3. Proceso Metodológico - Ventajas
Eliminación de Informalidad
Obtención de procesos de calidad
Mejor Administración
Mejor Comunicación
Facilidad de Seguimiento
4. Proceso Metodológico – Requisitos de éxito
Adecuación a requerimientos del negocio
Capacitación en
la metodología
Planes AI acordes
Comprobación de uso
5. Estrategia - Implantar proceso Metodológico
Preliminar (Diagnóstico)
Justificación
- Negocio
- Áreas a Auditar
- Informática
- Plan propuesto
Adecuación
Revisión Informal
Formalización
- Métodos
- Aprobación
- Técnicas
Revisión Formal
- Inicio
- Herramientas
Desarrollo
- Entrevistas
- Visitas
Aprobación Formal
- Recomendaciones
- Informe de auditoría
- Observaciones
Implantación
Acciones Preventivas y Correctivas
Seguimiento
6. Proceso Metodológico General
Etapa
Preliminar
(Diagnóstico)
Productos Terminados
Requerimientos
Adecuación
1.
1.
Matriz de riesgos
1.
2.
Justificación
Diagnóstico de negocio
Diagnóstico de
Informática
Plan de auditoría en
Informática
2.
1.
Plan y Metodología de
acuerdo con el cliente
Plan detallado
1.
Plan Aprobado
Compromiso Ejecutivo
1.
Auditar áreas
seleccionadas
Informe de auditoría en
Informática
1.
Recomendaciones y
acciones terminadas
Aprobación final
1.
1.
2.
2.
Formalización
1.
2.
Desarrollo
1.
2.
Implantación
1.
2.
2.
2.
2.
2.
2.
3.
Responsab
le
Involucrados
Involucramiento de la
Dirección.
Información veraz
LP
AD/AI
LP
RI/RAI
Análisis de riesgos y áreas de
oportunidad
Definir responsables y tiempos
LP
RAI/RI
LP
RAI
Entendimiento del negocio y
de la función de Informática.
Detallar tareas y tiempos
LP
RI/RAI/PU
LP
RI/RAI/PU
Aprobación formal (firmas)
Respaldo y apoyo al proyecto
AD
AD
RI/RAI/PU
RI/RAI/PU
Aprobación de la dirección
Asignar responsables y
tiempos para cada acción
recomendada
LP
RI/PU/AI
AD/PI/PU
RAI/LP/AI
Compromiso ejecutivo
Basarse en plan de
implantación
Verificar cumplimiento del plan
RI/PU
LP/AI
RI/PU/RAI
LP/AI
AD: Alta Dirección; PU: Personal Usuario; RI: Responsable del Área de Informática; PI: Personal de Informática;
RAI: Responsable del Área de Auditoría Informática; LP: Líder del proyecto de Auditoría Informática; AI: Auditor en
Informática
8. Resultados satisfactorios de la Auditoría
• Dominio de los conceptos técnicos y administrativos relacionados.
• Habilidades inherentes a la Auditoria Informática.
• Entendimiento de la Auditoría Informática y sus tendencias.
• Adaptación o actualización según el medio dominante.
• Organización y administración formal de la Auditoría Informática en el
negocio.
• Involucramiento formal en el proceso de planeación del negocio y de la
auditoría tradicional.
9. Resultados satisfactorios de la Auditoría
• Desarrollo de un proceso formal de planeación de Auditoría
Informática.
• Entendimiento y aplicación de un proceso metodológico formal de la
Auditoría Informática.
• Participación formal, en asociaciones, instituciones educativas, etc.,
con fines de actualización o de compartir las experiencias
profesionales en el campo de la Auditoría Informática.
• Gusto e identificación profesional por la carrera de Auditoría
Informática.
• Entendimiento satisfactorio de los métodos, técnicas y herramientas
necesarios para auditar las áreas seleccionadas en el proceso de
planeación de la AI.
10. Técnicas y Herramientas
Definir técnicas y herramientas mínimas para cada etapa del
proyecto de Auditoría Informática
•
•
•
•
•
•
Muestreos.
Entrevistas.
Cuestionarios.
Inspección.
Observación.
Documentación.
11. Técnicas y Herramientas
Definir técnicas y herramientas mínimas para cada etapa del
proyecto de Auditoría Informática
•
•
•
•
•
•
Software de auditoría.
Análisis de procesos de negocios.
Análisis de sistemas.
Lenguajes de programación.
Paquetes.
Equipos de Computo.
13. Técnicas de Auditoría
Las técnicas de auditoría son métodos prácticos de
investigación y prueba que utiliza el auditor para obtener la
evidencia que fundamente sus opiniones, conclusiones y
reportes.
• Las técnicas seleccionadas y aplicadas se convierten en procedimientos
de auditoría.
14. Técnica Ocular
Consiste en observar en forma directa y paralela la manera
como los responsables de la administración, desarrollan y
documentan los procesos o procedimientos que la organización
utiliza para ejecutar las actividades objeto de control.
15. Técnica Ocular
• Comparación
Es el acto de apreciar la similitud o diferencia existente entre dos o más
elementos o situaciones.
En la auditoria supone cotejar y evaluar los mismos criterios aceptables que
facilitan la labor del auditor para obtener de dicha acción un resultado o
conclusión.
• Observación
Es el examen visual u ocular realizado para cerciorarse de hechos,
circunstancias y de como se ejecutan las operaciones.
Es de utilidad en todas las fases del proceso de auditoria. Puede ser
efectuada de manera abierta o discreta.
16. Técnica Verbal u Oral
Permite obtener información mediante el dialogo con los
integrantes de la organización o los de su entorno relevante,
con el propósito de averiguar o indagar posibles debilidades de
los procedimientos, prácticas de control interno y otras
situaciones que el auditor considere importante en el desarrollo
de su trabajo.
17. Técnica Verbal u Oral
Indagación:
• Es el acto de obtener información verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios de la
entidad. Suelen aportar elementos de juicio en los que puede confiarse
si son razonables y consistentes.
Es de especial utilidad cuando se examinan áreas o asuntos no
documentados, sin embargo sus resultados no constituyen por sí solos
evidencia suficiente.
18. Técnica Verbal u Oral
Entrevistas
• Pueden ser efectuadas a los directivos, funcionarios y trabajadores en
general de la entidad auditada o a personas beneficiarias u otras
vinculadas respecto de los programas u operaciones sujetas a examen.
• Deben ser apropiadamente preparadas, definiéndose previamente a su
realización quienes serán los entrevistados y las preguntas que se
formularán.
• Deberán ser documentadas y advertirse al entrevistado de su propósito o
finalidad.
19. Técnica Verbal u Oral
Encuestas
• Son útiles para recopilar información de un gran universo de datos o
grupos de personas.
• Presentan como ventaja la economía de costos y tiempos para obtener
información, sin embargo exigen una preparación y definición de su alcance
adecuada y rigurosa en beneficio de su confiabilidad y utilidad, es
recomendable recurrir a las técnicas propias de la estadística.
20. Técnica Escrita
Es la actividad de registrar o plasmar información que a juicio
del auditor sea importante dentro de su trabajo.
• Análisis
Consiste en identificar, estratificar o clasificar elementos constitutivos del
objeto de análisis, con el propósito de obtener información y llegar a
conclusiones que a juicio del auditor afecten la gestión de la organización
auditada.
21. Técnica Escrita
• Conciliación
• Es el cotejo o confrontación que se hace a la información obtenida de
diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento de
metas, objetivos o de registros independientes pero relacionados entre sí,
para establecer su conformidad y veracidad.
• Confirmación
• Permite obtener un grado razonable de certeza sobre la existencia,
cumplimiento, veracidad y autenticidad de planes y programas ejecutados,
cobertura de usuarios, operaciones, cifras y datos.
22. Técnica Documental
Consiste en obtener información escrita que permita soportar
las afirmaciones, análisis o estudios realizados por los
auditores.
• Comprobación
Verifica la evidencia que apoya o sustenta una operación o transacción con
el fin de corroborar su autoridad, legalidad, propiedad y veracidad.
• Computación
Es el análisis de documentos, programas, datos o hechos asistidos por el
computador y/o software especializados, cuando las operaciones o
transacciones se ejecutan en cantidad tal que su análisis manual resultaría
tedioso.
23. Técnica Documental
• Rastreo
• Es utilizada para hacer seguimiento y control, de modo progresivo y
razonado, a una operación o conjunto de ellas, de un punto a otro dentro de
un proceso o actividad determinada.
• Revisión Analítica
• Comprende el análisis de índices, indicadores, tendencias y la investigación
de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o
se desvíen de las operaciones proyectadas de la organización.
25. Introducción
Las técnicas de auditoría Asistidas por Computadora son la
utilización de determinados paquetes de programas que actúan
sobre los datos, realizando con más frecuencia los siguientes
trabajos:
• Selección e impresión de muestras de auditorias sobre bases
estadísticas o no estadísticas, a lo que agregamos, sobre la base de los
conocimientos adquiridos por los auditores.
• Verificación matemática de sumas, multiplicaciones y otros cálculos en
los archivos del sistema auditado.
26. Introducción
• Realización de funciones de revisión analítica, al establecer
comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo
cálculos de regresión múltiple.
• Manipulación de la información al calcular subtotales, sumar y clasificar
la información, volver a ordenar en serie la información, etc.
• Examen de registros de acuerdo con los criterios especificados.
• Búsqueda de alguna información en particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las bases de datos del sistema que
se audita.
28. Generalidades
La auditoría y la auditoría informática tienen una demanda
creciente y crecientes exigencias de cobertura y granularidad.
El auditor es un recurso limitado, escaso, relativamente caro.
• Existe gran variedad de modos de clasificación:
Embebidas. (EAM)
Verticales de gestión (de la auditoría). GAT/CAAT. IDEA y ACL.
Hacking ético
Compliance
29. Herramientas
Las herramientas pueden ser especificas, sustitutivas e incluso
ser multipropósito.
• Generalmente, el mejor costo-beneficio se obtiene con herramientas
especificas, no multipropósito.
• Excepto claro que los costos de formación, su frecuencia e intensidad de
uso y el propio costo directo de cada herramienta aconsejen una
multipropósito.
30. Herramientas
El objeto
(objetivo y control)
Herramienta
La herramienta
depende del objeto
Determina la herramienta
en función de objeto y su
dominio de herramienta
El sujeto
(quien las usa)
Debe “dominar” (metodología)
la herramienta (no al reves)
31. Herramientas
Integración de la Auditoría.
Auditoría
SITIC
Auditoría
Operativa
Auditorias de
“Sistemas de
Gestión”
Núcleo
común
creciente
Auditoría
Financiera
ISO 9001: 2000 Gestion de la Calidad
ISO 27001 SGSI (ISMS)
ISO 14000 Gestion Medioambiental
32. Herramientas según su procedencia
• De entorno adquisición – construcción.
• Lenguajes de programación, debuggers, analizadores.
• De prueba.
• ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y
auditoria “continuada”
• Del entorno explotación-operación.
• El acceso debe ser controlado y supervisado, pues el riesgo de impacto de
un acceso instructivo en un entorno de producción es muy alto.
33. Herramientas según su procedencia
• Software de Sistemas
Un ASITIC capaz de lograr acceso privilegiado al SO, software de red, logs,
etc., puede explotar enormes ventajas.
• Utilidades
Potentes herramientas, fundamentalmente de extracción de datos. El ASITIC
debe comprobar que el acceso a utilidades por el personal auditado esta
restringido al máximo, y totalmente trazado, cuando se usan.
34. Herramientas según su procedencia
• TCP/IP e Internet
Hacking Ético
– Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye,
LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe,
SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke,
WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper.
• Específicas de Auditoría y Herramientas Ofimáticas
35. Herramientas según su función
Captura de datos.
• Recoge información, captura datos, que serán usados (analizados,
interpretados, utilizados) en fase posterior o simultanea.
Muestras.
– Es una técnica estadística de la que se sabe mucho y se abusa muco (por la ignorancia de
quienes lo hacen).
Vigilancia.
– Es una variante del muestreo.
Forense.
– Variante especial de la recogida de dato.
36. Herramientas según su función
Análisis
• El análisis o interpretación y evaluación de la información recogida
puede ser concomitante con la recogida de la información (alertas y
gestión de incidencias) o ser diferidas, incluso con horizontes muy
amplios.
37. Herramientas según su uso o propósito
Las herramientas de auditoría pueden usarse para:
• Auditoría SITIC
• Otros uso, legítimos o ilegítimos.
• Auditorias con SITIC
Auditoría Interna o Externa, Auditoría Operativa, Auditoría de Cuentas,
Auditoría SITIC, Auditoría ISO 9001: 2000, ISO 27001, ISO 14000, apartes
de las intervenciones de control de directivos y supervisores, CSA (Control
Self Assement).
38. Herramientas según su ubicación
Naturaleza
cíclica
y
administrativa del ciclo de
vida de la ASITIC.
• Auditoría
integral,
que
minimice solapes y lagunas
de
unas
y
otras
intervenciones.
• Auditoría
continua,
que
acorde los ciclos deteccióncorrección y con ello facilite
reducir el riesgo.
• Paquetes
integrales
de
auditoría que “integren” las
labores administrativas y las
técnicas.
1. Evaluación de Riesgos
2. Calendario de auditoría
3. Presupuesto
4. Programa de auditoría
5. Pruebas de auditoría
6. Análisis
7. Hallazgos
8. Informe
Aplicable a
ASITIC
“discreta”
puntual o
periodica;
no continua
39. Herramientas según su ubicación
Prospectiva Auditoría SITIC 2007-2017
2007
2017
Embedida
ámbito
Automatizada
Continua
Integrada
40. Herramientas según su ubicación
• Herramientas embebidas.
• Herramientas construidas/adquiridas al tiempo que la aplicación/sistema
principal, normalmente por requerimiento de un ASITIC que ha participado en
el proyecto o por el buen hacer de los desarrolladores.
• Herramientas intrusivas.
Insertan en el sistema algún servicio para generar logs; o bien durante el
hacking ético, dejen algún tipo de traza.
• Herramientas no intrusivas.
Como lo hacen las GAS/CAAT.
41. Herramientas según su ubicación
Auditoría Continua/Auditoría en Línea.
• El objetivo es asegurar que las transacciones en tiempo real se
benefician de monitorización y controles también en tiempo real.
• La auditoría continua exige servicios en línea. Puede ser total o por
muestreo
42. Herramientas según su ubicación
Auditoría Continua/Auditoría en Línea.
• Las condiciones de éxito para una auditoría continua son estrictas:
Alta automatización de la detección, con filtros sofisticados y alarmas en
tiempo real.
Herramientas de auditoría avanzadas y paramétricas.
Excelente y ágil interfaz con los auditores altamente cualificados.
Mínimo estorbo al auditado.
• Las técnicas de auditoría continua recorren:
Registro de transacciones, las herramientas de consulta (query)
CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses, datamining,
IA, redes neuronales, XBRL.
43. Herramientas según su ubicación
Auditoría diferida “Cooperativa”
Auditor
2
1
Selecciona, con CAAT y
CRITERIO, una muestra de
Transacciones
Universo de
transacciones
Auditado
3
5
4
Aplicación Web remite la
transacción seleccionada al
auditado e incorpora “mascara”
(petición y cuestionario)
Tabula respuestas
7
Emite Informe
6
Todo este proceso puede
“desencadenarse” -punto4en tiempo real o algo muy
diferido
44. Herramientas según su ubicación
• Herramientas exentas
• El amplio uso por los ASITIC
• Herramientas específicamente diseñadas como de auditoría.
• Herramientas horizontales
• Groupware.
– Son aplicaciones o suites particularmente diseñadas para el trabajo en equipo, sobre las que
se pueden hacer integraciones.
• GRC.
– Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en
esta categoría ofimática, admite entradas propias de los sistemas de vigilancia.
45. Herramientas según su ubicación
• Herramientas verticales
• Pueden serlo mas de gestión o mas técnicas.
– Las mas de gestión se inclinan a las horizontales y el Groupware.
– Las mas técnicas fundamentalmente en las GAS (Generalized Audit Software), SAS
(Statement on Auditing Standard)
46. Herramientas según su ubicación
• Herramientas verticales de gestión
Audinfor. www.audinfor.com
Bindview. Software de cumplimiento de seguridad. www.paisley.com,
www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.
Paisley. Su producto AutoAudit es una conocida herramienta vertical de
gestión.
Protivity Inc. Consultores de gestion de riesgos.
TeamMate.
Herramienta
de
gestion
de
papeles
de
trabajo.
www.pwc.com/teammate/
Tripwire. www.tripwire.com/index.cfm
47. Herramientas según su ubicación
• Herramienta verticales técnicas.
Son herramientas especializadas. Atacan a los archivos de datos y no a los
programas de aplicación, por lo general suelen ser invariantes de los
programas y mas objetivas en cuanto a los datos.
ACL, IDEA.
– Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados
según una variedad de estándares.
– Calculo, creando campos lógicos, resultando de aplicar una formula a los campos
originalmente importados.
48. Herramientas según su productividad
El director ejecutivo de auditoría debe asegurar que los
recursos de auditoría interna sean adecuados, suficientes y
efectivamente asignados para cumplir con el plan aprobado.
Standards for IS Auditing (SISA) (Normas Generales para la auditoría de los
Sistemas de Información)
Código
Titulo
Puntos Concretos
S6
Realización de labores de Auditoría
04, 05, 07, 08, 09, 10
S7
Reporte
03,07
S8
Actividades de seguimiento
08,09
IS Auditing Guidelines (ISAG) (Directrices de Auditoría)
Código
Titulo
Puntos concretos
G3
Uso de CAAT
Todo
G8
Documentación de la Auditoría
Todo
G10
Muestreo en Auditoría
Todo
G35
Actividades de Seguimiento
2.3.1, 2.3.2, 2.6, 4.1.2
49. Herramientas según su Cobertura
Es deseable una gran cobertura costo-beneficio y a veces se
considera necesaria.
• Conseguirla depende de una hábil combinación de herramientas
embebidas y GAS/CAAT.
50. Productos
• Herramientas gratuitas
www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm
• ACL. Audit Command Languaje
www.acl.com/default.aspx?bhcp=1
• IDEA. Interactive Data Extraction and Analysis
www.caseware-idea.com
• Symantec.
www.symantec.com/enterprise/index.jsp
• Computer Associates
ca.com/us/products
• Otras
John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check,
Wireshark, Yersinia.
51. Conclusiones
La auditoría SITIC esta en evolución constante, ello depende
de:
• Las nuevas demandas y objetivos
• La disponibilidad de herramientas y técnicas que permitan:
Hacer ciertas pruebas.
Con mayor cobertura.
Con menor riesgo/error.
Con mayor productividad.
• Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva
de su productividad, puede ser propio de tecnólogos o de historiadores;
pero seria un error imperdonable en empresarios, gestores,
economistas, responsables de auditoría y auditores.