Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditora de
Sistemas de Informacin
Profesor: Osvaldo Labb Gallegos
Contenidos
1
Introduccin, mbito de Accin y Deontologa: La Gestin Informtica en las Organizaciones, Anlisis de Riesgos y Auditabilidad.
4 5 6
Caso Aplicable: Auditora al Desarrollo de Sistemas (Ingeniera del Software) y/o Auditora a la Sala Cero (Data Center). Normas Jurdicas y Modelos Referenciales COBITISO-BS-NCH. Herramientas CAATs - Fundamentos
18-07-2012
Los planes y estrategias de una organizacin sern tan efectivos como la informacin (conocimiento) que tengan los directores y su uso adecuado para tomar decisiones acertadas.
18-07-2012
La informacin es el elemento aglutinante de las principales funciones dentro de la organizacin para responder ms efectivamente al medio ambiente.
18-07-2012
19 00 19 10 19 20 19 30 19 40 19 50 19 60 19 70 19 80 19 96
YEAR
[LAUDON]
El conocimiento como un activo de la organizacin Competencia basada en tiempo El ciclo de vida de productos es menor Enfasis en la productividad
18-07-2012
Jerarqua Cerrada
Jerrquica
La Nueva Empresa
Interconectada
Interna / cerrada Externa / abierta Estable / esttico Controles administrativos Competitiva De trabajos especficos Control Dinmico / cambiante
autoadministracin
Sistemas abiertos
Computacin distribuida
18-07-2012
Los Sistemas de Informacin Dentro de la Empresa como fuente potencial de Ventaja Competitiva
Bajo Costo
Sistemas de ingeniera del producto Sistemas de control de proyectos Investigacin y desarrollo de bases de datos Estaciones de trabajo, profesionales Automatizacin de oficinas para integracin de funciones Estudio del ambiente para sistemas de planeacin no cuantitativos Teleconferencias
Diferenciacin
Diferenciacin
18-07-2012
Temas de Reflexin
En la actualidad se ha generado un cambio fundamental en la naturaleza y aplicacin de la tecnologa en los negocios. Este cambio tiene implicaciones profundas y de gran alcance para las organizaciones y las personas. Hasta el momento, nadie ha articulado este cambio en su totalidad. Slo se habla de cambios en la tecnologa, que incluyen nuevas aplicaciones, beneficios organizacionales e implicaciones administrativas.
18-07-2012
Automatizacin de procesos complejos Almacenamiento de grandes cantidades de informacin Facilidad de acceso y manejo de dicha informacin Comunicaciones y conexin a distancia
Impacto de la TI en la Organizacin
Procesos
Automatizacin de las Operaciones Uniformidad de Procesos y tiempos Facilidad de Implementacin Automatizacin de los Controles Cumplimiento obligado de normas Disminucin niveles de Supervisin Seguimiento de Procesos Industriales Equipos industriales con conexin a sistemas de informacin.
18-07-2012
Impacto de la TI en la Organizacin
ADMINISTRACION DE INVENTARIOS
EXISTENCIAS
FACTURACION
BAJAS Y DEVOLUCIONES
AUTORIZACIONES
SALDOS DE PROVEEDORES
RE
TE N
CI ON E
Y/ O
PE
RC
EP
CI ON E
DEBITOS Y CREDITOS
ADMINISTRACION DE PROVEEDORES
SALDOS DE COMPROBANTES
PAGOS A PROVEEDORES
SUBDIARIO DE PAGOS
PEDIDOS Y COMPRAS
ASIENTOS DE VENTAS
VALORES RECIBIDOS
IN V
PERCEPCIONES
SUBDIARIO DE COBRANZAS
INGRESOS DE PRODUCTOS
EN
IVA VENTAS
TA R
IO S
VA
LO RI ZA D
OS
SA
OS LD
DE
N IE CL
S TE
SISTEMA DE CONTABILIDAD
TESORERIA
PR M S CO NE A O IV CI S, TEN A PR R E M Y C O ES DE ON S PC I O NT CE IE ER AS P
SALDOS DE BANCOS
18-07-2012
Sistema de Ventas
Sistema Personal
Sistema de Contabilidad
Sistema de Clientes
Sistema de Tesorera
Sistema de Remuneraciones
10
18-07-2012
Comunicaciones Conectividad
Arica
Iq iq e uu
An fag to asta
Co iap p Vallen ar
L Seren a a O valle Vi d Mar a el Valp araso SanAn n to io San ag ti o Melip illa Ran u cag a T alca
SanF e elip Co cep n n ci L sAn eles o g Ch illn Pemu co
Illap el
LLu a ig a G ard Vieja u ia Q illo u ta L sAn es o d Metro o a p litan Mo ed n a L Esp o ejo Pro en vid cia
T co emu
Vald ivia
Pu Mo tt erto n
Co aiq e yh u
Pu taAren n as
11
18-07-2012
Configuracin de Red
Comunicaciones a distancia
12
18-07-2012
E GOVERNMENT
www.gobiernodechile.cl
www.tramitefacil.gov.cl
www.gobierno.cl/transantiago
www.registrocivil.cl
www.chilecompra.cl
www.sercotec.cl
13
18-07-2012
Errores y omisiones en la transformacin de los procesos manuales a flujos automticos Funcionamiento de las aplicaciones computacionales Facilidades de acceso, alteracin o destruccin no autorizada de la informacin Recoleccin, proceso y almacenamiento de la informacin Falla o interrupcin del servicios de equipos y sistemas de comunicacin sobre los cuales se procesan los Sistemas de Informacin. Equipamiento, software y comunicaciones Personal del rea de TI en la Organizacin Personal usuario de TI en la Organizacin
Integracin de Aplicaciones de TI
Sistema Contable
14
18-07-2012
PROCESO COMPUTACIONAL
INFORMES DE SALIDA
Correo Electrnico
Internet
Gateway
Mail Server
Work Station
Data Server
15
18-07-2012
Comercio Electrnico
Redes de la Empresa
Servicios en Internet
Redes Privadas
Concentracin de la informacin
CONTROL DE ACCESOS
GERENCIA GENERAL
ADMINISTRACIN
OPERACIONES
INGENIERA
MARKETING
INFORMTICA
INFORMACIN
OTRAS INSTITUCIONES
DECISIONES
16
18-07-2012
Procesos/Problemas en Lnea
EMPRESA
Sala de Equipos
17
18-07-2012
Sala de Equipos
Sala de Equipos
18
18-07-2012
Riesgos
www.themegallery. com
Company Logo
19
18-07-2012
Concepto de Riesgo
El riesgo es la amenaza concreta de dao que yace sobre nosotros en cada momento y segundos de nuestras vidas, pero que puede materializarse en algn momento o no, por ejemplo, cuando salimos a la calle estamos expuestos a una innumerable cantidad de circunstancias riesgosas, como ser una maceta o un balcn que se desplome sobre nuestra humanidad, un asalto, etc. Cualquier situacin o cosa plausible de provocarnos algn tipo de dao es un riesgo.
Company Logo
Concepto de Riesgo
20
18-07-2012
En la funcionalidad de los Sistemas En la proteccin de la informacin y su proceso en las aplicaciones En el funcionamiento de la plataforma tecnolgica
21
18-07-2012
Ejercicio
Desarrolle una nmina de riesgos que usted estima que existen en el rea de Informtica y en los sistemas, los cuales requieren de mejores controles. Considere aspectos tales como:
Definicin y cumplimiento del plan informtico Administracin del personal del rea Reclutamiento y contratacin del personal Capacitacin del personal Evaluacin del desempeo Definicin y cumplimiento de procedimientos al interior del rea Proceso de desarrollo, prueba e implementacin de sistemas Proceso de adquisicin de software construido externamente Proceso de modificacin de Sistemas Proceso de respaldo de la informacin Respaldos de hardware y software Definicin y prueba de Plan de Contingencia Divulgacin del plan Asignacin de roles Actualizacin del plan Controles en la operacin de los sistemas Manejo de documentos valorados Control y seguimiento de problemas Control de informacin confidencial Existencia y operacin de la mesa de ayuda Administracin y operacin de la Base de Datos Administracin de la Red de comunicacin
Anlisis de Riesgos
Riesgo evento o situacin que impide el logro de un objetivo
22
18-07-2012
23
18-07-2012
Temas a tratar
Creacin de Valor en la Empresa Rol del Auditor en este nuevo ambiente Metodologa de Auditora de la Empresa Moderna Cuerpos Normativos sobre las Tecnologas de Informacin
24
18-07-2012
Creacin de Valor
Cualquier actividad o proceso que incrementa los derechos de un accionista sobre los recursos de una organizacin, despus de que todas las demandas sobre los recursos de una organizacin por los otros stakeholders han sido cumplidas (Birkett, 1998)
25
18-07-2012
stakeholders
Es el grupo de personas o persona que puede afectar o es afectado por el cumplimiento de los objetivos de la Empresa (Freeman, 1984).
Ej.: accionistas, clientes, prestamistas, empleados, grupos de inters pblico y agencias gubernamentales
26
18-07-2012
Auditoria Interna
Papel tradicional: Revisin de la estructura de control interno y un examen de la informacin financiera y operativa mediante un detallado chequeo de las transacciones, balances y procedimientos Polica corporativo
Auditoria Interna
Necesidad de agregar valor Trabajo conjunto con la Administracin Enfasis en otros elementos:
revisin de la economa eficiencia y efectividad de las operaciones controles no financieros revisin del cumplimiento de directrices de la Administracin
27
18-07-2012
Auditora Interna
Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organizacin. Ayuda a una organizacin a cumplir sus objetivos, aportando un enfoque sistmico y disciplinado para evaluar y mejorar la eficacia de los procesos de gestin de riesgo, control y gobierno
Fuente. The Institute Internal Auditors
28
18-07-2012
Involucramiento en el negocio y sus resultados Identificacin y evaluacin de los principales riesgos Auditoria lnterna interior y exterior de la Organizacin Trabajo conjunto con la Administracin
29
18-07-2012
Fases de la metodologa
Mapa de Procesos
Concesin de operaciones de riesgo Concesin de operaciones de riesgo Seguimiento de operaciones de riesgo Seguimiento de operaciones de riesgo Gestin de impagados Gestin de impagados Gestin de activos no funcionales Gestin de activos no funcionales Gestin de cuentas personales Gestin de cuentas personales Fondos de inversin y de pensiones Fondos de inversin y de pensiones Cmara de compensacin Cmara de compensacin Intermediacin en operativa con valores Intermediacin en operativa con valores Operativa de extranjero y comercio exterior clientes Operativa de extranjero y comercio exterior parapara clientes Domiciliaciones masivas Domiciliaciones masivas Recaudaciones masivas Recaudaciones masivas Tarjetas Tarjetas Conocimiento del mercado y la clientela Conocimiento del mercado y la clientela Segmentacin comercial Segmentacin comercial Desarrollo de lade la visin estratgica negocio Desarrollo visin estratgica del del negocio Diseo de nuevos productos y servicios Diseo de nuevos productos y servicios Generales Generales P R R II M M Relacionados con prestacin Relacionados con prestacin de servicios deintermediacin de servicios de A A R R II O O S Relacionados con productos de Relacionados con productos de activo y pasivo activo y pasivo
Mapa de Riesgos
RIESGOS DEL ENTORNO Competencia Cumplimiento Normativa Imagen y Reputacin Disponibilidad de Capital Prdidas Catastrficas Poltico/Pas Legales Rentabilidad Sector Mercados Financieros
D D
Gestin de Gestin de Gestin de riesgo de r iesgo de cambio yy cam bio de tipo de de tipo de inters inter s Gestin de Gestin de inversione inver siones s no no vinculadas vinculadas con con clientes clientes
Relaciones Intervencin Gestin de Inter venci Gestin de Relaciones recursos institucionales general y n gener al y fsicos r ecur sos institucional control de
contr ol de gestin fsicos es
Gestin del del Gestin cambio yy cam bio mejora m ejor a continua continua
E A A P O O Y Y O O
gestin
Identificacin de los riesgos de negocio para los procesos de cada rea de negocio
M ed ium Risk 1
Hi gh Ri sk 2
IM P O R T A N C IA
M ed ium Risk 2
Hi gh Ri sk 3
Lo w Risk 1
M ed ium Risk 3
A lt o
Lo w Risk 2 M ed ium Risk 4
M e d io B a jo
I. Envio de la solicitud de suministro, autorizaciones, pedido 1 y factura a Administracin 2 1 II. Introduccin de datos 4 en Hoja Excel 5 III. Emisin listado cuentas por pagar por vencimiento 6 IV. Registro pago en la Hoja Excel 9
Lo w Risk 3
P R O B A B IL I D A D
Usuar io
Ayuda Salida
M EN : U C go de t i ca del G r upo di Pol t i cas y Pr ocedi m i ent os de C r ol ont M odel os de A i si s y def i ni ci ones de: nl M odel os A ual i zados de l as U dades ct ni Pl anes de A n por U dades cci ni I nf or m aci n par a el C onsej o ( A cceso r est r i ngi do)
N m at i va cor por at i va or N m at i va de l as uni dades oper at i vas or R esponsabl es por uni dad Pl anes de For m aci n R esgos y M apas de R esgo i i Pr ocesos C r ol es ont R esgos y M apas de R esgos i i Pr ocesos C r ol es ont
Mapa de Procesos
Concesin de operaciones de riesgo Concesin de operaciones de riesgo Seguimiento de operaciones de riesgo Seguimiento de operaciones de riesgo Gestin de impagados Gestin de impagados Gestin de activos no funcionales Gestin de activos no funcionales Gestin de cuentas personales Gestin de cuentas personales Fondos de inversin y de pensiones Fondos de inversin y de pensiones Cmara de compensacin Cmara de compensacin Intermediacin en operativa con valores Intermediacin en operativa con valores Operativa de extranjero y comercio exterior clientes Operativa de extranjero y comercio exterior para para clientes Domiciliaciones masivas Domiciliaciones masivas Recaudaciones masivas Recaudaciones masivas Tarjetas Tarjetas Conocimiento del mercado y la clientela Conocimiento del mercado y la clientela Segmentacin comercial Segmentacin comercial Desarrollo de la de la visin estratgica del negocio Desarrollo visin estratgica del negocio Diseo de nuevos productos y servicios Diseo de nuevos productos y servicios Generales Generales Relacionados con productos de Relacionados con productos de activo y pasivo activo y pasivo
P R R I M M A A R R I O O S
I I
Gestin de Gestin de riesgo de riesgo de cambio y de cambio y tipo de de tipo de inters inters
Gestin de Gestin de inversiones inversiones no no vinculadas vinculadas con clientes con clientes
Gestin del Gestin del cambio y cambio y mejora mejora continua continua
D D E A A P O O Y O O
30
18-07-2012
RIESGOS OPERATIVOS Errores operativos Eficiencia del canal Capacidad Tiempos de Ejecucin Satisfaccin del Cliente Contabilizacin Desarrollo del Producto Liquidacin del las Operaciones Determinacin de Objetivos Marca Salud y Seguridad de las personas Proteccin de la intimidad Propiedad Intelectual Gestin de Proyectos Estructura de la Organizacin. Diseo de los Procesos Conformidad Autenticidad de las transacciones Alianzas
RIESGOS DE SISTEMAS DE INFORMACIN/ TECNOLGICOS Diseo Seleccin & Integracin Externalizacin de servicios Desarrollo Aseguramiento de la Integridad Seguridad (Perimetral, en profundidad y de aplicaciones) Soporte tcnico al Cliente Rendimiento Capacidad de crecimiento (Escalabilidad) Disponibilidad Gestin de Infraestructura Continuidad Gestin de Registros de Actividad
RIESGOS FINANCIEROS
Precio Liquidez
Tipo de Inters Tipo de Cambio Propio (Flujo de Caja) De Mercado Riesgo de Insolvencia Riesgo Pas
Crdito
RIESGOS ASOCIADOS A LA INFORMACIN DISPONIBLE PARA LA TOMA DE DECISIONES INFORMACIN OPERATIVA Elaboracin de los contratos Informacin de gestin/indicadores Fijacin de Precios Informes Obligatorios INFORMACIN FINANCIERA Informacin contable
Presupuestacin y Planificacin Financiera
Toma de decisiones sobre inversiones Anlisis Fiscal y Legal Cumplimentacin de Informes Financieros
INFORMACIN ESTRATGICA Planificacin Indicadores Gestin Estratgica y de Riesgos de Entorno Estrategia Comercial EstructuraOrganizativa Gestin Cartera de Negocios Asignacin de Recursos
MAPA DE RIESGOS
High Risk 2
IMPORTANCIA
Medium Risk 2
High Risk 3
Low Risk 1
Medium Risk 3
Alto Medio
Bajo
PROBABILIDAD
31
18-07-2012
2 Sistema Integrado de Control de Riesgos 1 III. Emisin listado cuentas por pagar por vencimiento 5 7 9 Usuario II. Envo copia de la factura a Contabilidad 6 GRUPO XYZ MENU: II. Introduccin de datos en Hoja Excel III. Preparacin medio de pago IV. Registro pago en la Hoja Excel Cdigo de tica del Grupo Polticas y Procedimientos de Control Normativa corporativa Normativa de las unidades operativas Responsables por unidad Planes de Formacin Modelos de Anlisis y definiciones de: Riesgos y Mapas de Riesgo Procesos Controles Modelos Actualizados de las Unidades Riesgos y Mapas de Riesgos Procesos Controles Planes de Accin por Unidades Informacin para el Consejo (Acceso restringido)
10
Ayuda Salida
III. Autorizacin
XYZ
Flujograma de informacin
I. Recepcin factura del proveedor 1 I. Envio de la solicitud de suministro, autorizaciones, pedido y factura a Administracin
1 III. Autorizacin
10
32
18-07-2012
Objetivos de la Auditora a la TI
Verificar la existencia y efectividad de las medidas de proteccin de la informacin de los activos de la Empresa, que es procesada y almacenada por los sistemas computacionales.
Comprobar la adecuada utilizacin y funcionamiento de los recursos tecnolgicos y de personal que manejan el rea de Informtica y los Sistemas de Informacin computacionales.
33
18-07-2012
Funciones de la Auditora a la TI
Auditora de Controles Generales
Consiste en la revisin de los controles que aseguran la calidad del desarrollo y operacin de los sistemas y de la proteccin de la informacin que estos manejan y almacenan. Por lo tanto, esta auditora cubre la verificacin de los controles establecidos en los procesos de las funciones de Informtica, como ser Planificacin y Organizacin, Desarrollo, Adquisicin y Mantencin de Sistemas, Operacin de Sistemas y Soporte Tcnico.
Funciones de la Auditora a la TI
Auditora de Sistemas en Desarrollo
Corresponde a la revisin de los controles y medidas de seguridad que se incorporan al diseo de los nuevos sistemas.
Tambin considera la verificacin del cumplimiento de las pautas de desarrollo de los sistemas, establecidas en la respectiva metodologa para la construccin interna como externa de las aplicaciones computacionales de la Empresa.
34
18-07-2012
Funciones de la Auditora a la TI
Auditora de Sistemas en Operacin
Se refiere a los sistemas que se encuentran en operacin normal. El objetivo de este tipo de auditora es verificar que los controles siguen funcionando en la prctica como se proyect durante el desarrollo del sistema.
Funciones de la Auditora a la TI
Desarrollo y operacin de herramientas computacionales para apoyo de las Auditoras
Esta tarea corresponde a la construccin y/u operacin de herramientas computacionales de apoyo al trabajo de la Auditora Interna. Tambin considera esta funcin, la capacitacin del personal de Auditora Interna en los sistemas de informacin computacionales que existen en la Empresa.
35
18-07-2012
Organizacin de la Auditora a la TI
Definicin y difusin de Objetivos
Definicin de los objetivos generales y especficos de la Funcin de Auditora de Sistemas Determinacin del alcance de las revisiones Aprobacin de la Direccin y difusin entre los involucrados Definicin e implementacin de la estructura y funcionamiento del rea
Organizacin de la Auditora a la TI
Dependencia y organigrama
Organigrama
AUDITOR JEFE
36
18-07-2012
Organizacin de la Auditora a la TI
Requerimientos de Personal
Contadores Auditores
Tcnicas de Auditora Uso de papeles de trabajo Redaccin de Informes Conocimiento de los Sistemas de la Organizacin
Ingenieros de TI
Conocimientos de la TI y sus debilidades Conocimiento del lenguaje tcnico (relacin con el especialista) Manejo de herramientas de recoleccin y anlisis de datos
Organizacin de la Auditora a la TI
Programas de Capacitacin
Actualizacin de las competencias tcnicas del Auditor Potencialidades y usos de las Nuevas tecnologas Riesgos de las nuevas tecnologas Nuevas Tcnicas de auditora Plan de capacitacin continuo Bibliografa tcnica
Metodologas Programas de trabajo Revistas y libros sobre nuevos equipos y software disponible en el mercado
37
18-07-2012
Organizacin de la Auditora a la TI
Requerimientos de Hardware y Software
Equipos
PCs en red para el personal Equipo Servidor con capacidad para manejo archivos de prueba y registro de papeles de trabajo. Impresora Laser (impresin centralizada) Conexin a los Sistemas y BD de la Empresa en modo consulta Conexin a Internet Lenguajes ACL, SQL, Software de Auditora (AS/2 de Deloitte & Touche)
Redes y Software
Investigacin y evaluacin de riesgos Planificacin de las auditorias Programacin y seguimientos de los trabajos de auditoria Registro y manejo de papeles de trabajo Recuperacin y anlisis de informacin Herramientas de auditoria continua
38
18-07-2012
39