Sei sulla pagina 1di 33

AUDITORIA EN INFORMATICA

Planificación de la auditoria

Planificación anual Los trabajos de auditoria por lo regular se realizan


Corto Plazo con una planificación previa presentado al comité de
auditoria o al nivel mas alto de la gerencia.
La planificación de la auditoria puede ser a Corto o
largo plazo

La planificación a corto plazo toma en cuenta los


aspectos relevantes que serán cubiertos durante el año

2
Planificación de la auditoria

Riesgos por La planificación a largo plazo se toman en cuenta los


Largo Plazo Cambios riesgos producto delos cambios en la dirección estratégica
Estratégicos de la TI

Para planificar una auditoria se deberán tomar en


cuenta todos los procesos del negocio y realizar
una evaluación de riesgos ,dicha evaluación
debe basarse en datos aportados por los
propietarios de los procesos del negocio
La evaluación de riesgos debe hacerse en base
a factores de riesgos relevantes
Los factores de riesgos son aquellos elementos
que influyen en el impacto al negocio de los
escenarios de riesgos
3
Planificación de la auditoria

Factores
De Riesgos
Reputación

Ejemplo:
Para una empresa de venta al por mayor la reputación es un factor de riesgo
importante para el cual se le puede solicitar información sobre riesgos a los dueños de
los procesos de negocio con un criterio de clasificación de
 Alto
 Medio
 Bajo

4
Planificación de la auditoria

Factores
De Riesgos
Reputación

 Alto: Representa daños a la reputación de mas de 6 meses en remediarse.


 Medio: Representa menos de 6 meses en remedirse pero mas de 3 meses.
 Bajo: Representa menos de 3 meses en remediarse

5
Pasos para planificar una auditoria

Al planificar una auditoria el auditor debe de tener una compresión general del
ambiente bajo revisión

Esto debe incluir un entendimiento general de las diferentes practicas y funciones del
negocio relacionadas al área a auditar así como los tipos de sistemas de información y
tecnologías que soportan los procesos también es necesario conocer el marco
regulatorio que aplica a la entidad

6
7
Para realizar una planificación de auditoria el auditor debe seguir los pasos que se
describen a continuación
Comprender la misión, objetivo, el propósitos y los procesos del negocio incluyendo los
1 requerimientos de información y procesamiento tales como (Disponibilidad, integridad,
seguridad, tecnología y la confidencialidad de la información)

2 Revisar los papeles de trabajos anteriores

3 Entender los cambios en el entorno del negocio auditado


Pasos para realizar
la planificación de
Identificar las políticas , estándares y directrices procedimientos y estructuras de la
una auditoria 4 organización

5 Realizar un análisis de riesgos

6 Establecer el alcance y los objetivos de la auditoria

Desarrollar el enfoque de la auditoria, asignar los recursos humanos a la auditoria y dirigir la


7 logística del trabajo de auditoria
8
Realización de una auditoria de Sistemas
El objetivo de las auditorias de sistemas se centra por lo regular en validar que existen controles internos
para minimizar los riesgos del negocio y que estos controles funcionen como se esperan.

 Recolectar la evidencia y
Planificar evaluar las fortalezas y
debilidades de los
 Planificar de manera controles existentes.
que se utilicen
adecuadamente los  Preparar un informe de
recursos de auditoria.
Preparar
un Informe
Evaluar
riesgos
auditoria para la
Pasos para gerencia con los asuntos
 Evaluar todos los riesgos realizar observados y
de las áreas de la
una recomendaciones para su
auditoria
institución. solución.

 Desarrollar un programa
de auditora. Recolectar
Desarrollar
un
Evidencia
programa

9
Realización del entendimiento

Evaluación de riesgos

Revisión preliminar

 Un programa de auditoria es un
Evaluación del área
conjunto de procedimientos
estructurados paso a paso que
deben realizarse para completar Pruebas de cumplimiento

una auditoria.
Pruebas Sustantivas

Redacción de informes

Seguimiento

10
Pasos para logar la comprensión del negocio
Los pasos que la auditoria de sistemas podría realizar para lograr la comprensión del
negocio incluyen:

Revisión de Revisión de Entrevistas a Identificar las Identificar las


Lectura de Recorrer las
Informes planes los gerentes regulaciones actividades
antecedentes instalaciones
Anteriores estratégicos claves Clave contratadas

11
Pasos para logar la comprensión del negocio

 Lectura de antecedentes incluyendo publicaciones de la industria, reportes anuales y


reportes de análisis financieros independientes.
 Revisión de informes anteriores relacionados con Ti provenientes de auditorias externas o
internas o revisiones especiales como las revisiones regulatorias.

 Revisión del negocio y de los planes estratégicos de TI a largo plazo.


 Entrevistas a los Gerentes claves para entender las parcialidades del negocio .
 Identificar las regulaciones especificas aplicables a TI.
 Identificar las funciones o actividades de TI contratadas externamente.
 Hacer un recorrido de las instalaciones clave de la organización.

12
Control Interno
Actualmente, la información y la tecnología son consideradas como activos valiosos dentro de
las organizaciones, ya que las decisiones apropiadas que tomen los directivos se basan en
datos precisos y veraces.

Para lograr una administración efectiva, se debe tener un conocimiento suficiente sobre los
riesgos que implica la tecnología de la información, para poder aplicar los controles necesarios
dentro de la organización.

Es en este contexto que es ineludible contar con un ambiente de control conveniente, en donde
exista un marco de control interno que regule y asegure procesos internos eficaces, así como
las debidas políticas y procedimientos organizacionales, en donde todos los miembros de la
empresa que operan los sistemas informáticos sean partícipes de sus deberes y
responsabilidades de forma que, sean sus acciones las más adecuadas para la obtención
conjunta de los objetivos organizacionales.

13
CONTROL INTERNO INFORMATICO

El control interno informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen
de los mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.

14
CONTROL INTERNO INFORMATICO

Los controles pueden implantarse a varios niveles diferentes.

La evaluación de los controles de la tecnología de la información exige analizar diversos


elementos interdependientes por ello es importante llegar a conocer bien la configuración del
sistema con el objeto de identificar los elementos , productos y herramientas que existen para
saber donde pueden implantarse los controles así como para identificar posibles riesgos.

15
Principales funciones del Control Interno Informático

Cumplimiento de
diferentes
Controles sobre la
procedimientos ,
producción diaria
normas y conrtroles
dictados

Asesorar y transmitir Controles sobre la


cultura sobre el riesgo calidad y eficiencia
informático. del desarrollo y
Licencias mantenimiento del
,contratos con software del servicio
terceros informático.

Controles en las redes de


comunicaciones .Controles
sobre el software de Base.

16
CONTROL INTERNO INFORMATICO
Objetivos Principales

Asesoramiento sobre el conocimiento de


las normas.

Definir, implantar y ejecutar mecanismos


y controles para comprobar el logro del
servicio informático.

Colaborar y apoyar el trabajo de auditoria


informática , asi como de las auditorias
externas al grupo. 17
Para la implantación de un sistema de control interno
informático habrá que definir: Política de seguridad
Gestión de sistemas de información, Política y normas,
técnicas que sirvan de base para el diseño y la
implantación de información de los controles
correspondientes. Plan de seguridad

Normas y procedimientos

Medidas tecnológicas
implantadas
Formación y Mentalización
18
CONTROL INTERNO
El control, según la metodología COBIT se define como: “Las Políticas, Procedimientos,
Prácticas y Estructura Organizacional, diseñadas para proveer una razonable seguridad
de que los objetivos del negocio serán alcanzados y los eventos indeseados serán
prevenidos o detectados y corregidos.

OBJETIVOS DEL CONTROL INTERNO


Objetivos principales:

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoría Informática interna/externa

19
CONTROL INTERNO

OBJETIVOS DEL CONTROL INTERNO

Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce


cumplimiento de los servicios informáticos.

 Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes


actividades que se realizan.

20
Diferencia y similitudes Control interno y Auditoria TI

21
Controles Internos

Los controles internos son implementados


para reducir los riesgos de la organización

Los controles internos están Pueden ser:


constituidos por:

Políticas Procedimientos

Estructuras
Practicas Organizacionales

22
Controles Internos

En el ambiente informático, el control interno se


materializa fundamentalmente en controles de dos tipos:

Controles manuales: Aquellos que son ejecutados por


el personal del área usuaria o de informática sin la
utilización de herramientas computacionales.

Controles Automáticos: Son generalmente los


incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base de
datos, programas de aplicación, etc.

23
TIPOS DE CONTROLES
Controles Preventivos: Se implementan para tratar de evitar la producción de errores o
hechos fraudulentos.
Ejemplo:
 El software de seguridad que evita el acceso a personal no autorizado.

Controles Defectivos: Trata de descubrir errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
Cuando fallas los preventivos, estos permiten conocer cuanto antes del evento.
Ejemplo:
 El registro de intentos no autorizados.

Controles Correctivos: Tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
Ejemplo:
 Procedimiento de respaldo
 Procedimientos de Backup 24
TIPOS DE CONTROLES Preventivos
A continuación veremos algunos tipos de controles preventivos y una breve descripción
de a función de cada control .
Sistemas de seguridad lógica :
La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los
datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios
a la información.
Consiste en aplicar defensas y asegurar procedimientos para resguardar el acceso a los
datos, de tal manera que sólo las personas con autorización puedan acceder a ellos.
La evaluación se debe realizar en los siguientes controles:
 Restricción del acceso a los programas y archivos.
 Identificación y autentificación. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema;
y Autenticación a la verificación que realiza el sistema sobre esta identificación.
 Definición de roles de usuario, donde se agrupan los derechos de acceso de acuerdo con el rol de los usuarios.
 Control de las transacciones, a través de accesos autorizados.
 Limitaciones a los servicios, existencia de restricciones para utilización de aplicaciones, ya sean establecidas por el
administrador del sistema o por las propiedades preestablecidas de la aplicación.
25
TIPOS DE CONTROLES Preventivos
Controles de validación y razonabilidad :
Los controles de validación detectan los errores cometidos al ingresar información a un
sistema. Los controles de razonabilidad verifican si el contenido de un campo ingresado
corresponde a un rango determinado.

Segregación de funciones:

La segregación de funciones para el acceso a los recursos de los sistemas de


información, se aplicará para los usuarios del sistema, la entrada de datos, explotación,
administración de redes y sistema, administración de cambios y seguridad.

26
TIPOS DE CONTROLES Detectivos
Pistas de auditoría :

Una pista de auditoría es una lista de entradas de auditoría, que describen la vida útil de un
objeto, archivos o eventos. Es una serie de registros sobre las actividades del sistema, de
procesos o aplicaciones y de los usuarios del sistema e incluye información suficiente para
determinar los eventos que han ocurrido en un sistema y quién o qué los disparó.

Informes de excepción :
Los informes de excepción destacan las desviaciones en las operaciones normales de un
sistema. Un informe de excepción tiene como finalidad avisar de los comportamientos
anormales o desencadenar una acción determinada cuando se presentan, es decir, es un
sistema de alerta o alarma, al realizar comprobaciones de la información captada con un
estándar. Estos informes de excepción serán útiles si el estándar escogido es apropiado y
si la desviación frente a él recoge realmente la excepción que ha de desencadenar la
acción correctora.
27
TIPOS DE CONTROLES Detectivos
Técnicas de backup y de recuperación:

El backup es un sistema de respaldo y se refiere a realizar copias de archivos almacenados


originalmente en discos rígidos, que almacenan información importante que una organización
desea conservar en el tiempo. Dado que los sistemas están expuestos a fallas por distintas
causas, ya sean naturales o provocadas, esta técnica es muy útil, de tal manera que el sistema
pueda retornar a la normalidad en un corto tiempo.
El respaldo de archivos es importante para asegurar la disponibilidad e integridad de los datos.

28
TIPOS DE CONTROLES Correctivos
Restauración de ficheros:

Las copias de seguridad protegen la continuidad del negocio en caso de pérdidas de


archivos, ya sea por error humano, por ataques de virus, falla inesperada del software e
inclusive por fallas en el servicio eléctrico. La finalidad del procedimiento de respaldo es
proteger la disponibilidad e integridad de la información.

Cuando los eventos indeseables ya han sucedido y si se han seguido con las políticas
de respaldo y recuperación, se dispondrá de copias de seguridad de los archivos
importantes para la organización.

Es entonces, que se aplicará este control correctivo: la restauración de archivos, a


partir de esas copias de archivos que podrán ser restaurados si se pierden o dañan los
archivos originales, en el menor tiempo posible, para asegurar que las actividades y
procesos de la empresa continúen.

29
Controles Generales
Los controles generales tienen como fin el asegurar las operaciones de la organización y su
continuidad apropiada. Básicamente, se fundamentan en la estructura, políticas y
procedimientos que se aplican a las operaciones del sistema informático de toda la
organización.
Estos controles preparan el entorno adecuado para que operen con seguridad los sistemas de
aplicación.
El objetivo final de los controles generales es suministrar un nivel razonable de seguridad
sobre el logro de los objetivos globales del control interno: efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.

30
Controles Generales
Controles de organización y administración:
Se refiere a las políticas, procedimientos y estructura organizacional establecidos para
organizar las responsabilidades de todos los involucrados en las actividades relacionadas al
área de informática.

Controles de desarrollo y mantenimiento de software de aplicación:


Estos controles ayudan a la prevención de implementaciones o modificaciones no autorizadas
de programas, así como también establecen control sobre cambios a sistemas, acceso a la
documentación de sistemas y adquisición de sistemas de aplicación de terceros.

Controles de operación de cómputo y de seguridad:


Estos controles se aplican para vigilar la operación de los sistemas y proporcionar seguridad
razonable de que los sistemas son usados sólo para propósitos autorizados, que el acceso a
las operaciones esté restringido a personal autorizado, así como garantizar que sólo se utilizan
programas autorizados y que los errores de procesamiento son detectados y corregidos.
31
Controles Generales

Controles de software:
Estos controles permiten restringir y supervisar el acceso a personal autorizado a los
programas y archivos críticos para el sistema y que el software (sistema operativo) se adquiere
o desarrolla de manera autorizada y eficiente

Controles de acceso:
Los controles de acceso limitan o detectan el acceso a recursos, tales como datos, programas,
equipamientos e instalaciones, protegiéndolos contra modificaciones no autorizadas, pérdida y
divulgación de información confidencial.

Continuidad del servicio:


Son controles que garantizan que, en caso de que ocurran eventos inesperados, las
operaciones críticas no sean interrumpidas y que puedan ser retomadas prontamente y que los
datos críticos sean protegidos. Para cada categoría, se identificarán los elementos críticos así
como procedimientos adecuados para realizar la evaluación de estos controles.
32
TIPOS DE CONTROLES
Control Preventivo Defectivo Correctivos
Firmas Electrónicas

Mesa de Control

Passwords

En la siguiente tabla identifica Validación de campos


que controles son Preventivos , Respaldos
Detectivos , correctivos.
Selección de personal

Depuración de
programas
Nota: Los controles Plan de contingencia

pueden aplicar en Antivirus


mas de un tipo de Auditoria
control. Procedimientos de
Backup
Verificación de
segregación de
funciones
33

Potrebbero piacerti anche