Tema 1: El Proceso de la Auditora de Sistemas de Informacin

Ing. Vctor Campos Medina CISM CISA CRISC Cobit-F

Julio, 2011

CERTIFIED INFORMATION SYSTEM AUDITOR

CONTENIDO DEL CURSO 1. Proceso de Auditoria de Sistemas 2. Gobierno de Tecnologas de Informacin 3. Ciclo de vida de Sistemas e Infraestructura 4. Servicio de Entrega y Soporte de TI 5. Proteccin de los Activos de Informacin 6. Continuidad del negocio y recuperacin de desastre
2

CERTIFIED INFORMATION SYSTEM AUDITOR

Certified Information System Auditor (CISA): reconocida mundialmente como smbolo de excelencia profesional desde 1978. Obtenida por experiencia en auditoria, Control y Seguridad en SI. Existen mas de 38 000 CISAs en el Mundo El exmen se ofrece en 11 idiomas, en mas de 200 lugares.

CERTIFIED INFORMATION SYSTEM AUDITOR

PARA OBTENER EL CERTIFICADO COMO AUDITOR DE SISTEMAS DE INFORMACIN

1. Demostrar 05 aos de Experiencia profesional

2. Pasar el riguroso Examen

3. Cumplir con los requerimientos anuales de educacin continua

El Proceso de la Auditoria de SI El profesional debe brindar servicios de Auditora de Sistemas acordes a los estndares internacionales, los lineamientos y las mejores prcticas, de modo que apoye a la organizacin en el aseguramiento de que su tecnologa de informacin , as como sus sistemas de negocios se encuentran protegidos y controlados.

El Proceso de la Auditoria de SI

Segn el Comit de Certificacin CISA, esta rea de proceso representa aproximadamente el 10% del examen CISA
(alrededor de 20 preguntas).

rea de Procesos Visin General Objetivo Misin y planeamiento de la auditora Leyes y regulaciones Normas y directrices de ISACA para la auditoria de los SI Anlisis de riesgo Controles internos Ejecucin de una auditora de SI Auto evaluacin del control

Objetivo Asegurar que el candidato CISA tenga el conocimiento necesario para planear y efectuar auditoras de SI segn las normas y las directrices de auditora generalmente aceptadas, a fin de brindar una declaracin de aseguramiento respecto al nivel hasta el cual la TI y los sistemas de la entidad se controlan, monitorean y evalan adecuadamente.

Misin y Planeamiento de la Auditora Planeamiento de la Auditora Estatuto de Auditora Planes a corto y largo plazo Leyes y Regulaciones Efecto sobre el planeamiento de la auditora de SI

Misin y Planeamiento de la Auditora El planeamiento adecuado es un primer paso necesario, para efectuar auditoras de TI eficaces Se necesita conocer el ambiente general de la actividad, as como los riesgos asociados con el control y dicha actividad Evaluar los riesgos operativos y de control, e identificar los objetivos de control durante el planeamiento de la auditora

10

Misin y Planeamiento de la Auditora

Para realizar una planificacin de auditora, el auditor de SI debe: debe: 1. Lograr un entendimiento del propsito, objetivos, procesos y tecnologa del negocio, as como los requerimientos de procesamiento como disponibilidad, integridad y seguridad y los requerimientos de la arquitectura de la informacin. informacin. 2. Realizar un anlisis de riesgo 3. Llevar a cabo una revisin del Control Interno 4. Establecer el alcance y objetivo de la auditora 5. Desarrollar un enfoque de auditora o estrategia de auditora 6. Asignar recursos para auditar y los requerimientos logsticos. logsticos.

11

Leyes y regulaciones Requerimientos reguladores Constitucin Organizacin Responsabilidades Correlacin con las funciones de la auditora financiera, operativa y de TI

12

Leyes y regulaciones Pasos para determinar el cumplimiento de los requerimientos externos: Identificar los requerimientos externos Documentar las leyes y regulaciones aplicables Evaluar si la Gerencia y la funcin de SI han tomado en cuenta los requerimientos externos correspondientes Revisar los documentos internos del rea de SI referentes al cumplimiento de los dispositivos aplicables Determinar si se han cumplido los procedimientos establecidos
13

ISACA Aspectos generales ISACA se ha convertido actualmente en una organizacin global que establece las pautas para los profesionales de auditoria, control y seguridad de sistemas de informacin. Sus informacin. normas de auditoria, control y seguridad de sistemas de informacin son respetadas por profesionales de todo el mundo. Sus mundo. investigaciones resaltan temas profesionales que desafan a sus constituyentes. Su constituyentes. certificacin Certified Information Systems Auditor (Auditor Certificado de Sistemas de Informacin, o CISA). CISA).
14

Normas y Directrices de ISACA para la Auditora de SI Cdigo de tica Profesional de ISACA

El Cdigo de tica Profesional de la Asociacin establece los lineamientos de base para la conducta profesional y personal de los miembros de la Asociacin y/o quienes tienen la designacin de CISA y CISM

15

Normas y Directrices de ISACA para la Auditora de SI

Normas de ISACA para la Auditora de SI Directrices de ISACA para la Auditora de SI Cdigo ISACA de tica Profesional de

16

Normas y Directrices de ISACA para la Auditora de SI Objetivos de las Normas de Auditora de ISACA para SI Informar a la Gerencia y a las partes interesadas, acerca de las expectativas de la profesin respecto al desempeo de quienes participan en esta actividad Informar a los Auditores de Sistemas de Informacin cul es el mnimo nivel de desempeo aceptable, requerido para cumplir las responsabilidades profesionales fijadas en el Cdigo de tica Profesional de ISACA
17

Normas y Directrices de ISACA para la Auditora de SI Normas y Directrices de ISACA para la Auditora de SI Estatuto de Auditora Independencia tica y Normas Profesionales Competencia

18

Normas y Directrices de ISACA para la Auditora de SI Estatuto de Auditora Responsabilidad y autoridad

19

Normas y Directrices de ISACA para la Auditora de SI Independencia Independencia profesional Ubicacin en la organizacin

20

Normas y Directrices de ISACA para la Auditora de SI tica y Normas Profesionales Cdigo de tica Profesional Debido Cuidado Profesional

21

Normas y Directrices de ISACA para la Auditora de SI Competencia Destrezas y Conocimientos Educacin Profesional Continua

22

Normas y Directrices de ISACA para la Auditora de SI Normas y Directrices de ISACA para la Auditora de SI Planeamiento Ejecucin del Trabajo Informe Seguimiento

23

Normas y Directrices de ISACA para la Auditora de SI Planeamiento Planeamiento de la Auditora

24

Normas y Directrices de ISACA para la Auditora de SI Ejecucin del trabajo de Auditora Supervisin Evidencia

25

Normas y Directrices de ISACA para la Auditora de SI Informe Contenido y estructura del informe

26

Normas y Directrices de ISACA para la Auditora de SI Seguimiento Revisar las conclusiones y recomendaciones anteriores Revisar los hallazgos importantes anteriores Determinar si las acciones pertinentes se implementaron oportunamente

27

Normas y Directrices de ISACA para la Auditora de SI Uso de los Procedimientos de ISACA Los procedimientos desarrollados por ISACA deben ser utilizados como referencia. El auditor de SI debe usar su propio juicio profesional para aplicarlos a cualquier circunstancia.

28

Normas y Directrices de ISACA para la Auditora de SI Uso de las Directrices de ISACA Tomar en cuenta las directrices para determinar cmo aplicar las normas Utilizar el criterio profesional para aplicar estas directrices Sustentar cualquier desviacin

29

Anlisis de Riesgo Definicin de Riesgo Es el potencial de que una determinada amenaza explote las vulnerabilidades de un activo o grupo de activos, para producir la prdida o el dao a dichos activos. El impacto, o la severidad relativa del riesgo es proporcional al valor que tiene para la entidad / el dao, y a la frecuencia estimada de la amenaza.

30

Anlisis de Riesgo Componentes del anlisis de riesgo Amenazas a, y vulnerabilidades de procesos y/o activos (incluyendo activos fsicos y de informacin) Impacto sobre los activos, basado en las amenazas y vulnerabilidades Probabilidades de amenazas (combinacin de la probabilidad y la frecuencia de la ocurrencia)
31

Controles Definicin del Control Interno El control interno es un proceso establecido por el Directorio, la Gerencia y todos los niveles del personal, para brindar una seguridad razonable de que se lograrn los objetivos de negocios de la organizacin.

32

Controles Clasificacin del control Objetivos de control en SI Procedimientos generales de control Procedimientos de control en SI

33

Controles Clasificacin de los controles Preventivos Detectivos Correctivos

34

Controles Preventivos Son aquellos que detectan los problemas antes de que surjan. Por ejemplo: Emplear personal calificado Segregar tareas (factor disuasivo) Controlar el acceso a las instalaciones fsicas. Usar documentos bien diseados Usar software de control de acceso.

35

Controles Detectivos Detectan que han ocurrido un error, una omisin o un acto malicioso. Por ejemplo: Puntos de Verificacin Verificaciones dobles de los clculos. Reportes de cuentas de acceso vencidas Funciones de Auditoria Interna

36

Controles Correctivos Son aquellos que minimizan el impacto de una amenaza, remedian problemas descubiertos, identifican la causa del problema, corrigen los errores. Por ejemplo: Planeacin de la Contingencia Procedimiento de copias de seguridad Procedimiento de una nueva ejecucin de un programa
37

Controles Objetivos de control en los SI Los objetivos de control en un ambiente de sistemas de informacin no cambian con respecto a los de un ambiente manual. Sin embargo, pudieran cambiar los mecanismos de control. Entonces, los objetivos del control interno se deben enfocar segn los procesos relacionados con los SI

38

Controles Objetivos de control en SI COBIT Objetivos de control y normas de buenas prcticas en TI 34 objetivos de control de alto nivel

39

Controles Procedimientos de control en los SI Los procedimientos de control incluyen polticas y prcticas establecidas por la Gerencia, para proveer una seguridad razonable de lograr objetivos especficos

40

Ejecucin de la Auditora SI Definicin de auditora Proceso sistemtico por el cual una persona independiente y competente, de manera objetiva obtiene y evala evidencia respecto a las aseveraciones sobre una entidad, o un evento de tipo econmico, con el propsito de formarse una opinin e informar acerca del grado hasta e cual la aseveracin se aproxima a un determinado conjunto de normas

41

Ejecucin de la Auditora SI Clasificacin de las auditoras: Financieras Operativas Integradas Administrativas Sistemas de Informacin
42

Ejecucin de la Auditora SI Definicin de auditora de SI

La auditora de SI es el proceso de recopilar y evaluar evidencia, para determinar si los sistemas de informacin y los recursos relacionados, adecuadamente protegen los activos, mantienen la integridad de los datos y de los sistemas, proveen informacin relevante y confiable, logran las metas organizacionales, utilizan eficientemente los recursos, y cuentan con controles internos vigentes que brindan una seguridad razonable de que se cumplirn los objetivos operativos y de control, y que se evitar o detectar y corregir, de manera oportuna, cualquier evento indeseable.

43

Ejecucin de la Auditora SI Procedimientos generales de auditora Conocimiento del rea / tema de la auditora Evaluacin del riesgo y plan general de la auditora Planeamiento detallado de la auditora Revisin preliminar del rea / tema de la auditora

44

Ejecucin de la Auditora SI Procedimientos generales de auditora (cont.) Evaluacin del rea / tema de la auditora Pruebas de cumplimiento Pruebas sustantivas Informe (comunicacin de resultados) Seguimiento

45

Ejecucin de la Auditora SI Metodologa / Estrategia de Auditora Declaracin del alcance Declaracin de los objetivos de la auditora Declaracin del programa de trabajo Fases tpicas de la auditora

46

Ejecucin de la Auditora SI Objetivos de control Objetivos de auditora Diferencia entre los objetivos de control y los objetivos de auditora

47

Ejecucin de la Auditora SI Riesgo de auditora y materialidad Se aplica un enfoque de auditora basado en el riesgo, para evaluarlo y ayudar al auditor de SI a decidir si realiza pruebas de cumplimiento o pruebas sustantivas

48

Ejecucin de la Auditora SI Enfoque basado en el riesgo nfasis en el conocimiento del negocio y de la tecnologa Centrado en evaluar la eficacia de la combinacin de los controles Asocia la evaluacin del riesgo con las pruebas orientadas a los objetivos de control Enfoca la entidad desde una perspectiva gerencia

49

Ejecucin de la Auditora SI Tipos de riesgo Riesgo inherente Riesgo de control Riesgo de deteccin Riesgo de auditora

50

Ejecucin de la Auditora SI Tcnicas de Evaluacin de Riesgo Permiten asignar eficazmente los limitados recursos de auditora Aseguran que se haya obtenido informacin relevante Proveen una base para una gestin adecuada del rea de Auditora Ofrecen un panorama de cmo una auditora especfica se relaciona con la entidad y sus planes
51

Ejecucin de la Auditora SI Objetivos de control y controles relacionados Relacin entre pruebas sustantivas y pruebas de cumplimiento Correlacin entre el nivel de los controles internos y las pruebas sustantivas requeridas

52

Ejecucin de la Auditora SI Evidencia Es un requisito que las conclusiones del auditor estn basadas en evidencia suficiente y competente Independencia de quien provee la evidencia Calidad de quien provee la informacin o evidencia Objetividad de la evidencia Oportunidad de la evidencia

53

Ejecucin de la Auditora SI Tcnicas para recopilar evidencia: Revisin del organigrama de SI Revisin de las polticas, los procedimientos y las normas de SI Revisin de la documentacin de SI Entrevistas a personal clave Observacin de los procesos y el desempeo del personal

54

Ejecucin de la Auditora SI Muestreo Enfoques generales para el muestreo en auditora: Muestreo estadstico Muestreo no estadstico Mtodos de muestreo empleados por los auditores: Muestreo de atributos Muestreo de variables
55

Ejecucin de la Auditora SI Muestreo (cont.) Muestreo de atributos Muestreo parar / seguir Muestreo de descubrimiento Muestreo de variables Media estratificada por unidad Media no estratificada por unidad Estimacin de diferencia
56

Ejecucin de la Auditora SI Trminos del muestreo estadstico: Coeficiente de confianza Nivel de riesgo Precisin Tasa de error esperado Media de la muestra Desviacin estndar de la muestra Tasa tolerable de error Desviacin estndar de la poblacin Pasos claves para obtener una muestra
57

Ejecucin de la Auditora SI Tcnicas de Auditora Asistida por Computador TAAC son una importante herramienta para que los auditores de SI recopilen informacin independientemente TAAC incluyen:
Software generalizado de auditora (ACL, IDEA, etc) Software utilitario Datos de prueba Software de aplicacin para auditora permanente en lnea Sistemas expertos en auditora
58

Ejecucin de la Auditora SI Tcnicas de Auditora Asistida por Computador Necesidad de TAAC

Recopilacin de evidencia

Funcionalidades
Funciones soportadas reas de inters

59

Ejecucin de la Auditora SI Tcnicas de Auditora Asistida por Computador Ejemplos de TAAC utilizados para recopilar evidencia Enfoque de auditora permanente en lnea

60

Ejecucin de la Auditora SI Tcnicas de Auditora Asistida por Computador Ventajas de las TAAC Costo / beneficio de las TAAC

61

Ejecucin de la Auditora SI Tcnicas de Auditora Asistida por Computador Desarrollo de las TAAC
Retencin de la documentacin Acceso a los datos de produccin Manipulacin de los datos

62

Ejecucin de la Auditora SI Evaluacin de fortalezas y debilidades Evaluar la evidencia Evaluar la estructura completa del control Evaluar los procedimientos de control Evaluar las fortalezas y debilidades del control

63

Ejecucin de la Auditora SI Evaluacin de la materialidad de los hallazgos La materialidad es un punto clave La evaluacin requiere la aplicacin de criterio profesional, para determinar el efecto potencial del hallazgo, si no se toma una accin correctiva

64

Ejecucin de la Auditora SI Comunicacin de los resultados de la auditora Estructura y contenido del informe de auditora Entrevista final Tcnicas de presentacin Resumen ejecutivo Presentacin visual Presentacin oral

65

Ejecucin de la Auditora SI Acciones de la Gerencia para implementar las recomendaciones La auditora es un proceso permanente Oportunidad del seguimiento Documentacin de la Auditora

66

Ejecucin de la Auditora SI Gestin de los recursos de Auditora Los auditores de SI son un recursos limitado Destrezas y conocimientos apropiados Limitaciones a la ejecucin de la auditora Tcnicas de administracin de proyectos

67

Auto evaluacin del Control Objetivos del programa de auto evaluacin del control (CSA): Ampliacin de las responsabilidades de auditora (no las reemplazan) Educacin para la Gerencia de lnea, en cuanto a su responsabilidad por el control y el monitoreo Concentracin en reas de alto riesgo Rol del auditor de SI en las CSA Uso de la tecnologa Enfoque tradicional vs. CSA
68

Preguntas?

Ing. Vctor Campos Medina vhscm@hotmail.com

69