AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

Transcripción

1 AUDITORIA TECNOLOGIA INFORMATICA FERNANDO RADA BARONA

2 PERFIL DEL AUDITOR DE TI Contador Público o Ingeniero en Informática

3 TRABAJO EN EQUIPOS: DEFINICIONES

4 Evolución del enfoque de auditoría Valor hacia el negocio Finanzas y Contabilidad Económia, Eficiencia y Eficacia de las operaciones Alineación con la visión y misión empresarial Enfoque en administración de riesgos

5 Misión de la Auditoría de TI

6 Normas de Aseguramiento: Desarrollo del trabajo Contratación Planeación Ejecución y Documentación Conclusión y Reporte Actividades preliminares - aceptación y continuidad compromiso (NIA 210) Sistema de control de calidad ISQC 1 Objetivo de la auditoría. Conceptos básicos de auditoría financiera (NIA 200). Control de calidad para auditorías de estados financieros (NIA 220). Responsabilidades del auditor en relación con el fraude en una auditoría de estados financieros (NIA 240). Leyes y regulaciones en la auditoría (NIA 250). Comunicación con gobierno corporativo y comunicación de deficiencias control interno (NIA 260/265). Planeación de la auditoría (NIA 300). Identificación riesgos a través del entendimiento de la entidad y su entorno - valoración riesgo (NIA 315). Determinación y uso de la materialidad (NIA 320). Documentación de auditoría - incluye referenciación (NIA 230). Respuesta de los riesgos evaluados (NIA 330). Entidades que usan organizaciones de servicio (NIA 402). Evaluación de las representaciones erróneas identificadas durante la auditoría (NIA 450). Evidencia de auditoría (pruebas de controles manuales y de TI) (NIA 500). Evidencia de auditoría - Consideraciones específicas para ítems seleccionados (NIA 501). Confirmaciones externas (NIA 505). Saldos de apertura (NIA 510). Procedimientos analíticos (NIA 520). Muestreo (NIA 530). Estimados (NIA 540). Partes relacionadas (550). Eventos subsecuentes (NIA 560). Empresa en marcha (NIA 570). Representaciones de la administración (NIA 580). Auditoría de grupos (NIA 600). Uso de trabajo del auditor interno (NIA 610). Uso del trabajo de un experto (NIA 620). Áreas especializadas Auditoría de estados financieros preparados de conformidad con un marco de información financiera con fines específicos. - NIA 800 Auditorías de un solo estado financiero o de un elemento, cuenta o partida específica de un estado financiero. - NIA 805 Evaluación de la evidencia y formación de la opinión (NIA 700). Modificaciones al informe del Auditor (NIA 705). Otros relacionados con el informe (NIA 706/710/720).

7 AUDITORIA DE LOS SISTEMAS EN LA ETAPA DE PLANEACIÓN NIA Planeación de una auditoría de estados financieros NIA Identificación y evaluación del riesgo de errores materiales a través del conocimiento de la entidad y de su entorno NIA Materialidad en la planeación y la ejecución de la auditoría NIA Procedimientos del auditor en respuesta a los riesgos evaluados NIA Consideraciones de auditoría relativas a entidades que utilizan organizaciones de servicio NIA Evaluación de los errores identificados durante la auditoría

8 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC El auditor deberá considerar como afecta a la auditoría un ambiente de Sistemas de Información Computarizado - SIC. El objetivo y alcance globales de una auditoría no cambia en un ambiente SIC. Sin embargo, el uso de una computadora cambia el procesamiento, almacenamiento y comunicación de la información financiera y puede afectar los sistemas de contabilidad y de control interno empleados por la entidad.

9 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC El auditor debería tener suficiente conocimiento del SIC para planear dirigir, supervisar y revisar el trabajo desarrollado. El auditor debería considerar si se necesitan habilidades especializadas en SIC en una auditoría. Estas pueden necesitarse para: Obtener una suficiente comprensión de los sistemas de contabilidad y de control interno afectados por el ambiente SIC. Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo al nivel de saldo de cuenta y de clase de transacciones. Diseñar y desempeñar pruebas de control y procedimientos sustantivos apropiados.

10 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un profesional con dichas habilidades, quien puede pertenecer al personal del auditor o ser un profesional externo. Si se planea el uso de dicho profesional, el auditor debería obtener suficiente evidencia apropiada de auditoría de que dicho trabajo es adecuado para los fines de la auditoría, de acuerdo con NIA "Uso del trabajo de un experto". Al planear las porciones de la auditoría que pueden ser afectadas por el ambiente SIC del cliente, el auditor debería obtener una comprensión de la importancia y complejidad de las actividades de SIC y la disponibilidad de datos para uso en la auditoría. Cuando el SIC es significativo, el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherentes y de control.

11 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC OBJETIVO El propósito de esta Norma Internacional de Auditoría (NIA) es establecer reglas y suministrar criterios sobre los procedimientos a seguir cuando una auditoría se lleva a cabo en un ambiente (SIC) Para los propósitos de las NIA existe un SIC cuando la entidad, al procesar la información financiera significativa para la auditoría, emplea sistemas de información como equipos de computo de cualquier tipo o tamaño, ya sea operado por la propia entidad o por un tercero. Por consiguiente, un ambiente SIC puede afectar: Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de los sistemas de contabilidad y de control interno. La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor llega a la evaluación del riesgo. El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos apropiados para cumplir con el objetivo de la auditoría.

12 IMPACTO DEL AMBIENTE SIC Importancia y complejidad del procesamiento en cada operación importante de contabilidad (volumen, generación automática de transacc., intercambio transaccional) Estructura organizacional del ambiente SIC. Disponibilidad de los datos Posibilidad de utilizar herramientas de auditoría computadorizadas

13 RIESGOS DEL AMBIENTE SIC Falta de rastros transaccionales. Falta de procesamiento uniforme de transacciones Falta de segregación de funciones. Potencial para errores e irregularidades. Generación automática de transacciones. Dependencia de otros controles al procesamiento por computadora.

14 AMBIENTE SIC MICROCOMPUTADORAS INDEPENDIENTES Las microcomputadoras almacenan gran cantidad de información y también pueden actuar como terminales. Controles similares a un ambiente SIC pero no todos son aplicables. Complejidad de las redes. Evaluación de la utilización de las microcomputadoras. Aspectos de seguridad propios de este ambiente.

15 SISTEMAS DE COMPUTADORAS EN LÍNEA Efecto del uso de este ambiente en cuanto a grado en que el sistema en línea se utiliza para procesar transacciones contables. Actualización directa e instantánea de los archivos de datos. Controles relevantes en este ambiente: o Controles de acceso. o Cambios no autorizados a los datos. o Programas no autorizados.

16 AMBIENTE DE BASE DE DATOS Efecto del uso de este ambiente que independiza datos de programas y que facilita el uso compartido de la información. Dos elementos fundamentales: Base de Datos y Programa Administrador (DBMS). Tareas de administración de la base de datos. Controles de la base de datos: propiedad de los datos, acceso a los datos, segregación de funciones. Enfoque para el desarrollo de aplicaciones.

17 RIESGO Y CONTROL INTERNO EN UN AMBIENTE SIC Estructura organizacional (concentración de funciones y de programas y datos) Naturaleza del procesamiento (ausencia de documentación de entrada, falta de rastros de E/S, facilidad de acceso a datos y programas) Aspectos de diseño y de procedimiento (consistencia de funcionamiento, controles programados, archivos de base de datos, vulnerabilidad de datos y programas) Controles generales de SIC (Controles de organización, desarrollo de sistemas, controles de entrada de datos) Controles de aplicación (entrada, procesamiento, salida)

18 ADMINISTRACIÓN DEL RIESGO RIESGOS Efecto de la incertidumbre sobre los objetivos NTC ISO /2011

19 ADMINISTRACIÓN DEL RIESGO Definiciones Riesgo. Toda posibilidad de ocurrencia de aquella situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus objetivos. Gestión del Riesgo: actividades, coordinadas para dirigir y controlar una organización con respecto al riesgo. Proceso para la gestión del riesgo: aplicación sistemática de las políticas, los procesos y las prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto y de identificación, análisis, evaluación, tratamiento, monitoreo y revisión del riesgo.

20 ADMINISTRACIÓN DEL RIESGO BENEFICIOS Aumenta la probabilidad de alcanzar los objetivos. Fomentar la gestión proactiva. Cumplimiento de los requisitos legales y reglamentarios. Mejorar los controles. Usar eficazmente los recursos. Mejorar la prevención de pérdidas y la gestión de incidentes. Establecer una base confiable par la toma de decisiones y la planificación.

21 GESTIÓN DEL RIESGO PRINCIPIOS Crea y protege el valor Parte integral de todos los procesos de la organización Parte para la toma de decisiones Aborda explícitamente la incertidumbre Es sistemática, estructurada y oportuna Se basa en la mejor información disponible Esta adaptada Toma en consideración los factores humanos y culturales Transparente e inclusive Dinámica, reiterativa, y receptiva al cambio Facilita la mejora continua

22 Evaluar riesgo, implica en primer lugar asumir a que se está expuesto, cuán probable es que me ocurra un suceso, y si sucede que impacto o consecuencias puede tener. ADMINISTRACIÓN DEL RIESGO

23 ADMINISTRACIÓN DEL RIESGO REDUCCIÓN DE RIESGO Medidas físicas y técnicas: Construcciones de edificio, Control de acceso, Planta eléctrica, Antivirus, Datos cifrados, Contraseñas inteligentes,... Medidas personales Contratación, Capacitación, Sensibilización,... Medidas organizativas Normas y reglas, Seguimiento de control, Auditoría,...

24 ADMINISTRACIÓN DEL RIESGO Medidas de Protección Medidas dependiendo del grado de riesgo Medio riesgo: Medidas parciales para mitigar daño Alto riesgo: Medidas exhaustivas para evitar daño Verificación de funcionalidad Respaldado por coordinación Esfuerzo adicional y costos vs. eficiencia Evitar medidas pesadas o molestas Fundado en normas y reglas Actividades, frecuencia y responsabilidades Publicación

25 ADMINISTRACIÓN DEL RIESGO Cómo valorar la Probabilidad de Amenaza? Consideraciones Interés o la atracción por parte de individuos externos Nivel de vulnerabilidad Frecuencia en que ocurren los incidentes Valoración de probabilidad de amenaza Baja: Existen condiciones que hacen muy lejana la posibilidad del ataque Mediana: Existen condiciones que hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en el largo plazo Alta: Ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque

26 ADMINISTRACIÓN DEL RIESGO Cuándo hablamos de un Impacto? Se pierde la información/conocimiento Terceros tienen acceso a la información/conocimiento Información ha sido manipulada o está incompleta Información/conocimiento o persona no está disponible Cambio de legitimidad de la fuente de información

27 ADMINISTRACIÓN DEL RIESGO Cómo valorar la Magnitud de Daño? Consideración sobre las consecuencias de un impacto Quién sufrirá el daño? Incumplimiento de confidencialidad (interna y externa) Incumplimiento de obligación jurídicas / Contrato / Convenio Costo de recuperación (imagen, emocional, recursos: tiempo, económico) Valoración de magnitud de daño Bajo: Daño aislado, no perjudica ningún componentes de organización Mediano: Provoca la desarticulación de un componente de organización. A largo plazo puede provocar desarticulación de organización Alto: En corto plazo desmoviliza o desarticula a la organización

28 RIESGOS IMPORTANTES DE TI, IMPACTO Y RESPUESTA DE AUDITORIA

29 Clasificación de Riesgo Seguro, pero exceso de atención Inseguro, poca atención

30 CATEGORÍAS DE RIESGOS TECNOLÓGICOS Una posible categorización de los riesgos asociados al uso de TI, basada en quién tiene la responsabilidad de establecer y mantener los controles necesarios para su gestión, podría ser: riesgos asociados al gobierno de TI, a la organización y gestión de TI (procesos de gestión) y a la capa técnica (implementaciones de tipo técnico). Riesgos asociados al gobierno de TI El gobierno de TI reside en que la estructura organizativa, el liderazgo y los procesos garantizan que las tecnologías de la información soportan las estrategias y objetivos de una organización. Los cinco componentes del gobierno de TI son: La organización y estructuras de gobierno, El liderazgo ejecutivo y soporte, La planificación estratégica y operacional, La entrega y medición del servicio y La organización y gestión de riesgos de TI. Las políticas y estándares establecidos por la organización, deben establecer las formas de trabajo para alcanzar los objetivos. La adopción y cumplimiento de estas normas promueve la eficiencia y asegura la consistencia del entorno operativo de TI.

31 CATEGORÍAS DE RIESGOS TECNOLÓGICOS Algunos riesgos relacionados con el gobierno de TI son: La ausencia de planificación efectiva y de sistemas de monitorización del cumplimiento de las normas. La incapacidad de cumplir la misión de la organización. La pérdida de oportunidades de negocio y el escaso retorno de las inversiones en TI. La incapacidad para lograr los objetivos estratégicos de TI. Las potenciales ineficiencias en los procesos operativos de la organización. La falta de alineamiento entre los resultados de la organización y los objetivos estratégicos.

32 CATEGORÍAS DE RIESGOS TECNOLÓGICOS Riesgos asociados a la organización y gestión de TI (procesos) Una estructura organizativa de reporte y responsabilidad que permite implementar un sistema eficaz de control, entre otras cosas, debe tener en cuenta: La segregación de funciones: las personas involucradas en el desarrollo de los sistemas están separadas de las dedicadas a operaciones de TI. La importancia de la gestión financiera de las inversiones. La gestión y el control de los proveedores, especialmente con un alto grado de externalización. La gestión del entorno físico, tanto del centro de proceso de datos, como de los equipos de usuario La asignación de privilegios de acceso excesivos a determinadas funciones clave, y evitar situaciones de fraude u omisiones inadvertidas en tiempo. El diseño incorrecto de indicadores económicos para medir el ROI. La monitorización inadecuada de los proveedores externos. El análisis incorrecto de riesgos medioambientales de seguridad del centro de proceso de datos.

33 CATEGORÍAS DE RIESGOS TECNOLÓGICOS Riesgos asociados a la capa técnica (implementaciones de tipo técnico) La infraestructura técnica abarca los sistemas operativos, el diseño de redes internas, el software de comunicaciones, software de seguridad y protección y bases de datos, entre otros. El objetivo es asegurar que la información es completa, adecuada y exacta. Como ejemplos de riesgos relacionados con la capa técnica se pueden citar: Una inadecuada segregación de funciones por asignación de privilegios en el sistema que permita realizar acciones conflictivas o fraudulentas. Falta de un proceso adecuado de aprovisionamiento y gestión de usuarios, que entorpezca el desarrollo de la operativa. Ausencia de segregación de accesos, sin control de la actividad de usuarios y técnicos. Un inadecuado proceso de aplicación de actualizaciones de la infraestructura, sin pruebas previas, transfiriendo problemas y vulnerabilidades a producción. Adquisición o mantenimiento de sistemas no establecidos formalmente, o implantación de sistemas no probados correctamente. Cambios en los sistemas de gestión o aplicación no probados y validados antes de su pase a producción

34 FUENTES Y EVENTOS DE RIESGO FACTORES EXTERNOS FINANCIEROS ESTRATEGICOS Eventos accidentales Eventos operativos Eventos financieroa Eventos estratégicos OPERACIONALES ACCIDENGTALES FACTORES EXTERNOS

35 VISIÓN GENERAL GESTION DE RIESGOS

36 Proceso de Administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos Monitorear y Revisar 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo

37 Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización 1.3. Identificar Criterios de Calificación 1.4. Identificar Objetos Críticos

38 Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización Análisis Externo 1.3. Identificar Criterios de Calificación Aspectos financieros, operacionales, competitivos, políticos (percepción / imagen), sociales, clientes, culturales y legales 1.4. Identificar Objetos Críticos Objetivos Estrategias Stakeholders

39 Administración de Riesgos 1. Establecer Marco General Metodología 1.1. Entender el Entorno Políticas Criterios de Calificación y Tablas de Valoración 1.2. Entender la Oganización Universo de Objetos y Objetos Críticos Priorizados 1.3. Identificar Criterios de Calificación 1.4. Identificar Objetos Críticos

40 Administración de Riesgos Qué y Cómo calificar - priorizar? Probabilidad Valor Alta 3 15 Zona de riesgo Moderado Prevenir el riesgo Media 2 10 Zona de riesgo Tolerable Aceptar el riesgo Prevenir el riesgo 30 Zona de riesgo Importante. Prevenir el riesgo Proteger la entidad Compartirlo 20 Zona de riesgo Moderado. Prevenir el riesgo Proteger la entidad Compartirlo 60 Zona de riesgo Inaceptable Evitar el riesgo Prevenir el riesgo Proteger la entidad Compartir 40 Zona de riesgo Importante Prevenir el riesgo Proteger la entidad Compartirlo Baja 1 5 Zona de riesgo Aceptable Aceptar el riesgo 10 Zona de riesgo Tolerable Proteger la entidad Compartirlo 20 Zona de riesgo Moderado Proteger la entidad Compartirlo Impacto Leve Moderado Catastrófica Valor

41 Criterio 1 Criterio 2 Criterio 3 Criterio 4 Criterio 5 Criterio n Administración de Riesgos Qué y Cómo calificar - priorizar? Criterio 6 Criterio 7 Criterio 8 Objeto 1 Objeto 2 Objeto 3 Objeto n

42 Administración de Riesgos Qué calificar - Objetos? Cómo dividir la organización? Interés de la Dirección Procesos Subprocesos Proyectos Unidades Orgánicas Sistemas - Aplicaciones Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos

43 Administración de Riesgos Qué calificar - Objetos? Basado en Procesos (Negocio COBIT) Basado en Sistemas Basado en Proyectos Basado en Infraestructura

44 Administración de Riesgos Qué calificar - Objetos? Basado en Procesos (Negocio COBIT) Planeación estratégica de sistemas Desarrollo de sistemas Basado en Sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Basado en Proyectos Proceso de datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Basado Administración en de Infraestructura proyectos Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo, tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros

45 Administración de Riesgos Qué calificar - Objetos? Basado en Procesos (Negocio COBIT) Basado en Sistemas Para un sistema en particular Programas Archivos - Procedimientos Basado Eventos - Entrada en Proyectos Comunicación Proceso Salida - Distribución Basado en Infraestructura

46 Administración de Riesgos Qué calificar - Objetos? Basado en Procesos (Negocio COBIT) Basado en Sistemas Basado en Proyectos A Productos Análisis Basado al Proceso en Infraestructura

47 Administración de Riesgos Qué calificar - Objetos? Basado en Procesos (Negocio COBIT) Basado en Sistemas Datos Sistemas de Información (Aplicaciones) Tecnología (Equipos SW de base y SMBD SW de Productividad Metodologías) Instalaciones Recursos Humanos Basado Elementos de Administración en Proyectos Recursos Financieros Proveedores Basado en Infraestructura

48 De Negocio IIA Administración de Riesgos Cómo calificar Criterios? Pérdida financiera Pérdida de imagen Discontinuidad del negocio Incumplimiento de la misión Exposición financiera Pérdida y riesgo potencial Requerimientos de la dirección Cambios importantes en operaciones, programas, sistemas y controles Oportunidades de alcanzar beneficios operativos Capacidades del persona Calidad del Control Interno Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio) Integridad de la Dirección (códigos de ética) Cambios recientes en procesos (políticas, sistemas, o dirección) Tamaño de la Unidad (Utilidades, Ingresos, Activos) Liquidez de activos Cambio en personal clave Complejidad de operaciones Crecimiento rápido Regulación gubernamental Condición económica deteriorada de una unidad Presión de la Dirección en cumplir objetivos Nivel de moral de los empleados Exposición política / Publicidad adversa Distancia de la oficina principal

49 Administración de Riesgos Cómo calificar Criterios Seguridad Informática Confidencialidad Los activos de un sistema computacional son accedidos solo por personas autorizadas El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto SECRETO, RESERVA, PRIVACIDAD Integridad Disponibilidad SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS Previene la divulgación no autorizada de datos

50 Administración de Riesgos Cómo calificar Criterios Seguridad Informática Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas La modificación incluye escribir, cambiar, cambiar estados, borrar y crear PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS Confidencialidad Integridad ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y Disponibilidad CORRECCIÓN DE ERRORES CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS Previene la modificación no autorizada de datos

51 Administración de Riesgos Cómo calificar Criterios Seguridad Informática Los activos son accesibles a partes autorizadas Aplica a datos y servicios PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO ADECUADO Confidencialidad RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y acceso exclusivo) Integridad NEGACIÓN O REPUDIACIÓN DEL SERVICIO Disponibilidad Previene la negación de acceso autorizado a datos INDEPENDENCIA - TRASLAPO

52 Administración de Riesgos 2. Identificar Riesgos 2.1. Establecer el Contexto de Administración de Riesgos 2.2. Desarrollar Criterios de Valoración de Riesgos 2.3. Definir la Estructura 2.4. Identificar riesgos 2.5. Identificar causas

53 Administración de Riesgos Seguridad Informática - Activos Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave

54 Hardware Administración de Riesgos Seguridad en Redes Activos (Componentes) Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras Software (o Servicios) Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo Datos De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e- mail De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red De los usuarios: datos procesados personal, archivos de propiedad del usuario

55 Administración de Riesgos Seguridad en Redes - Riesgos R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios) R4a = incluyendo perdida o degradación de las comunicaciones R4b = incluyendo destrucción de equipos y/o datos R4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien)

56 Administración de Riesgos 2. Cómo escribir Riesgos? Riesgo Concepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos" Consecuencia Resultado de un evento o situación expresado cualitativa o cuantitativamente Evento Situación que podría llegar a ocurrir en un lugar determinado en un momento dado Causa Evento primario fundamento u orígen de una consecuencia

57 Administración de Riesgos 2. Cómo escribir Riesgos? Riesgo Concepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos" Consecuencia, Impacto, Exposición o Resultado Evento, Amenaza + Causa, Evento primario o Situación

58 Administración de Riesgos Seguridad en redes Impactos Significativos Violación de la privacidad Demandas legales Perdida de tecnología propietaria Multas Perdida de vidas humanas Desconcierto en la organización Perdida de confianza

59 Administración de Riesgos Seguridad Informática - Amenazas Naturales Accidentales Deliberadas

60 Administración de Riesgos Seguridad Informática Amenazas Naturales Origen Amenaza directa Impacto inmediato Terremotos, tormentas eléctricas Fenómenos astrofísicos Fenómenos biológicos Interrupción de potencia, temperatura extrema debido a daños en construcciones, Perturbaciones electromagnéticas Muerte de personal crítico R4, R4a, R4b R4, R4a R4, R4c

61 Administración de Riesgos Seguridad Informática Amenazas Accidentales Origen Amenaza directa Impacto inmediato Error del Usuario Error del Administrador Fallas de equipos Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada Configuración inapropiada de parámetros, borrado de información Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café) R3, R4 R1: R2, R3, R4, R5 R3, R4, R4b

62 Administración de Riesgos Seguridad Informática Involucrados Amateurs Hackers Empleados maliciosos Rateros Crackers Vándalos Criminales Espías (gobiernos foráneos) Terroristas

63 Administración de Riesgos Seguridad Informática Vulnerabilidades Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) Interrupción: un activo se pierde, no está disponible, o no se puede utilizar Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo Modificación: una parte no autorizada accede y manipula indebidamente un activo Fabricación: Fabricar e insertar objetos falsos en un sistema computacional

64 Administración de Riesgos Seguridad Informática Vulnerabilidades Interrupción (Negación del Servicio) Intercepción (Robo) Software Hardware Actos Involuntarios/Accidentales Intencionales/Voluntarios que limitan la disponibilidad Datos Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas Robo

65 Administración de Riesgos Seguridad Informática Vulnerabilidades Software Interrupción (Borrado) Intercepción Modificación Borrado accidental o destrucción de programas Robo - Copia ilícita de programas Hardware Causar fallas o errores Salvar una copia mala de un programa destruyendo una Datos buena, Programas modificados (cambio de bits, de instrucciones bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información

66 Administración de Riesgos Seguridad Informática Vulnerabilidades Robo Confidencialidad líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra Hardware Programas maliciosos Técnica de salami, utilidades Software del sistema de archivos, facilidades de comunicación defectuosas Reprocesamiento de datos utilizados, adicionar registros en una base de datos Datos Interrupción (Perdida) Intercepción Modificación Fabricación

67 Administración de Riesgos 3. Analizar Riesgos 3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Valorar el posible daño que puede ser causado

68 Administración de Riesgos Cómo valorar riesgo? Probabilidad x Impacto $ Frecuencia x Impacto Inherente Nivel de exposición Residual

69 Administración de Riesgos Controles en Seguridad Controles Administrativos Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales

70 Administración de Riesgos Controles en Seguridad Medidas protectoras acciones, dispositivos, procedimientos o técnicas que reducen una vulnerabilidad Conf. Integ. Disp. Interr. Interc. Mod. Fab. Encripción Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas)

71 VALORAR Y PRIORIZAR RIESGOS Valorar prioridades de riesgo Riesgo aceptable? SI Aceptar Riesgo residual no aceptable NO IDENTIFICAR OPCIONES DE TRATAMIENTO Reducir probabilidad Reducir consecuencia Transferir total o parcialmente Evitar Considerar factibilidad, costos y beneficios, y niveles de riesgo EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Monitorear y Revisar IMPLEMENTAR PLANES DE TRATAMIENTO Reducir probabilidad Reducir consecuencia Porción retenida Transferir total o parcialmente Evitar Porción transferida NO Riesgo residual aceptable? SI Retener Asegurar la efectividad costo/beneficio de los controles

72 Administración de Riesgos Dónde invertir? Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Software Hardware Datos Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación

73 NIA 300 Planeación de Auditoría de Estados Financieros

74 Planeación de una Auditoría de Estados Financieros La planeación le permite obtener un entendimiento del marco de referencia legal y determinar procedimientos de evaluación del riesgo, aspectos importantes para el desarrollo de la auditoría, teniendo en cuenta que la planeación es un proceso continuo e interactivo. Objetivo El auditor debe planear la auditoría para realizar un trabajo efectivo y apropiado. Obtener un entendimiento del negocio de la entidad. Entender y evaluar el diseño e implementación de los controles. Evaluar los riesgos de que ocurran errores significativos en los estados financieros y planear una estrategia de auditoría en respuesta a dichos riesgos. Desarrollar nuestro enfoque de auditoría planeado con respecto a las cuentas y revelaciones significativas

75 Propósito. Establecer normas y proporcionar lineamiento sobre la planeación de auditoria de Estados Financieros y es aplicable a auditorias recurrentes. Desarrollar una estrategia general y un enfoque detallado para la naturaleza, oportunidad y alcance esperados de la auditoría.

76 Objetivos de la planeación Obtener un entendimiento del negocio de la entidad. Entender y evaluar el diseño e implementación de los controles. Evaluar los riesgos de que ocurran errores significativos en los estados financieros y planear una estrategia de auditoría en respuesta a dichos riesgos. Desarrollar nuestro enfoque de auditoría planeado con respecto a las cuentas y revelaciones significativas.

77 Actividades preliminares del trabajo Efectuar procedimientos sobre la continuación de la relación con el cliente y el trabajo específico de auditoría. Evaluar el cumplimiento de los requisitos éticos, incluyendo la independencia. Establecer un entendimiento de los términos del trabajo.

78 Componentes de la planeación de auditoria La estrategia general de auditoría: Establece el alcance, la oportunidad y la dirección de la auditoría Determinar las características del trabajo que definen su alcance (Estructura y Requisitos de emisión de informes) Considerar los factores importantes que determinarán cómo concentrar los esfuerzos del equipo de trabajo, como: - Identificar áreas en las que se presenten mayores riesgos y errores importantes - Saldos de cuentas importantes - Evaluación de si el auditor pudiera planear obtener evidencia sobre la eficacia del control interno En el proceso de establecer una estrategia general, el auditor se cuestiona: Uso apropiado y cantidad de miembros del equipo con experiencia en áreas de alto riesgo Participación de expertos en asuntos complejos Administración, dirección y supervisión de los miembros del equipo

79 NIA 315 Identificación y Evaluación de los Riesgos de Representación Errónea de Importancia Relativa Mediante el Entendimiento de la Entidad y su Entorno

80 Procedimientos de evaluación de Riesgos Su propósito es proveer una adecuada base (evidencia) para la identificación y evaluación de los riesgos: Investigaciones con la Administración y otro personal de la Entidad.(Efectividad del Control Interno, Proceso de transacciones) Procedimientos Analíticos.(Hechos o transacciones inusuales) Observaciones e Inspecciones.(Inspección de documentos) Otros procedimientos.(preguntas a asesores legales) Información Obtenida en Proceso de Aceptación o Continuidad del Cliente y la Información obtenida de Años Anteriores.

81 El Conocimiento de la Entidad y su Entorno Incluido el Control Interno Enfocado en los siguientes aspectos: Factores de la Industria, de Regulación y otros Factores Externos.(Relación con proveedores y clientes) Naturaleza de la Entidad.(Operaciones de la Entidad) Objetivos, Estrategias y Riesgos del Negocio.(Reputación errónea de importancia relativa de EE.FF.) Medición y Revisión del Desempeño Financiero de la Entidad.(Identifica deficiencias en Control Interno) El control Interno

82 Control Interno Qué es el Control Interno? Proceso diseñado y efectuado por los encargados del Gobierno Corporativo, la Administración y otro personal, para proporcionar seguridad razonable, sobre el logro de los Objetivos de la Entidad respecto de la Confiabilidad de la información financiera, efectividad y eficacia de las operaciones y cumplimiento de las leyes.

83 Componentes del Control Interno Ambiente de Control.(Incluye funciones gobierno Corporativo y Admón.) Evaluación de Riesgos de la Entidad.(Evaluar diseño de ambiente de control de la entidad) Actividades de Control).( Políticas y procedimientos) Información y Comunicación.(Manuales o TI ) Monitoreo.(Evalúa la efectividad del desempeño del control interno)

84 Identificación y Evaluación del Riesgo de Imprecisiones o Errores Significativos A nivel de EE.FF. (Riesgos Inherentes) y a nivel de manifestación (Transacciones, Saldos de cuentas y revelaciones). Identificación: Conocimiento del Negocio y su Entorno. Si el auditor no ha identificado riesgos: No significan que no existan.(recurrir al riesgo de la auditoria) Existen riesgos para los cuales los procedimientos sustantivos no proporcionan base suficiente de evidencia.(compañías que ofrecen servicios o productos por internet) Evaluación del riesgo que debe ser revisado durante todo la auditoria.(desarrollo de pruebas de controles y sustantivas)

85 Riesgos que Requieren Consideración Especial El auditor, como parte de la evaluación, debe determinar qué riesgos requieren especial consideración.(significativos) Transacciones rutinarias o poco complejas.(poca probabilidad de riesgo significativo) Asuntos fuera de la normal actividad del negocio.(fraude, riesgos económicos de legislación, transacciones complejas e inusuales) El auditor debe evaluar el control interno relacionado con los riesgos especiales.(ver si los controles implantados están operando)

86 Comunicación al Gobierno Corporativo y a la Administración El auditor debe comunicar las debilidades de la importancia relativa del diseño o implementación del control interno. Documentación: Conversaciones y discusiones entre el equipo de trabajo, relacionado con la identificación y evaluación de riesgos.(error o Fraude) Elemento clave del conocimiento del negocio.(aspectos de Entidad y su entorno) Riesgos identificados y evaluados de representación errónea de importancia relativa.(en EE.FF. Y Aseveración) Riesgos identificados y controles evaluados.

87 Factores Indicativos de Riesgo Significativo Operaciones en regiones inestables económicamente. Problemas en la disponibilidad del crédito y capital. Problemas de liquidez, incluyendo perdidas de clientes importantes. Cambios en las industrias. Expansión de nuevas localidades o líneas de negocios. Cambios en la Entidad.(Reorganización o Adquisición) Carencia de personal calificado. Debilidades en el control interno. Instalación de nuevos sistemas de información. Entre otros.

88 NIA 402-EMPRESA DE SERVICIOS - OBJETIVO El propósito de esta Norma Internacional de Auditoría (NIA) es establecer reglas y suministrar criterios al auditor cuyo cliente utilice empresas de servicios. Esta NIA también describe los informes del auditor de la empresa de servicios que pueden ser obtenidos por el auditor del cliente.

89 NIA 402-EMPRESA DE SERVICIOS - OBJETIVO Naturaleza de los servicios prestados por la organización de servicios. Términos del contrato entre el cliente y la organización de servicios. Aseveraciones de los estados contables que son afectados por el uso de la organización de servicios. Grado de interacción de los sistemas del cliente y de la organización de servicios. Capacidad y fuerza financiera de la organización de servicios y como afectaría la falta de servicio. Utilización del informe del auditor de la organización de servicios.