Metodologías

Desarrollo e Implantación

Experiencia

Conocimiento

Habilidades

Proceso Metodológico - Ventajas

Eliminación de Informalidad

Obtención de procesos de calidad

Mejor Comunicación

Mejor Administración

Facilidad de Seguimiento

Proceso Metodológico – Requisitos de éxito

Adecuación a requerimientos del negocio

Capacitación en la metodología

Comprobación de uso

Planes AI acordes

Preliminar (Diagnóstico)

- Negocio

- Informática

Justificación

- Áreas a Auditar

- Plan propuesto Revisión Informal

Adecuación

- Métodos

- Técnicas

- Herramientas

Formalización

- Aprobación

- Inicio

Revisión Formal

Aprobación Formal

Desarrollo

- Entrevistas - Recomendaciones

- Visitas - Informe de auditoría

- Observaciones

Implantación

Acciones Preventivas y Correctivas

Seguimiento

Estrategia - Implantar proceso Metodológico

Etapa Productos Terminados Requerimientos Responsable

Involucrados

Preliminar (Diagnóstico)

1. Diagnóstico de negocio 2. Diagnóstico de

Informática

1. Involucramiento de la Dirección.

2. Información veraz

LP LP

AD/AI RI/RAI

Justificación 1. Matriz de riesgos

2. Plan de auditoría en Informática

1. Análisis de riesgos y áreas de oportunidad

2. Definir responsables y tiempos

LP LP

RAI/RI RAI

Adecuación 1. Plan y Metodología de acuerdo con el cliente

2. Plan detallado

1. Entendimiento del negocio y de la función de Informática.

2. Detallar tareas y tiempos

LP LP

RI/RAI/PU RI/RAI/PU

Formalización 1. Plan Aprobado 2. Compromiso Ejecutivo

1. Aprobación formal (firmas) 2. Respaldo y apoyo al proyecto

AD AD

RI/RAI/PU RI/RAI/PU

Desarrollo 1. Auditar áreas seleccionadas

2. Informe de auditoría en Informática

1. Aprobación de la dirección 2. Asignar responsables y

tiempos para cada acción recomendada

LP AD/PI/PU

RI/PU/AI RAI/LP/AI

Implantación 1. Recomendaciones y acciones terminadas

2. Aprobación final

1. Compromiso ejecutivo 2. Basarse en plan de

implantación 3. Verificar cumplimiento del plan

RI/PU LP/AI

LP/AI RI/PU/RAI

AD: Alta Dirección; PU: Personal Usuario; RI: Responsable del Área de Informática; PI: Personal de Informática; RAI: Responsable del Área de Auditoría Informática; LP: Líder del proyecto de Auditoría Informática; AI: Auditor en Informática

Proceso Metodológico General

Métodos Técnicas y

Herramientas por Área

de Revisión

Resultados satisfactorios de la Auditoría

• Dominio de los conceptos técnicos y administrativos relacionados.

• Habilidades inherentes a la Auditoria Informática.

• Entendimiento de la Auditoría Informática y sus tendencias.

• Adaptación o actualización según el medio dominante.

• Organización y administración formal de la Auditoría Informática en el

negocio.

• Involucramiento formal en el proceso de planeación del negocio y de la

auditoría tradicional.

Resultados satisfactorios de la Auditoría

• Desarrollo de un proceso formal de planeación de Auditoría

Informática.

• Entendimiento y aplicación de un proceso metodológico formal de la

Auditoría Informática.

• Participación formal, en asociaciones, instituciones educativas, etc.,

con fines de actualización o de compartir las experiencias

profesionales en el campo de la Auditoría Informática.

• Gusto e identificación profesional por la carrera de Auditoría

Informática.

• Entendimiento satisfactorio de los métodos, técnicas y herramientas

necesarios para auditar las áreas seleccionadas en el proceso de

planeación de la AI.

Técnicas y Herramientas

Definir técnicas y herramientas mínimas para cada etapa del

proyecto de Auditoría Informática

• Muestreos.

• Entrevistas.

• Cuestionarios.

• Inspección.

• Observación.

• Documentación.

Técnicas y Herramientas

Definir técnicas y herramientas mínimas para cada etapa del

proyecto de Auditoría Informática

• Software de auditoría.

• Análisis de procesos de negocios.

• Análisis de sistemas.

• Lenguajes de programación.

• Paquetes.

• Equipos de Computo.

Técnicas de Auditoría

Técnicas de Auditoría

Las técnicas de auditoría son métodos prácticos de

investigación y prueba que utiliza el auditor para obtener la

evidencia que fundamente sus opiniones, conclusiones y

reportes.

• Las técnicas seleccionadas y aplicadas se convierten en procedimientos

de auditoría.

Técnica Ocular

Consiste en observar en forma directa y paralela la manera

como los responsables de la administración, desarrollan y

documentan los procesos o procedimientos que la organización

utiliza para ejecutar las actividades objeto de control.

Técnica Ocular

• Comparación

Es el acto de apreciar la similitud o diferencia existente entre dos o más

elementos o situaciones.

En la auditoria supone cotejar y evaluar los mismos criterios aceptables que

facilitan la labor del auditor para obtener de dicha acción un resultado o

conclusión.

• Observación

Es el examen visual u ocular realizado para cerciorarse de hechos,

circunstancias y de como se ejecutan las operaciones.

Es de utilidad en todas las fases del proceso de auditoria. Puede ser

efectuada de manera abierta o discreta.

Técnica Verbal u Oral

Permite obtener información mediante el dialogo con los

integrantes de la organización o los de su entorno relevante,

con el propósito de averiguar o indagar posibles debilidades de

los procedimientos, prácticas de control interno y otras

situaciones que el auditor considere importante en el desarrollo

de su trabajo.

Técnica Verbal u Oral

Indagación:

• Es el acto de obtener información verbal sobre un asunto mediante

averiguaciones directas o conversaciones con los funcionarios de la

entidad. Suelen aportar elementos de juicio en los que puede confiarse

si son razonables y consistentes.

Es de especial utilidad cuando se examinan áreas o asuntos no

documentados, sin embargo sus resultados no constituyen por sí solos

evidencia suficiente.

Técnica Verbal u Oral

Entrevistas

• Pueden ser efectuadas a los directivos, funcionarios y trabajadores en

general de la entidad auditada o a personas beneficiarias u otras

vinculadas respecto de los programas u operaciones sujetas a examen.

• Deben ser apropiadamente preparadas, definiéndose previamente a su

realización quienes serán los entrevistados y las preguntas que se

formularán.

• Deberán ser documentadas y advertirse al entrevistado de su propósito o

finalidad.

Técnica Verbal u Oral

Encuestas

• Son útiles para recopilar información de un gran universo de datos o

grupos de personas.

• Presentan como ventaja la economía de costos y tiempos para obtener

información, sin embargo exigen una preparación y definición de su alcance

adecuada y rigurosa en beneficio de su confiabilidad y utilidad, es

recomendable recurrir a las técnicas propias de la estadística.

Técnica Escrita

Es la actividad de registrar o plasmar información que a juicio

del auditor sea importante dentro de su trabajo.

• Análisis

Consiste en identificar, estratificar o clasificar elementos constitutivos del

objeto de análisis, con el propósito de obtener información y llegar a

conclusiones que a juicio del auditor afecten la gestión de la organización

auditada.

Técnica Escrita

• Conciliación

• Es el cotejo o confrontación que se hace a la información obtenida de

diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento de

metas, objetivos o de registros independientes pero relacionados entre sí,

para establecer su conformidad y veracidad.

• Confirmación

• Permite obtener un grado razonable de certeza sobre la existencia,

cumplimiento, veracidad y autenticidad de planes y programas ejecutados,

cobertura de usuarios, operaciones, cifras y datos.

Técnica Documental

Consiste en obtener información escrita que permita soportar las afirmaciones, análisis o estudios realizados por los auditores.

• Comprobación

Verifica la evidencia que apoya o sustenta una operación o transacción con el fin de corroborar su autoridad, legalidad, propiedad y veracidad.

• Computación

Es el análisis de documentos, programas, datos o hechos asistidos por el computador y/o software especializados, cuando las operaciones o transacciones se ejecutan en cantidad tal que su análisis manual resultaría tedioso.

Técnica Documental

• Rastreo

• Es utilizada para hacer seguimiento y control, de modo progresivo y

razonado, a una operación o conjunto de ellas, de un punto a otro dentro de

un proceso o actividad determinada.

• Revisión Analítica

• Comprende el análisis de índices, indicadores, tendencias y la investigación

de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o

se desvíen de las operaciones proyectadas de la organización.

Técnicas de auditoría Asistida por Computadora

Introducción

Las técnicas de auditoría Asistidas por Computadora son la

utilización de determinados paquetes de programas que actúan

sobre los datos, realizando con más frecuencia los siguientes

trabajos:

• Selección e impresión de muestras de auditorias sobre bases

estadísticas o no estadísticas, a lo que agregamos, sobre la base de los

conocimientos adquiridos por los auditores.

• Verificación matemática de sumas, multiplicaciones y otros cálculos en

los archivos del sistema auditado.

Introducción

• Realización de funciones de revisión analítica, al establecer

comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo

cálculos de regresión múltiple.

• Manipulación de la información al calcular subtotales, sumar y clasificar

la información, volver a ordenar en serie la información, etc.

• Examen de registros de acuerdo con los criterios especificados.

• Búsqueda de alguna información en particular, la cual cumpla ciertos

criterios, que se encuentra dentro de las bases de datos del sistema que

se audita.

Herramientas

para la Auditoría

de los SI

Generalidades

La auditoría y la auditoría informática tienen una demanda

creciente y crecientes exigencias de cobertura y granularidad.

El auditor es un recurso limitado, escaso, relativamente caro.

• Existe gran variedad de modos de clasificación:

Embebidas. (EAM)

Verticales de gestión (de la auditoría). GAT/CAAT. IDEA y ACL.

Hacking ético

Compliance

Herramientas

Las herramientas pueden ser especificas, sustitutivas e incluso

ser multipropósito.

• Generalmente, el mejor costo-beneficio se obtiene con herramientas

especificas, no multipropósito.

• Excepto claro que los costos de formación, su frecuencia e intensidad de

uso y el propio costo directo de cada herramienta aconsejen una

multipropósito.

Herramientas

El objeto

(objetivo y control)Herramienta

El sujeto

(quien las usa)

La herramienta

depende del objeto

Determina la herramienta

en función de objeto y su

dominio de herramienta

Debe “dominar” (metodología)

la herramienta (no al reves)

Integración de la Auditoría.

Herramientas

Auditoría

SITIC

Auditoría

Operativa

Auditoría

Financiera

Auditorias de

“Sistemas de

Gestión”

ISO 9001: 2000 Gestion de la Calidad

ISO 27001 SGSI (ISMS)

ISO 14000 Gestion Medioambiental

Núcleo

común

creciente

Herramientas según su procedencia

• De entorno adquisición – construcción.

• Lenguajes de programación, debuggers, analizadores.

• De prueba.

• ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y

auditoria “continuada”

• Del entorno explotación-operación.

• El acceso debe ser controlado y supervisado, pues el riesgo de impacto de

un acceso instructivo en un entorno de producción es muy alto.

Herramientas según su procedencia

• Software de Sistemas

Un ASITIC capaz de lograr acceso privilegiado al SO, software de red, logs,

etc., puede explotar enormes ventajas.

• Utilidades

Potentes herramientas, fundamentalmente de extracción de datos. El ASITIC

debe comprobar que el acceso a utilidades por el personal auditado esta

restringido al máximo, y totalmente trazado, cuando se usan.

Herramientas según su procedencia

• TCP/IP e Internet

Hacking Ético – Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye,

LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe,

SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke,

WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper.

• Específicas de Auditoría y Herramientas Ofimáticas

Herramientas según su función

Captura de datos.

• Recoge información, captura datos, que serán usados (analizados,

interpretados, utilizados) en fase posterior o simultanea.

Muestras. – Es una técnica estadística de la que se sabe mucho y se abusa muco (por la ignorancia de

quienes lo hacen).

Vigilancia. – Es una variante del muestreo.

Forense. – Variante especial de la recogida de dato.

Herramientas según su función

Análisis

• El análisis o interpretación y evaluación de la información recogida

puede ser concomitante con la recogida de la información (alertas y

gestión de incidencias) o ser diferidas, incluso con horizontes muy

amplios.

Herramientas según su uso o propósito

Las herramientas de auditoría pueden usarse para:

• Auditoría SITIC

• Otros uso, legítimos o ilegítimos.

• Auditorias con SITIC

Auditoría Interna o Externa, Auditoría Operativa, Auditoría de Cuentas,

Auditoría SITIC, Auditoría ISO 9001: 2000, ISO 27001, ISO 14000, apartes

de las intervenciones de control de directivos y supervisores, CSA (Control

Self Assement).

Naturaleza cíclica y administrativa del ciclo de vida de la ASITIC. • Auditoría integral, que

minimice solapes y lagunas de unas y otras intervenciones.

• Auditoría continua, que acorde los ciclos detección-corrección y con ello facilite reducir el riesgo.

• Paquetes integrales de auditoría que “integren” las labores administrativas y las técnicas.

Herramientas según su ubicación

1. Evaluación de Riesgos

2. Calendario de auditoría

3. Presupuesto

4. Programa de auditoría

5. Pruebas de auditoría

6. Análisis

7. Hallazgos

8. Informe

Aplicable a

ASITIC

“discreta”

puntual o

periodica;

no continua

Prospectiva Auditoría SITIC 2007-2017

Herramientas según su ubicación

Automatizada

Continua

Integradaámbito

Embedida

2007

2017

Herramientas según su ubicación

• Herramientas embebidas.

• Herramientas construidas/adquiridas al tiempo que la aplicación/sistema

principal, normalmente por requerimiento de un ASITIC que ha participado en

el proyecto o por el buen hacer de los desarrolladores.

• Herramientas intrusivas.

Insertan en el sistema algún servicio para generar logs; o bien durante el

hacking ético, dejen algún tipo de traza.

• Herramientas no intrusivas.

Como lo hacen las GAS/CAAT.

Herramientas según su ubicación

Auditoría Continua/Auditoría en Línea.

• El objetivo es asegurar que las transacciones en tiempo real se

benefician de monitorización y controles también en tiempo real.

• La auditoría continua exige servicios en línea. Puede ser total o por

muestreo

Herramientas según su ubicación

Auditoría Continua/Auditoría en Línea.

• Las condiciones de éxito para una auditoría continua son estrictas:

Alta automatización de la detección, con filtros sofisticados y alarmas en

tiempo real.

Herramientas de auditoría avanzadas y paramétricas.

Excelente y ágil interfaz con los auditores altamente cualificados.

Mínimo estorbo al auditado.

• Las técnicas de auditoría continua recorren:

Registro de transacciones, las herramientas de consulta (query)

CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses, datamining,

IA, redes neuronales, XBRL.

Auditoría diferida “Cooperativa”

Herramientas según su ubicación

Universo de

transacciones

Selecciona, con CAAT y

CRITERIO, una muestra de

Transacciones

Aplicación Web remite la

transacción seleccionada al

auditado e incorpora “mascara”

(petición y cuestionario)

Tabula respuestas

Emite Informe

12

3

4

5

6

7

Todo este proceso puede

“desencadenarse” -punto4-

en tiempo real o algo muy

diferido

Auditado

Auditor

Herramientas según su ubicación

• Herramientas exentas

• El amplio uso por los ASITIC

• Herramientas específicamente diseñadas como de auditoría.

• Herramientas horizontales

• Groupware. – Son aplicaciones o suites particularmente diseñadas para el trabajo en equipo, sobre las que

se pueden hacer integraciones.

• GRC. – Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en

esta categoría ofimática, admite entradas propias de los sistemas de vigilancia.

Herramientas según su ubicación

• Herramientas verticales

• Pueden serlo mas de gestión o mas técnicas. – Las mas de gestión se inclinan a las horizontales y el Groupware.

– Las mas técnicas fundamentalmente en las GAS (Generalized Audit Software), SAS

(Statement on Auditing Standard)

Herramientas según su ubicación

• Herramientas verticales de gestión

Audinfor. www.audinfor.com

Bindview. Software de cumplimiento de seguridad. www.paisley.com,

www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.

Paisley. Su producto AutoAudit es una conocida herramienta vertical de

gestión.

Protivity Inc. Consultores de gestion de riesgos.

TeamMate. Herramienta de gestion de papeles de trabajo.

www.pwc.com/teammate/

Tripwire. www.tripwire.com/index.cfm

Herramientas según su ubicación

• Herramienta verticales técnicas.

Son herramientas especializadas. Atacan a los archivos de datos y no a los

programas de aplicación, por lo general suelen ser invariantes de los

programas y mas objetivas en cuanto a los datos.

ACL, IDEA. – Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados

según una variedad de estándares.

– Calculo, creando campos lógicos, resultando de aplicar una formula a los campos

originalmente importados.

El director ejecutivo de auditoría debe asegurar que los

recursos de auditoría interna sean adecuados, suficientes y

efectivamente asignados para cumplir con el plan aprobado.

Herramientas según su productividad

Standards for IS Auditing (SISA) (Normas Generales para la auditoría de los Sistemas de Información)

Código Titulo Puntos Concretos

S6 Realización de labores de Auditoría 04, 05, 07, 08, 09, 10

S7 Reporte 03,07

S8 Actividades de seguimiento 08,09

IS Auditing Guidelines (ISAG) (Directrices de Auditoría)

Código Titulo Puntos concretos

G3 Uso de CAAT Todo

G8 Documentación de la Auditoría Todo

G10 Muestreo en Auditoría Todo

G35 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6, 4.1.2

Herramientas según su Cobertura

Es deseable una gran cobertura costo-beneficio y a veces se

considera necesaria.

• Conseguirla depende de una hábil combinación de herramientas

embebidas y GAS/CAAT.

Productos

• Herramientas gratuitas

www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm

• ACL. Audit Command Languaje

www.acl.com/default.aspx?bhcp=1

• IDEA. Interactive Data Extraction and Analysis

www.caseware-idea.com

• Symantec.

www.symantec.com/enterprise/index.jsp

• Computer Associates

ca.com/us/products

• Otras

John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check,

Wireshark, Yersinia.

Conclusiones

La auditoría SITIC esta en evolución constante, ello depende

de:

• Las nuevas demandas y objetivos

• La disponibilidad de herramientas y técnicas que permitan:

Hacer ciertas pruebas.

Con mayor cobertura.

Con menor riesgo/error.

Con mayor productividad.

• Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva

de su productividad, puede ser propio de tecnólogos o de historiadores;

pero seria un error imperdonable en empresarios, gestores,

economistas, responsables de auditoría y auditores.