AUDITORIA DE SISTEMASLA PLANEACIÓN DE LA AUDITORÍA

¿Porqué Auditar?

¿Porqué Auditar?

Los diferentes requerimientos regulatorios imprimen nuevas presiones sobre los:– Consejos de Administración.– Comités de Auditoría.–Comités de TI.– Auditores Internos.– Contralores.– Jefes de Seguridad de TI.

¿Porqué Auditar?

“Bajo el escenario antes indicado se hace necesario entonces una evaluación objetiva e independiente, por parte de personas competentes, abarcando todas o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos".

LA PLANEACIÓN DE LA AUDITORÍA

• La planeación de la auditoría informática debe estar basada en tres pilares

fundamentales:–Planeamiento.– Evaluación de la estructura actual.– Entrega de resultados

Planeamiento

– Entendimiento general de la entidad - Consiste en identificar las relaciones entre el Departamento de TI y su entorno (legal, regulatorio, cultura, procesos), entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas, procesos, proyectos, etc.) del área de TI que están expuestos a riesgos.

– Análisis de riesgos - El objetivo de esta fase es desarrollar un análisis de riesgos que permita identificar que plataforma de tecnología y sistemas de información, son los más críticos para la operación de la Entidad, con el objeto de desarrollar el plan de trabajo, enfocado en dichos sistemas y plataformas.

– Plan inicial - En función de los resultados del análisis de riesgos realizado y la normativa de control de tecnología aplicable a la Entidad, elaboraremos un plan inicial de auditoría, describiendo el enfoque de evaluación para los controles generales del computador y ciclos de negocio (controles automáticos).

Evaluación de la estructura actual

Debe estar conformada por al menos las siguientes dos fases:

1. Evaluación de los controles sobre la plataforma tecnológica.

2. Evaluación de los controles automáticos y manuales en los procesos del negocio.

Evaluación de los controles sobre la plataforma tecnológica:

Estrategia y Planeación de la Información. Planeación de la Continuidad del Negocio. Operaciones de los Sistemas de Información. Proveedores Externos. Seguridad de la Información. Implementación y Mantenimiento de los

Sistemas de Aplicación. Implementación y Soporte de la Base de

Datos. Red. Software de Sistemas. Hardware.

Evaluación de la estructura actual

Estrategia y Planeación de la Información - Algunos de los aspectos a evaluar:

Revisar si los presupuestos, planes, estrategias y sistemas de información son consistentes con las metas estratégicas y comerciales de la entidad.Comprobar que los ambientes de procesamiento de la computadora cuentan con el personal adecuado y estos la debida experiencia y habilidades convenientes.Confirmar que el personal el cual se encuentra dentro del ambiente de procesamiento de la computadora recibe capacitación adecuada.

DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN

¿Cuál de las siguientes es una función de control de acceso al sistema operativo?

1. Registrar las actividades del usuario

2. Registrar las actividades de acceso a la comunicación de datos

3. Verificar la autorización de usuario a nivel de campo

4. Cambiar los archivos de datos

DEBATE AUDITORÍA DE SISTEMAS DE INFORMACIÓN

Una organización está proponiendo instalar una facilidad de clave única (single sign-on) que de acceso a todos los sistemas. La organización debe ser consciente de que:

1. sería posible un acceso máximo no autorizado si se revelara una contraseña

2. los derechos de acceso a usuario estarían restringidos por los parámetros adicionales de seguridad

3. aumentaría la carga de trabajo del administrador de seguridad

4. aumentarían los derechos de acceso del usuario

Evaluación de la estructura actualSeguridad de la Información - Algunos de los aspectos a evaluar:Seguridad lógica

Se debe inspeccionar que se han configurado, aplicado e implantado diferentes técnicas y herramientas de seguridad lógicas para restringir el acceso a programas, datos y otros recursos de información.

Se debe observar que los programas, datos así como otros recursos de información de la entidad están protegidos contra virus.

Se debe revisar que tanto el software de: aplicación como de desarrollo solamente se debe cargar en los equipos de cómputo de la Entidad y/o se utiliza de conformidad con los contratos de licencia y la autorización de la gerencia.

Evaluación de la estructura actual

Seguridad de la Información - Algunos de los aspectos a evaluar:Seguridad física

Se debe inspeccionar que han aplicado e implantado diferentes restricciones de acceso físico para garantizar que solamente el personal autorizado pueda tener acceso o utilizar los recursos de información.Se debe validar que los recursos de información se encuentran protegidos contra riesgos ambientales y daños relacionados.

Evaluación de la estructura actual

Implementación y Mantenimiento de Sistemas de Aplicación - Algunos de los aspectos a evaluar:

o Se inspeccionará que los nuevos sistemas de aplicación se adquieren o desarrollan de acuerdo a las intenciones de la gerencia.

o Los nuevos sistemas de aplicación se implantan de manera apropiada y funcionan de acuerdo con las intenciones de la gerencia.

o Se revisará que cuando se implantan nuevos sistemas de aplicación, la información existente que se convierte al sistema nuevo es completa, exacta y válida.

o Se observará que los sistemas de aplicación son susceptibles de recibir mantenimiento y apoyo.

o Se comprobará que todas las modificaciones necesarias a los sistemas de aplicación existentes son implantadas oportunamente.

Evaluación de la estructura actualEvaluación de los controles automáticos y manuales en los procesos del negocio:

TesoreríaFacturaciónIngresosEgresosCobroNóminaActivo fijoContabilidad y cierre financieroInventariosCartera de crédito

Evaluación de la estructura actual

Cartera de Crédito Se debe validar que las solicitudes de crédito son procesadas

dentro de los límites de crédito establecidos por la entidad. Se debe comprobar que las órdenes y cancelaciones de las

solicitudes de crédito son capturadas correctamente de acuerdo con las políticas y procedimientos establecidos.

Se debe validar que solamente las solicitudes de crédito válidas son capturadas y procesadas según se haya establecido en las políticas y procedimientos de la entidad.

Se debe comprobar que los desembolsos son generados usando las condiciones autorizadas y previamente definidas.

Se debe confirmar que el Auxiliar de Crédito refleja las circunstancias existentes del negocio y las condiciones económicas de acuerdo con las políticas contables que son utilizadas por la entidad.

Evaluación de la estructura actual

– Cartera de Crédito

Se debe comprobar el personal que tiene acceso a aprobar los desembolsos de los créditos.

Se debe verificar el personal que tiene accesos a modificar las tasas de interés.

Se debe confirmar el personal con acceso al maestro de clientes.

Se debe revisar el personal con acceso a ingresar y modificar los tipos de productos existentes.

Se debe comprobar el personal con acceso a cambiar el estatus de una operación (de normal a cobro judicial o viceversa).

Se debe verificar el personal que tiene acceso a modificar las condiciones de una operación de crédito.

La planeación de la auditoría informática

Entrega de resultados:

El objetivo de esta fase es concluir el proyecto, presentando un resumen ejecutivo de todo le proceso de evaluación de controles para cada fase acorde al cronograma propuesto, detallando los beneficios recibidos por la entidad al realizar una auditoría informática.

Importancia de la auditoría informática Para muchas organizaciones, la información y la tecnología

que la soporta, representan los activos más valiosos de la empresa.

Es más, en nuestro competitivo y rápidamente cambiante ambiente actual, la gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI.

Verdaderamente, la información y los sistemas de información son “penetrantes” en las organizaciones desde la plataforma del usuario hasta las redes locales o amplias, cliente servidor y equipos Mainframe.

Por lo tanto, la administración requiere niveles de servicio que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, así como un mejoramiento continuo y una disminución de los tiempos de entrega al tiempo que demanda que esto se realice a un costo más bajo.

Beneficios de la auditoría de sistemas

▫Contar con una comprensión de la situación actual de la entidad, y de sus procesos de control.

▫Obtener una visión independiente sobre vulnerabilidades, exposiciones y el nivel de diseño de controles y los Riesgos.

▫Recibir un plan de mitigación de los principales factores de riesgo (considerando vulnerabilidades e impactos) para resolver las exposiciones de control identificadas y mitigar tales riesgos.

Exigencias de la auditoría de sistemasConocimiento y capacidades del

auditor

– Evaluación de riesgos.– Controles de acceso lógico.– Arquitecturas de acceso (Identity

Management, single Sing-on).– Métodos de ataque (Hacking,

Spoofing, caballos de troya, DoS, otros).

– Administración de incidentes.– Seguridad en Internet.– Encriptación.– Administración de bases de datos– Ciclo de vida de los sistemas de Info.

– Virus.– Esquemas de

clasificación de datos.– Seguridad VOIP.– Seguridad Wireless.– Continuidad de

negocio.– Respaldo y

recuperación.– Seguridad física.– Seguridad ambiental.–Otros.