Está en la página 1de 28

Auditora de procesos con alto grado de automatizacin*

*connectedthinking

PwC

Agenda

Ambiente tecnolgico Mapeo de procesos Identificacin de riesgos Identificacin de controles Pruebas de controles

Ambiente tecnolgico Revisiones del hardware Revisar procedimientos de administracin de la capacidad del hardware Revisar el plan de adquisicin del hardware Revisar criterios de adquisicin de PCs Revisar controles de administracin de cambios - Planificacin - Pruebas - Documentacin - Informados (tcnicos y usuarios) - No interfieren con la operativa habitual
PricewaterhouseCoopers Setiembre 2006 Slide 3

Ambiente tecnolgico Revisiones del software de base Entrevistar al personal del servicio tcnico Auditar la adquisicin y mantenimiento de software Revisar el procedimiento de seleccin Revisar el estudio de factibilidades Revisar el anlisis costo/beneficio Revisar controles de instalacin Revisar actividades de mantenimiento Revisar controles de cambios Revisar la documentacin Revisar procedimientos de implementacin Revisar aspectos de seguridad
PricewaterhouseCoopers Setiembre 2006 Slide 4

Ambiente tecnolgico Revisiones a la LAN Topologa de la LAN y diseo Identificar dispositivos Identificar Administrador Comprender las funciones del Administrador Grupo de trabajo de la LAN Medio y tcnicas de transmisin Controles de seguridad fsica asociados a las LANs Controles de seguridad ambiental asociados a las LANs Controles de seguridad lgica (Polticas)
Setiembre 2006 Slide 5

PricewaterhouseCoopers

Ambiente tecnolgico Controles de operacin de la red Planes de implantacin, conversin y prueba Planes de controles eficaces sobre hardware y software Encripcin Polticas de seguridad

PricewaterhouseCoopers

Setiembre 2006 Slide 6

Ambiente tecnolgico Revisin de las operaciones de IT Observaciones al personal Observacin y prueba de funciones de operacin Operaciones del CPD - Nivel de acceso del operador - Administracin de bibliotecas - Segregacin de funciones - Planificacin del trabajo - Procedimientos de cambios de emergencia Administracin de archivos Control de ingreso de datos
PricewaterhouseCoopers Setiembre 2006 Slide 7

Ambiente tecnolgico Auditando aspectos particulares: Situaciones de contingencia Conexiones con Internet - Servicios - Infraestructura - Procedimientos de control de cambios - Seguridad lgica Software de deteccin de intrusos Software de deteccin de virus Firewall Encripcin
PricewaterhouseCoopers Setiembre 2006 Slide 8

Mapeo de procesos

Comprender el rea a auditar Identificar los riesgos Clasificarlos (Anlisis de Riesgos) Buscar los controles clave (asociados a los riesgos ms materiales) y probarlos

PricewaterhouseCoopers

Setiembre 2006 Slide 9

Mapeo de procesos

Proceso

Control

Base de datos/ archivos

Documentos

Display (en pantalla)

Conector Decisin

PricewaterhouseCoopers

Setiembre 2006 Slide 10

Mapeo de procesos

Para definir una entrada, el proceso o control y la salida, se debe tener en cuenta lo siguiente: Cul es la informacin de entrada (papel o archivo)? Dnde se crea la entrada? Cules son los datos permanentes? Cules son los archivos creados/actualizados por el proceso como salida? Cules son los documentos/reportes creados como salida? Dnde se usa la salida?

PricewaterhouseCoopers

Setiembre 2006 Slide 11

Identificacin de riesgos

Proceso Identificar potenciales amenazas y determinar su impacto en relacin a las vulnerabilidades. Identificar y evaluar los controles existentes que prevengan, detecten la ocurrencia y/o mitiguen el impacto. Clasificar los riesgos identificados considerndolos junto a los controles que los mitigan.

PricewaterhouseCoopers

Setiembre 2006 Slide 12

Identificacin de Controles
Definicin de Control

Polticas, prcticas y estructuras organizativas diseadas para asegurar razonablemente que se pueden alcanzar los objetivos del negocio, y que los eventos indeseables son prevenidos o detectados y corregidos.

PricewaterhouseCoopers

Setiembre 2006 Slide 13

Identificacin de Controles
Clasificacin Controles preventivos - Identifican potenciales problemas antes de que ocurran - Monitorean operaciones y E/S - Previenen errores, omisiones o actos maliciosos Controles Detectivos - Identifican y reportan la ocurrencia de un error, omisin o acto malicioso ocurrido Controles Correctivos - Minimizan el impacto de una amenaza - Solucionan errores detectados por controles detectivos - Identifican la causa de los problemas y corrigen errores producidos - Modifican los procedimientos para minimizar futuras ocurrencias del problema
PricewaterhouseCoopers

Setiembre 2006 Slide 14

Identificacin de Controles
Objetivo de Control Interno Contables - Orientados a la funcin contable - Persiguen la proteccin de activos y correctitud de los registros contables Operativos - Orientados a las operaciones diarias de la organizacin - Persiguen asegurar que las funciones y actividades estn alineadas con los objetivos de la organizacin Administrativos - Orientados a las funciones administrativas - Persiguen la eficiencia de las mismas en adherencia a las normas de la gerencia
PricewaterhouseCoopers Setiembre 2006 Slide 15

Identificacin de Controles
Objetivos de Control de IT Conjunto de controles mnimos para asegurar la efectividad, eficiencia y economa en la identificacin y utilizacin de los recursos de IT Ejemplos: La informacin se encuentra resguardada Cada transaccin se autoriza e ingresa una sola vez Se informan las transacciones duplicadas o rechazadas Se hacen respaldos Cambios de software debidamente probados y aprobados

PricewaterhouseCoopers

Setiembre 2006 Slide 16

CobiT
Planificacin y Organizacin
Definir del Plan estratgico de TI Definir la arquitectura de la informacin Determinar de los lineamientos tecnolgicos Definir la estructura organizativa de TI y sus dependencias PO5 Administrar de las inversiones en TI PO6 Comunicar los objetivos y directivas de la gerencia PO7 Administrar los recursos humanos PO8 Asegurar que se cumple con los requerimientos externos PO9 Evaluar los riesgos PO10 Administrar proyectos PO11 Administrar la calidad PO1 PO2 PO3 PO4

Adquisicin e implementacin
AI1 Identificar soluciones automticas AI2 Adquirir, desarrollar y mantener los sistemas de aplicacin AI3 Adquirir y mantener la infraestructura tecnolgica AI4 Desarrollar y mantener los procedimientos AI5 Instalar y verificar los sistemas AI6 Administrar los cambios

Entrega y Soporte
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 Definir y administrar el nivel de servicios Administrar los servicios de terceras partes Administrar rendimiento y capacidad Asegurar la continuidad del servicio Asegurar la seguridad del sistema Identificar y asignar costos Capacitar y entrenar a los usuarios Asistir y asesorar la los clientes (internos o externos) DS9 Administrar la configuracin DS10 Administrar problemas e incidentes DS11 Administrar los datos DS12 Administrar los utilitarios Setiembre 2006 DS13 Administrar las operaciones
Slide 17

Monitoreo
M1 Monitorear los procesos M2 Evaluar la adecuacin respecto a la estructura de control interno M3 Obtener aseguramiento independiente M4 Proveer auditora independiente
PricewaterhouseCoopers

Pruebas de controles
Recopilacin de datos Reglas de la Evidencia - Independencia de quien la provee - Calificacin de quien la provee - Objetividad - Suficiencia Tcnicas para reunir evidencia - Revisar la estructura organizativa del rea de IT - Revisar estndares para la documentacin de los Sistemas - Entrevistar al personal apropiado - Observar la operativa y a los empleados Muestreo - Estadstico - Basado en otro criterio
PricewaterhouseCoopers Setiembre 2006 Slide 18

Pruebas de controles
Computer Assisted Audit Techniques (CAAT) Ejemplos: - Generador de datos de prueba - Sistemas expertos - Utilitarios estndar - Software especializado de auditora Algunas ventajas: - Mejora la identificacin de - Reduce el nivel de riesgo de la excepciones auditora - Fciles de utilizar - Genera evidencia con independencia - No requieren demasiado del auditado entrenamiento - Da confiabilidad en la informacin - Uso flexible (diferentes reunida plataformas, BD, etc.) - Se puede disponer de informacin en - Facilidades para documentar la forma ms rpida seleccin y procesamiento de los - Permite cuantificar debilidades de datos control interno Setiembre 2006
PricewaterhouseCoopers Slide 19

Pruebas de controles
Identificar y obtener polticas, normas y directivas del departamento para su revisin Desarrollar herramientas y metodologa para probar y verificar los controles. Identificar y seleccionar enfoque apropiado para verificar y probar los controles: Pruebas de cumplimiento Conseguir evidencia que permita tener una seguridad razonable de que los controles internos establecidos estn siendo aplicados correctamente y son efectivas (Frecuencia, calidad, quin?) Pruebas sustantivas Conseguir evidencia que permita opinar sobre la integridad, razonabilidad y validez de los datos producidos por el sistema. Ayudarn a comprobar si la informacin ha sido corrompida comparndola con otra fuente o revisando los documentos de entrada de datos y las transacciones que se han ejecutado.
PricewaterhouseCoopers Setiembre 2006 Slide 20

Pruebas de controles
Hardware Evaluar su adecuacin y disponibilidad Pruebas de cumplimiento sobre: procedimientos de adquisicin, mantenimiento y configuracin Seguridad fsica y ambiental Pruebas de cumplimiento sobre: procedimientos de mantenimiento, configuracin y control de cambios Pruebas de cumplimiento sobre creacin, mantenimiento y eliminacin de tablas, procedimientos de backups Pruebas sustantivas administracin de perfiles, acceso a datos (usuarios/programas)

Software

Disponibilidad y nivel de seguridad y control que provee Disponibilidad y nivel de seguridad y control que provee

Base de Datos

PricewaterhouseCoopers

Setiembre 2006 Slide 21

Pruebas de controles
LAN Disponibilidad y nivel de seguridad y control que provee Pruebas de cumplimiento sobre: procedimientos de mantenimiento, configuracin y control de cambios, actividad del administrador Conocimiento de los usuarios Pruebas sustantivas para evaluar seguridad lgica (control de acceso y administracin de perfiles) Seguridad fsica y ambiental Pruebas de cumplimiento sobre autorizaciones, segregacin de funciones. Prueba sustantiva sobre controles identificados

E/S

Integridad de la informacin

PricewaterhouseCoopers

Setiembre 2006 Slide 22

Pruebas de controles
Estructura organizativa Segregacin de funciones Documentacin y herramientas disponibles Poltica de seguridad Planificacin Deteccin y seguimiento de errores Segregacin de funciones Actividad del Bibliotecario Documentacin existente Adm. de archivos Procedimiento de envo/retiro de bveda externa Documentacin existente Poltica de seguridad Descripcin del cargo Segregacin de tareas Deteccin y seguimiento de incidentes Capacitacin y concientizacin

Adm. de Redes, equipo central

Procedimiento de catalogacin Procedimiento de backup

Administracin de la seguridad
PricewaterhouseCoopers

Setiembre 2006 Slide 23

Pruebas de controles
Identificar las condiciones que no deberan presentarse en los datos si los controles funcionaran adecuadamente. Analizando los datos podemos identificar si los controles funcionan bien o no. Algunos ejemplos de CAATs para controles automatizados:
Pruebas para determinar si las transacciones son autorizadas segn

la responsabilidad del usuario para ingresar la transaccin


Pruebas de transacciones que caen fuera de los parmetros de

control, como ser: - Montos por arriba del lmite monetario - Valores nulos - Montos negativos - Campos en blanco - Fechas invlidas, o fuera del rango especificado - Datos invlidos PricewaterhouseCoopers

Setiembre 2006 Slide 24

Pruebas de controles

Falta de doble aprobacin donde se requiere Falta de nivel de aprobacin adecuado Transacciones duplicadas Gaps en nmeros de transacciones Pago de mercaderas o servicios a proveedores que no estn en el masterfile del proveedor Probar: - Existencia de orden de compra, si se requiere - Correspondencia entre orden de compra, factura y recibo - Correspondencia de recibo de mercaderas entregadas y la facturacin

PricewaterhouseCoopers

Setiembre 2006 Slide 25

Pruebas de controles
Procesamiento de Informacin Controles Generales de IT Pruebas automatizadas de logs de acceso Generar listas de intentos fallidos (comparar en el tiempo): - Comparar ingresos exitosos con listas de usuarios autorizados - Generar listas de cambios de accesos de perodos anteriores - Buscar actividades inusuales Extraer listas de personas autorizadas del sistema y: - Validar con la lista de empleados - Comparar con la lista de exempleados - Generar listas de usuarios con alto nivel de acceso (superusuarios) - Buscar usuarios con mltiples niveles de acceso
PricewaterhouseCoopers Setiembre 2006 Slide 26

Pruebas de controles
- Buscar desarrolladores de software con acceso a los sistemas de produccin - Buscar usuarios con acceso al software de desarrollo que no sean desarrolladores - Generar reportes de usuarios que no han accedido por un largo perodo - Comparar las listas de control de acceso actuales con perodos previos para detectar cambios Seleccionar cambios de programas para realizar ms pruebas Comparar los cambios de los programas en el software de seguimiento con los registrados en el sistema Generar reportes de las interrupciones del sistema
PricewaterhouseCoopers Setiembre 2006 Slide 27

www.pwc.com/uy

2006 PricewaterhouseCoopers. Todos los derechos reservados. PricewaterhouseCoopers hace referencia a la red de firmas miembro de PricewaterhouseCoopers International Limited, siendo cada una de ellas una entidad legal separada e independiente. *connectedthinking es una marca registrada de PricewaterhouseCoopers

PwC