You are on page 1of 60

MAESTRIA EN

INFORMATICA FORENSE,
SEGURIDAD DE LA INFORMACION Y
AUDITORIA INFORMATICA

Procesos de Auditoria de
Sistemas
CAPITULO 1
JUAN CARLOS LEA PLAZA LOPEZ, MBA, CGEIT.

BIBLIOGRAFIA
Reingeniería de la Auditoria Informática “Gustavo
Adolfo Solís Montes”, Ed. Trillas, 2002.
Auditoria Informática (Un enfoque práctico) 2da.
Edición “Mario Piattini – Emilio del Peso”, Ed.
Alfaomega Ra-Ma, 2008
Manual de ISACA, Examen CISA-2008 a 2012
Manual de ISACA, CISM / CGEIT-2008 a 2012

OBJETIVOS DEL CAPITULO
Misión y Planificación de la Auditoría.
Estándares y guías para la Auditoría de Sistemas.
Procesos en la ejecución de una Auditoría de Sistemas.
Aplicación de Software en una Auditoría de Sistemas.

Auditoría de Sistemas.

veamos cuales disciplinas y por que. Normalmente se debe realizar este trabajo un conjunto multidisciplinario. para ser desempeñada por un solo individuo.INTRODUCCION NATURALEZA ECLECTICA Ecléctico. significa: “La interacción de distintas ciencias o áreas de conocimiento en la resolución de un problema que resulta demasiado complejo para una de ellas actuando en forma aislada” Esto precisamente ocurre con la Auditoría en TI´s lo que hace una disciplina o especialidad muy compleja. .. en un sentido amplio.

Teoría de redes y telecomunicación. se debe considerar que es impensable que exista un Auditor de Sistemas de Información. etc………. Hardware. Auditor Informático o Auditor de TIC´s que no tenga conocimientos sobre: “Ciclo de vida de los Sistemas de Información. análisis y programación..INTRODUCCION SISTEMAS DE INFORMACION A manera de introducción. Software. Administración de Seguridad”. Técnicas de Desarrollo. puesto que su función será verificar o determinar si otras personas desarrollan en forma adecuada actividades que utilizan este conjunto de conocimientos y más aún. emitir recomendaciones que permitan mejorar dichas actividades. empleo de herramientas CASE. .

. Se le pide al Auditor de TI realizar una evaluación del Proyecto.INTRODUCCION CASO DE EJEMPLO (1): Una empresa se encuentra en proceso de desarrollo de un Sistema de Información que resultará Estratégico para su competitividad en el Mercado. El Sistema no ha sido concluido aún. pero el Directorio desea conocer el estado actual del Proyecto y poder identificar (si existiera) cualquier situación que pudiera poner en riesgo el logro exitoso del Proyecto.

.. Unidades de Almacenamiento”. etc………. . todo SI estará automatizado por lo que se precisa del uso de equipos. DBMS. Este conocimiento es imprescindible puesto que la Información o Archivos y todos los procedimientos estarán automatizados y la labor de analizarlos y evaluarlos requerirá de un buen nivel de conocimientos al respecto.INTRODUCCION PROCESAMIENTO ELECTRONICO DE DATOS Se entiende que hoy. Base de Datos. perifericos. Por lo que el Auditor Informático o Auditor de TIC´s debe conocer sobre: “Sistemas Operativos.

La Empresa encomienda este proceso de selección al CIO de la Empresa. como corresponde. No obstante y debido a la magnitud de la inversión y a la trascendencia de esta adquisición. la Dirección desea obtener una confirmación de que el proceso de selección del nuevo equipo representa la mejor alternativa tecnológica para la Empresa y que la relación costo-beneficio es la más favorable. esto debido a que el resultado de una Consultoría así lo recomendó.INTRODUCCION CASO DE EJEMPLO (2): Una empresa desea remplazar su Parque Computacional. así como su tipo de Procesamiento. . Se le pide al Auditor de TI realizar una evaluación del Proyecto.

Videoconferencias. Intranet”. Voz sobre IP. Los conceptos tales como: “Internet. ERP. . e-commerce. CRM.INTRODUCCION TELECOMUNICACIONES Esta área requiere de un alto nivel técnico para su evaluación. Hoy se tiene un avance considerable en el uso de telecomunicaciones relacionados con los SI y aumenta día a día. por lo que el conocimiento en este tema de Telecomunicaciones es de gran interés para un Auditor en TI. e-mail. etc…. Se han convertido en elementos cotidianos en toda organización y en la vida de los Usuarios (empleados). transcriptores automáticos.

para lo cual adquirió un Paquete de Software y nuevo equipamiento para realizar transacciones en Línea (on line) con todas sus Sucursales. confidencialidad y disponibilidad de los datos. Se le pide al Auditor de TI realice la supervisión más adecuada y participe desde el inicio en el Proyecto. La Dirección de TI ha recomendado la implantación de una Red WAN. el Directorio desea asegurarse que el Proyecto tenga el éxito esperado. .INTRODUCCION CASO DE EJEMPLO (3): Una empresa decidió abrir Sucursales en distintas ciudades del País. todo esto condicionando a que no desea perder la integridad.

desarrollo de ERP (Enterprise Resource Planning). Estos conocimientos para el Auditor en su labor de Asesor coadyuvará significativamente al logro de sus objetivos de trabajo. etc…. Cuadro de Mando Integral (BSC) Balanced Scord Card”. Estos conceptos son de aplicación en las Empresas y su conocimiento y utilización ayudan a comprender mejor el funcionamiento de la organización y sus debilidades y así identificar problemáticas y fundamentar recomendaciones. Sinergia de Sistemas. . esto conlleva a conocimientos como: “Sistemas Integrados.INTRODUCCION TEORIA GENERAL DE SISTEMAS Los aspectos relacionados con SI se han visto influenciados por la TGS. DSS (Decision System Support). esto por que se espera la interacción de varios procesos en un solo Sistema.

Sin embargo. sino de los grupos de trabajo. no se han obtenido los resultados previstos y la Dirección de la Empresa sospecha que existen problemas de integración.INTRODUCCION CASO DE EJEMPLO (4): Una empresa acaba de concluir un trabajo de Reingeniería el cual recomendó la integración de varios Sistemas de Información y la coordinación de diferentes áreas de la Empresa. La Dirección pide al Auditor de TI realice la evaluación de la situación actual. no solo tecnológica. identifique la problemática y pueda emitir recomendaciones adecuadas para la implantación recomendada. .

Conceptos de Ingeniería Social. el elemento humano se ha convertido en el componente más importante en la implantación de los SI.INTRODUCCION CIENCIAS DEL COMPORTAMIENTO HUMANO No se puede obviar que finalmente son seres humanos los que asumirán el papel de USUARIOS o PROVEEDORES de información de todo Sistema. para estar en la posibilidad de evaluar los componentes de la administración del cambio (change management) en cualquier Proyecto de TI. etc…. Esto recomienda que el Auditor tenga un adecuado conocimiento sobre el comportamiento humano. Estos conceptos son tan importantes puesto que está demostrado que la mayoría de los fracasos en Proyectos de SI se deben a los Recursos Humanos. Controles en procedimientos del Help Desk”. por esto se debe conocer por ejemplo: “El mayor éxito y fracaso de los SI está en la Implantación. . Controles de autenticación.

responsables del Proyecto. ha identificado la existencia de “nichos” de poder en el departamento de adquisiciones y teme que se presente una gran resistencia a la Implantación del Nuevo Sistema. para determinar si se han incluido los elementos necesarios para una adecuada administración del cambio. La Dirección le ha solicitado al Auditor de TI realizar una evaluación del Proyecto. El equipo de consultores. .INTRODUCCION CASO DE EJEMPLO (5): Una empresa se encuentra en la fase final de la Implantación de un Sistema importante del Departamento de compras.

prácticamente son indispensables para un profesional en Auditoría Informática que desee revisar o comprender Sistemas financieros o contables. etc…. . Debido a la incorporación de Tecnología de información en su procesamiento se habla hoy de AI. Normas de Contabilidad y Finanzas.INTRODUCCION FINANZAS Y CONTABILIDAD No se debe olvidar que la Auditoría en TI (originalmente auditoría de PED) tuvo su origen en la auditoría de sistemas contables y financieros. Por esto el conocimiento en: “Sistemas Contables.”. Costos.

Dicha Empresa cuenta con un Sistema de Contabilidad automatizado. íntegra y de acuerdo con los principios de contabilidad generalmente aceptados. Se considera que la integración de esta cifras es una de las principales areas de riesgo en la Auditoría. se solicita a la firma de Auditoría esterna la asignación específica de un Auditor en TI para que analice el Sistema y determine si la contabilización de transacciones se realiza en forma oportuna..INTRODUCCION CASO DE EJEMPLO (6): Una empresa ha contratado los servicios de una importante firma local de Auditores externos. . por lo que…. para practicar una Auditoría a sus estados financieros. en el que se concentran las transacciones de otros Sistemas Operacionales.

INTRODUCCION
AUDITORIA
Finalmente y como un elemento que integra y
da sentido a todos los demás componentes
del conocimiento, se encuentran los conceptos
sobre Auditoría, su proceso, normatividad,
técnicas, compromisos, etc, etc.. Serán como
la “columna vertebral” del cuerpo ecléctico de
conocimientos, dando forma y orden a todos
los elementos necesarios para llevar a cabo
las funciones de Auditoría en TI con niveles
mínimos de calidad.

Misión y Planificación
de la Auditoria

Misión y Planificación de la Auditoria
Organización de la Función de
Auditoría de SI

Administración de los Recursos de
Auditoria de SI
Planificación de la Auditoría

Leyes y regulaciones

Misión y Planificación de la Auditoria Organización de la Función de Auditoria de SI Estatutos de Auditoria Autoridades  Responsabilidades  Objetivos  .

Misión y Planificación de la Auditoria Administración de Recursos de Auditoria de SI Recursos Humanos (Auditores de SI) Tecnología .

Misión y Planificación de la Auditoria Planificación de la Auditoria de SI Una planificación adecuada es el primer paso necesario para la ejecución de auditorias de TI efectivas Necesidad de comprender el ambiente general del negocio así como los riesgos de negocio y de control asociados .

Misión y Planificación de la Auditoria Planificación de la Auditoría de SI Evaluar riesgos operacionales y de control e identificar objetivos de control durante la planificación de la auditoría .

el auditor de SI debe: 1. los procesos y la tecnología.Misión y Planificación de la Auditoria Para realizar una planificación de auditoría. . los objetivos y los procesos del negocio. Comprender la misión. los requerimientos de información y de procesamiento tales como la disponibilidad. En términos generales. la integridad y la seguridad además de los requerimientos de la arquitectura de la información.

procedimientos y estructura de la Organización 3. Conducir una revisión de control interno. . 6. 5. Desarrollar el enfoque o la estrategia de auditoría. 4. Definir el alcance de la auditoría y el (los) objetivo(s) de la auditoría. 7. estándares.Misión y Planificación de la Auditoria 2. Realizar un análisis de riesgos. Identificar contenidos específicos como políticas. Asignar recursos para la auditoría y encarar la logística del trabajo.

Misión y Planificación de la Auditoria Leyes y regulaciones Requerimientos regulatorios     Establecimiento Organización Responsabilidades Correlación con las funciones de auditoría financiera. operacional y de TI .

Misión y Planificación de la Auditoria Leyes y regulaciones Pasos para determinar el cumplimiento de requerimientos externos: Identificar requerimientos externos  Documentar leyes y regulaciones pertinentes  Determinar si la gerencia y la función de SI han considerado los requerimientos externos pertinentes  .

Misión y Planificación de la Auditoria   Revisar documentos internos del departamento de SI que muestren adherencia a las leyes aplicables Determinar la adherencia a procedimientos establecidos .

Explique cómo lo organizaría.Misión y Planificación de la Auditoria EJERCICIO Una empresa PYME. qué realizaría en la planificación de auditoría y cómo le afectarían las leyes. . en expansión. tiene planificado su crecimiento tecnológico y para asegurarse del adecuado control del uso de la tecnología ha decidido implementar su departamento de Auditoría de Sistemas. cómo administraría sus recursos.

Estándares y Guías para la Auditoria de SI .

Estándares y Guías para la Auditoria de SI Organizaciones que definen estándares para Auditoria • AICPA American Institute of Certified Public Accountants • IIA The Institute of Internal Auditors • ISACA Information Systems Audit and Control Association .

Estándares y Guías para la Auditoria de SI Organizaciones que definen estándares para Auditoria • CICA Canadian Institute of Chartered Accountants • IFAC International Federation of Accountants • ISSA Information System Security Association .

Estándares y Guías para la Auditoria de SI Organizaciones que definen estándares para Auditoria • SIM Society for Information Management • AITP Association of Information Technology Professionals • IFIP International Federation for Information Processing .

Estándares y Guías para la Auditoria de SI Organizaciones que definen estándares para Auditoria • ACM Association for Computing Machinery • ICAA The Institute of Charteres Accountants in Australia • NIST National Institute of Standards and Technology .

Estándares y Guías para la Auditoria de SI Organizaciones que definen estándares para Auditoria • GAO General Accounting Office • INTOSAI International Organization of Supreme Audit Institutions .

Estándares y Guías para la Auditoría de SI Pronunciamientos y Estándares AICPA: • SAS 3 1974 “Los Efectos de EDP en el Estudio y Evaluación del Auditor sobre el Control Interno” • SAS 48 1984 “Los Efectos del Procesamiento Computacional sobre el Examen de los Estados Financieros” • SAS 55 1988 “Consideración de la Estructura de Control Interno en un Estado Financiero” .

Estándares y Guías para la Auditoria de SI Pronunciamientos y Estándares AICPA: • SAS 78 1990 “Enmiendas al SAS 55” • SAS 82 1996 “Consideración de Fraude en los Estados Financieros” • SAS 94 2001 “El Efecto de la Tecnología de Información en las consideraciones del Auditor hacia el Control Interno en una Auditoria de Estados Financieros” • SAS 99 2002 “Consideración de Fraude en un Estado Financiero” .

Estándares y Guías para la Auditoria de SI Pronunciamientos y Estándares IIA: • Estándares para la Práctica Profesional de Auditoria Interna • Estatutos de Estándares de Auditoria Interna .

Estándares y Guías para la Auditoria de SI Pronunciamientos y Estándares ISACA: • 1975 Objetivos de Control EDP • 1984 Objetivos de Control EDP Actualización • 1996 Objetivos de Control para la Tecnologías de Información y Relacionadas COBIT .

Estándares y Guías para la Auditoría de SI Pronunciamientos y Estándares CSOTC Commitee of Sponsoring Organizacions of the Treadway Commision: • “Control Interno – Marco Integral” Reporte COSO • Sarbanes .Oxley .

Estándares y Guías para la Auditoría de SI Estándares de ISACA Código de Ética Profesional de ISACA El código de ética profesional de ISACA provee una guía de conducta profesional y personal para los miembros de la Asociación y/o poseedores de las certificaciones CISA.CISM. CGEIT y CRISC .

) cómo se deben seguir los procesos para una A.I) para aplicar los estándares de la A. y el reporte de S.I.I. de SI) .Estándares y Guías para la Auditoría de SI  Estructura de los estándares de Auditoría de SI de ISACA:  Estándares (Definen requisitos obliga-  Guías (Directrices que sirven de guías  Procedimientos (Ofrecen ejemplos de torios para la A.

. • Informe • Actividades de Seguimiento…….etc .Estándares y Guías para la Auditoría de SI Estándares y guías de ISACA para la Auditoría de Sistemas • Estatutos de Auditoría • Independencia • Ética y estándares Profesionales • Competencia Profesional • Planeación • Ejecución del trabajo de auditoría..etc.

• Independencia  Independencia profesional  Relación organizacional . autoridad y sujeción a rendición de cuentas.Estándares y Guías para la Auditoría de SI • Estatutos de auditoría  Responsabilidad.

Estándares y Guías para la Auditoría de SI • Ética profesional y Estándares Código de Ética profesional Debido cuidado profesional • Competencia Habilidades y conocimiento Educación profesional contínua .

Estándares y Guías para la Auditoría de SI • Planificación Planificación de Auditoría • Ejecución del trabajo de auditoría Supervisión Evidencia .

Estándares y Guías para la Auditoría de SI • Reportes Contenido y forma del reporte • Actividades de Seguimiento  Revisar conclusiones y recomendaciones anteriores  Revisar hallazgos previos relevantes  Determinar si acciones apropiadas han sido implementadas oportunamente .

• Considerar las guías en la determinación de cómo implementar los estándares • Hacer uso del juicio profesional al aplicar estas guías • Ser capaz de justificar cualquier desviación .Estándares y Guías para la Auditoría de SI Utilización de las Guías.

.Estándares y Guías para la Auditoría de SI Utilización de los Procedimientos. • Ejemplos provistos para los procedimientos desarrollados por el Consejo de Estándares de ISACA. • El auditor de SI debe aplicar su propio juicio profesional a las circunstancias específicas.

CONTROLES .

Controles Definición de control interno Es un proceso establecido por la Junta Directiva. El control es el medio por el cual se alcanzan los objetivos de control. la alta gerencia y todos los niveles de personal para proveer una seguridad razonable de que los objetivos de la organización serán alcanzados. Dos aspectos claves a encararse por el control: qué es lo que se debería lograr y qué es lo que se debería evitar. .

Controles Clasificación de los controles • Preventivos • De detección • Correctivos .

. las características de los controles pueden ser diferentes. ser dirigidos en una manera específica a los procesos relacionados con SI. por lo tanto necesitan.Controles Objetivos de Control de los Sistemas de Información Los objetivos de control en un ambiente de SI permanecen invariables en relación a los de un ambiente manual. Sin embargo. Los objetivos de control interno.

• Desarrollos de planes de continuidad del negocio. ingresos. integridad de transacciones. de redes y operaciones. incluyendo la Adm. (Ctrl. integridad de BD.Controles  Objetivos de Control de los Sistemas de Información • Protección de activos. • Asegurar la completitud/integridad de los Sistemas Operativos generales. confiabilidad de procesos automáticos. • Desarrollo de un plan de manejo/administración y respuesta a incidentes. • Cumplir con los requerimientos de los Usuarios. . • Asegurar integridad de los ambientes sensitivos y críticos de los Sistemas de Aplicaciones. • Asegurar la eficiencia y efectividad de toda operación.

Controles  Objetivos de Control de los Sistemas de Información • COBIT (Objetivos de Control para la información y Tecnologías relacionadas) COBIT 4.1 agrupa todos los objetivos de control en 4 dominios:     Planificación y Organización Adquisición e Implementación Operación y Soporte Monitoreo . que representan los procesos de TI. Esta herramienta COBIT 4.1 es un marco de en TI y estándares de buenas prácticas que define 34 objetivos de control de alto nivel.

. Los procedimientos de control incluyen políticas y prácticas establecidas por la gerencia para proveer seguridad razonable de que los objetivos específicos serán alcanzados. podrá ser traducido en un procedimiento específico de SI.Controles Procedimientos de control de SI Cada procedimiento de control general.

Controles Procedimientos de control de SI • Controles Generales de SI También llamados Controles Pervasivos dirigidos a los controles del Ambiente Computacional y de Sistemas Operativos • Controles de Aplicación Dirigidos a las aplicaciones computacionales tales como Contabilidad. Planillas. etc… . RMP planificación de materia prima.

Controles Procedimientos de Control de SI Ejemplos de Controles Generales I       Estrategia y dirección Gerencia y organización general Acceso a datos y programas Desarrollo de sistemas y control de cambios Operaciones de procesamiento de datos Programación de sistemas y funciones de soporte técnico .

Controles Procedimientos de Control de SI Ejemplos de Controles Generales II Procedimientos de aseguramiento de calidad del procesamiento de datos  Controles de acceso físico  Planificación de continuidad del negocio / Recuperación de desastres  Redes y comunicaciones  Administración de bases de datos  .

Controles Procedimientos de control de SI Ejemplos de Controles de Aplicación          Los procesos de las aplicaciones satisfacen las necesidades Corporativas y de los Usuarios Acceso a las funciones de las aplicaciones Ediciones y Validaciones (entrada) Nivel de autorización Exactitud de los procesos de las funciones Oportunidad del Procesamiento Reportes Pistas de auditoría Etc… .