Sei sulla pagina 1di 32

¡La universidad para todos!

¡La Universidad para todos!

Curso: Auditoria de Sistemas Contables

Tema: Auditoría de Tecnologías de información


Docente: Ma. Ing. Alejandro Díaz Aguilar

Escuela Profesional Periodo académico: 2018-2


CIENCIAS CONTABLES Y FINANCIERAS Semestre: IX
Unidad: I
¡La universidad para todos!

ORIENTACIONES

Para una mejor comprensión de la Auditoría de


Tecnologías de información, es necesario que realicen
lo siguiente:

1. Leer el texto de lectura obligatoria.

2. Leer la Ayuda de la semana 2.


¡La universidad para todos!

CONTENIDOS TEMÁTICO

• Auditoria de Sistemas de Información:


Objetivos, roles y retos del auditor TI.
• Áreas Específicas de Auditoria Tecnológica
• Ejemplos de Programas de trabajo y Pruebas de
auditoria.
• Estándares internacionales principales.
¡La universidad para todos!

AUDITORIA DE
TECNOLOGÍAS DE INFORMACIÓN (TI)
“Proceso de revisión y evaluación de
todos los aspectos de los sistemas
automáticos de procesamiento de Información,
incluidos procedimientos no automáticos
relacionados con ellos y las interfaces
correspondientes”.
Fuente:
ISACA (Information Systems Audit & Control Association)
¡La universidad para todos!

AUDITORÍA TI
¡La universidad para todos!

AUDITORÍA TI

Auditoría Gerencia de
tradicional sistemas

Auditoría de
sistemas

Ciencia del
Ciencias de la comportamiento
Computación
Ingeniero
de sistemas
¡La universidad para todos!

AUDITORÍA TI

Objetivos de la Auditoría de TI

Organizaciones

Confiabilidad:
Integridad de Uso de recursos
los datos con eficiencia
Preservar la
Mejorar la confidencialidad Mejorar la
salvaguarda de los datos efectividad de
de los activos los Procesos
¡La universidad para todos!

RETOS DEL AUDITOR

• Conocimiento del negocio.


• Conocimientos de TI.
• Conocimiento sobre como actúan las TI en el
proceso del negocio.
• Conocimiento de Riesgos y Procesos.
• Confianza y respeto de los auditados.
• Conocimiento del impacto de sus
recomendaciones.
• Contraparte válida y asesor en controles y
autocontrol para el auditado.
¡La universidad para todos!

ROLES Y FUNCIONES DEL


AUDITOR TI
• Realizar el Plan anual de las auditorías a realizar
• Determinar el Mapa de Procesos de negocio y
soporte
• Realizar la evaluación de Riesgos asociados a las
actividades de Tecnologías de Información
• Evaluar los controles de los procesos TI
• Presentar informe de debilidades y
recomendaciones, acordando un cronograma de
solución con los involucrados
• Participar en auditorías integradas.
• Seguimiento de las recomendaciones
¡La universidad para todos!

AUDITORÍA TI

Areas Específicas de Auditoria


• Seguridad de la Información
• Desarrollo y Mantenimiento
• Aplicaciones de Negocios y Operativos
• Explotación de Tecnología
• Infraestructura de Sistemas
¡La universidad para todos!

DESARROLLO Y MANTENIMIENTO
Los componentes claves de Proyectos TI,
recomendados para enfocar la auditoría

Alineación
Negocio-TI

Preparación
Post Gestión de de Soluciones
Implantación Proyectos TI

Organización y
Gestión de
Cambios
¡La universidad para todos!

DESARROLLO Y MANTENIMIENTO

Proceso del Ciclo de Desarrollo Metodología

• Requerimientos del Usuario. Estándares


Normas
• Análisis y Diagnóstico. Entregables
• Diseño: Funcional y Técnico.
• Desarrollo: Programación.
• Pruebas
• Instalación: Entrega a Explotación.
¡La universidad para todos!

DESARROLLO Y MANTENIMIENTO

Administración y Control
• Plan anual de atención
• Planificación de requerimientos
Actividades, Recursos, Esfuerzo, Cronogramas,
Hitos.
• Ejecución: Actualización y Registro.
• Cambios: Al plan, repriorizaciones
• Informe anual resultados
¡La universidad para todos!

DESARROLLO Y MANTENIMIENTO
El Auditor puede participar
•Como “miembro” del equipo de
desarrollo para identificar fallas o debilidades en
etapas tempranas.
•En revisiones de postimplementación
•En revisiones de los procesos o aplicaciones.
Mantenimiento
• Correctivos
• Incidencias
• Optimizaciones
¡La universidad para todos!

AUDITORIA DE APLICACIONES
Revisión de cobertura operativa /o negocio:
• Adecuado servicio a los requerimientos del
Negocio
• Entender el flujo de transacciones y la estructura
básica de control, incluyendo los aspectos de
procesos manuales, automatizados e interfaces
• Controles de acceso y facultades en la operativa,
para el cumplimiento de la segregación de
funciones y autorizaciones de control dual.
• Atención de incidencias
• Comprobar que la operativa se ajusta
a la normativa interna externa.
¡La universidad para todos!

AUDITORIA DE APLICACIONES
Revisión de Implementación:
• Nivel de documentación de sistemas y
programas.
• Pruebas, aprobaciones, y documentación de los
cambios a programas y procesos.
• Controlesde Acceso a librerías de
programas, documentación y archivos.
• Analizar Integridad, Calidad y Consistencia
de los datos en la Base de Datos.
• Revisar los Controles Informáticos de Entrada y
Salida de datos.
• Controlesde acceso a la base de
datos y transacciones.
¡La universidad para todos!

AUDITORIA DE APLICACIONES
Revisión de Diseño
• Especificaciones funcionales: Requerimientos
de transacciones, cálculos, flujos de control,
etc.
• Diseño Funcional
• Diseño de Interfaces con usuarios (E/S)
• Diseño de Procesos
• Diseño de Bases de Datos
¡La universidad para todos!

AUDITORIA DE APLICACIONES
Desarrollo de pruebas
• Diseño de datos de pruebas
• Caja Negra: Pruebas de especificaciones funcionales
• Caja Blanca: Cobertura completa, a nivel de
Instrucciones, Rutas de lógica
• Valores Límite: con datos para probar la ejecución de
límites mayores, menores e iguales a lo indicado en
el programa.
• Pruebas de esfuerzo operativo y técnico.
• Pruebas de conformidad: procedimientos, reglas de
negocio, etc.
• Pruebas sustantivas o de validación: detectar errores
o irregularidades en procesos, actividades o
transacciones
• Pruebas de Intrusión: Recomendaciones
¡La universidad para todos!

AUDITORÍA DE EXPLOTACIÓN

• Control de entrada de datos.


• Gestión de Cambios:
Planificación y recepción de aplicaciones.
• Centro de control y monitoreo de eventos
• Centro de atención de Usuarios y resolución de
problemas
• Planificacion de procesos
• Control de resultados.
• Capacity Planning: Demanda, Recursos,
Rendimiento
¡La universidad para todos!

AUDITORÍA DE INFRAESTRUCTURA
DE SISTEMAS
• Comunicaciones y Redes.

• Sistemas Operativos.

• Software base y herramientas.

• Administración de
Bases de Datos.
¡La universidad para todos!

AUDITORÍA DE COMUNICACIONES

• Diseño de la infraestructura de las redes


• Monitoreo de tráfico y disponibilidad de las redes ->
alertas

• Servicios de transporte y balanceo de tráfico


• Pruebas de los enlaces de contingencia
• Inventario de equipos de comunicaciones y
servidores de infraestructura y aplicativos
¡La universidad para todos!

AUDITORÍA DE COMUNICACIONES

• Detección, registro y resolución de problemas


• Pruebas de vulnerabilidad de la segmentación de
redes
• Evaluación de certificados de seguridad:
Políticas, controles, autoridad, distribución, etc.
• Proveedores: disponibilidad para escalamiento,
upgrades, mantenimiento, costos, etc.
¡La universidad para todos!

AUDITORÍA DE SEGURIDAD
• Gestión de Riesgos
– Metodología usada
– Activos significativos identificados, con
evaluación de riesgos y controles que lo
mitigan
• Plan de Seguridad de Información
• Basado en las mejores prácticas:
• ISO 27001 SGSI

• Conocidos y aprobados por dueño del negocio
• –y de acuerdo en los riesgos y controles
• – Publicación, documentación, revisión y
mantenimiento.
¡La universidad para todos!

AUDITORÍA DE SEGURIDAD
• Seguridad Física
– Procedimiento de accesos a instalaciones
– Implementación de instalaciones tecnológicas
– Consideraciones ergonómicas: Diseño de
productos y puestos
• Ambiente de Control
– Verificar nivel de concientización del personal y
responsabilidad de los controles de seguridad
– Cumplimiento de las políticas y de la normativa
relacionada.
– Cumplimiento y valoración de los controles
¡La universidad para todos!

AUDITORÍA DE SEGURIDAD

• Control de Accesos
– Procesos de Negocio y Operativos
– Accesos a Infraestructura Tecnológica: Servidores,
Entornos, etc.
– Métodos y Herramientas: Acceso biométrico
• Evaluar procedimientos de registro y validación.
• Nivel de aceptación usuarios
• Existencia de plan de contingencia

• Infraestructura
– Prevención de fuga de información
– Protección de Datos
¡La universidad para todos!

AUDITORÍA DE SEGURIDAD

• Seguridad Perimetral
– Segmentación: separación en redes lógicas para
aislar a los usuarios e infraestructura de intrusos
– Arquitectura: proveer autenticación,
autorización, auditoría y detección de intrusos
– Pruebas de acceso a redes y/o servidores según
perfiles
– Tests de intrusión
¡La universidad para todos!

AUDITORÍA DE SEGURIDAD

• Continuidad de Negocios
– Existencia de un Plan de Continuidad de Negocios:
• Servicios críticos
• Organización y Procedimientos
– Pruebas de los Planes de Contingencia:
• Sistema de recuperacion
• Infraestructura alternativa
• Atención de servicios
• Retorno a la Normalidad
¡La universidad para todos!

ESTÁNDARES DE AUDITORÍA

• En el mundo, han evolucionado las siguientes


organizaciones profesionales:
– American Institute of Certified Public
Accountants (AICPA)
– Canadian Institute of Chartered Accountants
(CICA)
– Institute of Internal Auditors (IIA)
– Information Systems Audit and Control
Association (ISACA)
– U.S. General Accounting Office.
¡La universidad para todos!

ESTÁNDARES DE AUDITORÍA

• Informe COSO - (Committee of Sponsoring Organizations), de la


Comisión de Estudios de Controles Internos -> Para la
Gerencia
• SAC - (Systems Auditability and Control), de la Fundación de
Investigación del IIA -> Para los Auditores Internos.
• SAS 55 y SAS 78 - Consideraciones de la estructura de
Controles Internos en los Informes de los Estados
Financieros, del Instituto Americano de Contadores Públicos
(AICPA) -> Auditores Externos
• COBIT (Control Objectives for Information and related Technology),
de la Fundación de Auditoría y Control de Sistemas de
Información ->Auditores de TI.
¡La universidad para todos!

PROGRAMAS DE CERTIFICACIÓN

CISA: Certified Information System Auditor.


CISM: Certified Information Security Manager.
ESI: European Software Institute.

CIA: Certified Internal Auditor.


¡La universidad para todos!

CONCLUSIONES

• Las áreas específicas de la Auditoria de TI son:


• Seguridad de la Información
• Desarrollo y Mantenimiento
• Aplicaciones de Negocios y Operativos
• Explotación de Tecnología
• Infraestructura de Sistemas
• Existen estándares de Auditoría en el mundo.
¡La universidad para todos!

¡Gracias!