auditoría informática

Auditoría Informática

1 Ing Claudia Chaparro

2010

Definición de Auditoría

Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos

de evaluar la situación de la misma. La Auditoría requiere el ejercicio de un juicio

profesional, sólido, maduro, para juzgar los procedimientos que deben seguirse y estimar

los resultados obtenidos.

Definición de Auditor

Persona que realiza la Auditoría. El auditor tiene conocimientos especializados para realizar

sus tareas. El auditor adquiere responsabilidad con el cliente.

El proceso de Auditoría de SI

Proveer servicios de auditoría de SI de acuerdo con las normas, pautas y mejores prácticas

de auditoría de SI para ayudar a la organización en sus esfuerzos por asegurarse de que sus

Sistemas de Tecnologías de la Información y de riesgos estén protegidos y controlados.

Metodologías de la Auditoría Informática

Permiten a las empresas modelar sus procesos para que se ejecuten a sus propias

necesidades, proporcionan métodos utilizados para estandarizar procesos y administrar los

entornos de IT.

Alcance de la Auditoría Informática

El alcance debe definir con precisión el entorno y los límites en que va a desarrollarse la

Auditoría Informática. En el informe final debe figurar hasta que puntos se ha llegado y

cuales fueron omitidos. La identificación de los alcances de la Auditoría Informática

compromete el éxito de la misma.



2010

Control de Integridad de registros y Validación de errores

Los Registros Comunes son los que se comparten entre Aplicaciones. Si una Aplicación no

tiene integrado un Registro Común, cuando quiera utilizar el Registro y no lo encuentre se

generaran problemas y errores, esto tiene que ver con el Control de Integridad de Registros.

El Control de Validación de errores prueba que el sistema que se utiliza para detectar y

corregir errores sea eficiente.

Marco de las Mejores Prácticas de la Auditoria

Identificación: buscan definir las necesidades respecto de la auditoría, así como

también las debilidades propias para determinar el objetivo a seguir.

Administración de la Calidad Total: incorporan conceptos sobre la base de la mejora

continua aplicada a la auditoría, como la medición y evaluación de resultados.

Comunicación: obtener un proceso de comunicación interna para informar lo

actuado, lo planeado y las mejoras obtenidas.

Tecnología: incorporar recursos de tecnología informática al proceso de auditorias

para optimizar la eficiencia, eficacia y los resultados de las revisiones.

Interrelación externa: mantener relaciones profesionales con otras gerencias de

auditorias para intercambiar estrategias, criterios y resultados.

Agente de cambio: posicionar la auditoría como agente de cambio con el objetivo de

auto evaluación del control.

Reingeniería de auditoría: proyectan a los auditores como facilitadores para la auto

evaluación del control.

Áreas de la Auditoría Informática

Las empresas controlan su stock y realizan inversiones informáticas. De éste sector se

ocupa la Auditoría de Inversión Informática.

La Auditoría de Seguridad Informática se encarga de proteger los Sistemas Informáticos.

La Auditoría de Organización Informática se ocupa de los cambios estructurales en la

informática y la función de la reorganización.

Las actividades auditoras abarcan éstas tres áreas de inversión, de seguridad y de

organización por esta razón es que se pueden presentar problemas de ineficiencia,

debilidades de organización, de inversión, o de seguridad.



2010

Necesidad de una Auditoría Informática

Las Auditorías externas se realizan cuando se perciben síntomas de debilidad, son:

Síntomas de descoordinación y desorganización: no coinciden los objetivos de la

informática de la compañía. Los estándares de productividad de desvían.

Síntomas de mala imagen e insatisfacción de los usuarios: no se atienden las

peticiones de los usuarios. No se reparan las averías. No se cumplen con los plazos

de entrega.

Síntomas de debilidades económicas-financieras: incremento de costos. Justificar la

inversión financiera.

Síntomas de Inseguridad: seguridad lógica. Seguridad física. Confidencialidad.

Las Normas de la Auditoría

Las Normas de Auditoría son los requisitos mínimos de calidad relativos a la personalidad

del auditor.

Normas Personales: son cualidades que el auditor debe tener basados en

conocimientos profesionales y entrenamiento técnico. Deber ser imparcial a la hora

de dar sus sugerencias.

Normas de Ejecución del trabajo: son de planificación de los métodos y

procedimientos.

Normas de Información: son el resultado que el auditor debe entregar. Es el

informe.

Técnicas de Auditoria

Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la

evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su

criterio o juicio, según las circunstancias.

Las técnicas se clasifican con base en la acción que se va a efectuar, pueden ser oculares,

verbales o escritas.



2010

Las técnicas de Auditoría se agrupan el siguiente modo:

Estudio General.

Análisis.

Inspección.

Confirmación.

Investigación.

Declaración.

Certificación.

Observación.

Cálculo.

Procedimientos de Auditoría

Son técnicas de investigación aplicables a situaciones que permiten fundamentar la opinión

del auditor en el marco de una auditoría informática. A su vez los procedimientos en un

conjunto forman los programas de auditorias. El plan de Auditoría esta compuesto por

programas de auditoría que permiten implementar una estrategia y organización de la

Auditoría Informática.

Los Procedimientos de Auditoría permiten:

Obtener conocimientos del control interno.

Analizar las características del control interno.

Verificar los resultados del control interno.

Fundamentar conclusiones de la Auditoría.



2010

Plan Anual de Auditoría

Los Departamentos de Auditoría Interna utilizan un plan anual de auditoría basado en los

riesgos. El plan debe reflejar y responder a esos riesgos. Desarrollado por la alta

organización de los departamentos de riesgos, las unidades de negocio, procesos y controles

respectivos. Queda claro que debe abordar los principales riesgos tanto a nivel de la

organización y dentro de los distintos departamentos unidades o procesos. Este

planteamiento centra sus esfuerzos y actividades para obtener el impacto más significativo

sobre el valor agregado.

Programa de Auditoría

El Programa de Auditoría establece los procedimientos necesarios para optimizar una

auditoría. Incluye los pasos para alcanzar los objetivos de auditoría.

Un programa de Auditoría:

Proporciona un resumen de los trabajos a realizar.

Ayuda a controlar el trabajo y la asignación de responsabilidades.

Ayuda en la revisión de la auditoría.

Evidencia si el trabajo se planea adecuadamente.

Proporciona supervisión de asignación.

Garantiza que las áreas de riesgo han sido consideradas y que aspectos importantes

de la auditoría no han sido omitidos.

Auditoría Interna

Es la realizada con recursos, materiales y personas que pertenecen a la empresa auditada.

La Auditoría Interna existe por decisión de la propia empresa. La Auditoría Interna es una

actividad independiente y objetiva de aseguramiento y consulta, realizada para agregar

valor y mejorar las operaciones de una organización. Aporta un enfoque sistemático y

disciplinado para evaluar y mejorar la eficacia de la gestión de riesgos, control y los

procesos.



2010

Auditoría Externa

Es realizada por personas ajenas a la empresa auditada. El auditor que realiza ésta tarea es

siempre remunerado económicamente. Se presupone con mayor objetividad que en la

Auditoría Interna por el distanciamiento entre auditores y auditados.

Algunos motivos para realizar Auditoría Externa son:

Necesidad de auditar una especialización, para la cual los recursos de la

empresa no están capacitados.

Contrastar algún informe de Auditoría Interna con el que resulte de la

Auditoría Externa.

La Auditoría Externa es necesaria para poder tener una visión desde afuera

de la empresa.

Informe de Auditoria

Existen 10 reglas simples:

Estado de la situación: los clientes, ejecutivos y comité de auditoría necesitan una

descripción de la situación, el nivel de riesgo, medidas de recomendación

correctivas. Debe ser breve y claro, no extenso.

Ilustrar el riesgo: se debe comunicar la gravedad del riesgo para que se entienda la

situación. Se pueden cuantificar las perdidas.

Centrarse en los resultados: se debe evitar escribir “nuestra revisión” o “se observo

que”. La auditoría debe informar lo que se reveló.

Evitar la jerga: la auditoría tiene su propia jerga.

No confiar en sinónimos: aunque la repetición de palabras puede ser inapropiado,

esto es aceptable para los documentos de auditoría.

Uso de sustantivos concretos: no se debe impresionar a los lectores con nombres

largos y abstractos. Son mejores los sustantivos concretos para expresar una idea.

No cargar oraciones: describir demasiadas ideas en una oración compromete la

legibilidad del documento y confundir a los lectores.



2010

Simplificar las ideas: ayuda al lector a digerir la información. Utilizar patrones o

estructura paralela.

Hacer hincapié en el potencial de la mejora: se pueden lograr mejores resultados

señalando la mejora en lugar de resaltar las consecuencias negativas.

Evite el lenguaje negativo: la utilización de palabras negativas tiene una tendencia

de oponer al lector.

Antes Durante y Después de la Auditoría

La comunicación es un elemento fundamental para una auditoría exitosa, así como también

en períodos de no auditoría.

Antes de la auditoría los auditores deben explicar como será el proceso de auditoría. Debe

entender límites y restricciones del cliente, como días complejos de reuniones, viajes,

fechas importantes, vacaciones u otros factores que podrían afectar la participación del

cliente durante la auditoría.

Durante la auditoría la comunicación debe ser regular y consistente para minimizar las

sorpresas.

Después de la Auditoría los departamentos deben hacer una reunión para realizar una

capacitación y ver lo que se hizo bien, que cosas salieron mal y las futuras mejoras.

La relación auditoría – empresa tiene éxito si establecen un diálogo permanente.

Aseguramiento de la Información

Es la utilización de información y de diferentes actividades operativas, con el fin de

proteger la información, los sistemas de información y las redes de forma que se preserve la

disponibilidad, integridad, confidencialidad, autenticación, y el no repudio, ante el riesgo de

impacto de amenazas locales o remotas.

El aseguramiento se da en los siguientes niveles:

Aseguramiento de datos: información histórica y de probabilidad.

Aseguramiento de procesos: controles internos y procedimientos.

Aseguramiento del comportamiento: conformidad con normas, regulaciones y

mejores prácticas.

Aseguramiento del sistema de gestión: protege a todos los involucrados; directivos y

empleados.



2010

Aseguramiento de la Calidad de la Información

La administración del aseguramiento de la calidad promueve que los sistemas de

información logren las metas de calidad y que el desarrollo, implementación operación y

mantenimiento de sistemas de información cumplan con un conjunto de normas de calidad.

Mejorar la Calidad es parte de una tendencia global entre las organizaciones proveedoras

para mejorar la calidad de los productos y los servicios que ofrecen, agregando valor a los

controles de producción, implementación, operación y mantenimiento.

COBIT

(Control Objectives for Information and related Technology) COBIT es una herramienta de

gobierno IT creada en 1996. Permite evaluar la calidad del soporte de IT actual de la

organización, vinculando los distintos procesos del negocio con los recursos informáticos

que los sustentan.

COBIT establece un diagnóstico que permite definir las metas desde el punto de vista de la

seguridad y el control que le serán de utilidad para la organización en cada uso de sus

procesos, generando luego un plan de acción para alcanzar estas metas con un proceso de

monitoreo acorde y mejora continua.

COBIT: Marco para el Control y la Gobernabilidad IT

Principales características:

La Estructura de Cubo: es la capacidad de poder trabajar con sus objetivos de

control, desde tres puntos de vista diferentes, los procesos, los recursos de IT, la

información. Esta Estructura ayuda en la planificación estratégica al promover las

funciones relacionadas a la gobernabilidad IT. También permite vincular las

expectativas de la Dirección con las de la Gerencia IT.

Dominios: los dominio principales son: Planificación y Organización; Adquisición e

Implantación; Soporte y Servicios; Monitoreo. Cada uno de estos dominios están

enfocados a los diferentes niveles y departamento que pueden existir en una

organización.

Modelo de Madurez: provee las bases para la evaluación de las principales

funciones del área de IT considerando los procesos claves, a los cuales se les

asignará un valor de cero a cinco, según:



2010

0.- Inexistente: ausencia total de cualquier proceso o control reconocible.

1.- Inicial: existe evidencia de que la organización ha reconocido la necesidad de

mejorar los procesos o controles.

2.- Repetible: se han desarrollado procesos donde se siguen procedimientos

similares por diferentes personas para la misma tarea.

3.- Definido: los procedimientos han sido estandarizados y documentados y son

comunicados a través de la capacitación.

4.- Gestionado o Administrado: es posible monitorear y medir el cumplimiento de

los procedimientos y tomar acciones cuando los procesos no están funcionando

efectivamente.

5.- Optimizado: los procesos han sido redefinidos al nivel de las mejoras prácticas,

basados en los resultados de mejoras continuas y el modelo de madurez con otras

organizaciones.

ITIL Information Technology Infraestructure Library

ITIL describe las mejores prácticas que se pueden utilizar y mejor se adecuan a una

organización, incluye cinco disciplinas que proporcionan a las empresas flexibilidad y

estabilidad para ofrecer servicios IT.

Gestión de Incidencias.

Gestión de Problemas.

Gestión de Cambios.

Gestión de Versiones.

Gestión de Configuración.

Incluye también cinco disciplinas que soportan los servicios IT de Calidad:

Gestión de Nivel de Servicio.

Gestión de la Disponibilidad.

Gestión de la Capacidad.

Gestión Financiera para Servicios IT.

Gestión de la Continuidad de los Servicios IT.

El objetivo de ITIL en todas las disciplinas es la definición de las mejores prácticas para los

procesos y responsabilidades para gestionar servicios IT.



2010

BS 7799 e ISO 17799

La norma BS 7799 es un código de buenas prácticas para la gestión de la seguridad de la

información.

La ISO/IEC 17799 define la seguridad de la información como la preservación de la

confidencialidad, la integridad y la disponibilidad de la misma. Esta norma que define las

mejores prácticas para gestión de la seguridad de la información, consta de las siguientes

partes:

1.- Define un conjunto de objetivos principales e identifica un conjunto de controles de

seguridad.

2.- Especifica los controles de seguridad que se pueden utilizar, basados en los resultados

de la evaluación de Gestión de Riesgos.

ISO/EIC 17799 establece la base para desarrollar normas de seguridad de control de las

organizaciones, definiendo diez dominios de control.

Política de Seguridad.

Aspectos Organizativos para la Seguridad.

Clasificación y Control de activos.

Seguridad ligada al Personal.

Seguridad física y del Entorno.

Gestión de Comunicaciones y de Operaciones.

Control de Accesos.

Desarrollo y mantenimiento de Sistemas.

Gestión de Continuidad del Negocio.

Conformidad.

COSO Committee of Sponsoring Organizations

Es una herramienta que asiste en la evaluación, auditoría, documentación, mejora y

seguimiento del sistema de control interno.

Permite facilitar las actividades de los encargados del control interno, auditores internos y

externos, y gerencias de las organizaciones ocupadas en mejorar resultados.

Los componentes que se interrelacionan para alcanzar los objetivos son:



2010

Ambiente de Control: proporciona disciplina y estructura. Relaciona la integridad y

competencia del personal de una organización.

Evaluación de Riesgos: identificar y analizar los riesgos que se relacionan con el

logro de los objetivos. Cuantificar, proyectar su probabilidad y sus posibles

consecuencias.

Actividades de Control: en todos los niveles y todas las funciones, incluyendo los

procesos de aprobación, autorización, conciliaciones y demás. Pueden ser:

Controles Preventivos; Controles Detectivos; Controles Correctivos; Controles

Manuales y de Usuarios; Controles de Cómputo o de Tecnología de información y

Controles Administrativos.

Monitoreo y Aprendizaje: constante para asegurar que todo opera como se planeó.

Las actividades de monitoreo pueden ser implantadas mediante la auditoría interna

o externa.

Información y Comunicación: de la información relevante oportunamente para

cumplir con las correspondientes responsabilidades.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

MAGERIT es una metodología de análisis y gestión de riesgos de los sistemas de

información de las administraciones públicas. Presenta un objetivo definido en el estudio de

los riesgos que afectan los sistemas y el entorno. Hace recomendaciones para conocer,

prevenir, evaluar y controlar los riesgos investigados. Desarrolla el concepto de control de

riesgos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

Sus objetivos son:

Concientizar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de atenderlos a tiempo.

Ofrecer un método sistemático para analizar los riesgos.

Descubrir y planificar las medidas para mantener los riesgos bajo control.

Preparar la organización para procesos de evaluación, auditoría y certificación.



2010

Sarbanes-Oxley, SOX

La Ley Sarbanes-Oxley, tiene como objetivo crear un marco transparente para las

actividades de las empresas multinacionales que cotizan en la Bolsa. Contempla una

revisión rigurosa de los datos financieros que una empresa declara en sus estados

financieros y que utiliza para sus controles internos.

El control interno tiene como principales objetivos:

Efectividad y eficiencia de las operaciones.

Confiabilidad de la información financiera.

Cumplimiento de las normas y leyes que sean aplicables.

Salvaguardia de los recursos.

Esta Ley cuenta con una sección de normas y reglas ,dispone que los auditores deben

incluir lo siguiente:

El alcance de las pruebas del auditor de la estructura de control interno.

Los hallazgos del auditor con respectos a dicha pruebas.

Una evaluación sobre dicha estructura de control.

Esta Ley tiene 3 secciones que involucran directamente al departamento de IT:

Cláusula 302: habla de la obligación de generar reportes donde muestren el

resultado financiero de la empresa y que este debe de estar evaluado en cuanto a su

integridad.

Cláusula 404: dice que deben existir procedimientos y políticas que aseguren la

integridad de la información así como su disponibilidad.

Cláusula 409: toda organización debe de notificar en menos de 48 hrs cuando uno

de los procesos de la cadena de proveedores no va a ser entregado a tiempo y esto

afecte de manera seria a las ventas de la organización.

auditoría informática

Documents