UNIDAD TEMÁTICA V Auditoria y Peritaje de Software. Objetivos Diseñar un plan de auditoria unitario y de integración

Transcripción

1 UNIDAD TEMÁTICA V Auditoria y Peritaje de Software Objetivos Diseñar un plan de auditoria unitario y de integración

2 Temas 1. Introducción a la Auditoría. Definición de auditoría. Control interno. Tipos de auditoría. Objetivos de auditoría informática. Determinación de la información y estructura de la muestra. Organizaciones de auditorías. 2. Técnicas de Auditoría Informática. Concepto de auditoría Informática. Auditoría interna y auditoría externa. Alcance de la auditoría informática. Tipos y clases de auditorías. Técnicas y herramientas usadas por la auditoría informática. 3. Metodología de Auditoría Informática. Medios disponibles y específicos de auditoría. Análisis de costes y rentabilidad de un sistema informático. Metodología de trabajo de auditoría informática. CRMR (Computer Resource Management Review).

3 Temas (continuación) 4. Legislación y Auditoría Jurídica e Informática. Ética del auditor informático. Regulación legal. Leyes y decretos. Almacenamiento de datos. Bases de datos. Recomendaciones prácticas. 5. Seguridad en Auditoría Informática. Auditoría de la seguridad informática. Seguridad lógica y confidencial. Seguridad física. Seguridad en la utilización del equipo. Seguridad en base de datos. Seguridad en sistemas operativos. Seguridad en redes. 6. Informes de Auditoría. Modelo conceptual del informe final. Carta de presentación de auditoría. Carta de introducción o presentación del informe final. Estructura del informe final. Ejemplo de auditoría seguridad de las aplicaciones.

4 1- Introducción a la Auditoría A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas La informática está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben formar parte de la misma

5 Definición de Auditoria Es un proceso sistemático de obtención y evaluación de evidencia con respecto a afirmaciones sobre acciones económicas y eventos, para asegurar el grado de correspondencia entre esas afirmaciones y un criterio establecido, comunicando los resultados a los usuarios finales. Nace como órgano de control de algunas instituciones estatales y paraestatales.

6 La función auditora: debe ser independiente, no tiene carácter ejecutivo, sus conclusiones no son vinculantes La auditoria convencional puede realizarse, y de hecho se realiza, con herramientas informáticas, pero ésto no es auditoria informática (o de sistemas), sino auditoria realizada con el auxilio de la informática.

7 Auditoría de Sistemas Revisión y evaluación de los controles, sistemas, procedimientos de informática, equipamiento, su utilización, seguridad y eficiencia, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información contenida en los estados contables.

8 Cual es el propósito de la Auditoría de Sistemas? Proporcionar credibilidad a los Estados Financieros en base a la emisión de una opinión independiente

9 El Proceso de Auditoría de Sistemas Etapa 1: Visión General Cuáles son las características principales del negocio y sus sistemas computarizados? Etapa 2: Flujo de datos Cómo fluyen los datos dentro de los sistemas computarizados? Etapa 3: Riesgos de Aplicación En que puntos podrían surgir datos no confiables? Etapa 4: Controles de Aplicación Que controles impiden o detectan datos no confiables? Etapa 5: Controles generales y conclusión Considerando los controles generales, cuáles son los riesgos?

10 Etapa 1: Visión general Cuáles son las características principales del negocio y sus sistemas computarizados? En que consiste el negocio y cómo está organizado? Como se maneja el Departamento de Sistemas? Cuáles son los sistemas y cómo están relacionados? Cómo se desarrollaron los sistemas? Que computadoras usan y dónde se encuentran? Cuál es el área de mayor riesgo?

11 Indicadores MENOS RIESGO MAS Consolidado Estable Profesional Interviene Pocos Pocos Bajo ANTIGÜEDAD DEL SISTEMA AMBIENTE DE PROCESAMIENTO PROCESO DE DESARROLLO PARTICIPACIÓN DE LA GERENCIA NUMERO DE PROCESADORES HECHOS DE PROCESAMIENTO GRADO DE INTEGRACIÓN Nuevo Cambiante Informal No interviene Muchos Muchos Alto

12 Etapa 2: Flujo de Datos Cómo fluyen los datos dentro de los sistemas computarizados? Cómo fluyen los datos entre las Actividades? Cómo fluyen los datos entre cada Actividad? Cómo se mantienen los datos permanentes?

13 Completando un Cursograma 1 Qué información se ingresa? 1 Qué archivos son creados o actualizados? 2 Qué datos se transfieren desde otra actividad? 2 Qué datos se transfieren a otra actividad? 3 Qué datos provienen de los archivosde datos permanentes y de transacciones? 3 Qué informes o documentos son generados? Ingreso Validación Extracción de datos Clasificación Procesos Apareamiento Cálculos Actualización Preparación de informes

14 Etapa 3: Riesgos de Aplicación En qué puntos podrían surgir datos no confiables? Cuándo podría surgir el acceso no autorizado? Cuándo podría producirse un ingreso de datos incompletos o imprecisos? Cuándo podrían los datos rechazados no ser corregidos y vueltos a ingresar? Cuándo podrían los datos ser dañados por un Proceso?

15 Riesgos de Aplicación Acceso Rechazo Ingreso 1+ 1= 3 Procesamiento

16 Etapa 4: Controles de Aplicación Qué controles impiden o detectan datos no confiables? Qué controles impiden que los riesgos potenciales no se vuelvan reales? Detección de Controles Probar Aparear Conciliar Verificar Controlar

17 Etapa 5: Controles generales y conclusión Considerando los controles generales, cuáles son los riesgos? Podría algo en el ambiente de control del Departamento de Sistemas debilitar los controles de aplicación? Cuáles son los riesgos no controlados y sus implicancias?

18 Riesgos del Departamento de Sistemas Organización y Gerencia Cambio a los Programas Acceso General

19 Sujeto Objeto Acción Propósito Auditoría Externa Personal Independiente Sistemas de Información Exámen de los Estado de los Sistemas Informe de opinión de los Sistemas Auditoría Interna Personal en Relación Control Interno Relevamiento y Evaluación del control Informe para mejorar el grado de control

20 Documento Quien lo emitió Año y objetivo genera Cobit (Control Objetives for Information and related technology) Information Systems Audit and Control Foundation (1996) Marco de referencia que provee una herramienta para los dueños de los procesos de negocios para disminuir eficiente y efectivamente sus responsabilidades de control de sistemas SAC (System Auditability and Control) Institute of Internal Auditor Research Foundation (1991, revisado en 1994) Asistencia a los auditores internos en el control y la auditoria de sistemas de información y tecnologías asociadas. COSO Comitee of Sponsoring Organizations Treadway Commission s Internal Control (1992) Realiza recomendaciones a la gerencia sobre como evaluar, informar y mejorar los sistemas de control. SAS 55/78 Consideration of internal control in a Financial Statement Audit. American Institute of Certified Public Accountants (1988/1995) Provee una guía para los auditores externos relacionados con el impacto del control interno en la planificación y realización de una auditoría de los estados financieros de una organización

21 Objetivo de control: Declaraciones de los resultados a ser conseguidos con la implementación de procedimientos de control. Se deben establecer antes que las metas o los sistemas de la organización sean diseñados Riesgo de control: Resultado o salida negativa de no aplicar procedimientos de control.

22 Sistema de Control Interno Se define como un conjunto de procesos, funciones, actividades, subsistemas, y gente, los cuales están agrupados o concientemente segregados para asegurar el efectivo logro de los objetivos y metas.

23 Componentes Ambiente de Control Sistemas Manuales y automatizados Procedimientos de Control

24 Una estrategia de evaluación del Marco de Control Interno COSO En 1992, el Committee of Sponsoring Organizations (COSO) de la Treadway Comisión emitió un informe que marcó un hito en el control interno. El Control Interno Marco Integrado, al que con frecuencia se hace referencia como "COSO" brinda una base sólida para establecer los sistemas de control interno y determinar su eficacia.

25 COSO El enfoque La integración propuesta a realizar del COSO en el proceso de auditoría requiere que se clasifiquen los resultados de la auditoría según los términos del marco COSO y que esta información se utilice en los informes de más alto nivel para la conducción de la entidad. El enfoque se construye sobre algunos de estos conceptos incorporando los criterios COSO en cada etapa del proceso de auditoría. De acuerdo con COSO, los tres objetivos primarios de un sistema de control interno son asegurar (1) operaciones eficientes y eficaces (2) informes financieros exactos y (3) el cumplimiento con las leyes y la normativa aplicable. El informe también destaca cinco componentes esenciales de un sistema de control interno eficaz.

26 COSO EL AMBIENTE DE CONTROL, que establece el fundamento para un sistema de control interno proporcionando la estructura y disciplina fundamentales. EVALUACION DEL RIESGO, que implica la identificación y análisis por parte de la conducción y no del auditor interno de los riesgos relevantes para lograr los objetivos predeterminados. ACTIVIDADES DE CONTROL, o las políticas, procedimientos y prácticas que aseguran el logro de los objetivos de la conducción y que se cumple con las estrategias para mitigar los riesgos.

27 COSO INFORMACION Y COMUNICACION, que sustenta todos los otros componentes del control comunicando las responsabilidades de control a los empleados y brindándoles información en tiempo y forma que les permita cumplir con sus funciones. UPERVISION, que cubre los descuidos externos de los controles internos por parte de la conducción o terceros externos al proceso, o la aplicación de metodologías independientes como procedimientos personalizados o checklists estándar por parte de empleados que forman parte del proceso. Se deben utilizar estos elementos para definir el objetivo de control a ser auditado, evaluar los componentes del sistema de control de la entidad e informar los resultados a la conducción. La integración del COSO de esta manera agrega estructura al proceso de auditoría, asegura que se consideran los criterios adecuados en las fases claves de cada auditoría y proporciona una pista para sustentar las conclusiones a las que se llegó.

28 COSO Definición de objetivos. Un aspecto clave del proceso es enfocar cada auditoría desde un único objetivo COSO por vez, en lugar de hacerlo desde muchos objetivos de auditoría. Cada auditor, junto con la conducción, determina el objetivo COSO apropiado operaciones, información financiera o cumplimiento. Esta determinación se realiza durante la planificación de la auditoría y se documenta formalmente en los papeles de trabajo. Concentrarse en un objetivo de auditoría por vez permite mejorar el enfoque y la eficiencia de la auditoría. Si resulta necesario analizar otro objetivo, se puede iniciar otro proyecto de auditoría por separado.

29 COSO Operaciones. Un objetivo de operaciones apunta a los controles que rigen la eficiencia y la eficacia. La eficacia trata con la calidad de los controles por sobre el logro de los objetivos específicos de la conducción mientras que la eficiencia trata con la calidad de los controles que producen una medida óptima de insumos de recursos respecto de resultados productivos. Una auditoría de operaciones debe determinar si a la organización se le puede razonablemente asegurar que no existen ineficiencias significativas o bien que existe falta de eficacia en el proceso o en la organización auditada

30 COSO Información financiera. En las auditorías en las que el objetivo es la información financiera, se asigna importancia a la adecuación y eficacia de los controles administrativos que rigen la confiabilidad de la información financiera utilizada para fines de comunicación externos. Una auditoría basada en dichos controles debe brindar seguridad razonable de que no existen manifestaciones erróneas o incompletas en los datos analizados. Rastrear los controles de auditoría y la información financiera hasta los estados contables es indicador de una auditoría con un objetivo relacionado con la información financiera.

31 COSO Cumplimiento. Las auditorías basadas en el cumplimiento apuntan a la adecuación y eficacia de los controles administrativos que rigen el cumplimiento con las leyes y la normativa externa e interna. Tales auditorías tratan principalmente con la correlación entre las leyes y los procedimientos de la entidad y, la práctica real. Por lo general durante las auditorías de esta naturaleza se consulta al asesor letrado perteneciente al plantel un indicador excelente de que una auditoría debería tener al cumplimiento como objetivo.

32 COSO EVALUACION DE LOS COMPONENTES DEL CONTROL Componente de Control Ambiente de Control Evaluación del riesgo CRITERIOS PARA UNA CLASIFICACION INSATISFACTORIA Ausencia de "Controles hard" (duros) o bien los mismos son inadecuados. Existen ejemplos comprobados de violación de los controles soft (débiles) La conducción no ha predefinido objetivos relevantes. Dichos objetivos son incompatibles con objetivos más amplios. La conducción no identificó riesgos relevantes para el logro de sus objetivos. La conducción no cuenta con una base para determinar cuáles son los riesgos más críticos. La conducción no aseguró que se mitiguen los riesgos operativos críticos. Las pruebas de auditoría detectan riesgos que no fueron previamente contemplados por la conducción.

33 COSO EVALUACION DE LOS COMPONENTES DEL CONTROL Componente de Control Actividades de Control Comunicación e información CRITERIOS PARA UNA CLASIFICACION INSATISFACTORIA Las actividades claves de control no están funcionando como se pretendía. La estrategia de la conducción respecto de mitigar los riesgos no se refleja de forma apropiada en las actividades de control. No se identifica, reúne ni comunica la métrica clave. Los empleados no comprenden sus responsabilidades de control. El cliente o el proveedor se queja y las disputas no se resuelven o bien no se adopta ninguna medida correctiva en forma oportuna

34 COSO EVALUACION DE LOS COMPONENTES DEL CONTROL Componente de Control Supervisión Global CRITERIOS PARA UNA CLASIFICACION INSATISFACTORIA La conducción no estableció un medio para determinar la calidad del sistema de control interno a través del tiempo ya sea por evaluaciones independientes o bien por actividades de supervisión permanentes, estructuradas e independientes Se deben considerar las clasificaciones de todos los componentes a fin de determinar si los controles brindan seguridad razonable respecto de que se lograrán los objetivos de la conducción. Una fortaleza en los controles internos de un componente puede compensar una debilidad de control en otro componente.

35 PERICIAS INFORMATICAS Tipos de pruebas Documental: exhibición de documentación por las partes o terceros. De informes: que se soliciten a oficinas publicas, escribanos o entidades privadas. De confesión: formuladas bajo juramento y sobre la cuestión. De testigos: declaración de terceros Pericial: cuando la apreciación de los hechos requiere conocimientos especiales en alguna ciencia, arte, industria o actividad técnica especializada.

36 PERICIAS INFORMATICAS Condiciones de perito Idóneo (conocedor de la materia en cuestión) Título habilitante (y matriculado según el caso). Si no hay personas que posean título en el lugar no es necesaria esta condición, sólo que sea idóneo..

37 PERICIAS INFORMATICAS Tipos de delitos informáticos Acceso ilegítimo informático (hacking): vulnerar la confidencialidad de la información porque es de acceso exclusivo a determinadas personas o se viola la intimidad. Daño o sabotaje informático (cracking): menoscabar la integridad y disponibilidad de la información. Fraude informático: atentar contra el patrimonio de un tercero mediante la informática.

38 PERICIAS INFORMATICAS Cuándo se requiere un perito informático Delito informático (alguno de los tres mencionados antes) Cuando la informática es el medio para cometer un delito Cuando es el objeto propio del delito o está en forma colateral pero determinante

39 PERICIAS INFORMATICAS Recusación del perito Por alguna condición que suponga parcialidad en sus conclusiones: Parentesco con una de las partes Intereses en el pleito Pleito pendiente con el recusante Ser deudor/acreedor de una de las partes

40 PERICIAS INFORMATICAS Remoción del perito Por incumplimiento de sus deberes Renuncia sin motivo luego de aceptar Rehusar dar su dictamen

41 Pasos de una pericia informática -Ofrecimiento de prueba pericial por una de las partes (especialidad y puntos de pericia) -La otra parte puede proponer otros puntos -El juez determina la especialidad, los puntos de pericia definitivos y el perito -Notificación al perito -Aceptación del cargo por parte del perito (puede ser recusado o removido) -El perito puede convocar a otros especialistas si es necesario Allanamiento Búsqueda y secuestro de pruebas. Presencia de: perito, testigos, las partes con sus abogados y sus consultores técnicos. Deseable: Filmación o grabación de audio del procedimiento 1- Alejamiento de toda persona de los equipos informáticos 2 Apagado de los equipos 3 Análisis de cada equipo (extracción de discos, etc., impresión de contenidos) Se elabora el acta de allanamiento.

42 Pasos de una pericia informática Práctica pericial Análisis de las pruebas (los elementos extraídos en el allanamiento) Presencia de: perito, testigos, las partes con sus abogados y sus consultores técnicos. Elaboración del informe pericial Dictamen del perito. Solo asigna responsabilidades a los presuntos autores siempre que se garantize que las pruebas hayan permanecido inalteradas desde el allanamiento. Informe no técnico para el juez y letrados Informe técnico detallado para los consultores técnicos

43 Pasos de una pericia informática Conclusiones del juez sobre la pericia La eficacia probatoria del dictamen depende de: Competencia del perito Principios científicos o técnicos en que se funda y concordancia entre su aplicación y la regla de la sana crítica Observaciones formuladas por los consultores técnicos. Continuación de la causa La pericia puede ser cuestionada, siendo factible que se repita por disposición del juez