Professional Documents
Culture Documents
Auditoria Informática
“Control Interno” es lo
que el “Informe COSO”
define como tal
Cumplimiento de leyes y
normas vigentes
Los principales factores para que se produzca ese "Ambiente de Control", son entre
otros, la filosofía y estilo de dirección de los responsables de los organismos de
control; la estructura, la definición de la estructura organizacional y los reglamentos
y manuales de procedimiento; y la integridad, los valores éticos, la competencia
profesional y el compromiso de todos los componentes de la organización.
2. Identificar Riesgos
Monitorear
3. Análisis de Riesgos y Revisar
Discusión en el Marco
de un Caso Práctico
Tamaño (+)
Innovación (+)
Evaluar Tomar
Riesgos Decisiones
Implementar
Controles
Supervisar
Identificación
Evaluación
Clasificación
BD Riesgos
Priorización
Planeamiento,
Seguimiento
y control
Códigos
PROBABILIDAD
de Riesgo
Frecuente Habitual Ocasional Raro No habitual
A B C D E
I IB
Extremadamente
Catastrófico Extremely
S Alto
High
E
V II HighAlto
Critico IID
E
R
I Moderado III Medio
Medium Bajo
Low
IIIA
D
A
D Leve IV IVB IV E 10
UNSL - Dr. Ing. Roberto Uzal -
Mg. Germán Montejano
Una variante de la Matriz
Discusión en el Marco
del Caso Práctico
Discusión en el Marco
del Caso Práctico UNSL - Dr. Ing. Roberto Uzal - 16
Mg. Germán Montejano
Análisis Cualitativo de Riesgos
Salidas
RECOLECCIÓN •Entrevistas
DE DATOS •Distribuciones de
Y TÉCNICAS DE probabilidades
REPRESENTACIÓN •Juicio experto
H&T
•Análisis sensitivo
ANÁLISIS •Análisis de valor
CUANTITATIVOS monetario previsto
DE RIESGOS •Análisis de árbol de
Y TÉCNICAS DE decisión
MODELADO •Modelado y simulación
Discusión en el Marco
del Caso Práctico
Plan de gestión
de riesgos Registro de riesgos
Información del
Plan administrador Requerimientos de Informes de
Registro del riesgo funcionamiento
del riesgo cambio aprobados funcionamiento
del trabajo
•Selección de recurso
Revisión del riesgo •Cantidad
•Métodos de visualización de
Herramientas Análisis de tendencias y desviaciones.
y Técnicas tendencias y variaciones •Impactos en el proyecto.
Usar Juicio
Antieconómico
Costo
El control independiente,
retroalimentado y generalmente
selectivo de un sistema; en
particular, del sistema
empresa.
• Objetivos
– Examinar la metodología de construcción que se esté utilizando. Calidad de
la documentación. Estabilidad del proceso de desarrollo. Ajuste a estándares
del proceso de desarrollo.
– Revisar la definición de la funcionalidad general y de cada uno de los
módulos de cada sistema en construcción
– Examinar el enfoque e instrumentación del aseguramiento de la calidad y
del control de versiones (Configuraciones)
– Examinar el inventario de problemas a resolver por el sistema,
dictaminando sobre la prioridad y razonabilidad de éstos (SQA).
– Verificar los medios asignados en función del esfuerzo de desarrollo
estimado.
UNSL - Dr. Ing. Roberto Uzal - 35
Mg. Germán Montejano
Auditoría Informática:
Área desarrollo (II)
• Objetivos
– Examinar el programa de desarrollo
• Tareas incluidas. Tareas críticas. Camino crítico.
• Previsión de dificultades (administración del riesgo)
• Descomposición de problemas (desagregación)
• Directivas particulares para la administración del proyecto
– Garantizar la fiabilidad y precisión de los costos
estimados
– Verificar los estudios de necesidades de software y
hardware asociados con el proyecto
– Evaluar módulos a ser reusados
– Evaluar los métodos utilizados para la captura de datos
UNSL - Dr. Ing. Roberto Uzal - 36
Mg. Germán Montejano
Auditoría Informática:
Área desarrollo (III)
• Objetivos
– Colaborar en la fase de puesta en marcha del
sistema. Evaluar los casos de prueba.
– Comprobar los aspectos de seguridad y
confidencialidad del sistema en cuestión
– Evaluar el rendimiento de un sistema ya en marcha
– Proponer, si es necesario, las modificaciones
oportunas para la optimización del sistema en
funcionamiento.
UNSL - Dr. Ing. Roberto Uzal - 37
Mg. Germán Montejano
Auditoría Informática:
Área explotación
• Objetivos
– Verificara existencia de normas generales escritas para
el personal de explotación en lo que se refiere a sus
funciones
– Verificar la existencia de estándares de la
documentación de explotación
– Comprobar que en ningún caso los operadores acceden
a documentación de programas que no sea la exclusiva
para su operación
– Verificar que los programadores no tienen acceso a la
versión en operación (en producción) de los
programas.
UNSL - Dr. Ing. Roberto Uzal - 38
Mg. Germán Montejano
Auditoría Informática:
Área explotación (II)
• Objetivos
– Examinar que las versiones de programas y archivos
activos en explotación son efectivamente las versiones
que deben estar vigentes (examinar la mecánica de
administración de versiones)
– Evaluar la forma en la que se utilizan facilidades del
tipo “transaction log” y “audit trail”
– Verificar los procedimientos según los cuales se
incorporan nuevos programas a las bibliotecas en
producción
UNSL - Dr. Ing. Roberto Uzal - 39
Mg. Germán Montejano
Auditoría Informática:
Área explotación (III)
• Objetivos
– Examinar la adecuación de los locales en que se almacenan
cintas y discos, así como la perfecta y visible identificación de
estos medios. Verificar los contenidos de los “back up”
– Investigar los estándares en tiempo d ejecución de la instalación,
comparando éstos con las observaciones reales efectuadas.
– Verificar los planes de mantenimiento preventivo de la
instalación
– Comprobar que existen normas escritas que regulan
perfectamente todo lo relativo a copias de seguridad: manejo,
autorización de obtención, destrucción, etc.
– Verificar la eficacia del Plan de Contingencias
• Objetivos
– Inspeccionar el cumplimiento de sus funciones, además
de la idoneidad de éstas, de la persona encargada de
mantener la biblioteca de medios magnéticos
– Comprobar que existen métodos adecuados que
permitan verificar un seguimiento de los trabajos en
servidores y de las demandas de los clientes
– Examinar e incluso participar en la elaboración de los
presupuestos del centro de explotación si éstos son
independientes del resto del servicio informático
Control Ob
Objectives for Information
and Related Technology
Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas
• COBIT complementa a los modelos más generales como COSO
(EEUU), CoCo (Canadá) o Cadbury (Inglaterra).
Control Ob
Objectives for Information
and Related Technology
Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas
?
UNSL - Dr. Ing. Roberto Uzal - 51
Mg. Germán Montejano
Usuarios
• La Gerencia
• Los Usuarios Finales
• Los Auditores
• Los Responsables de TI
• Organismos estatales de control
• Orientado al negocio
• Alineado con estándares y regulaciones “de
facto”
• Basado en una revisión crítica y analítica de las
tareas y actividades en TI
• Alineado con estándares de control y auditoría
(COSO, IFAC, IIA, ISACA, AICPA)
REQUERIMIENTOS
DE INFORMACIÓN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
Requerimientos Confidencialidad.
de Seguridad Integridad.
Disponibilidad.
Req. Información
Efectividad, Eficiencia,
Monitoreo Confidencialidad, Integridad, Planeación y
Disponibilidad,
Cumplimiento, Confiabilidad Organización