean para permitir a la información pasar de una aplicación
o sistema a otro.
Las interfaces manuales presentan un mayor riesgo de errores (de captura de
datos, omisión de operaciones, duplicados, etc.) que las automáticas.
En las interfaces automáticas debe comprobarse la existencia de logs o
informes que permitan comprobar la correcta ejecución del procesamiento.
Los informes deben poder ser analizados y ser capaces de dar lugar a las
acciones correctivas que procedan.
La fiabilidad de una interfaz se analiza estudiando las condiciones de
implementación, de funcionamiento y de actualización. A priori una interfaz
nueva, no testeada completamente, tiene más posibilidades de funcionar mal.
Los controles de interfaz son aquellos diseñados para el procesamiento de
información oportuno, exacto y completo entre aplicaciones y otros sistemas
emisores y receptores de información.
Auditoría de sistemas
Controles de aplicación
• Objetivos:
• Implementar una estrategia y diseño eficaces.
• La interfaz se ejecuta completamente, con exactitud,
solo una vez y en el periodo adecuado.
• Los errores de la interfaz son rechazados, identificados y
corregidos con prontitud.
• El acceso a los datos y procesos de la interfaz está
adecuadamente restringido.
• Los datos son fiables y se obtienen únicamente de
fuentes autorizadas.
Auditoría de sistemas
Controles de aplicación
• Objetivos:
• La autenticidad y la integridad de las informaciones
provenientes de fuentes externas a la organización son
controladas cuidadosamente antes de emprender
cualquier acción potencialmente crítica,
independientemente del medio de recepción.
• Las informaciones sensibles están protegidas durante su
transmisión por medidas adecuadas contra accesos no
autorizados, modificaciones o envío a destinatarios
erróneos.
Auditoría de sistemas
Controles de aplicación
• Ejemplos:
• Las interfaces son identificadas solo de manera
unidireccional.
• Los archivos generados por una interfaz (entrante o
saliente) son encriptados y protegidos contra accesos
no autorizados o modificaciones.
• Existen procedimientos para asegurar que todos los
archivos enviados por el sistema origen han sido
recibidos por el sistema destino.
• Los datos transmitidos son reconciliados entre las
aplicaciones de origen y destino para asegurar que la
interfaz es completa y exacta.
Auditoría de sistemas
Controles de aplicación
Auditoría de sistemas
Controles de aplicación
Auditoría de sistemas
Evaluación corta
Auditoría de sistemas
Evaluación corta
Auditoría de sistemas
Evaluación corta
Configuración de evaluaciones
Actividad Cantidad Ponderación Pond. individual
Tareas 5 20 4
Evaluaciones cortas 2 30 15
• Controles
• Controles de aplicación
Evaluaciones parciales 2 30 15
• Planeación
• {Pendiente}
Evaluación final 1 20 20
Auditoría de sistemas
Ejecución de la auditoría
Auditoría de sistemas
El informe de auditoría
Informe de auditoría
Documento formal que prepara el auditor con las
conclusiones obtenidas luego de los trabajos de auditoría.
Va dirigido a la Gerencia interesada.
Está escrito en un lenguaje natural para la Gerencia y desde
una perspectiva de negocio.
Se escribe luego de establecer acuerdos y desarrollar planes
de acción derivados de la discusión de las desviaciones.
Auditoría de sistemas
El informe de auditoría
Una vez aplicados los instrumentos de auditoría y
registradas las desviaciones encontradas…
Revisar las desviaciones con los involucrados
Auditoría de sistemas
El informe de auditoría
Revisando las desviaciones
Periodo cubierto
Hallazgos principales
Riesgos
Conclusiones y recomendaciones
Auditoría de sistemas
El informe de auditoría
Ejemplo de carátula
• Identificadores de la
empresa.
• Fecha del informe.
• Nombre y cargo de quién
recibe.
• Empresa o área auditada.
• Periodo de la evaluación.
• Resumen de alcance y
objetivo de la auditoría.
• Nombre y firma del auditor.
Auditoría de sistemas
El informe de auditoría
Ejemplo
Auditoría de sistemas
El informe de auditoría
Errores comunes:
Utilizar en la presentación lenguaje técnico comprensible
para el personal operativo, pero alejado del lenguaje de
negocio que usa la Gerencia.
Presentar una lista muy grande de “hallazgos principales”.
No centrar la presentación de los resultados dentro del
marco del objetivo, alcance y limitaciones de la auditoría.
Escribir las recomendaciones como órdenes en lugar de
presentar sugerencias.
No presentar actividades de mejora (auditorías externas) o
plan de seguimiento (auditorías internas).
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Auditando
Maestría en gerencia de sistemas de información
Auditoría de TI
Ejecución de la auditoría
Auditoría de sistemas
Proceso de desarrollo de software
Auditoría de sistemas
Proceso de desarrollo de software
6
1
Mantenimi
Planeación
ento
5 Pruebas e
2 Análisis
integración
4
Implement 3 Diseño
ación
Auditoría de sistemas
Proceso de desarrollo de software
1 Planeación
•Factibilidad
2 Análisis
•Requerimientos
3 Diseño
•3A Diseño / 3B Selección
importante? 6 Mantenimiento
•Post implementación
Auditoría de sistemas
Proceso de desarrollo de software
1 Factibilidad
• Factibilidad operacional.
• Factibilidad técnica.
• Factibilidad económica.
2 Requerimientos
4B Configuración
• Instalación y configuración.
• Asegurar los controles de entrada (validaciones de datos).
• Capacitación.
• Pruebas con los usuarios (similar a las pruebas de aceptación).
Auditoría de sistemas
Proceso de desarrollo de software
Auditoría de sistemas
Proceso de desarrollo de software
Validaciones de datos
•Comprobación de secuencias.
•Comprobación de límites.
•Verificación de rangos.
•Verificación de validez.
•Comprobación de integridad.
•Comprobación de duplicados.
Auditoría de sistemas
Proceso de desarrollo de software
4A Desarrollo
• Desarrollo interno (asegurando que se incluyen validaciones de datos).
• Plan de pruebas.
• Ejecución de pruebas.
• Unit test.
• Integration test.
• System test.
• Pruebas de aceptación.
4B Configuración
• Instalación y configuración.
• Asegurar los controles de entrada (validaciones de datos).
• Capacitación.
• Pruebas con los usuarios (similar a las pruebas de aceptación).
Auditoría de sistemas
Proceso de desarrollo de software
5 Implementación
• ¿Cómo y cuándo implementar el cambio?
• Se trata de un asunto de costo y de riesgo.
• Estrategias de gestión:
• Cambio paralelo.
• Cambio por fases.
• Cambio abrupto.
Auditoría de sistemas
Proceso de desarrollo de software
Implementación - Cambio paralelo
Sistema Sistema
base nuevo
• Riesgo: Bajo.
• Costo: Alto.
• Limitaciones: Recursos disponibles.
Auditoría de sistemas
Proceso de desarrollo de software
Implementación - Cambio por fases
Sistema Sistema
base nuevo
Auditoría de sistemas
Proceso de desarrollo de software
Implementación - Cambio abrupto
Sistema
Sistema
nuevo
base
• Riesgo: Alto.
• Costo: Bajo.
• Limitaciones: El momento en que el reemplazo debe ser
echo es al final de un ciclo de negocio o seguimiento.
• La experiencia de los desarrolladores debería ser alta.
Auditoría de sistemas
Proceso de desarrollo de software
6 Post implementación
Auditoría de sistemas
Proceso de desarrollo de software
Auditoría de sistemas
Ejecución de la auditoría
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Entorno de producción
Auditoría de sistemas
Proceso de administración de cambios
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Registro de auditoría
Repositorio Entorno de
de versiones pruebas
Entorno de producción
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Registro de auditoría
Entorno de producción
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Registro de auditoría
Entorno de producción
Auditoría de sistemas
Proceso de administración de cambios
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Registro de auditoría
Repositorio Entorno de
de versiones pruebas
Registro del cambio
- Solicitar el cambio
- Aprobar la solicitud Entorno de producción
- Documentar la solicitud
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Registro de auditoría
- Probar el cambio propuesto Registro del cambio
- Presentar el cambio al CCC Entorno de producción
- Implementar el cambio si
fue aprobado
- Documentar la nueva
configuración
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Registro de auditoría
Entorno de producción
Auditoría de sistemas
Proceso de administración de cambios
El proceso de emergencia de
administración de cambios inicia cuando
una problema grave se produce y no
puede ser tratado de manera normal.
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Registro de auditoría
Repositorio Entorno de
de versiones pruebas
Id de emergencia
Entorno de producción
Auditoría de sistemas
Proceso de administración de cambios
Entorno de desarrollo
Repositorio Entorno de
de versiones pruebas
Registro de auditoría
Id de emergencia
Entorno de Entorno de
producción emergencia
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
La auditoría – Ejecución
de la auditoria 4
Maestría en gerencia de sistemas de información
Auditoría de TI
Ejecución de la auditoría
Auditoría de sistemas
El informe de auditoría
Informe de auditoría
Documento formal que prepara el auditor con las
conclusiones obtenidas luego de los trabajos de auditoría.
Va dirigido a la Gerencia interesada.
Está escrito en un lenguaje natural para la Gerencia y desde
una perspectiva de negocio.
Se escribe luego de establecer acuerdos y desarrollar planes
de acción derivados de la discusión de las desviaciones.
Auditoría de sistemas
El informe de auditoría
Una vez aplicados los instrumentos de auditoría y
registradas las desviaciones encontradas…
Revisar las desviaciones con los involucrados
Auditoría de sistemas
El informe de auditoría
Aunque no existe un formato estándar, hay lineamientos
generales para la estructura del informe…
Introducción
Periodo cubierto
Hallazgos principales
Riesgos
Conclusiones y recomendaciones
Auditoría de sistemas
El informe de auditoría
Ejemplo de carátula
• Identificadores de la
empresa.
• Fecha del informe.
• Nombre y cargo de quién
recibe.
• Empresa o área auditada.
• Periodo de la evaluación.
• Resumen de alcance y
objetivo de la auditoría.
• Nombre y firma del auditor.
Auditoría de sistemas
El informe de auditoría
Ejemplo
Auditoría de sistemas
El informe de auditoría
Errores comunes:
Utilizar en la presentación lenguaje técnico comprensible
para el personal operativo, pero alejado del lenguaje de
negocio que usa la Gerencia.
Presentar una lista muy grande de “hallazgos principales”.
No centrar la presentación de los resultados dentro del
marco del objetivo, alcance y limitaciones de la auditoría.
Escribir las recomendaciones como órdenes en lugar de
presentar sugerencias.
No presentar actividades de mejora (auditorías externas) o
plan de seguimiento (auditorías internas).
Auditoría de sistemas
Auditando
Maestría en gerencia de sistemas de información
Auditoría de TI
Auditando
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Validaciones de cumplimiento
Pruebas sustantivas
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Tipos de hallazgos
Observaciones
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo de validación de cumplimiento:
Verificar si el Departamento de TI es
funcionalmente independiente de los
demás departamentos de la organización
para asegurar la equidad de los servicios
y evitar injerencias administrativas y
operativas en el manejo de la
información y los activos de TI.
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Procedimiento:
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo de pruebas sustantivas:
Verificar si a falta de un organigrama de
la empresa, han existido duplicidad de
funciones, problemas de autoridad,
funciones incompatibles, distorsión de la
información o dificultades para lograr los
objetivos de la organización.
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Procedimiento:
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo de validación de cumplimiento:
Asegurar que el personal reclutado,
seleccionado y contratado sea el
adecuado para el Departamento de
sistemas.
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo de pruebas sustantivas:
Determinar los efectos negativos de la
contratación de personal en el
Departamento de sistemas.
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo del caso de estudio:
Tabla 7
Proceso: Cargos en farmacia
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo de validación de cumplimiento:
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejemplo de prueba sustantiva:
Auditoría de sistemas
Validaciones de cumplimiento y
pruebas sustantivas
Ejercicio:
Desarrolla los procedimientos de ejecución claros y repetibles de
una validación de cumplimiento y una prueba sustantiva para el
siguiente caso:
Proceso: Las cuentas incobrables son canceladas después de un
intento fallido por parte de la agencia de cobranza.
Riesgo: Las cuentas pueden son canceladas incorrectamente,
porque las remesas de la agencia de cobranza fueron desviadas o
fueron reportadas incorrectamente.
Control: Dependiendo del monto, se requieren diferentes niveles de
autorización para cancelar las cuentas.
Auditoría de sistemas
Auditando
Auditoría de sistemas
Mini test de repaso
Auditoría de sistemas
Evaluación parcial 2
Auditoría de sistemas
Auditando
Auditoría de sistemas
Seguridad
Auditoría de sistemas
Seguridad
Auditoría de sistemas
Seguridad
Auditoría de sistemas
Seguridad
Auditoría de sistemas
Seguridad
Principales amenazas
Repercusiones
Pérdidas Repercusiones
en la
financieras legales
reputación
Revelación de
información Chantaje Sabotaje
confidencial
Auditoría de sistemas
Seguridad
Principales actores
Personal de
Hackers Crackers Empleados
TI
Terceros
con acceso
Auditoría de sistemas
Seguridad
Phishing Virus
Auditoría de sistemas
Seguridad
Seguridad de internet
Seguridad de terminales
Seguridad de la nube
Auditoría de sistemas
Seguridad
Contraseñas seguras
Parches y actualizaciones
Copias de respaldo
Pruebas de software
Auditoría de sistemas
Seguridad
Auditoría de sistemas
Seguridad
Auditoría de sistemas
Ejemplo…
Contexto.
La organización debe cambiar su manera de
trabajar para hacer Home office.
Amenaza de seguridad.
Un usuario no autorizado pude acceder desde
una ubicación remota.
¿Cómo nos protegemos?
¿?
Auditoría de sistemas
Para recordar…
Auditoría de sistemas
Ética del auditor
Maestría en gerencia de sistemas de información
Auditoría de TI
Ética del auditor
Auditoría de sistemas
Principios del auditor
Auditoría de sistemas
Ética del auditor
Auditoría de sistemas
Criterios y responsabilidades
Aspectos
Aspectos
legales -
personales
normativos
Auditoría de sistemas
Ética del auditor
Auditoría de sistemas
Actitud del auditor
Comportamiento indispensable:
Auditoría de sistemas
Actitud del auditor
Comportamiento indispensable:
Auditoría de sistemas
Ética del auditor
Auditoría de sistemas
Buenas prácticas del auditor
Estar atento a:
Auditoría de sistemas
Para recordar…
Auditoría de sistemas