AUDITORA

A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
AUDITORA
AUDITORA DE
SISTEMAS
INFORMTICOS
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1

Estndares
Proyectos de Auditora
Desafos de la Auditora de TI
Marco normativo
Casos prcticos
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo
SIGEN
- SDG AUI: Sub. Gral. de Auditora Interna.
- DI AUOC: Dir. Auditora de Operaciones Centrales.
- DE AUSI: Dep. Auditora de Sistemas Informticos.
- SDG SIT: Sub. Gral. de Sistemas y Telecomunicaciones.
SDG AUI
SDG SIT (TI)
Referencias:
DI AUOC
DE AUSI
SDG SIT- cuenta con sus
propias regulaciones
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Resolucin 48/05 (SIGEN)
Marco Normativo
Resolucin 152/02 (SIGEN)
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 152/02 (SIGEN)
Resolucin 152/02 (SIGEN):

Instaura un cuerpo de Normas de
Auditora Interna Gubernamental.

Adopta los conceptos de la Normas
Internacionales para el Ejercicio
Profesional de la Auditora Interna.

Incluye tareas especificas para las
Auditoras de Sistemas Informticos.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 152/02 (SIGEN)
Objetivos de Control Interno para TI

Ciclo de vida para el desarrollo y
mantenimiento de software.
Calidad y atributos de la informacin
electrnica.
Documentacin de Sistemas.
Controles incorporados a las
aplicaciones desarrolladas.
Planes de continuidad y contingencia de
negocios.
Plan de capacitacin continua de
usuarios.
Nivel de satisfaccin.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 48/05 (SIGEN)
Resolucin 48/05 (SIGEN):

NORMAS DE CONTROL INTERNO
PARA TECNOLOGA DE LA
INFORMACIN DEL SECTOR
PBLICO NACIONAL.

Vigente desde el ao 2005.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 48/05 (SIGEN)
Destinatarios:

Responsables de los organismos.

Responsables informticos.

Auditores.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 48/05 (SIGEN)
Objetivos de Control Interno: Se incluyen
pautas sobre aspectos especificos de TI

Organizacin Informtica.
Plan Estratgico de TI.
Arquitectura de la Informacin.
Polticas y Procedimientos.
Cumplimiento de Regulaciones Externas.
Administracin de Proyectos.
Desarrollo, Mantenimiento o Adquisicin
de Software de Aplicacin.
Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica.
Seguridad Informtica.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 48/05 (SIGEN)

AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo RG 48/05 (SIGEN)
Ventajas:

Establece un marco de control
homogeneo.

Resumen de Buenas Prcticas
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
ISO 17799
COBIT COBIT
ISO 17799
COBIT (Control
Objectives for
Information and
Related
Technology).
Se compone de 34
procesos de alto
nivel y 210
objetivos de
control.
Estndares
Cdigo de Prctica
para la
Administracin de
la Seguridad de la
Informacin.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
ADQUISICION E
IMPLANTACION
ENTREGA Y
SOPORTE


datos
sistemas de
aplicacin
tecnologa
instalaciones
gente
MONITOREO
efectividad
eficiencia
confidencialidad
integridad
disponibilidad
cumplimiento
confiabilidad
RECURSOS DE TI
OBJETIVOS DE NEGOCIO
GOBIERNO DE TI

Dominios de
Control
en Tecnologa de
Informacin
PLANEACIN Y
ORGANIZACIN
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders//COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
Estndares - COBIT
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Fuente: ww.isaca.org/Content/NavigationMenu/Members_and_Leaders
/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
Estndares - COBIT
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Estndares - Mapping
Res. 48/05 SGN CobiT
1 - Organizacin Informtica PO Planificacion y Organizacin
2 - Plan Estratgico de TI PO Planificacion y Organizacin
3 - Arquitectura de la Informacin PO2 Definicin de la estructura de la Informacin
4 - Polticas y Procedimientos
5 - Cumplimiento de Regulaciones Externas
6 - Administracin de Proyectos PO10 Administracin de proyectos.
AI2 Adquirir y mantener el software aplicativo
9 - Seguridad PO6.8 Poltica marco de seguridad y Ctrol Interno
AI.5 Adquirir recursos de TI
11 - Servicios de Internet / Extranet / Intranet AI3 - Adquirir y mantener infraestructura tecnolgica
12 Monitoreo de los Procesos M1 Monitoreo de los Procesos
13 Auditora Interna de Sistemas M4 Provisin de auditora independiente
P06 Comunicacin de los objetivos y directivas de la
gerencia
PO7 Garantia del cumplimiento de los requisitos
internos
7 - Desarrollo, Mantenimiento o Adquisicin de
Software de Aplicacin
8 - Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica
AI3 - Adquisicin y Mantenimiento de la
Infraestructura Tecnolgica
10 - Servicios de Procesamiento y/o soporte
Prestado por Terceros
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Estndares
Proceso de adopcin de COBIT:

2005 Creacin de grupo mixto Auditora
+ TI.
2006 Talleres conjuntos en ISACA
(Arg).
2007 Inclusin de Objetivos COBIT en
la programacin de auditoras.
2008 Adquisicin de producto GRC para
administracin de riesgos.
2009 Primeras auditoras evaluando
procesos y riesgos con perspectiva GRC.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Proyectos de Auditoras
En la actualidad en el Departamento DE
AUSI se practican:

Auditorias de gestin de TI (basadas en CobiT).
Auditorias de sistemas aplicativos y bases de
datos.
Auditorias de revisin limitada (objetivo puntual y
acotado en alcance).
Auditorias forenses (verificaciones de hechos
denunciados).
Auditorias de seguridad
Test de penetracin y anlisis de vulnerabilidades
Seguridad en accesos
Seguridad fsica
Cumplimiento de las Polticas de Seguridad de la Informacin de
AFIP
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Desafios de la Auditora de TI
Desafios de la Auditora de TI:

Ambiente auditado altamente dinmico
provocado por cambios tecnolgicos
continuos.
Necesidad de capacitacin en ltimas
tendencias tecnolgicas.
Alta interrelacin entre aplicaciones.
Compleja trazabilidad motivada por la
diversidad de plataformas.
Necesidad de contar con personal con
distintos perfiles y visiones profesionales.
Programas diferentes para igual objetivo de
control.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1

Marco normativo rea de TI
Casos Prcticos
CASO 1. Auditora de desarrollo y
mantenimiento de sistemas.
CASO 2. Auditoria de compras y
contrataciones.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo rea de TI
Disposicin N76/05 AFIP Manual de Polticas de Seguridad de la
Informacin (Parte pertinente con el objeto auditado).
Definir una apropiada segregacin de
funciones y separacin de ambientes, a fin
de no comprometer a la seguridad de la
informacin.
Introduce los conceptos de ambientes de
desarrollo, prueba y homologacin.
Regula las responsabilidades de las reas
definidoras, homologacin, control de
calidad y Seguridad.
Establece
mbito de aplicacin Todos los recursos informticos de la AFIP.
Destinatarios
Las reas responsables del desarrollo,
control de calidad, homologacin y puesta
en produccin de sistemas informticos
(SLDC).
El oficial de seguridad informtica
participa en la definicin de las pautas de
seguridad que debe cumplir los sistemas
desarrollados segn el entorno de
operativo.
Las reas responsables de la contratacin
de sistemas programas a medida.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Marco Normativo rea de TI
Instruccin General N 2/05 (SDG SIT) y Anexos Pautas para el desarrollo y
mantenimiento de sistemas informticos en la AFIP.
Definir pautas y documentacin
entregable para el proceso de
desarrollo y mantenimiento de
sistemas que se realice dentro del
mbito de la SDG SIT.
Objetivo
Establece
Las etapas del ciclo de vida de las
aplicaciones.
Roles y responsabilidades.
Contenidos minimos de la
documentacin y/o entregables de
cada etapa.
Vigente desde el 2005
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
Ejemplos de contenidos mnimos

En la Fase de Definicin se utiliza el documento REQ Requerimiento de Sistemas

Objetivo: Formalizar la necesidad de desarrollo o mantenimiento de sistema que realiza un rea,
indicando prioridades y la justificacin del pedido.
Responsables: Este documento debe ser aprobado por el Responsable del rea Definidora.
Contenido mnimo requerido:
Solicitud del requerimiento: Datos del rea Definidora, Descripcin, Alcance, Beneficios y
Restricciones, Impacto, Asignacin de prioridad, Fecha requerida de puesta en produccin.
Recepcin del requerimiento: Datos del rea Informtica, Objetivo (nuevo desarrollo de
sistemas y/o mantenimiento).

En la Fase de Implementacin se utiliza el DAP - Documento de Pase a Produccin

Objetivo: Especificar la puesta efectiva en produccin del sistema
Responsables: Este documento debe ser aprobado por el Responsable del rea de Control de
Calidad.
Contenido mnimo requerido:
Fecha de Puesta en Produccin.
Procedimientos para verificar el buen funcionamiento del software en los aspectos operativos
y de negocio (criterios de xito).
Mecanismos de recuperacin ante cadas en operacin.
Procedimientos de restauracin de versiones anteriores.
Marco Normativo rea de TI
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
Caso 1 - Auditora de Desarrollo y Mantenimiento de
Sistemas.
Evaluar los procedimientos o metodo-
logas utilizadas en las actividades de
desarrollo y mantenimiento de
sistemas.
Objeto de la auditora
Alcance
Relevar y analizar el cumplimiento de
la normativa aplicable y las actividades
de control relativos al proceso de
desarrollo y mantenimiento de
sistemas, con cada una de las reas
intervinientes en el proceso.
Marco Normativo
Disposicin N76/05 AFIP Manual de
Polticas de Seguridad de la Informacin
(Parte pertinente con el objeto auditado).

IG. N 2/05 (SDG SIT) y Anexos Pautas
para el desarrollo y mantenimiento de
sistemas informticos en la AFIP.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
CARACTERISTICAS DEL ENTORNO A AUDITAR:

No existen en la AFIP una unica rea de desarrollo, sino
seis (6). Una por cada unidad de negocio y todas
dependen de la SDG SIT.
Diversas reas definidoras y/o solicitantes de
requerimientos.
Diversidad de lenguajes y entornos de produccin.
La dotacin es de ms 600 personas
Aplicativos cedidos a otros Organismos.





SDG SIT
Direccin de Informtica Tributara

Direccin de Informtica de Fiscalizacin
Dep. Informtica de Administracin
Direccin de Informtica Aduanera
Dir. De Inf. Rec. de la Seguridad Social

Dep. Informtica Jurdica y Colaborativa
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
PLANIFICACIN DE LA AUDITORA:

El programa de auditora se bas en el estndar COBIT y
se adapt a las particularidades de la AFIP.

Constitucin de varios equipos de trabajo.

Se ejecutaron en dos (2) auditoras
La primer auditora abarco 3 reas de desarrollo y la
segunda incluyo a las reas de desarrollo restantes, ms
las reas de soporte y definidoras.






AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
EJECUCIN DEL CASO 1:

Elaboracin de cuestionarios.
Entrevistas.
Visualizacin.
Seleccin de muestra de los sistemas crticos.
Anlisis de log / Revisin de accesos, permiso y
usuarios.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
Cmo se evalu la Disp 76/05 AFIP?:
Se analiz la segregacin de funciones desde distintos
aspectos:

a) Estructura Orgnica.
- Se encuentran definidas las reas de desarrollo, de calidad,
y de homologacin en la estructura del Organismo?
- Funcionan independiente y responden a distintas jefaturas?

b) Ambientes.
- Los tareas desarrollo, control de calidad y homologacin se
realizan en distintos equipos y/o los ambientes son
independientes?
- Los usuarios de cada entorno responden al rol y la funcin
del agente.?

AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
Cmo se evalu la IG. 02/05 SDG SIT?:

Se analiz el cumplimiento de la normativa mediante la
solicitud y evaluacin de la calidad de la documentacin
de los sistemas crticos seleccionados, dando especial
importancia a los siguientes aspectos:

a) Participacin del rea definidora en los proyectos de
nuevos desarrollos.

b) Los controles en las etapas del ciclo de vida.

c) La conformidad de las reas de calidad.

AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 1
PRESENTACIN DE RESULTADOS:
Trabajo de Campo
Entrevista de
Cierre
- Aprobacin
del auditor -
Observacin
Informe Preliminar
-IP-
Informe de Auditora
Interna
-IAI-
PAPEL DE TRABAJO
(MT)
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
AUDITORA CONJUNTA


Las AUDITORAS CONJUNTAS son
actividades que tienen por objetivo
dar una opinin integral por parte
de la UAI.


Definicin
Caractersticas
Informe Consolidado.
Los destinarios son las reas
auditadas.
Se consolida con los informes
tcnicos o complementarias de otras
reas de la UAI.

Informe Tcnico Complementario.
Los destinatarios son las reas de la
UAI que consolidan.
Emitir una opinin especializada (Ej.
Opinin tcnica informtica o legal
sobre un proceso contable).
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 2
Caso 2 - Auditora de gestin de compras y contraciones
de tecnologa.
Objetivo General
Evaluar la gestin de la SDG SIT, con
relacin al proceso de compras y
contrataciones.

Objetivo DE AUGR
Evaluar el cumplimiento del Manual de
Contrataciones y la normativa vigente.

Objetivo DE AUSI
Evaluar la razonabilidad tcnica y
econmica de las decisiones de compras
efectuadas por el rea de TI.
Objeto de la
auditora Conjunta
Alcance Perodo diciembre de 2007 a abril de 2008
Marco Normativo
Disposicin N65/05 (SDG ADF) - Rgimen
Genaral para Contrataciones de Bienes,
Servicios y Obras Pblicas. Manual de
Contrataciones.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 2
Parmetros de evaluacin DE AUSI:

Anlisis del requerimiento de adquisicin (Dependencia
tecnologca, compromiso econmico, riesgos).

Evaluacin del detalle documental que avala la necesidad
de adquisicin.

La adquisicin se alinea con los objetivos estratgicos de
la AFIP.

Deteccin de situaciones fuera de trminos -
Incumplimiento Normativo-.

Intervencin de la ONTI -Oficina Nacional de Tecnologa
de Informacin- sobre el cumplimiento de ETAP
(Estandares Tecnologicos para la Administracin Pblica)
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 2

Tareas de Colaboracin:

Extraccin de informacin de las base de datos de los
sistemas informticos usados en la gestin de compras.

Seleccin de muestra.

Anlisis estadstico de la muestra.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
CASO 2

Resultado:

A una auditora de cumplimiento normativo, se la
enriqueci con una perspectiva tcnica y econmica de
las decisiones de compras efectuadas por el rea de TI.

A partir de la auditora, se elev el estandard de
requerimiento documental necesario para justificar una
compra/contratacin de tecnologa.
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1
AUDITORA
A
u
d
i
t
o
r

a

d
e

S
i
s
t
e
m
a
s


I
n
f
o
r
m

t
i
c
o
s

1