AUDITORIA DE SISTEMAS 2004

1
AUDITORIA DE SISTEMAS2004
2
AUDITORIA INFORMATICA
NATURALEZA DE LA AUDITORIA INFORMATICA
EVOLUCION DE LA AUDITORIA INFORMATICA
3
LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS
NORMAS GENERALES O PERSONALES
NORMAS RELATIVAS A LA EJECUCION DEL TRABAJO
NORMAS RELATIVAS A LA RENDICION DE INFORMES
4
NORMAS GENERALES O PERSONALES
Entrenamiento técnico y habilidad del auditor
Independencia
Cuidado profesional
5
NORMAS RELATIVAS A LA EJECUCION DEL TRABAJO
Planeación
Revisión y evaluación del control interno
Obtención de evidencias
6
NORMAS RELATIVAS A LA RENDICION DE INFORMES
Adherencia a los principios de contabilidad
Consistencia
Revelaciones
Opinión
7
LA PLANEACION
Conocimiento global del sistema
Clasificación de la planeación
Programas de auditoría
Papeles de trabajo
8
ETAPAS DE AUDITORIA
1. INTRODUCCION 2. OBJETIVOS DE LAS PRUEBAS DE
CUMPLIMIENTO 3. OBJETIVOS DE LAS PRUEBAS
SUSTANTIVAS 4. PRGRAMA PRUEBAS, ALCANCES Y
OPORTUNIDAD 5. REVISION Y EVALUACION DEL CONTROL
INTERNO 6. PROCEDIMIENTOS 7. PERSONAL 8. RECURSOS
9. CRONOGRAMA 10. PRESUPUESTO
9
REVISION Y EVALUACION DEL CONTROL INTERNO
REVISION DEL SISTEMA DE CONTROL INTERNO
EVALUACION DEL SISTEMA DE CONTROL INTERNO
10
REVISION DEL SISTEMA DE CONTROL INTERNO
Controles generales
Controles acceso físico
Custodia de software y datos
Procedimientos para protección y recuperación
Planes de contingencia
Controles de aplicación
Entrada - Proceso - Salida
11
EVALUACION DEL SISTEMA DE CONTROL INTERNO
Controles generales
Controles de aplicación
Pruebas de cumplimiento
12
OBTENCION DE EVIDENCIAS
La suficiencia de las evidencias
La competencia de las evidencias
La evidencia de los procesos
13
PROCEDIMIENTOS DE AUDITORIA
Inspecciones
Confirmaciones
Interrogatorios
Cálculos
Revisiones
Análisis
Observaciones
Certificaciones
14
TECNICAS DE AUDITORIA
TAACs
CAATs
Técnicas de auditoría asistidas por computador.
15
CAATs
Software de auditoría
Software del sistema y otros
16
ROL DEL AUDITOR EN EL CICLO DE VIDA DE LOS
SISTEMAS
A u d i t o r í a
Preanálisis
Análisis
uditoría
Auditoría
Diseño
Desarrollo
Implantación
Operación
Mantenimiento
A u d i t o r í
17
ALGUNOS TIPOS DE PRUEBAS
Prueba de escritorio
Lotes de pruebas
Edición de programas
Pruebas en paralelo
Revisión paso a paso
Pruebas de recorrido
Prueba de módulos
Pruebas posteriores
Pruebas integrales
Pruebas del sistema
18
Redes y telecomunicaciones
Transmision de datos
Envío de datos de un lugar a otro por medio de
señales a través de un canal.
Redes de datos
Organización de estaciones interconectadas con
capacidad de comunicación, obedeciendo a una
topología.
Telematica
Término socioeconómico, donde convergen el
procesamiento de datos y las telecomunicaciones.
19
Redes y telecomunicaciones
Teleproceso
Sistema de transmisión de información (datos
procesados), donde intervienen las
telecomunicaciones, el procesamiento de datos y
la interfase hombre-máquina.
Riesgos
Hay riesgos en las conexiones y en el canal de
datos y, por lo tanto, la protección debe darse
en dos sentidos a nivel físico y a nivel lógico.
FISICA Se encarga de proteger las
instalaciones, los equipos, el cableado y las
conexiones.
LOGICA Se establece a través de un dispositivo
llamado DATACRYPTOR, que convierte los datos en
símbolos irreconocibles.
20
Redes y telecomunicaciones
Uso de claves
Protección física
Protección del netware
Riesgos
Caídas de la red
Interferencias
Plan de contingencia de la red
Organización del DP/TP
21
SEGURIDAD EN INFORMATICA
La seguridad en informática no es aislada ni
independiente, es parte integral del sistema de
seguridad de la entidad.
EL CONCEPTO DE SEGURIDAD
Incluye todas las medidas de protección que se
establezcan para los componentes del sistema de
información
Personas, datos, software, hardware,
instalaciones y normware.
22
CONCEPTO DE SEGURIDAD
La seguridad en informática debe construirse
considerando integralmente soluciones técnicas y
administrativas.
Riesgo
Control
Variables
Seguridad
23
PASOS PARA EL DISEÑO DE LA SEGURIDAD
(1) Identificación de los riesgos.
2) Evaluación de su importancia y clasificación
de acuerdo con el potencial de pérdidas que
podría ocasionar a la organización.
(3) Selección de los controles para eliminar las
causas de los riesgos evitables y minimizar el
efecto de los que no puedan evitarse.
24
La seguridad es el resultado de dos procesos
(1) Identificar y evaluar los riesgos
(2) Seleccionar e implantar los controles
La seguridad en informática es el resultado de
las medidas de protección que se establecen sobre
las causas de los riesgos a que están expuestos
los recursos informáticos.
25
COMPONENTES DE LA SEGURIDAD DEL CIS
1. Controles de seguridad física y procedimental
2. Controles de exactitud
3. Controles de confidencialidad
4. Controles de privacidad
26
NIVELES DE CONTROL DE LA SEGURIDAD EN LOS CIS
1. Controles técnicos construidos en el software
2. Controles de seguridad física
3. Controles administrativos
4. Controles del ambiente social y jurídico
27
NIVELES DE CONTROL DE LA SEGURIDAD EN LOS CIS
1. Controles técnicos construidos en el software
Los controles dentro del software del sistema
proporcionan la seguridad lógica y los del
software aplicativo, la seguridad funcional.
2. Controles de seguridad física
Refuerzan la seguridad lógica y están
constituidos por cerraduras en las puertas,
guardias, alarmas y otros medios para prevenir
acceso no autorizado, precauciones contra
incendio, protección de datos almacenados en
archivos magnéticos.
28
NIVELES DE CONTROL DE LA SEGURIDAD EN LOS CIS
3. Controles administrativos
Para asegurar que el sistema se utilice
correctamente. Incluyen las áreas usuarias de los
sistemas, los auditores y la administración.
4. Controles del ambiente social y jurídico
Tienen que ver con la privacidad, exactitud y
confidencialidad de los datos en el ambiente
social y jurídico en que operan los sistemas.
29
PRINCIPIOS BASICOS DE LA SEGURIDAD
1. Segregación de funciones entre múltiples
personas.
2. No permitir el acceso de una misma persona a
combinaciones sensitivas de recursos.
3. Evitar que una misma persona esté en posición
de ocultar activos y convertirlos en dinero.
4. Un mismo individuo no debe originar y aprobar
transacciones.
30
PROPIEDADES SEGURIDAD/CIS
1. Integridad
Un sistema debe hacer lo que está previsto que
haga y nada más.
2. Auditabilidad
Permite verificar sus actividades en cualquier
tiempo.
3. Controlabilidad
Cada módulo auditable debe ser individualmente
controlable.
31
FUNCIONES DE LA SEGURIDAD DEL CIS
1. Identificación
2. Autenticación
3. Autorización
4. Delegación
5. Registro de pistas de las transacciones
(journaling)
6. Vigilancia
32
FUNCIONES DE LA SEGURIDAD DEL CIS
1. Identificación
Establece identificadores para cada usuario por
medio de nombres, códigos, etc.
2. Autenticación
Es la validación aceptable de la identidad.
3. Autorización
Establece a quien le está permitido hacer algo a
un recurso dado.
33
ELEMENTOS DE UN ANALISIS DE SEGURIDAD DEL CIS
Un análisis de seguridad en informática involucra
tres elementos
1. Los componentes del sistema Personas, datos,
software, hardware, instalaciones y normware.
2 Los riesgos a que están expuestos los recursos
tecnológicos.
3. Los controles que se establecen para eliminar
o minimizar las causas de los riesgos.
34
DISEÑO DE CONTROLES
Concepto de control.
Objetivo de los controles.
Los controles del CIS y el sistema de control
interno.
Necesidades de la entidad.
Componentes del CIS.
Ubicación de los recursos tecnológicos.
Controles específicos.
35
DISEÑO DE CONTROLES
1. Concepto de control
Es la capacidad de ejercer restricciones o
influencia directa sobre una situación o evento
determinado. Es la acción que se toma para hacer
un evento conforme a un plan.
36
DISEÑO DE CONTROLES
2. Objetivo de los controles
Asegurar el éxito del CIS, incrementando la
probabilidad de ocurrencia de los eventos
deseables, tal como hayan sido previstos.
Reducir la probabilidad de ocurrencia de eventos
indeseables o perjudiciales para la entidad o
para minimizar los daños que ocasionen en caso de
no poder evitarlos.
37
DISEÑO DE CONTROLES
3. Controles del CIS y el sistema de control
interno
Los controles del EDP deben ser parte integral
del sistema de control interno contable y
administrativo de una entidad.
Elementos
Objetivos y planes definidos
Estructura de organización sólida
Procedimientos efectivos y documentados
Personal competente.
Sistema de información confiable y oportuno
Sistema de seguridad
Auditoría
38
DISEÑO DE CONTROLES
4. Necesidades de la entidad
Los controles deben construirse a la medida de
las necesidades de la entidad y adaptarse a las
condiciones particulares del ambiente donde
funcionen.
5. Para que el CIS sea seguro debe tener las
características de Integridad, Controlabilidad y
Auditabildad
El CIS debe tener mecanismos que permitan ejercer
control sobre el comportamiento y uso de sus
componentes en todas sus etapas.
39
DISEÑO DE CONTROLES
6. Componentes del CIS
El hardware
El software
Los datos
Las personas
Las instalaciones de EDP
Normware
40
PASOS SUGERIDOS
1. Determinar los recursos y características del
CIS.
2. Identificar las ASC.
3. Identificar las amenazas o causas de riesgos.
4. Determinar posibles situaciones de riesgos.
5. Seleccionar los controles necesarios.
6. Evaluar Costo/Beneficio de los controles.
7. Documentar riesgos y controles seleccionados.
8. Implantar los controles seleccionados.
41
ELEMENTOS
1. Recursos de cómputo que deben protegerse.
2. Escenarios de riesgos.
3. Actividades sujetas a control.
4. Riesgos, causas y situaciones de riesgos.
5. Controles necesarios para minimizar la
probabilidad de ocurrencia de las amenazas y/o el
costo de los daños que puedan causar.
42
ESCENARIOS DE RIESGOS
Controles generales y administrativos
1. Planeación de la informática.
2. Organización del CIS.
3. Seguridad física y respaldo.
4. Seguridad de archivos, datos y software.
5. Operaciones de procesamiento de datos.
6. Desarrollo de sistema.
7. Auditabilidad de los sistemas.
8. Eficiencia de los sistemas.
43
ESCENARIOS DE RIESGOS
Controles de aplicaciones de computador
1. Origen y preparación de datos.
2. Captura y validación de datos.
3. Procesamiento y actualización de datos.
4. Salidas de la actualización.
5. Integridad del sistema de datos.
6. Acceso y seguridad de las aplicaciones.
7. Acceso y seguridad de los archivos de datos.
8. Cambios a las aplicaciones.
44
Controles de aplicaciones de computador
9. Backup y recuperación.
10. Terminales y comunicación de datos.
11. Documentación técnica y del usuario.
12. Auditabilidad de la aplicación.
13. Utilización y control de resultados.
45
AUDITORIA DE APLICACIONES EN FUNCIONAMIENTO
OBJETIVOS
Realizar la auditoría a la medida de la empresa.
Metodología Análisis de riesgos
ROA Riesg Oriented Auditing.
Enfoque de auditoría integral.
Auditor como asesor.
Grupo de trabajo interdisciplinario.
46
IDENTIFICACION DE LA ENTIDAD
INVENTARIO DE APLIACIONES
1 Cuentas corrientes
2 Nómina
3 Cartera
. . .
50 Presupuesto
47
IDENTIFICACION DE LA ENTIDAD
CONCEPTOS/COMPARACION
MATERIALIDAD
Objeto social
100
Volumen de operaciones mensuales
50
60
Oficinas que atiende
Materialidad Consiste en definir la relación
que tienen las aplicaciones con los conceptos
identificados en el ente auditado.
48
CALIFICACION
Para calificar la relación con el objeto social
se pueden asignar valores, según la relación, del
1 al 10.
Alta relación 10 Media relación 5 Baja
relación 1
49
De igual manera se define una tabla para la
calificación del volumen de operaciones que
maneja una aplicación
De 1 a 20 1 De 21 a 50 4 De 51 a
100 7 Más de 100 10
Esta misma tabla se puede aplicar al número de
oficinas que atiende.
50
IDENTIFICACION DE LA ENTIDAD
Ap1
Ap2
Ap3
MATRIZ DE APLICACIONES/RIESGOS
Objeto social
100
Volumen de operaciones
50
Oficinas que atiende
60
Totales
51
IDENTIFICACION DE LA ENTIDAD
APERTURA CUENTA CORRIENTE
SEGMENTACION
Entrega de solicitud
FRONTERAS
El cliente entrega la forma X25
Soporta con fotocopia de la cédula
Promotor revisa
Firma todos los documentos
52
SEGMENTACION
Se segmentan las operaciones de la aplicación
por áreas, de acuerdo con los procesos normales
que se dan, con la finalidad de identificar los
riesgos en cada paso.
Ej. Origen y preparación de datos Entrada de
datos Procesamiento y actualización
Por cada proceso se hace un P/T.
53
IDENTIFICACION DE LA ENTIDAD
APLICACION CUENTAS CORRIENTES
AREA ORIGEN Y PREPARACION DE DATOS
El cliente llena la forma de solicitud
Revisan documentos
Envía relación
DEFINIR
Formas que intervienen X25
Condiciones Deben entregar a X funcionario.
Controles Prenumerado.
54
APLICACION/AREA
En cada área se definen los riesgos que se están
presentado se hace una relación de riesgos.
Los riesgos se identifican en presencia del
usuario, quien conoce los problemas que tiene la
aplicación.
Para simplificar se seleccionan los riesgos más
importantes, comparándolos por parejas,
eliminando los menos importantes de cada pareja.
Relacionamos los que queden, comenzando por los
más importantes.
Con los riesgos más importantes se elabora una
matriz de análisis.
55
RELACION DE RIESGOS
1. Datos no autorizados
2. Omisión de datos
3. Registro de datos no oportuno
4. Errores en la grabación
5. Errores en la actualización
6. Corrección no oportuna de errores
7. Deficientes pistas de auditoría
8. Responsabilidad en el manejo de información
9. Violación de la privacidad de la información
10. Acceso de personas no autorizadas
56
IDENTIFICACION DE LA ENTIDAD
MATRIZ DE ANALISIS
ENTRADA DE DATOS
R5
R4
R3
R2
R1
2
1
1
1
1
C1
C2
1
2
1
1
1
C3
1
3
3
1
3
C4
1
1
1
1
2
C5
1
1
1
1
1
2
3
3
1
3
57
MATRIZ DE ANALISIS
Enfrentamos cada control con los demás riesgos.
Sumamos si un riesgo está totalmente cubierto
con al menos un control, podemos decir que hay
control suficiente.
Para los riesgos que no están totalmente
cubiertos se recomiendan los controles
pertinentes.
58
IDENTIFICACION DE LA ENTIDAD
DESCOMPOSICION DEL RIESGO
Que no exista password
CAUSAS
Que alguien preste el pasword
Que deje la terminal abierta
RIESGO
Ingreso de personas no autorizadas
R5
Alteración de datos y/o información
EFECTOS
Pérdida económica por desvío de fondos
Pérdida de imagen
59
INFORME DE AUDITORIA
FRONT PAGE
También llamado COVER PAGE, consta de una o dos
páginas de 5 a 10 líneas por sección.
Se extracta de los comentarios en orden de riesgo.
ANTECEDENTES
La Cía. A es una empresa dedicada a Tiene un
centro de cómputo compuesto por
ALCANCES
Areas auditadas (cubrimiento).
60
INFORME DE AUDITORIA
COMENTARIOS
Cada comentario contiene la opinión del auditor
se ha observado y se recomienda
Los comentarios se dividen en Parte I y Parte II.
Los comentarios Parte I son los más
significativos.
Estructura de los comentarios
OBSERVACION
CONSECUENCIAS
RECOMENDACIONES
61
FECHA
GERENTE
NUMERO AUDITORES
DIAS TRABAJADOS
ANTECEDENTES
ALCANCES
COMENTARIOS
62
INFORME DE AUDITORIA
ALCANCES
DIAGNOSTICO
CONCLUSIONES
RECOMENDACIONES
1.
2.
3.
Nombre y firma del auditor