AUDITORA INFORMATICA

Introduccin a la Auditora Informtica

Tipos de Computadoras
Microcomputadores Minicomputadores Puesto de Trabajo Mainframe Configuracin/Plataforma Redes LAN, WAN

Tipos de Computadoras
IBM S/390 AS/400 HP 9000

SUN
Compaq Prolaint Intel - NT Server PC

Configuracin

Configuracin del Equipamiento

Unidad aritmtica Unidad de control -lgica
Almacenamiento principal

Dispositivos de Entrada
Terminales Discos Cintas Discos Opticos Scanners Etc.

Dispositivos de Almacenamiento
Discos Cintas Discos Opticos CD-ROM Etc.

Dispositivos de Salida
Impresoras Discos Terminales Cintas Magnticas Otras Computadoras Etc.

Consola

Unidad Central de Procesamiento

Software
Sistema Operativo Seguridad
Software de administracin de red
Software de administracin de BD

Programas Utilitarios
administracin de: - archivos - programas - bibliotecas

Sueldos

Bs. de Uso

Compras

Contabilidad General

Qu es un Sistema de Informacin?

Es la recoleccin, procesamiento, transmisin y diseminacin organizada de informacin de acuerdo a procedmientos definidos No es solamente computadoras! Comprende: tecnologa, software, datos, instalaciones y personas

Sistemas de Informacin
Porqu son importantes?
Para satisfacer necesidades de negocio Necesidades de negocio son las actividades fundamentales que una organizacin debe llevar a cabo para alcanzar su objetivos institucionales y requerimientos operacionales

Tecnologa de la Informacin Qu es?

Un concepto gerencial que considera los datos, la informacin, los recursos de TI (tecnologa, programas, instalaciones, redes y personal) como recursos valiosos de la organizacin que debern manejarse de manera eficiente, econmica y eficaz Es preciso administrar los recursos de informacin por medio de procesos de TI a fin de garantizar la obtencin de la informacin que la organizacin necesita para lograr sus objetivos de negocio

Caractersticas de los SCI

Trabajan muy rpido Los sistemas son completamente indiferentes, Perfectamente obedientes, Extremadamente verstiles, No se cansan y nunca se aburren, Son econmicos, casi insignificantes Diseados, programados y operados por personas, quienes no poseen un conjunto similar de caractersticas, ni versatilidad.

El ambiente de Tecnologa de Informacin

Preocupaciones de Auditora asociados con la Tecnologa de Informacin Componentes y riesgos de una infraestructura moderna
ALTO RIESGO

Riesgos y preocupaciones

Rendicin de cuentas por la responsabilidad asignada Vulnerabilidad a las alteraciones Fcil duplicacin Fcil de acceder en forma remota Procesamiento invisible

Pistas de auditora Datos distribuidos Clientes que usan proveedorres externos de servicios de TI Registros computadorizados como evidencia

Rendicin de cuentas por la responsabilidad asignada

Anonimato Incrementa el riesgo de error o fraude Los controles incluyen:

Cdigos de identificacin nicos Registros de actividad del sistema (logs) Identificacin de usuarios y autenticacin de contraseas Firma digital y rtulos sobre transacciones

Vunerabilidad a las adulteraciones

Almacenamiento binario de datos Almacenamiento invisible a los ojos Adulteraciones de datos y programas Falsa autorizacin de modificaciones Los controles incluyen:

Controles de acceso fsico y lgico Autenticar transacciones con firmas o el uso de tcnicas de encripcin

Fcil duplicacin

Las transacciones pueden verse exactamente igual Las computadoras no tienen la sensacin de que algo est mal o que ellas estn procesando un duplicado Especialmente importante cuando se usa T.E.F. Los controles incluyen: Secuencia numrica de transacciones Comprobar totales de control Sub-programa de control de duplicados Controles manuales

Fcil de acceder en forma remota

Uso de redes LANs y WANs Conexin a Internet Aumento en computadores porttiles y mdems Incremento del riesgo de intrusos, virus y gusanos Necesita slidos controles de acceso lgico Uso de firewalls

Procesamiento invisible

Enfoque de caja negra No hay garanta de que las compuatoras estn haciendo lo que deben hacer Incorporacin de programas no autorizados Cambios no autorizados a programas Los controles para reducir el riesgo incluyen:

Controles y pruebas de sistemas en desarrollo Procedimientos de control de cambios

Existencia de pistas de auditora

Prdida de la pista en papel Aumento del uso de IDE (Intercambio Electrnico de Datos) e Internet Almacenamiento de datos Los controles para reducir el riesgo incluyen:

Polticas de retencin/archivo Pistas de auditora generadas internamente

Datos distribuidos
Los datos para auditoras financieras o de gestin pueden estar diseminados entre varios sitios del cliente Efecto sobre los recursos de auditora requeridos Diferentes ambientes de control

Dependencia de terceras partes

Aumento del uso de tercerizacin de instalaciones y administracin Derechos de acceso e inspeccin Garanta de cmo controlan las terceras partes Dependencia del trabajo de otros auditores Controles de las terceras partes (ANS)

Registros computadorizados como evidencia

Evidencia de auditora Evidencia legal (civil y criminal) Legislacin Precedentes legales Diferentes reglas en cada pas

Normas de Auditora Generalmente Aceptadas

IFAC INTOSAI ISACA

Secuencia lgica de una Auditora

Conocimiento del rea a auditar Establecer los objetivos de auditora Determinar la evidencia requerida Decidir que procedimientos de auditora utilizar Recopilar y analizar evidencia de auditora Desarrollar hallazgos de auditora y conlusiones Infome de Auditora

Naturaleza de la Auditora de SI

Elementos:
revisin objetiva afirmaciones verificables independencia profesional criterio estndar/mejores prcticas emisin de una opinin tcnica

Objetivo de la Auditora de S.I.

Evaluar:

la confiabilidad e integridad de la informacin. la seguridad y proteccin de los activos del S.I. de la organizacin.

el cumplimiento de polticas, planes, procedimientos, leyes, normas y contratos.

la eficacia del S.I. y la utilizacin econmica y eficiente de los recursos de T.I. asociados.

Auditora de Sistemas de Informacin

General Standards For Information Systems Auditing, June 1987. Information Systems Audit and Control Association

Definicin de ISACA:
Cualquier auditora que cubra:

Fuente:

la revisin y evaluacin de todos los aspectos (o alguna parte) de los sistemas automatizados de procesamiento de informacin, incluyendo los procesos manuales relacionados o no automatizados, y las interfases existentes entre ellos.

El rol del Auditor de S.I.

Es suministrar a la Direccin y a los responsables de procesos de negocio:

garantas que se logran los objetivos de control

identificacin de las deficiencias significativas

sustanciacin del riesgo asociado a las deficiencias asesoramiento sobre las acciones correctivas a adoptar

Misin de la Auditora de SI

El Auditor de SI debe contar con un claro mandato para el desempeo de su funcin La responsabilidad, autoridad y rendicin de cuentas de la funcin de auditora de sistemas de informacin deben ser documentadas en un mandato o en trminos de referencia Comunicacin con el auditado Proceso de garanta de calidad Los trminos de referencia de la auditora deben abordar claramente los aspectos de responsabilidad, autoridad y rendicin de cuentas

Auditora de Sistemas de Informacin

Normas Profesionales Lineamientos Procedimientos

Normas Profesionales
Normas

Definen los requisitos obligatorios para la realizacin de las tareas y presentacin de informes de auditora de sistemas de informacin

Normas Generales para la prctica profesional de la Auditora de SI

Mandato de Auditora Independencia Etica y Normas Profesionales Competencia Planificacin Realizacin de las tareas de Auditora Presentacin de Informes Actividades de Seguimiento

Normas Generales de Auditora de Sistemas de Informacin

Misin de la funcin de Auditora de SI

La responsabilidad, autoridad y rendicin de cuentas de la funcin de auditora de sistemas de informacin deben estar documentadas Debe ser independiente del auditado en actitud y apariencia La funcin de Auditora de SI debe ser independiente como para permitir la realizacin objetiva de las revisiones

Independencia

Etica y Debido Cuidado profesional

Debe observar el Cdigo de Etica Profesional de ISACA Debe proceder con el debido cuidado profesional y observar las normas aplicables de auditora profesional en todos los aspectos de su trabajo

Normas Generales de Auditora de Sistemas de Informacin

Competencia

Debe ser tcnicamente competente y contar con las habilidades y el conocimiento necesarios para llevar a cabo sus tareas Debe mantener su competencia tcnica por medio de un continuo y adecuado desarrollo profesional Debe planificar las tareas de auditora de tal manera que se aborden los objetivos pertinentes y se cumpla con las normas aplicables de auditora profesional Debe ser adecuadamente supervisado a fin de garantizar que se alcancen los objetivos de auditora y se cumpla con las normas aplicables de auditora profesional

Planificacin de la Auditora

Supervisin

Normas Generales de Auditora de Sistemas de Informacin

Evidencia

Debe obtener evidencia suficiente, confiable, permanente y til a fin de que se alcancen los objetivos de auditora con eficacia Los hallazgos y las conclusiones de la auditora deben ser sustentados mediante el anlisis y la interpretacin adecuados de dicha evidencia Debe proporcionar a los destinatarios correspondientes un informe sobre la realizacin de las tareas de auditora. En dicho informe deben constar el campo de aplicacin, los objetivos, el perodo de aplicacin y la naturaleza y alcance de las tareas de auditora realizadas.; asimismo debe exponer los hallazgos, las conclusiones y recomendaciones y cualquier reserva o restriccin que tenga el auditor con respecto a la auditora y cualquier limitacin a su difusin.

Presentacin de Informes

Normas Generales de Auditora de Sistemas de Informacin

Seguimiento

Debe solicitar y evaluar la informacin apropiada sobre anteriores hallazgos, conclusiones y recomendaciones para determinar si se han implementado las medidas adecuadas de manera oportuna

Normas Profesionales
Directivas

Brindan la orientacin correcta para la correcta aplicacin de las normas.

Si bien no est obligado a seguir sus

pautas, un auditor de sistemas de informacin debera estar preparado para justificar el no cumplimiento de los mismos

Lineamientos de Auditora de SI

Misin de la Auditora de SI Relacin dentro de la Organizacin Tercerizacin de Actividades de SI Efecto de la participacin en los procesos de desarrollo, adquisicin o implementacin en la independencia del auditor de SI Planificacin de la Auditora de SI Materialidad Requisito de evidencia de auditora Consideraciones de Auditora con Respecto a la Ocurrencia de Actos Irregulares

Lineamientos de Auditora de SI

Utilizacin del trabajo de otros auditores Gobierno Corporativo de los Sistemas de Informacin Efecto de los Controles Esenciales de SI Debido Cuidado Profesional Documentacin de Auditora Muestreo de Auditora Evaluacin de Riesgo Uso de tcnicas de auditora asistida por computadora Contenido y Estructura de Informes

Normas Profesionales
Procedimientos

Proporcionan informacin sobre la manera de cumplir con las normas al realizar tareas de auditora de sistemas de informacin, pero no establecen requisitos