Sistemas de Información para la Gestión / Informática Unidad 7: Auditoría de los Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015
Sistemas de Información para la Gestión / Informática UNIDAD 7: AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN 1. Control Interno y Auditoría de SI. Las funciones de control interno y auditoria informáticos. Sistema de control interno informático. Tipos y metodologías 2. Revisiones de auditoría: Entorno jurídico de la auditoría de los S. Herramientas para auditoría de SI. Principales áreas de la auditoría. Del outsourcing, de la seguridad física, de la dirección informática, de la explotación, de bases de dato, de la seguridad, de redes, de Internet, de aplicaciones, del desarrollo y mantenimiento de sistemas, del sistema de vigilancia y sobre los datos de carácter general 3. Contrato e Informe de auditorías de sistemas de información: El contrato de auditoría. El informe de auditoría. Ética del auditor de los SI.
Sistemas de Información para la Gestión / Informática UNIDAD 7: AUDITORÍA DE LOS SISTEMAS DE INFORMACIÓN Sistemas de información para la gestión empresaria: Procedimientos, Seguridad y Auditoría. Alerto Lardent. Prentice Hall. Sección Segunda. RT7 Centro de Estudios Científicos y Técnicos FACPCE Informe 15 Area Auditoría FACPCE: Auditoría en Ambientes Computadorizados
Auditoría: Conceptos Control Interno Conjunto de métodos coordinados y medidas adoptadas dentro de una organización con el fin de: Salvaguardar activos, Asegurar la confiabilidad y corrección de los datos contables y extracontables Promover la eficacia y eficiencia de las operaciones Promover la adhesión a las políticas vigentes
Auditoría: Conceptos El Control Interno se instrumenta a partir de: a) Funciones Preventivas Políticas Gerenciales Misiones y Funciones Esquemas de organización Normas y procedimientos Políticas de personal Etc. b) Funciones de Control/Verificación La función de línea, en todos sus niveles (control operativo) La función staff (auditoría)
Auditoría: Conceptos Componentes de un Sistema de Control RT7 CECyT Sistema Operante Característica o Condición Controlada Sensor Grupo Activante Grupo de Control
Auditoría: Conceptos Auditoría Es una función de control independiente del sistema controlado, que en forma sistemática y organizada debe: Comparar la característica o condición controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor. Determinar los desvíos, e Informar a quien ordena o contrata la auditoría, que jerárquicamente debe estar por encima del sistema auditado.
Auditoría: Conceptos Concepto Moderno de Auditoría La Auditoría ha cambiado de un enfoque de viejas nociones reactivas hacia una actitud proactiva, con una fuerte inclinación hacia detección de fraudes, monitoreo continuo y capacidad para mejorar procesos del negocio
Auditoría de Sistemas de Información Concepto Proceso formal llevado adelante por especialistas en auditoría y en informática a efectos de verificar y asegurar que los recursos y procesos involucrados en la construcción y explotación de los sistemas de información cumplen con los procedimientos establecidos y se ajustan a criterios de integridad, eficiencia, seguridad, efectividad y legalidad.
Auditoría de Sistemas de Información: Conceptos Objeto de la Auditoría de Sist.de Información El ámbito de la ASI se refiere al entorno informático correspondiendo entenderse por tal a todo lo que conforma: Tecnología Informática (Oferta) Hardware y Software Tecnología de Comunicaciones y Base de datos Metodología para la construcción de aplicaciones. A P L I C A C I O N E S Sistemas de Información (Demanda) Necesidades de Información Requerimientos del Negocio
Auditoría de Sistemas de Información: Conceptos Principales Areas de Actividad de la A.S.I. Auditoría de la dirección (Plan Estratégico de Sistemas) Auditoría del desarrollo (gestión de proyecto) Auditoría de la Adquisición Auditoría Seguridad (Seguridad Física, Seguridad Lógica, Evaluación de Riesgos, Plan de Contingencias) Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)
Auditoría de Sistemas de Información: Conceptos Principales Funciones de la A.S.I. Evaluación y verificación de controles y procedimientos relacionados con la función de informática Verificación del uso eficiente de los SI. Desarrollo de las actividades del área de auditoría informática de acuerdo a estándares normativos. Evaluación de las áreas de riesgo y en consecuencia planificación de las tareas del área. Realizar el monitoreo permanente de las actividades del área. Realizar el monitoreo de la seguridad. Monitoreo de la aplicación de procedimientos. Realizar una adecuada información y seguimiento de las observaciones realizadas.
Auditoría de Sistemas de Información: Conceptos Sensor Unidad de medida, el estándar o la norma con la cual voy a medir o comparar el sistema de información. Normas internas: Algunas organizaciones de cierta envergadura suelen generar su propio conjunto de normas de funcionamiento materializadas en manuales de procedimientos, cursogramas, flujogramas, organigramas, documentación de sistemas, etc. Normas externas: Profesionales: Informe 6 Area de Auditoría del CECyT: Pautas para el Examen de Estados Contables en un Contexto Computadorizado Organismos de Control: Comunicación A 2659 del Banco Central de la República Argentina Pautas de Control Interno para Sistemas Computadorizados y Tecnología de Información de la SIGEN (Sindicatura Gral.de la Nación) Internacionales C.O.B.I.T Objetivos de control para la información y la tecnología Relacionada, desarrollado por la I.S.A.C.A. Asociación de Auditoría y Control de Sistemas de Información.
Auditoría de Sistemas de Información: Conceptos Sensor Criterio del Auditor: Es el menos recomendable y en general el más utilizado. La principal crítica que se le puede hacer como sensor es la falta de objetividad, ya que es la opinión del auditor sobre lo que debería ser, y por lo general suele ser muy discutida, salvo casos de observaciones muy evidentes, o una muy buena fundamentación del criterio utilizado.
Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe 6 CECYT 1 Introducción: Objetivos y Alcances, Descripción del Ambito Computadorizado Impacto de la Computación en las Actividades de Control 2 - Evaluación de las actividades de control Descripción de los controles Metodología Relevamiento general Relevamiento detallado Evaluación de las actividades relevadas Prueba y evaluación del funcionamiento. Técnicas.
Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe 6 CECYT 3 - Determinación de la naturaleza, extensión y oportunidad de los procedimientos a aplicar para obtener elementos de juicio válidos y suficientes Conceptos Generales Calidad de los Controles Posibilidades de Utilizar el Computador Ventajas de Utilizar el Computador 4 Cuestionario de Actividades de Control de Sistemas Computadorizados Recursos Afectados (Medios físicos, soporte lógico, RRHH, instalaciones, documentación, archivos de datos y programas) Métodos de Operación (en lotes, en línea diferido, en tiempo real, servicio de computación. Desarrollo y Mantenimiento del Sistema
Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Control OBjectives for Information and Relatives Technologies - I.S.A.C.A. ( Information System Audit Control Association) Establece una guía metodológica estándar para la evaluación y comprobación de actividades de Control Interno, en el campo específico.
Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Marco Conceptual La información, cumple con los procesos de negocios, siguiendo criterios de: 1. Calidad: Eficacia y Eficiencia 2. Seguridad: Confidencialidad, Integridad y Disponibilidad 3. Confianza: Cumplimiento de disposiciones y confiabilidad. Utilizando los recursos de la tecnología informática: 1. Datos, 2. Aplicaciones, 3. Tecnología, 4. Instalaciones y 5. Personal. Las actividades de los procesos informáticos, se analizan por dominios: 1. Planificación y organización, 2. Adquisición e implementación, 3. Entrega y soporte y 4. Monitoreo.
Auditoría de Sistemas de Información: Conceptos Sensor: Estructura del Informe C.O.B.I.T. Requerimientos de la información del negocio: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Auditoría de Sistemas de Información: Conceptos Sensor: COBIT Análisis por Dominios Planificación y organización: Definir un plan estratégico, Determinar la arquitectura de la información, Definir la dirección tecnológica, Definir la organización y las relaciones, Administrar la inversión, Comunicar los objetivos y la dirección de la gerencia, Administrar los recursos humanos, Asegurar el cumplimiento de los requisitos externos, Evaluar el riesgo, Administrar proyectos Administrar la calidad. Adquisición e implementación: Identificar soluciones, Adquirir y mantener software de aplicaciones, Adquirir y mantener la infraestructura tecnológica, Desarrollar y mantener procedimientos, Instalar y acreditar sistemas, Administrar cambios.
Auditoría de Sistemas de Información: Conceptos Sensor: COBIT Análisis por Dominios Entrega y Soporte: Definir niveles de servicio, Administrar servicios de terceros, Administrar la performance y la capacidad, Asegurar un servicio contínuo, Asegurar la seguridad de los sistemas, Identificar y atribuir costos, Educar y capacitar a los usuarios, Administrar la configuración, Administrar problemas e incidentes, Administrar datos, Administrar instalaciones y Administrar operaciones. Monitoreo: Monitorear el proceso, Evaluar el Control Interno, Obtener un aseguramiento independiente y Proveer una auditoría independiente
COBIT Tabla Resumen: indica qué criterios de información tienen impacto en los objetivos de alto nivel y qué recursos de TI son aplicables
Ejemplo de Controles
Ejemplo de Controles
Análisis de Riesgos Riesgo de Auditoría Es el riesgo que tiene un auditor como consecuencia de no haber detectado durante la revisión practicada las fallas o irregularidades que, al ser conocidas, le hubieran hecho modificar el dictámen del informe y las recomendaciones asociadas. La auditoría debe ser planeada y para ello es imprescindible una debida evaluación y categorización de riesgos para priorizar los casos asignar recursos y aplicar los procedimientos de auditoría más convenientes.
Análisis de Riesgos Definición de Riesgo o Todo evento contingente que de materializarse puede impedir o comprometer el logro de los objetivos de un negocio o proceso. o Es la probabilidad de que un hecho pueda afectar negativamente a la organización o Es una medida de incertidumbre o Es cualquier amenaza externa o interna que pueda afectar el logro de los objetivos de una organización
Análisis de Riesgos Componentes del riesgo de Auditoría Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc. Está fuera de poder ser controlado por el auditor como para poder eliminarlo. Riesgo de Control: son los que resultan de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna. Está fuera de poder ser controlado por el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo. Riesgo de Detección: son los que resultan de un deficiente planeamiento y/o ejecución de la auditoría, sea tanto en la evaluación y categorización de los riesgos, como en la selección y/o aplicación de los procedimientos de auditoría. Es del ámbito y tarea exclusiva del auditor.
Análisis de Riesgos Evaluación y Categorización del Riesgo Es la actividad que tiene como propósito medir el nivel de riesgo que presenta cada caso objeto de auditoría. Es altamente subjetiva. Depende del criterio, capacidad y experiencia del auditor. Constituye la base del plan de actividades, determinando el alcance y oportunidad de la revisión, así como también del procedimiento de auditoría a emplear. Existen métodos para reducir el nivel de subjetividad en la evaluación y categorización de los riesgos. Los métodos establecen pautas y procedimientos para la evaluación.
Análisis de Riesgos Metodología de Análisis Pautas de Nivel Macro Apoyan la fase del planeamiento que hace a un plan global del ámbito informático, determinando los sistemas y/o áreas de mayor riesgo Pautas de Nivel Micro Se orientan a un subsistema o tarea puntual, que debieran mitigar o eliminar los riesgos y determinar los procedimientos de auditoría.
Análisis de Riesgos Nivel Macro Identificar los factores de Riesgo Sistema de Control Nivel de Sensibilidad - Complejidad Cambios - Materialidad Definir la importancia de los factores (Apertura en cuanto a parámetros) Puntuación de cada factor (al ser evaluados en sus parámetros) Calcular y Evaluar Factores de Riesgo de cada proyecto de auditoría Determinar las prioridades de los proyectos en base a los riesgos Proyectos priorizados conforme a los resultados obtenidos
Análisis de Riesgos Nivel Macro: Factores de Riesgo Factor Sistema de Control Nivel de Sensibilidad Parámetros o Indicadores Reflejan la opinión acerca del funcionamiento del sistema de control interno en el área o sistema considerado Un buen recurso para su tratamiento lo constituye el considerar determinados indicadores como ser: Participación de los niveles gerenciales en la política de seguridad Políticas de seguridad del entorno informático Separación de funciones y controles Nivel de cumplimiento de las normas y procedimientos Oportunidad en la detección de errores Oportunidad en la solución de problemas Experiencia del personal (analistas, programadores, operadores, usuarios) Nivel de confiabilidad de los sistemas Grado de sensibilidad de las áreas y/o sistemas considerados en cuanto a su gravitación en os objetivos del ente o bien en cuanto a la adaptación de los mismos frente a las variantes del entorno. Un buen recurso para su tratamiento lo constituye la disponibilidad de estadísticas que reflejen el comportamiento de indicadores como ser: Probabilidad de ocurrencia de errores Quejas de usuarios y del público Porcentajes de errores Porcentaje de decisiones erróneas Grado de sensibilidad del sistema respecto a variables exógenas
Análisis de Riesgos Nivel Macro: Factores de Riesgo Factor Complejidad Cambios Materialidad Parámetros o Indicadores Persigue evaluar el nivel potencial de errores que se pueden producir como consecuencia de las variables interactuantes, como ser: Naturaleza de las actividades Nivel de actividad Alcance y grado de automatización Entorno funcional y tecnología utilizada Modalidad operativa (centralizada, descentralizada, distribuída, en línea, en tiempo real, etc.) Desarrollo y mantenimiento de sistemas Dispersión geográfica, conexiones locales y/o remotas Cambios y su reiteración en el tiempo que se producen respecto a aspectos organizacionales, estructurales, de personal, sistemas de información, etc. Entre los indicadores están: Nivel y frecuencia de rotación del personal Frecuencia de reestructuraciones Nivel de crecimiento/reducción de personal Cantidad de modificaciones e implantación de nuevos sistemas Importancia del proyecto en término de magnitudes: costo, personas, recursos. A mayor materialidad, mayores riesgos
Análisis de Riesgos Nivel Macro Ejemplo Evaluación Factores de Riesgo Factor de Riesgo Importancia Puntuación Ponderación Sistema de Control 5 0 0 Políticas de seguridad del entorno informático 0,75 Nivel de cumplimiento de las normas y procedimientos 1 Pronta detección de errores 0,75 Pronta solución de desvíos 0,75 Experiencia de los programadores 0,5 Nivel de confiabilidad de los sistemas 1,25 Sensibilidad 2 Probabilidad de ocurrencia de errores 0,5 Queja de usuarios 0,4 Errores de Criterio al toma decisiones 0,4 Nivel de errores del sistema de autorización del SI 0,4 Grado de sensibilidad por variables exógenas 0,3 Cambios 3 Frecuencia de rotación del personal 0,6 Frecuencia de reorganizaciones estructurales 0,6 Nivel de crecimiento y rotación del personal 0,15 Criterios funcionales y modalidades operativas 0,9 Implantación de nuevos Sistemas 0,6 Nivel de modificaciones a sistemas y programas 0,15 Complejidad 4 Naturaleza de las actividades 0,6 Nivel de Actividad 0,8 Entornos Funcionales 0,6 Modalidad Operativa 0,6 Desarrollo y Mantenimiento de Sistemas 0,6 Alcance de la automatización 0,8 Materialidad 1 Total Ponderación
Análisis de Riesgos Nivel Micro La evaluación a nivel Micro se utiliza para: Diseño de controles para los SI Comparar controles que presentan distintos tipos de Software Auditoría de Sistemas Consiste en: Desarrollar los objetivos del control Establecer prioridades de seguridad y confiabilidad Seleccionar salvaguardas y controles para mitigar o eliminar las amenazas, y por lo tanto la pérdida o exposición resultante.
Análisis de Riesgos Nivel Micro: Proceso de Evaluación ETAPA 1 Definición del Objeto a auditar Identificación de Amenazas Posibles Qué? Determinación de Zonas y Puntos de Control Dónde? Vinculaciones de Amenazas y Puntos de control ETAPA 2 Determinación de la frecuencia de riesgo Con qué asiduidad? ETAPA 3 Estimación de la exposición (pérdida) Magnitud de la pérdida ETAPA 4 Amenazas vs.objetivos de Control Definición de Objetivos específicos de control Qué Hacer? ETAPA 5 Selección de salvaguardas/controles Cómo se satisfacen los objetivos de control? ETAPA 6 Justificación de Controles Costo/Beneficio NO SI Diseñar OK? Implantar Revisar
Etapas para el Desarrollo de la Auditoría PLANIFICACION Etapas clave Evaluar Riesgos Conocimiento del negocio Controles Físicos y Lógicos Controles gerenciales Estrategia de Auditoría
Informe de Auditorías de Sistemas de Información Objetivos del Informe de Auditoría Objetivo Propósito Medios Informar Brindar conocimientos oportunos y apropiados Clara y comprensible identificación de dificultades y oportunidades de mejora Persuadir Lograr aceptación y respaldo de las acciones Real y persuasivo respaldo de las conclusiones y evidencia de su importancia Obtener Resultados Originar Cursos de Acción Propósitos claros, prácticos y constructivos para realizar los cambios necesarios
Informe de Auditorías de Sistemas de Información Estructura del Informe de Auditoría Introducción Resultados Conclusiones Recomendaciones Anexos Se indica: Objetivo, Alcance y Posición de la auditoría frente al objeto auditado Se indica: Evidencias y hallazgos claves obtenidos durante la revisión, que sean significativos y que sirvan de base para las conclusiones Se expone: el diagnóstico en función de los resultados obtenidos. Ordenar: problema y causalidad (causa-efecto) Incluir siempre opinión del personal auditado. Cursos de acción que se estimen pertinentes. Importante: participación del personal auditado Incluir: El detalle que respalda los hallazgos y explica el método empleado.
Informe de Auditorías de Sistemas de Información Pautas para desarrollar el Informe de Auditoría Aspecto (Qué) Directo Preciso Persuasivo Prudente y Constructivo Oportuno Expuesto conforme al destinatario Orientado a Resultados Característica (Cómo) Título Informativo Priorizar lo importante Oraciones concluyentes sin enunciaciones elípticas Seleccionar y presentar los temas de mayor importancia Acompañar resúmenes de documentación respaldatoria Realizar una redacción precisa Llevar convencimiento con la información que se expone Desarrollar las consecuencias de las situaciones descriptas Propender a una razonable interpretación de los hechos y exponer las causas no los síntomas Presentar una visión del conjunto balanceando lo positivo y lo negativo Trasuntar confianza en el auditado para solucionar el o los problemas Para lograr la pronta solución de los problemas Anticipar informes en casos de gravedad Resúmenes para los niveles superiores Exposición que potencie la interpretación (relaciones %, tablas, gráficos) Atractivos (presentación, distinta tipografía para resaltar temas) Recomendaciones prácticas, factibles y específicas Descripción de los cursos de acción a tomar
Para Pensar Un buen Auditor es: Quién más problemas detecta? o Quién logra soluciones para los problemas detectados?
Bibliografía Material de la Cátedra Alberto R Lardent Sistemas de Información para la Gestión Empresaria Procedimiento, Seguridad y AuditoríaPrentice HallBrasil 2001 Informe 6 CECYT FACPCE Informe COBIT (ISACA)
Material Adicional
Etapas para el Desarrollo de la Auditoría PLANIFICACION Etapas clave Ambiente de control Conocimiento del negocio Evaluación de Sistemas y Ambiente IT Controles gerenciales Estrategia de Auditoría
PLANIFICACION Conocimiento del Negocio Fundamental para una auditoría efectiva La cantidad de información requerida dependerá del tamaño y complejidad del cliente Contribuirá a desarrollar una estrategia de auditoría efectiva y eficiente Guía para lograrlo Reuniones con la Gerencia Lectura de información sobre el cliente Entrevistas con otros especialistas que asesoran al cliente Relevamiento de circuitos administrativos Acceso a websites de internet Lectura de reportes de auditoría interna
PLANIFICACION Conocimiento del Negocio VALOR Mejor entendimiento de los riesgos inherentes Identificación de potencial riesgo de fraude Mejor conocimiento de controles clave Mejor determinación del enfoque de auditoría a aplicar Mejor conocimiento de los cambios ocurridos Entendimiento de las acciones llevadas a cabo por la Gerencia para ejercer el control
PLANIFICACION Ambiente de control Evaluación previa a la definición de la estrategia Representa la filosofía de la gerencia y su actitud frente a la implementación y ejecución de una atmósfera de control sobre las operaciones Compone el proceso de Risk Management
PLANIFICACION Ambiente de control Areas a analizar Organización, roles y responsabilidades del cliente Rol de Directores Efectividad de la organización Políticas de RRHH Evaluación del riesgo por parte del cliente Proceso evaluatorio Cumplimiento de leyes y regulaciones Monitoreo del entorno del cliente Razonabilidad de planes y control presupuestario Confiabilidad de la información reportada Confiabilidad de la información de gestión Rol de auditoría interna
PLANIFICACION Evaluación de sistemas y ambiente IT Qué se requiere? Obtener el conocimiento suficiente de los sistemas Conocer el ambiente de sistemas Documentar y probar los controles gerenciales para determinar la estrategia apropiada para cada ciclo
PLANIFICACION Evaluación de sistemas y ambiente IT Nivel de entendimiento requerido Clases de transacciones de la Compañía Forma en que las transacciones son generadas Registros significativos Calidad de la documentación respaldatoria Proceso de registro contable y financiero
PLANIFICACION Evaluación de sistemas y ambiente IT Dos pasos fundamentales Ambiente de sistemas Cómo está organizada la función IT? Cómo maneja la gerencia las actividades de control IT? Cómo soporta la función IT al negocio? Cuáles son las principales características de los sistemas? Cuáles son los principales cambios a los sistemas? Cuáles son los problemas más significativos? Mapeo Determinar relaciones entre procesos de negocios, áreas de auditoría, actividades, sistemas y ambiente computarizado Información relevante: volumen, monto y frecuencia de transacciones
PLANIFICACION Evaluación de sistemas y ambiente IT Pasos a seguir Conocer la estructura de negocios (procesos que alimentan los EECC a través de sistemas Identificar ciclos contables claves Entender los reportes clave utilizados por la gerencia para monitorear el negocio y el mecanismo para su emisión DIAGRAMA DE MAPEO
PLANIFICACION Evaluación de sistemas y ambiente IT Diagramas de mapeo Muestra la relación entre los reportes utilizados por la gerencia y las actividades para cada ciclo identificado y los sistemas realizados
MAPEO DE CUENTAS Y PROCESOS Ejemplo para ciclo de compras EECC Mayor General Gastos Provisiones Cuentas por pagar Débito fiscal IVA Caja y Bancos Orden de compra Recepción de bienes Registración de factura Pago Devoluciones y ajustes Ciclo de Inventarios
Evaluación de Sistemas y Ambiente IT Controles generales Puntos a evaluar Autorizaciones para Operación Seguridad Física Seguridad de Datos Responsabilidades de la gerencia Instrucciones de uso Requerimientos de entrenamiento Políticas de prevención Standards de integridad de datos Separación de funciones Políticas de back up Peligro de pérdida de datos por manipulabilidad de equipos Analizar medidas de seguridad adoptadas Acceso de muchos usuarios a los datos Uso de contraseñas Control de integridad Control de interfaces Existencia de back ups
Evaluación de Sistemas y Ambiente IT Controles de aplicación Puntos a evaluar Integridad de los registros Registros adecuados Validez de los registros Acceso restringido activos y registros Todas las transacciones registradas, ingresadas y aceptadas una sola vez Actualización de los archivos Inalterabilidad de los datos en los archivos Ingreso y registro de datos claves en forma correcta Cambios correctamente ingresados Datos aceptados actualizan los archivos correspondientes Transacciones son autorizadas Transacciones no son ficticias Cambios a los maestros son autorizados Protección contra acceso indebido Confidencial Protección física
Evaluación de sistemas y ambiente IT Enfoque bajo normas internacionales de auditoría Sistemas de Microcomputadores Sistemas de Red Sistemas de base de datos
Evaluación de Sistemas y Ambiente IT Sistemas de Microcomputadores Debilidades frecuentes Falta de segregación de funciones dos o más usuarios pueden realizar funciones de: iniciar y autorizar documentos fuente entrar datos al sistema operar las unidades cambiar programas y archivos Fallas en controles de aplicación: inexistencia de logs por cada transacción falta de supervisión directa falta de reconciliación entre los registros contables y los totales de mayor
Falta de documentos fuente para cada transacción ingresada Evaluación de Sistemas y Ambiente IT Sistemas de Red Debilidades frecuentes Transacciones perfeccionadas lejos de donde se originan Las transacciones inválidas son corregidas pero no reingresadas inmediatamente El ingreso de datos es efectuado desconociendo la naturaleza de las transacciones El procesamiento no se efectúa inmediatamente Las terminales están diseminadas por toda la compañía (peligro de usuarios no autorizados) Posibilidad de modificaciones de datos ingresados Posibilidad de modificaciones a los programas Acceso a los datos y programas en forma remota
Evaluación de Sistemas y Ambiente IT Sistemas de Base de datos Debilidades frecuentes Significatividad de las transacciones financieras Base de datos de naturaleza débil y con inconsistencias Gran cantidad de aplicaciones en bases de datos de tamaño insuficiencia Falta de controles adecuados
Auditoría de Sistemas de Información: Conceptos Principales Areas de Actividad de la A.S.I. Auditoría de la dirección (Plan Estratégico de Sistemas) Auditoría del desarrollo (gestión de proyecto) Auditoría de la Adquisición Auditoría Seguridad (Seguridad Física Plan de Contingencias, evaluación de riesgos, seguridad lógica) Auditoría de la explotación y Mantenimiento (Utilización de sistemas, puesta en marcha, cambios de programas)
Revisiones de Auditoría Auditoría del Plan Estratégico de Sistemas Objetivo de Control Riesgos Asociados Verificaciones a Realizar El Plan de sistemas contempla las necesidades Los sistemas no responden a las necesidades de la organización. Existencia de un plan formalizado y aprobado por el nivel máximo de la organizaciones y el crecimiento del negocio y se encuentra Inflexibilidad de los sistemas ante nuevos requerimientos organizacionales. organización. Verificación de la actualización periódica del plan. adecuadamente aprobado por la dirección y es Desvinculación entre los distintos sistemas. Revisión de la documentación del directorio (actas de reuniones, periódicamente revisado ante cambios en la planificación de la Comportamiento desordenado y errático en el desarrollo y adquisición de aplicaciones. instrucciones de la dirección, existencia de un responsable de la formulación, etc. organización. Desconocimiento de la existencia o alcance del plan por parte de las distintas áreas organizacionales. La asignación de recursos no es la adecuada dado la dimensión del proyecto. Los cambios de los proyectos impactan en el plan de sistemas.
Revisiones de Auditoría Auditoría del Impacto sobre el Negocio Objetivo de Control Riesgos Asociados Verificaciones a Realizar El proyecto se encuentra dentro del marco del plan de negocios de la empresa. Los sistemas no responden a las necesidades del negocio. El plan estratégico de sistemas es coordinado con el plan de negocios. Las especificaciones establecidas contemplan los factores esenciales del negocio. La habilidades propias del negocio no se encuentran apoyadas por los nuevos sistemas. En la documentación de los requerimientos se identifican las habilidades principales que distinguen a la empresa. El sistema tiene la capacidad de adaptarse a nuevas reglas del negocio. El sistema se muestra inflexible ante nuevos cambios. Se ha previsto que el o los sistemas sean parametrizables y flexibles para adaptarse a los cambios. Se ha medido adecuadamente el impacto del proyecto en el negocio El negocio se ve seriamente cuestionado ante el fracaso del proyecto de sistemas. Se ha previsto el alcance e impacto del proyecto como así también las consecuencias del fracaso del mismo.
Revisiones de Auditoría Auditoría del Desarrollo, Compra o Implementación de SI Adquisición de Software: Actividades a Auditar Revisión del requerimiento Revisión de la especificación Revisión Proceso selección Revisión Proceso de customización Revisión de pruebas e instalación Revisión de la Entrega
Revisiones de Auditoría Auditoría del Desarrollo, Compra o Implementación de SI Ejemplo de Plan para Revisión de Requerimientos Objetivo de Control Riesgos Asociados Verificaciones a Realizar Se han establecido en forma clara todos los El sistema no contempla todas las necesidades de los sectores usuarios. Existe un documento adonde se establecen cuales son los usuarios que requerimientos de todos los Algunos aspectos funcionales no se representan a cada sector. usuarios. encuentran soportados. Existe un documento donde se establece Las necesidades de información de los niveles directivos no se encuentran como se realizará el contacto con los áreas usuarias. totalmente cubiertas. Se ha analizado el sistema actual y se El sistema no contempla aspectos de control interno. han identificado las fortalezas y debilidades del mismo. El sistema no contempla aspectos legales o normativos propios de la actividad de la organización. Existe un documento donde se establecen los requerimientos funcionales de control, legales y de información. Dicho documento fue aceptado por las áreas intervinientes.
Revisiones de Auditoría Auditoría del Desarrollo, Compra o Implementación de SI Ejemplo de Plan para Revisión de la Instalación Objetivo de Control Riesgos Asociados Verificaciones a Realizar La instalación del Hardaware necesario se cumplimentó en tiempo y forma. Existen demoras en la implementación debido a que el hardaware no está disponible en Se ha establecido un plan de instalación del hardware acorde con los tiempos establecidos para el La instalación de software de base se cumplimento en tiempo y forma Todos los parámetros de funcionamiento se encuentran adecuadamente definidos. tiempo y forma establecidos. Existe demoras en la instalación debido a que no se ha realizado la instalación del software de base o el mismo está mal instalado. Existen parámetros no definidos que provocan el mal funcionamiento del sistema. La definición de los parámetros no es la adecuada y provoca el malfuncionamiento del sistema. proyecto. Se ha establecido un plan de instalación del software de base y se han contemplado los requerimientos establecidos por el proveedor. Los parámetros han sido adecuadamente establecidos y los usuarios participan en su definición. Se ha realizado la capacitación suficiente para la adecuada definición de los parámetros.
Revisiones de Auditoría Auditoría del Procesamiento de la Información Aspecto Riesgo Problemas Segregación de Funciones Personas no autorizadas pueden tener acceso a funciones de procesamiento de transacciones, Inadecuada separación de funciones dentro del Dpto.de Sistemas permitiéndoles leer, ingresar, modificar o eliminar datos o ingresar transacciones no Inadecuada ubicación del área de Seguridad Informática autorizadas para su procesamiento. Inadecuado esquema de seguridad lógicaperfiles de usuarios Problemas con la puesta en funcionamiento de nuevas versiones Ingreso de Datos Los datos ingresados pueden ser imprecisos, incompletos o ingresados más de una vez Falta de controles de edición y validación (tipos de campos, campos faltantes, límites y validación) Inadecuada codificación Ítems rechazados o en suspenso Los datos rechazados y las partidas en suspenso pueden ser no identificadas, analizadas y corregidas Procesamiento Las transacciones ingresadas para su procesamiento pueden perderse o ser procesadas incorrectamente Falta de controles por lotes Inexistencia de aviso de rechazo Identificación inadecuada de datos rechazados Inexistencia de reportes de excepción Falta de seguimiento de datos rechazados Duplicación del procesamiento Falta de controles operativos Falta de informes de problemas de proceso Problemas de reenganche de procesos Problemas de administración de procesos (secuencia)
Revisiones de Auditoría Auditoría del Plan de Continuidad del Negocio Aspectos a Auditar Plan de Contingencia Integridad (completo) Divulgación Actualización Plan de Recuperación