Auditoría: ¿Requisito o Necesidad?m.isaca.org/chapters8/Montevideo/Events/Documents... ·...
-
Upload
trinhkhanh -
Category
Documents
-
view
219 -
download
0
Transcript of Auditoría: ¿Requisito o Necesidad?m.isaca.org/chapters8/Montevideo/Events/Documents... ·...
www.isaca.org.uy
Auditoría: ¿Requisito
o Necesidad?
Ing. José Luis Mauro Vera, CISA
/jlmvera
/joseluismaurovera
www.isaca.org.uy
• Introducción
• Auditoría de TI/SI
• Tipos de Auditoría de TI/SI
• Principales roles relacionados con TI en las organizaciones
• Principales actividades de una auditoría de TI
• ¿Por qué deben realizarse auditorías?
• Marcos de Referencia y Estándares
• Marco legal y regulatorio
• Conclusiones
Agenda
1 de diciembre de 2011 2Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Conocimientos sobre TICs…
…una parte del libreto
Introducción
1 de diciembre de 2011 4Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• La otra parte del libreto…
… los usuarios
Introducción
1 de diciembre de 2011 5Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• ¿Qué tienen en común?
– Empresas de telecomunicaciones
– Empresas de transporte
– Comercios de grandes superficies
– Textiles
– Frigoríficos
– Entes públicos (ej: ANTEL, UTE, OSE, etc)
– Ministerios
– Justicia
– Etc….
Introducción
1 de diciembre de 2011 6Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Cualquier organización tiene:
– Misión
– Visión
– Objetivos:
• Para cumplir “objetivos del negocio”, las organizaciones acuden a
llevar a cabo diversas actividades: Procesos de negocio (tareas
recurrentes) y Proyectos (tareas con inicio y fin)
• Cumplir con los objetivos es un requerimiento del negocio
– Hay partes interesadas para que los objetivos se cumplan…
– ¿Estamos cumpliendo con los objetivos?
Introducción
1 de diciembre de 2011 7Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Las TI / SI ayudan a la ejecución de tareas, procesos,
proyectos
• ¿Cómo inciden las TI/SI en los objetivos de la
organización?
• ¿Las TI/SI están orientadas a cumplir con los objetivos
de la organización?
• ¿Las TI/SI aportan valor a la organización?
Introducción
1 de diciembre de 2011 8Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Auditoría en general:
– Proceso sistemático ejecutado por un equipo/individuo: Conjunto
de etapas
– Evalúa objetivamente la evidencia respecto a afirmaciones
acerca de un proceso
– Produce un informe con el grado de cumplimiento respecto a las
afirmaciones
– Características del equipo/individuo:
• Independencia
• Competencia
• Auditoría de TI/SI: Procesos relacionados con TI/SI
Auditoría de TI / SI
1 de diciembre de 2011 10Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
¿Auditoría = Consultoría?
Auditoría de TI / SI
1 de diciembre de 2011 11Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
TIPOS DE AUDITORÍA DE TI/SI
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 12
www.isaca.org.uy
• Tipos de auditoría relacionados con TI/SI (según el alcance/objeto):– Auditorías Financieras
• Confiabilidad de la información
– Auditorías Operativas
• Controles de Aplicación en procesos
• Seguridad de la Información
– Auditorías de Sistemas de Información (SI)
• Alineamiento estratégico entre las TI/SI y los objetivos de negocio
– Auditorías Integradas
• Combinación de Auditorías Financieras, Operativas y de SI.
– Auditorías Forenses
– Auditorías de Cumplimiento:
• Ej: Certificaciones de normas técnicas
– Auditorías especializadas:
• Entrega de servicios por parte de proveedores (ISAE3402 / SSAE16)
Tipos de Auditoría de TI/SI
1 de diciembre de 2011 13Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Tipos de auditoría relacionados con TI/SI (según quién
la realice):
– Auditoría Interna:
• Proceso interno de la organización
• Podría subcontratarse a una firma de servicios, aunque siempre
dependerá de la cabeza de la organización
• Las conclusiones son válidas exclusivamente a nivel interno.
– Auditoría Externa:
• Llevado a cabo por una parte independiente
• Las conclusiones son valederas a nivel interno y para terceras
partes
Tipos de Auditoría de TI/SI
1 de diciembre de 2011 14Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Tipos de auditoría relacionados con TI/SI (Según los
procedimientos llevados a cabo)
– “Tradicional”
• Cubre un período específico ya culminado
• Se analiza la evidencia generada durante ese período
– Auditoría Continua:
• Técnicas de Auditoría Asistidas por Computadora (CAATs)
– Autoevaluaciones de riesgo
• Participación activa de las distintas áreas de la organización
• Las áreas se auditan en forma “cruzada”
• No sustituye a la tradicional
Tipos de Auditoría de TI/SI
1 de diciembre de 2011 15Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
PRINCIPALES ROLES
RELACIONADOS CON TI EN LAS
ORGANIZACIONES
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 16
www.isaca.org.uy
• Dentro de la organización
Principales roles relacionados con TI en las organizaciones
Gerente de TI
(CIO)
Gerente de Riesgos y
Cumplimiento
Junta Directiva /
Alta Gerencia
(“The Board”)
Auditor interno
de TI
1 de diciembre de 2011 17Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Fuera de la organización
Principales roles relacionados con TI en las organizaciones
Organismos
Regulatorios
Auditor ExternoClientes
Competencia,
Ex-empleados
1 de diciembre de 2011 18Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
PRINCIPALES ACTIVIDADES DE
UN PROCESO DE AUDITORÍA DE
TI/SI
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 19
www.isaca.org.uy
• Entender el negocio.
• Determinar el objetivo, alcance y equipo necesario.
• Planificación: Determinar la estrategia para llevar a cabo
la auditoría (ej: Auditoría basada en Riesgos)
• Definir la Materialidad
• Diseñar los procedimientos de auditoría.
• Ejecución de procedimientos de auditoría: Hallazgos,
Excepciones, etc.
• Emisión de informe.
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 20Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Materialidad:
– Las excepciones “materiales” son aquellas que son significativas
y que ameritan ser reportadas a la Alta Gerencia.
– Define un “margen de error” tolerable para los auditores
– ¿El auditado debería saberlo?
• Auditoría basada en Riesgos:
– Se realiza un análisis de riesgos, a efectos de determinar dónde
y qué procedimientos realizar (dónde hacer foco)
– Riesgo de Auditoría: Riesgo que existan errores “materiales” que
pasen desapercibidos durante la auditoría.
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 21Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Riesgo de Auditoría = R.I. + R.C. + R.D.
• Riesgo Inherente: (RI) Riesgo inherente al proceso de
negocio
• Riesgo de Control: Riesgo de que ocurra un error y que no
haya sido prevenido o detectado.
• Riesgo de Detección: Riesgo de que los procedimientos de
auditoría no detecten excepciones materiales (inadecuados).
• Para reducir el R.C., hay que confiar en el Control Interno de la
Organización
• Para reducir el R.D., hay que diseñar los procedimientos adecuados
para mitigar la posibilidad de encontrar diferencias materiales.
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 22Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Una auditoría basada en riesgos se centra en probar
aquellos controles llevados a cabo por la organización,
que mitigan los riesgos principales del negocio.
• “Sistema de Control Interno” de una organización
• El objetivo es confiar en las actividades de Control
Interno de la organización, procurando reducir el alcance
y hacer foco en asuntos significativos.
• Tipos de Controles:
– Controles Generales de TI
– Controles de Aplicación
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 23Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Controles Generales de TI
– Políticas, procedimientos y prácticas
– “Generales”: No están asociados a un proceso de negocio en
particular, ya que afectan a todos, o más de uno.
– Ejemplos:
• Autorizaciones / Aprobaciones de accesos y cambios
• Separación de ambientes de producción / desarrollo
• Validaciones de usuario y testing
• Uso / Asignación de cuentas de usuario privilegiadas
• Autentificación de usuarios: políticas de contraseñas
• Cifrado de datos en comunicaciones y medios de almacenaminto
• Procedimientos de respaldos y recuperación
• Planes de Continuidad del Negocio
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 24Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Controles de Aplicación:
– Controles embebidos o configurables en los SI, que operan
sobre procesos de negocio
– Los Controles Generales de TI efectivos, reducen el Riesgo de
Control de los Controles de Aplicación.
– Ejemplos:
• Una OC por encima de USD 10.000 requiere de una aprobación en
el sistema por parte del Gte. Financiero.
• Los totales calculados por el proceso de facturación se vuelcan
automáticamente en la base de datos contable, registrándose la
fecha, hora y usuario correspondientes.
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 25Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Procedimientos para probar controles:– Relevar los procesos relacionados e identificar los riesgos
inherentes
– Identificar los Controles que realiza la organización para mitigar dichos riesgos
– Seleccionar los controles clave: aquellos que mitigan riesgos importantes o un conjunto de éstos.
– Identificar la información requerida para probar el control
– Efectuar un recorrido del control (analizar un caso)
– Evaluar el Diseño del control
– Seleccionar una muestra apropiada, considerando solicitar la misma evidencia
– Evaluar la Operativa del control
– Identificación de Hallazgos / Excepciones
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 26Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Informe final:
– Tipos:
• Hallazgos y recomendaciones (carta de comentarios)
• Opinión respecto a la operativa revisada.
• Informe ejecutivo
• Presentación oral
– Se emiten borradores previos para discusión
– Podría estar dirigido a la junta directiva, gerentes involucrados,
accionistas, organismos reguladores, etc..
– Se deben recolectar las acciones que tomará la organización
auditada.
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 27Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Controles de Segregación de Funciones Incompatibles:
– Hay ciertas funciones que deben ser realizadas por distintos
individuos, a efectos de evitar fraudes.
– En TI/SI, las funciones de desarrollo y administración del
ambiente de producción deben ser asignadas a personas
diferentes: ¿Por qué?
– Pueden ser implementados como Controles Generales de TI o
Controles de Aplicación.
Principales actividades de un proceso de auditoría de TI/SI
1 de diciembre de 2011 28Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
¿POR QUÉ DEBEN REALIZARSE
AUDITORÍAS DE TI/SI?
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 29
www.isaca.org.uy
• Alta Gerencia:
– Verificar que las políticas y procedimientos establecidos se
cumplen en la organización (ej: políticas de seguridad de la
información, procedimientos de control, proc. Operativos, etc.)
• Auditores Financieros:
– Determinar el alcance de procedimientos de auditoría financiera
(confiabilidad en el Sistema de Control Interno)
• Accionistas / Interesados:
– Aumentar el grado de confiabilidad en los reportes financieros
¿Por qué deben realizarse auditorías de TI/SI?
1 de diciembre de 2011 30Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Organismos de control / regulatorios:
– Que la organización se encuentra dentro del marco regulatorio
establecido por los organismos de control aplicables.
• Área de TI/SI:
– Identificar aquellas áreas donde existen problemas, a efectos de
trabajar para solucionarlas (oportunidades de mejora)
• Justicia / Litigios:
– Identificar responsabilidades luego de la ocurrencia de
incidentes ocasionados por una mala gestión o mal uso de las
TI/SI
¿Por qué deben realizarse auditorías de TI/SI?
1 de diciembre de 2011 31Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
MARCOS DE REFERENCIA Y
ESTÁNDARES
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 32
www.isaca.org.uy
• Marcos de Referencia:
– Establece lineamientos generales.
– Indican “qué” se debe cumplir o considerar
– Se “adoptan”
– No son certificables.
• Estándares:
– Establece lineamientos específicos
– Indican “cómo” deben encontrarse desde el punto de vista
técnico.
– Se “implementan”
– Pueden ser certificables o no.
Marcos de Referencia y Estándares
1 de diciembre de 2011 33Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Para la adopción o implementación en la organización:
– CobiT 4.1 (Se viene la versión 5.0)
– ITIL
– Normas ISO 27000
– TOGAF
• Para la realización de auditorías de TI/SI:
– Normas ISAE – International standard for Assurance
Engagements (ej: 3402)
– Normas SSAE – Statement on Standards for Attestation
Engagements (ej: 16, antes SAS-70)
– Estándares y Directrices de ISACA
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 34
Marcos de Referencia y Estándares
www.isaca.org.uy
MARCO LEGAL Y REGULATORIO
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 35
www.isaca.org.uy
• A nivel local:
– El único sector que está sometido a la obligatoriedad en la
realización de procedimientos de Auditorías de TI/SI es el
Financiero (BCU)
– El resto de las industrias, no tienen leyes locales que las
obliguen a efectuar Auditorías de TI/SI relacionadas con el
control interno (informar sobre el mismo).
– Otras leyes: Hábeas data y Acceso a la información pública,
Unidades Reguladoras, etc.
Marco legal y regulatorio
1 de diciembre de 2011 36Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• A nivel internacional:
– Estados Unidos:
• Ley Sarbanes-Oxley (SOX), arts. 404 y 302
• Ley Health Insurance Portability and Accountability (HIPAA)
– Acuerdos internacionales:
• BASILEA (Sector Financiero – Riesgos de Capital: Supervisión de
la gestión)
Marco legal y regulatorio
1 de diciembre de 2011 37Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Es otro rol posible del profesional de TI/SI.
• Existen muchos tipos de auditoría, y muchos
relacionados con TI/SI, por lo que es muy probable que
nos veamos involucrados con éstos de alguna forma
(como auditados o como auditores)
• Es un proceso que tiene un conjunto de etapas
• Son clave la independencia y la competencia del auditor
• La auditoría enfocada en riesgos procura probar
controles llevados a cabo en la organización.
Conclusiones
1 de diciembre de 2011 39Auditoría: ¿Requisito o necesidad?
www.isaca.org.uy
• Los Controles Generales de TI ayudan a reducir el
alcance de las pruebas sobre los controles de aplicación
• Aumentan el grado de confianza de actores internos y
externos a la organización, sobre la información de
gestión.
• Ayudan a mejorar procesos y aportar valor agregado:
eficacia y eficiencia.
• Indicador de cumplimiento con leyes y regulaciones
• Existen diversos marcos y estándares que exigen su
realización en forma regular
Conclusiones
1 de diciembre de 2011 40Auditoría: ¿Requisito o necesidad?