Professional Documents
Culture Documents
de automatizacin*
*connectedthinking
PwC
Agenda
Ambiente tecnolgico
Mapeo de procesos
Identificacin de riesgos
Identificacin de controles
Pruebas de controles
Ambiente tecnolgico
Revisiones del hardware
Revisar procedimientos de administracin de la capacidad
del hardware
Revisar el plan de adquisicin del hardware
Revisar criterios de adquisicin de PCs
Revisar controles de administracin de cambios
- Planificacin
- Pruebas
- Documentacin
- Informados (tcnicos y usuarios)
- No interfieren con la operativa habitual
PricewaterhouseCoopers
Setiembre 2006
Slide 3
Ambiente tecnolgico
Revisiones del software de base
Entrevistar al personal del servicio tcnico
Auditar la adquisicin y mantenimiento de software
Revisar el procedimiento de seleccin
Revisar el estudio de factibilidades
Revisar el anlisis costo/beneficio
Revisar controles de instalacin
Revisar actividades de mantenimiento
Revisar controles de cambios
Revisar la documentacin
Revisar procedimientos de implementacin
Revisar aspectos de seguridad
PricewaterhouseCoopers
Setiembre 2006
Slide 4
Ambiente tecnolgico
Revisiones a la LAN
Topologa de la LAN y diseo
Identificar dispositivos
Identificar Administrador
Comprender las funciones del Administrador
Grupo de trabajo de la LAN
Medio y tcnicas de transmisin
Controles de seguridad fsica asociados a las LANs
Controles de seguridad ambiental asociados a las LANs
Controles de seguridad lgica (Polticas)
PricewaterhouseCoopers
Setiembre 2006
Slide 5
Ambiente tecnolgico
Controles de operacin de la red
Planes de implantacin, conversin y prueba
Planes de controles eficaces sobre hardware y software
Encripcin
Polticas de seguridad
PricewaterhouseCoopers
Setiembre 2006
Slide 6
Ambiente tecnolgico
Revisin de las operaciones de IT
Observaciones al personal
Observacin y prueba de funciones de operacin
Operaciones del CPD
- Nivel de acceso del operador
- Administracin de bibliotecas
- Segregacin de funciones
- Planificacin del trabajo
- Procedimientos de cambios de emergencia
Administracin de archivos
Control de ingreso de datos
PricewaterhouseCoopers
Setiembre 2006
Slide 7
Ambiente tecnolgico
Auditando aspectos particulares:
Situaciones de contingencia
Conexiones con Internet
- Servicios
- Infraestructura
- Procedimientos de control de cambios
- Seguridad lgica
Software de deteccin de intrusos
Software de deteccin de virus
Firewall
Encripcin
PricewaterhouseCoopers
Setiembre 2006
Slide 8
Mapeo de procesos
PricewaterhouseCoopers
Setiembre 2006
Slide 9
Mapeo de procesos
Proceso
Control
Documentos
Base de datos/
archivos
Display
(en pantalla)
Conector
Decisin
PricewaterhouseCoopers
Setiembre 2006
Slide 10
Mapeo de procesos
PricewaterhouseCoopers
Setiembre 2006
Slide 11
Identificacin de riesgos
Proceso
Identificar potenciales amenazas y determinar su impacto en
relacin a las vulnerabilidades.
Identificar y evaluar los controles existentes que prevengan,
detecten la ocurrencia y/o mitiguen el impacto.
Clasificar los riesgos identificados considerndolos junto a los
controles que los mitigan.
PricewaterhouseCoopers
Setiembre 2006
Slide 12
Identificacin de Controles
Definicin de Control
PricewaterhouseCoopers
Setiembre 2006
Slide 13
Identificacin de Controles
Clasificacin
Controles preventivos
- Identifican potenciales problemas antes de que ocurran
- Monitorean operaciones y E/S
- Previenen errores, omisiones o actos maliciosos
Controles Detectivos
- Identifican y reportan la ocurrencia de un error, omisin o
acto malicioso ocurrido
Controles Correctivos
- Minimizan el impacto de una amenaza
- Solucionan errores detectados por controles detectivos
- Identifican la causa de los problemas y corrigen errores
producidos
- Modifican los procedimientos para minimizar futuras
ocurrencias del problema
PricewaterhouseCoopers
Setiembre 2006
Slide 14
Identificacin de Controles
Objetivo de Control Interno
Contables
- Orientados a la funcin contable
- Persiguen la proteccin de activos y correctitud de los
registros contables
Operativos
- Orientados a las operaciones diarias de la organizacin
- Persiguen asegurar que las funciones y actividades estn
alineadas con los objetivos de la organizacin
Administrativos
- Orientados a las funciones administrativas
- Persiguen la eficiencia de las mismas en adherencia a las
normas de la gerencia
PricewaterhouseCoopers
Setiembre 2006
Slide 15
Identificacin de Controles
Objetivos de Control de IT
Conjunto de controles mnimos para asegurar la efectividad,
eficiencia y economa en la identificacin y utilizacin de los
recursos de IT
Ejemplos:
La informacin se encuentra resguardada
Cada transaccin se autoriza e ingresa una sola vez
Se informan las transacciones duplicadas o rechazadas
Se hacen respaldos
Cambios de software debidamente probados y aprobados
PricewaterhouseCoopers
Setiembre 2006
Slide 16
CobiT
Planificacin y Organizacin
PO1
PO2
PO3
PO4
Monitoreo
M1 Monitorear los procesos
M2 Evaluar la adecuacin respecto a la estructura de
control interno
M3 Obtener aseguramiento independiente
M4 Proveer auditora independiente
PricewaterhouseCoopers
Adquisicin e implementacin
AI1 Identificar soluciones automticas
AI2 Adquirir, desarrollar y mantener los
sistemas de aplicacin
AI3 Adquirir y mantener la infraestructura
tecnolgica
AI4 Desarrollar y mantener los
procedimientos
AI5 Instalar y verificar los sistemas
AI6 Administrar los cambios
Entrega y Soporte
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
Pruebas de controles
Recopilacin de datos
Reglas de la Evidencia
- Independencia de quien la provee
- Calificacin de quien la provee
- Objetividad
- Suficiencia
Tcnicas para reunir evidencia
- Revisar la estructura organizativa del rea de IT
- Revisar estndares para la documentacin de los Sistemas
- Entrevistar al personal apropiado
- Observar la operativa y a los empleados
Muestreo
- Estadstico
- Basado en otro criterio
PricewaterhouseCoopers
Setiembre 2006
Slide 18
Pruebas de controles
Computer Assisted Audit Techniques (CAAT)
Ejemplos:
- Generador de datos de prueba
- Sistemas expertos
- Utilitarios estndar
- Software especializado de auditora
Algunas ventajas:
- Mejora la identificacin de
- Reduce el nivel de riesgo de la
excepciones
auditora
- Fciles de utilizar
- Genera evidencia con independencia
- No requieren demasiado
del auditado
entrenamiento
- Da confiabilidad en la informacin
- Uso flexible (diferentes
reunida
plataformas, BD, etc.)
- Se puede disponer de informacin en
- Facilidades para documentar la
forma ms rpida
seleccin y procesamiento de los
- Permite cuantificar debilidades de
datos
control interno
Setiembre 2006
PricewaterhouseCoopers
Slide 19
Pruebas de controles
Identificar y obtener polticas, normas y directivas del departamento para
su revisin
Desarrollar herramientas y metodologa para probar y verificar los
controles.
Identificar y seleccionar enfoque apropiado para verificar y probar los
controles:
Pruebas de cumplimiento
Conseguir evidencia que permita tener una seguridad razonable de
que los controles internos establecidos estn siendo aplicados
correctamente y son efectivas (Frecuencia, calidad, quin?)
Pruebas sustantivas
Conseguir evidencia que permita opinar sobre la integridad,
razonabilidad y validez de los datos producidos por el sistema.
Ayudarn a comprobar si la informacin ha sido corrompida
comparndola con otra fuente o revisando los documentos de
entrada de datos y las transacciones que se han ejecutado.
PricewaterhouseCoopers
Setiembre 2006
Slide 20
Pruebas de controles
Hardware
Evaluar su adecuacin
y disponibilidad
Software
Disponibilidad y nivel
de seguridad y control
que provee
Base de
Datos
Disponibilidad y nivel
de seguridad y control
que provee
PricewaterhouseCoopers
Setiembre 2006
Slide 21
Pruebas de controles
LAN
E/S
PricewaterhouseCoopers
Disponibilidad y nivel
de seguridad y control
que provee
Integridad de la
informacin
Setiembre 2006
Slide 22
Pruebas de controles
Adm. de Redes,
equipo central
Estructura organizativa
Segregacin de funciones
Documentacin y herramientas disponibles
Poltica de seguridad
Planificacin
Deteccin y seguimiento de errores
Procedimiento
de catalogacin
Segregacin de funciones
Actividad del Bibliotecario
Documentacin existente
Procedimiento
de backup
Adm. de archivos
Procedimiento de envo/retiro de bveda externa
Documentacin existente
Administracin
de la seguridad
PricewaterhouseCoopers
Poltica de seguridad
Descripcin del cargo
Segregacin de tareas
Deteccin y seguimiento de incidentes
Capacitacin y concientizacin
Setiembre 2006
Slide 23
Pruebas de controles
Identificar las condiciones que no deberan presentarse en los datos si
los controles funcionaran adecuadamente. Analizando los datos
podemos identificar si los controles funcionan bien o no. Algunos
ejemplos de CAATs para controles automatizados:
Pruebas para determinar si las transacciones son autorizadas segn
Setiembre 2006
Slide 24
Pruebas de controles
PricewaterhouseCoopers
Setiembre 2006
Slide 25
Pruebas de controles
Procesamiento de Informacin Controles Generales de IT
Pruebas automatizadas de logs de acceso
Generar listas de intentos fallidos (comparar en el tiempo):
- Comparar ingresos exitosos con listas de usuarios autorizados
- Generar listas de cambios de accesos de perodos anteriores
- Buscar actividades inusuales
Extraer listas de personas autorizadas del sistema y:
- Validar con la lista de empleados
- Comparar con la lista de exempleados
- Generar listas de usuarios con alto nivel de acceso
(superusuarios)
- Buscar usuarios con mltiples niveles de acceso
PricewaterhouseCoopers
Setiembre 2006
Slide 26
Pruebas de controles
- Buscar desarrolladores de software con acceso a los sistemas
de produccin
- Buscar usuarios con acceso al software de desarrollo que no
sean desarrolladores
- Generar reportes de usuarios que no han accedido por un largo
perodo
- Comparar las listas de control de acceso actuales con perodos
previos para detectar cambios
Seleccionar cambios de programas para realizar ms pruebas
Comparar los cambios de los programas en el software de
seguimiento con los registrados en el sistema
Generar reportes de las interrupciones del sistema
PricewaterhouseCoopers
Setiembre 2006
Slide 27
www.pwc.com/uy
PwC