Auditoria de Sistemas

PROFESOR ALUMNO CARRERA CICLO : : : : CESAR FARFAN MASIAS. DANIEL PEREZ PEREYRA. COMPUTACIN E INFORMATICA. I

TUMBES-PER

Agenda

Introduccin Auditoria Auditoria de Sistemas Objetivos Generales Normas de Auditoria Proceso Alcance Pruebas Asistidas por Computador El Iceberg Los cambios ISACA Certificacin CISA Conclusiones

Auditoria

Inicialmente, la auditoria se limit a las verificaciones de los registros contables, dedicndose a observar si los mismos eran exactos. Por lo tanto esta era la forma primaria: Confrontar lo escrito con las pruebas de lo acontecido y las respectivas referencias de los registros. Con el tiempo, el campo de accin de la auditoria ha continuado extendindose; aun hay quienes creen y practican auditorias con el nico objetivo de observar la veracidad y exactitud de los registros. Tomando en cuenta los criterios anteriores podemos decir que la auditoria es la actividad por la cual se verifica la correccin contable de las cifras de los estados financieros; Es la revisin misma de los registros y fuentes de contabilidad para determinar la racionabilidad de las cifras que muestran los estados financieros emanados de ellos.

Auditoria de Sistemas
Revisin y evaluacin de los Recursos Informticos y de su ambiente. La auditoria de los sistemas de informacin se define como cualquier auditoria que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Recursos:

Software

Hardware Comunicaciones Personal (Organizacin) Polticas y Procedimientos Controles y Seguridad

Objetivos Generales

Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados. Incrementar la satisfaccin de los usuarios de los sistemas computarizados.

Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles.
Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones. Apoyo de funcin informtica a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico.

Minimizar existencias de riesgos en el uso de Tecnologa de informacin.

Decisiones de inversin y gastos innecesarios. Capacitacin y educacin sobre controles en los Sistemas de Informacin.

Normas de Auditoria
Los objetivos de estas normas son los de informar a los auditores del nivel mnimo de rendimiento aceptable para satisfacer las responsabilidades profesionales establecidas en el Cdigo de tica Profesional y de informar a la gerencia y a otras partes interesadas de las expectativas de la profesin con respecto al trabajo de aquellos que la ejercen.

S1 Estatuto S2 Independencia S3 tica y normas profesionales S4 Competencia profesional S5 Planeacin S6 Realizacin de labores de auditora S7 Reporte S8 Actividades de seguimiento S9 Irregularidades y acciones ilegales S10 Gobernabilidad de TI S11 Uso de la evaluacin de riesgos en la planeacin de auditora S12 Materialidad de la auditora S13 Uso del trabajo de otros expertos S14 Evidencia de auditora

www.isaca.org

Proceso de auditoria de Sistemas

Un proceso de auditoria basado en riesgo normalmente incluira las siguientes tareas: Recopilar informacin y planificar.

Realizando un conocimiento del negocio. Revisando de auditorias anteriores. Informacin financiera reciente. Leyes y Normativa aplicable. Anlisis de los riesgos Inherentes. Ambiente de control. Procedimientos de control. Anlisis de riesgo de deteccin. Determinacin del control de riesgo. Comprobar las polticas y procedimientos. Comprobar la segregacin de tareas.

Entender el Ambiente de Control Interno

Efectuar pruebas de cumplimiento.

Proceso de auditoria de Sistemas

Efectuar pruebas sustantivas.

Procedimientos analticos. Pruebas detalladas de balances de cuenta. Otros procedimientos sustantivos

Concluir la Auditora Crear recomendaciones Redactar el informe de auditora

Alcance
El auditor de sistemas podr enfocar su revisin en distintos aspectos, algunos de los ms crticos se describen a continuacin

Administracin del departamento de sistemas. Se debe comprobar la suficiencia de recursos humanos y la segregacin de funciones. Control de actividades del rea de sistemas. Verificar la existencia y seguimiento de un plan estratgico de sistemas que este alineado con el plan estratgico de la organizacin en su conjunto. Dicho plan debera ser reflejado en planes anuales del rea de sistemas que incluiran detalle de las tareas a realizar por el rea en funcin a determinados plazos y recursos. Control de tareas de desarrollo. Revisin de la existencia, calidad y cumplimiento de normas, polticas y procedimientos de desarrollo de software que permitan llevar a cabo tareas homogneas entre diferentes proyectos.

Alcance

Control sobre las tareas de mantenimiento y los cambios a programas. Muchas veces las organizaciones se ven afectadas por cambios propiciados por entes regulatorios, de fiscalizacin, por el ingreso de nuevos servicios y/o productos al mercado, los cuales generan la necesidad de adecuar el sistema a las nuevas necesidades. Esto implica la realizacin de cambios en los programas, los mismos que deben ser controlados, para lo cual se efecta el diseo, la programacin, las pruebas y la puesta en produccin, estos aspectos deben ser controlados de manera adecuada.

Alcance

Seguridad lgica. La revisin de la seguridad lgica permitir emitir una conclusin sobre:

La administracin de perfiles de usuario. La administracin de passwords. Control de privilegios especiales La generacin de BackUps (Respaldos de datos). La generacin de Logs. (registro de actividades en el sistema) Los virus y otros malwares. La existencia y caractersticas de un plan de contingencia de la organizacin.

Seguridad fsica. Verificar la existencia y eficiencia de elementos que permitan asegurar las condiciones mnimas para un buen funcionamiento de los equipos principales de la organizacin, inclusive en caso de emergencias, esto puede incluir UPS, generados de energa, aire acondicionado, piso falso, detector de humo y extintores. El acceso restringido a hardware y equipo de apoyo crtico.

Alcance

Estructura de aplicaciones. La identificacin de sistemas crticos de la organizacin, el grado de integracin entre los diferentes sistemas, procesos en lote, oportunidades de automatizacin para mejorar eficiencia, etc. Estructura de hardware. El auditor puede considerar el tipo y cantidad de servidores y equipos personales existentes en la organizacin, el sistema operativo utilizado y las caractersticas de los mantenimientos realizados a los equipos. Estructura de comunicaciones. En caso de que la organizacin cuente con sucursales o que realice operaciones a travs de Internet, entre los aspectos a ser considerados se destacan, el tipo de comunicacin, la velocidad de transferencia, la topologa de la red, la cantidad de usuarios y los servicios prestados / recibidos a travs de la red. Administracin de problemas. En este caso se evaluara la existencia de procedimientos o normas aplicables para la realizacin de cambios de emergencia, la existencia y evaluacin del historial de problemas presentados, el uso de una base de conocimiento, etc.

Alcance

Control de proyectos El auditor debe verificar que para los proyectos de TI se lleve a cabo una adecuada tcnica o metodologa de administracin de proyectos a fin de que se produzcan los resultados deseados en tiempo, forma y presupuesto. Continuidad de operaciones El auditor debe verificar el grado de preparacin del rea de tecnologa ante situaciones contingentes o desastres, a fin de mantener la continuidad de las operaciones de forma aceptable y recuperar la normalidad en tiempos de respuesta adecuados.

Alcance

Pruebas de Auditoria Asistidas por Computadora

Existen empresas que son altamente automatizadas en sus procesos principales y tienen un volumen alto de transacciones. Cuando se requiere efectuar pruebas de detalle en este tipo de organizaciones, el auditor debe recurrir a pruebas de auditoria asistidas por computadoras. (CAATs por sus siglas en Ingles) Para efectuar este tipo de pruebas el auditor requerir de un software especialmente diseado para tal efecto, el cual le permita recuperar la(s) base(s) de datos de la organizacin y efectuar el procesamiento requerido en funcin de la prueba definida. Ejemplos: Verificacin de totalidad por lotes.

Verificacin de secuencia y cortes. www.acl.com

Match o comparaciones. Estratificaciones. Ley de Benford

www.caseware.com

CAATs

Algunas Ventajas: Amplio acceso a la informacin. Independencia de Informacin, permitiendo al auditor tener mayor confianza sobre la informacin auditada. Llevar a cabo anlisis especficos de los datos como el clculo de estadsticas diversas, deteccin de omisiones, deteccin de duplicados, sumas totales, etc. Importar datos desde un amplio rango de tipos de archivo Capacidad de anlisis a grandes volmenes de transacciones Desarrollo de anlisis y reportes personalizados. En General, mejoras en la eficiencia, calidad, sostenibilidad y escalabilidad de los procesos de revisin.

La Base del Iceberg

Preocuparse por auditar TI?

Auditor
Estados Financieros Balanced Scorecard Control Interno Regulaciones

Auditor de SI
Firewalls Seguridad Virus

Hackers VPNs

Controles de TI
Firma digital

Administracin de riesgos Gobierno Corporativo

Riesgos de TI
Gobierno de TI

Qu ha cambiado?
No solo la tecnologa, tambin los procesos de revisin a la misma.

Antes

Ahora

Qu ha cambiado?
Hoy en da ISACA cambia el uso del termino Auditoria por el de Aseguramiento.

Antes

Ahora

De la Auditora al Aseguramiento
Fernando Ferrer Olivares, CISA, CISM (CACS 2007)

PHVA

QA SQA Auditor Revisor CSA Acreditador Certificador Consultor

!Lo Nuevo

Nuevo Marco de Aseguramiento

El que dirige la orquesta ! Reemplaza procesos anteriores de Monitoreo Planeacin, Ejecucin y Reporte Nueva forma de combinar Objetivos de Control

Estamos siguiendo los pasos? Si no es as, Cmo vamos a lograrlo?

Hay mas.

ISACA
ISACA comenz en 1967, cuando un pequeo grupo de personas con trabajos similares, controles de auditora en los sistemas computarizados que se estaban haciendo cada vez ms crticos para las operaciones de sus organizaciones respectivas, se sentaron a discutir la necesidad de tener una fuente centralizada de informacin y gua en dicho campo. Hoy, los miembros de ISACA ms de 65.000 en todo el mundo se caracterizan por su diversidad, tiene captulos en ms de 60 pases en todo el mundo, y dichos captulos brindan a los miembros educacin, recursos compartidos, promocin, contactos profesionales y una amplia gama de beneficios adicionales a nivel local. Se ha convertido en una organizacin global que establece las pautas para los profesionales de gobernacin, control, seguridad y auditora de informacin. Sus normas de auditora y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafan a sus constituyentes.

Beneficios de ISACA
ISACA ofrece una amplia gama de beneficios para aumentar sus conocimientos y contactos, incluyendo:

Precios reducidos para inscripcin y materiales de estudio para los exmenes CISA y CISM Suscripcin al Information Systems Control Journal, una revista bimensual que contiene artculos sobre prcticas y tecnologas actuales y futuras Descuentos en conferencias tcnicas y gerenciales de avanzada y talleres para desarrollo profesional y para obtener crditos de EPC para CISA y CISM Descuentos en las publicaciones de investigacin de ISACA y del IT Governance Institute y cmodo acceso a publicaciones de la Librera de ISACA comentadas por colegas Acceso pleno al Career Centre de ISACA, con oportunidades laborales en todo el mundo y publicacin confidencial del currculum vitae

Beneficios de ISACA

Copia gratis de COBIT 4.1, descuento en la compra de COBIT y acceso bsico a COBIT Online. Acceso irrestricto a K-NET, una base de datos global de conocimientos de materiales de referencia con base en el Internet. Suscripcin a Global Communique, una publicacin mensual de ISACA para sus miembros. Oportunidades de liderazgo y establecimiento de contactos por medio de los captulos locales. Acceso a una variedad de publicaciones y documentos para bajar que abarcan una variedad de tpicos de inters para los profesionales de auditora, control, seguridad y gobierno de TI. Se ofrecen simposios electrnicos gratuitos mes a mes a los miembros de ISACA en los cuales se tratan tpicos excelentes e Interesantes. Los asistentes pueden obtener hasta tres crditos de EPC por asistir a cada simposio electrnico.

Certificacin CISA
Auditor de Sistemas de Informacin Certificado (CISA por sus siglas en Ingles), es la principal acreditacin que brinda la ISACA, que busca es contar con profesionales que adquieran reconocimiento mundial como evaluadores de:

Estrategias, polticas, estndares y procedimientos de administracin de SI. La efectividad y eficiencia sobre la implementacin y seguimiento de la infraestructura tcnica y operacional en una organizacin. Seguridad lgica, ambiental y en la infraestructura de TI. Continuidad de las operaciones del negocio y el procesamiento de SI. Desarrollo, adquisicin, implementacin y mantenimiento de las aplicaciones del negocio. Sistemas y procesos el negocio. Desde 1978, el examen CISA ha medido la excelencia en el rea de la Auditora de sistemas de informacin, control y seguridad. CISA ha crecido para ser globalmente reconocido y adoptado a nivel mundial como un smbolo de logro.

Requisitos para ser CISA

1.

2.

3.

4. 5.

Obtener una calificacin de aprobacin en el examen CISA. La calificacin de aprobacin en el examen CISA, sin completar la experiencia laboral detallada a continuacin, es vlida slo durante cinco aos. Si el candidato no satisface los requisitos para la certificacin CISA dentro del perodo de cinco aos, la calificacin de aprobacin es anulada. Presenten evidencia verificada de cinco aos de experiencia laboral en los campos de auditora, control o seguridad de sistemas de informacin. La experiencia laboral debe haber sido obtenida dentro del perodo de diez aos que precede a la fecha de solicitud de certificacin o dentro de los cinco aos posteriores a la fecha de haber aprobado el examen inicialmente. Prometer respetar el Cdigo de tica Profesional de ISACA (www.isaca.org/ethics), el cual se incluye en la Gua del Candidato para el Examen CISA que se suministra a cada candidato inscrito para el examen. Prometer respetar los Estndares de Auditora de SI adoptados por ISACA, los cuales pueden verse en www.isaca.org/standards. Prometer respetar la poltica de educacin profesional continua del CISA, la cual puede verse en www.isaca.org/cisacpepolicy.

El examen CISA
Se ofrece el examen CISA en junio y diciembre de cada ao, y consiste de 200 preguntas de seleccin mltiple que cubren las reas de prctica laboral del CISA. El examen abarca seis reas de auditora, control, aseguramiento o seguridad de sistemas de informacin creadas a partir del anlisis de prcticas laborales del CISA. Las preguntas del examen CISA se desarrollan y se mantienen cuidadosamente para asegurar que comprueban fielmente la competencia de un individuo en las prcticas de auditora, control, aseguramiento o seguridad de SI.

Mantenimiento de la certificacin

Para mantener la certificacin CISA, los individuos deben cumplir con una poltica de Educacin Profesional Continua (EPC) y observar el Cdigo de tica Profesional de ISACA. Ambos programas ayudan a asegurar que los auditores CISA se mantengan al da con los avances tcnicos e industriales y demostrar altos principios profesionales.

La poltica de EPC exige que el individuo obtenga y presente un mnimo de 20 horas de EPC y pague una cuota de mantenimiento cada ao.
Adems, se deber obtener y presentar un mnimo de 120 horas de EPC durante un perodo fijo de certificacin de tres aos. Para satisfacer ms fcilmente el requisito de 120 horas del ciclo de tres aos se sugiere que las personas obtengan un promedio de 40 horas de EPC cada ao.

El no cumplir con esta poltica traer como consecuencia la revocacin de la certificacin del individuo.

Conclusiones

Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente complejos, debe someterse a un control estricto de evaluacin. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informtico propenso a errores, lento, frgil e inestable; la empresa nunca saldr a adelante.

La auditoria de sistemas es la indicada para evaluar de manera profunda, una determinada organizacin a travs de su sistema de informacin automatizado, es importante y relevante.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrnico. Tambin debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la informacin necesaria para auditar.

Conclusiones

La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas. El auditor de sistemas tambin tiene que correr para estar bien capacitado, necesita recursos de conocimiento al alcance de su mano, el xito logrado es mejor aun si es acreditado por un tercero reconocido.

MUCHAS