auditoria de sistemas
TRANSCRIPT
Auditoria de Sistemas
PROFESOR : CESAR FARFAN MASIAS.
ALUMNO : DANIEL PEREZ PEREYRA.
CARRERA : COMPUTACIÓN E INFORMATICA.
CICLO : I
TUMBES-PERÚ
Agenda Introducción Auditoria Auditoria de Sistemas Objetivos Generales Normas de Auditoria Proceso Alcance Pruebas Asistidas por Computador El Iceberg Los cambios ISACA Certificación CISA Conclusiones
Auditoria Inicialmente, la auditoria se limitó a las verificaciones de los registros
contables, dedicándose a observar si los mismos eran exactos.
Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros.
Con el tiempo, el campo de acción de la auditoria ha continuado extendiéndose; aun hay quienes creen y practican auditorias con el único objetivo de observar la veracidad y exactitud de los registros.
Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la corrección contable de las cifras de los estados financieros; Es la revisión misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.
Auditoria de Sistemas
Revisión y evaluación de los Recursos Informáticos y de su ambiente.
La auditoria de los sistemas de informaciónsistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Recursos:Recursos: Software Hardware Comunicaciones Personal (Organización) Políticas y Procedimientos Controles y Seguridad
Objetivos Generales Buscar una mejor relación costo-beneficio de los sistemas automáticos o
computarizados diseñados e implantados.
Incrementar la satisfacción de los usuarios de los sistemas computarizados.
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Seguridad de personal, datos, hardware, software e instalaciones.
Apoyo de función informática a las metas y objetivos de la organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
Minimizar existencias de riesgos en el uso de Tecnología de información.
Decisiones de inversión y gastos innecesarios.
Capacitación y educación sobre controles en los Sistemas de Información.
Normas de AuditoriaLos objetivos de estas normas son los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Código de Ética Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesión con respecto al trabajo de aquellos que la ejercen.
S1 Estatuto S2 Independencia S3 Ética y normas profesionales S4 Competencia profesional S5 Planeación S6 Realización de labores de auditoría S7 Reporte S8 Actividades de seguimiento S9 Irregularidades y acciones ilegales S10 Gobernabilidad de TI S11 Uso de la evaluación de riesgos en la planeación de auditoría S12 Materialidad de la auditoría S13 Uso del trabajo de otros expertos S14 Evidencia de auditoría
www.isaca.org
Proceso de auditoria de Sistemas
Un proceso de auditoria basado en riesgo normalmente incluiría las siguientes tareas:
Recopilar información y planificar. Realizando un conocimiento del negocio. Revisando de auditorias anteriores. Información financiera reciente. Leyes y Normativa aplicable. Análisis de los riesgos Inherentes.
Entender el Ambiente de Control Interno Ambiente de control. Procedimientos de control. Análisis de riesgo de detección. Determinación del control de riesgo.
Efectuar pruebas de cumplimiento. Comprobar las políticas y procedimientos. Comprobar la segregación de tareas.
Proceso de auditoria de Sistemas
Efectuar pruebas sustantivas. Procedimientos analíticos. Pruebas detalladas de balances de cuenta. Otros procedimientos sustantivos
Concluir la Auditoría Crear recomendaciones Redactar el informe de auditoría
AlcanceEl auditor de sistemas podrá enfocar su revisión en distintos aspectos, algunos de los más críticos se describen a continuación
Administración del departamento de sistemas. Administración del departamento de sistemas. Se debe comprobar la suficiencia de recursos humanos y la segregación de funciones.
Control de actividades del área de sistemas. Control de actividades del área de sistemas. Verificar la existencia y seguimiento de un plan estratégico de sistemas que este alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser reflejado en planes anuales del área de sistemas que incluirían detalle de las tareas a realizar por el área en función a determinados plazos y recursos.
Control de tareas de desarrollo. Control de tareas de desarrollo. Revisión de la existencia, calidad y cumplimiento de normas, políticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogéneas entre diferentes proyectos.
Control sobre las tareas de mantenimiento y los cambios a programas. Control sobre las tareas de mantenimiento y los cambios a programas.
Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalización, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades.
Esto implica la realización de cambios en los programas, los mismos que deben ser controlados, para lo cual se efectúa el diseño, la programación, las pruebas y la puesta en producción, estos aspectos deben ser controlados de manera adecuada.
Alcance
Seguridad lógica. Seguridad lógica. La revisión de la seguridad lógica permitirá emitir una conclusión sobre:
La administración de perfiles de usuario. La administración de passwords. Control de privilegios especiales La generación de BackUps (Respaldos de datos). La generación de Logs. (registro de actividades en el sistema) Los virus y otros malwares. La existencia y características de un plan de contingencia de la organización.
Seguridad física.Seguridad física. Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mínimas para un buen funcionamiento de los equipos principales de la organización, inclusive en caso de emergencias, esto puede incluir UPS, generados de energía, aire acondicionado, piso falso, detector de humo y extintores. El acceso restringido a hardware y equipo de apoyo crítico.
Alcance
Estructura de aplicaciones. Estructura de aplicaciones. La identificación de sistemas críticos de la organización, el grado de
integración entre los diferentes sistemas, procesos en lote, oportunidades de automatización para mejorar eficiencia, etc.
Estructura de hardware. Estructura de hardware. El auditor puede considerar el tipo y cantidad de servidores y equipos personales existentes en la organización, el sistema operativo utilizado y las características de los mantenimientos realizados a los equipos.
Estructura de comunicaciones. Estructura de comunicaciones. En caso de que la organización cuente con sucursales o que realice operaciones a través de Internet, entre los aspectos a ser considerados se destacan, el tipo de comunicación, la velocidad de transferencia, la topología de la red, la cantidad de usuarios y los servicios prestados / recibidos a través de la red.
Administración de problemas. Administración de problemas. En este caso se evaluaría la existencia de procedimientos o normas aplicables para la realización de cambios de emergencia, la existencia y evaluación del historial de problemas presentados, el uso de una base de conocimiento, etc.
Alcance
Control de proyectosControl de proyectos
El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada técnica o metodología de administración de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto.
Continuidad de operacionesContinuidad de operaciones
El auditor debe verificar el grado de preparación del área de tecnología ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados.
Alcance
Alcance
Pruebas de Auditoria Asistidas por Computadora
Existen empresas que son altamente automatizadas en sus procesos principales y tienen un volumen alto de transacciones. Cuando se requiere efectuar pruebas de detalle en este tipo de organizaciones, el auditor debe recurrir a pruebas de auditoria asistidas por computadoras. (CAATs por sus siglas en Ingles)
Para efectuar este tipo de pruebas el auditor requerirá de un software especialmente diseñado para tal efecto, el cual le permita recuperar la(s) base(s) de datos de la organización y efectuar el procesamiento requerido en función de la prueba definida.
www.acl.com
www.caseware.com
Ejemplos:
•Verificación de totalidad por lotes.
•Verificación de secuencia y cortes.
•Match o comparaciones.
•Estratificaciones.
•Ley de Benford
CAATs
Algunas Ventajas:Algunas Ventajas:
•Amplio acceso a la información.
•Independencia de Información, permitiendo al auditor tener mayor confianza sobre la información auditada.
•Llevar a cabo análisis específicos de los datos como el cálculo de estadísticas diversas, detección de omisiones, detección de duplicados, sumas totales, etc.
•Importar datos desde un amplio rango de tipos de archivo
•Capacidad de análisis a grandes volúmenes de transacciones
•Desarrollo de análisis y reportes personalizados.
•En General, mejoras en la eficiencia, calidad, sostenibilidad y escalabilidad de los procesos de revisión.
La Base del Iceberg
¿Preocuparse por auditar TI?
Firewalls
Firma digital
Gobierno CorporativoGobierno de TI
Administración de riesgos
Riesgos de TI
Control Interno
Controles de TI
SeguridadVirus
Balanced ScorecardHackers
VPNs
Estados Financieros
Regulaciones
AuditorAuditor Auditor de SIAuditor de SI
¿Qué ha cambiado?
Antes Ahora
No solo la tecnología, también los procesos de No solo la tecnología, también los procesos de revisión a la misma.revisión a la misma.
Hoy en día ISACA cambia el uso del termino “Auditoria” por el de “Aseguramiento”.
Antes Ahora
¿Qué ha cambiado?
De la Auditoría al Aseguramiento Fernando Ferrer Olivares, CISA, CISM (CACS 2007)
PHVA
QASQAAuditorRevisorCSAAcreditadorCertificadorConsultor
!Lo Nuevo¡
Nuevo Marco de Aseguramiento El que dirige la orquesta ! Reemplaza procesos
anteriores de Monitoreo Planeación, Ejecución y
Reporte Nueva forma de combinar
Objetivos de Control
¿Estamos siguiendo los pasos? Si no es así, ¿Cómo vamos a lograrlo?¿Estamos siguiendo los pasos? Si no es así, ¿Cómo vamos a lograrlo?
Hay mas….
ISACA
ISACA® comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares, controles de auditoría en los sistemas computarizados que se estaban haciendo cada vez más críticos para las operaciones de sus organizaciones respectivas, se sentaron a discutir la necesidad de tener una fuente centralizada de información y guía en dicho campo.
Hoy, los miembros de ISACA – más de 65.000 en todo el mundo – se caracterizan por su diversidad, tiene capítulos en más de 60 países en todo el mundo, y dichos capítulos brindan a los miembros educación, recursos compartidos, promoción, contactos profesionales y una amplia gama de beneficios adicionales a nivel local.
Se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Sus normas de auditoría y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafían a sus constituyentes.
Beneficios de ISACAISACA ofrece una amplia gama de beneficios para aumentar sus conocimientos y contactos, incluyendo:
Precios reducidos para inscripción y materiales de estudio para los exámenes CISA y CISM
Suscripción al Information Systems Control Journal®, una revista bimensual que contiene artículos sobre prácticas y tecnologías actuales y futuras
Descuentos en conferencias técnicas y gerenciales de avanzada y talleres para desarrollo profesional y para obtener créditos de EPC para CISA y CISM
Descuentos en las publicaciones de investigación de ISACA y del IT Governance Institute® y cómodo acceso a publicaciones de la Librería de ISACA comentadas por colegas
Acceso pleno al Career Centre de ISACA, con oportunidades laborales en todo el mundo y publicación confidencial del currículum vitae
Beneficios de ISACA Copia gratis de COBIT® 4.1, descuento en la compra de COBIT y acceso
básico a COBIT Online®. Acceso irrestricto a K-NET®, una base de datos global de conocimientos de
materiales de referencia con base en el Internet. Suscripción a Global Communique®, una publicación mensual de ISACA
para sus miembros. Oportunidades de liderazgo y establecimiento de contactos por medio de
los capítulos locales. Acceso a una variedad de publicaciones y documentos para bajar que
abarcan una variedad de tópicos de interés para los profesionales de auditoría, control, seguridad y gobierno de TI.
Se ofrecen simposios electrónicos gratuitos mes a mes a los miembros de ISACA en los cuales se tratan tópicos excelentes e Interesantes. Los asistentes pueden obtener hasta tres créditos de EPC por asistir a cada simposio electrónico.
Certificación CISAAuditor de Sistemas de Información Certificado (CISA por sus siglas en Ingles), es la principal acreditación que brinda la ISACA, que busca es contar con profesionales que adquieran reconocimiento mundial como evaluadores de:
•Estrategias, políticas, estándares y procedimientos de administración de SI. •La efectividad y eficiencia sobre la implementación y seguimiento de la infraestructura técnica y operacional en una organización. •Seguridad lógica, ambiental y en la infraestructura de TI.•Continuidad de las operaciones del negocio y el procesamiento de SI.•Desarrollo, adquisición, implementación y mantenimiento de las aplicaciones del negocio.•Sistemas y procesos el negocio.
Desde 1978, el examen CISA ha medido la excelencia en el área de la Auditoría de sistemas de información, control y seguridad. CISA ha crecido para ser globalmente reconocido y adoptado a nivel mundial como un símbolo de logro.
Requisitos para ser CISA
1. Obtener una calificación de aprobación en el examen CISA. La calificación de aprobación en el examen CISA, sin completar la experiencia laboral detallada a continuación, es válida sólo durante cinco años. Si el candidato no satisface los requisitos para la certificación CISA dentro del período de cinco años, la calificación de aprobación es anulada.
2. Presenten evidencia verificada de cinco años de experiencia laboral en los campos de auditoría, control o seguridad de sistemas de información. La experiencia laboral debe haber sido obtenida dentro del período de diez años que precede a la fecha de solicitud de certificación o dentro de los cinco años posteriores a la fecha de haber aprobado el examen inicialmente.
3. Prometer respetar el Código de Ética Profesional de ISACA (www.isaca.org/ethicswww.isaca.org/ethics), el cual se incluye en la Guía del Candidato para el Examen CISA que se suministra a cada candidato inscrito para el examen.
4. Prometer respetar los Estándares de Auditoría de SI adoptados por ISACA, los cuales pueden verse en www.isaca.org/standards.www.isaca.org/standards.
5. Prometer respetar la política de educación profesional continua del CISA, la cual puede verse en www.isaca.org/cisacpepolicywww.isaca.org/cisacpepolicy.
El examen CISA
Se ofrece el examen CISA en junio y diciembre de cada año, y consiste de 200 preguntas de selección múltiple que cubren las áreas de práctica laboral del CISA.
El examen abarca seis áreas de auditoría, control, aseguramiento o seguridad de sistemas de información creadas a partir del análisis de prácticas laborales del CISA.
Las preguntas del examen CISA se desarrollan y se mantienen cuidadosamente para asegurar que comprueban fielmente la competencia de un individuo en las prácticas de auditoría, control, aseguramiento o seguridad de SI.
Mantenimiento de la certificación
Para mantener la certificación CISA, los individuos deben cumplir con una política de Educación Profesional Continua (EPC) y observar el Código de Ética Profesional de ISACA. Ambos programas ayudan a asegurar que los auditores CISA se mantengan al día con los avances técnicos e industriales y demostrar altos principios profesionales.
La política de EPC exige que el individuo obtenga y presente un mínimo de 20 horas de EPC y pague una cuota de mantenimiento cada año.
Además, se deberá obtener y presentar un mínimo de 120 horas de EPC durante un período fijo de certificación de tres años. Para satisfacer más fácilmente el requisito de 120 horas del ciclo de tres años se sugiere que las personas obtengan un promedio de 40 horas de EPC cada año.
“El no cumplir con esta política traerá como consecuencia la revocación de la certificación del individuo.”
Conclusiones Toda empresa, pública o privada, que posean Sistemas de Información
medianamente complejos, debe someterse a un control estricto de evaluación.
El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.
La auditoria de sistemas es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, es importante y relevante.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.
La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.
El auditor de sistemas también tiene que correr para estar bien capacitado, necesita recursos de conocimiento al alcance de su mano, el éxito logrado es mejor aun si es acreditado por un tercero reconocido.
Conclusiones
MUCHASMUCHAS