SlideShare una empresa de Scribd logo

Metodologías para Auditoría Informática

Cristhian Jack Lopez Suasnabar
Cristhian Jack Lopez Suasnabar
1 de 51
Descargar para leer sin conexión
Metodologías
Desarrollo e Implantación  Experiencia  Conocimiento  Habilidades
Proceso Metodológico - Ventajas Eliminación de Informalidad Obtención de procesos de calidad Mejor Administración Mejor Comunicación Facilidad de Seguimiento
Proceso Metodológico – Requisitos de éxito Adecuación a requerimientos del negocio Capacitación en la metodología Planes AI acordes Comprobación de uso
Estrategia - Implantar proceso Metodológico Preliminar (Diagnóstico) Justificación - Negocio - Áreas a Auditar - Informática - Plan propuesto Adecuación Revisión Informal Formalización - Métodos - Aprobación - Técnicas Revisión Formal - Inicio - Herramientas Desarrollo - Entrevistas - Visitas Aprobación Formal - Recomendaciones - Informe de auditoría - Observaciones Implantación Acciones Preventivas y Correctivas Seguimiento
Proceso Metodológico General Etapa Preliminar (Diagnóstico) Productos Terminados Requerimientos Adecuación 1. 1. Matriz de riesgos 1. 2. Justificación Diagnóstico de negocio Diagnóstico de Informática Plan de auditoría en Informática 2. 1. Plan y Metodología de acuerdo con el cliente Plan detallado 1. Plan Aprobado Compromiso Ejecutivo 1. Auditar áreas seleccionadas Informe de auditoría en Informática 1. Recomendaciones y acciones terminadas Aprobación final 1. 1. 2. 2. Formalización 1. 2. Desarrollo 1. 2. Implantación 1. 2. 2. 2. 2. 2. 2. 3. Responsab le Involucrados Involucramiento de la Dirección. Información veraz LP AD/AI LP RI/RAI Análisis de riesgos y áreas de oportunidad Definir responsables y tiempos LP RAI/RI LP RAI Entendimiento del negocio y de la función de Informática. Detallar tareas y tiempos LP RI/RAI/PU LP RI/RAI/PU Aprobación formal (firmas) Respaldo y apoyo al proyecto AD AD RI/RAI/PU RI/RAI/PU Aprobación de la dirección Asignar responsables y tiempos para cada acción recomendada LP RI/PU/AI AD/PI/PU RAI/LP/AI Compromiso ejecutivo Basarse en plan de implantación Verificar cumplimiento del plan RI/PU LP/AI RI/PU/RAI LP/AI AD: Alta Dirección; PU: Personal Usuario; RI: Responsable del Área de Informática; PI: Personal de Informática; RAI: Responsable del Área de Auditoría Informática; LP: Líder del proyecto de Auditoría Informática; AI: Auditor en Informática
Métodos Técnicas y Herramientas por Área de Revisión
Resultados satisfactorios de la Auditoría • Dominio de los conceptos técnicos y administrativos relacionados. • Habilidades inherentes a la Auditoria Informática. • Entendimiento de la Auditoría Informática y sus tendencias. • Adaptación o actualización según el medio dominante. • Organización y administración formal de la Auditoría Informática en el negocio. • Involucramiento formal en el proceso de planeación del negocio y de la auditoría tradicional.
Resultados satisfactorios de la Auditoría • Desarrollo de un proceso formal de planeación de Auditoría Informática. • Entendimiento y aplicación de un proceso metodológico formal de la Auditoría Informática. • Participación formal, en asociaciones, instituciones educativas, etc., con fines de actualización o de compartir las experiencias profesionales en el campo de la Auditoría Informática. • Gusto e identificación profesional por la carrera de Auditoría Informática. • Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar las áreas seleccionadas en el proceso de planeación de la AI.
Técnicas y Herramientas  Definir técnicas y herramientas mínimas para cada etapa del proyecto de Auditoría Informática • • • • • • Muestreos. Entrevistas. Cuestionarios. Inspección. Observación. Documentación.
Técnicas y Herramientas  Definir técnicas y herramientas mínimas para cada etapa del proyecto de Auditoría Informática • • • • • • Software de auditoría. Análisis de procesos de negocios. Análisis de sistemas. Lenguajes de programación. Paquetes. Equipos de Computo.
Técnicas de Auditoría
Técnicas de Auditoría  Las técnicas de auditoría son métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia que fundamente sus opiniones, conclusiones y reportes. • Las técnicas seleccionadas y aplicadas se convierten en procedimientos de auditoría.
Técnica Ocular  Consiste en observar en forma directa y paralela la manera como los responsables de la administración, desarrollan y documentan los procesos o procedimientos que la organización utiliza para ejecutar las actividades objeto de control.
Técnica Ocular • Comparación  Es el acto de apreciar la similitud o diferencia existente entre dos o más elementos o situaciones.  En la auditoria supone cotejar y evaluar los mismos criterios aceptables que facilitan la labor del auditor para obtener de dicha acción un resultado o conclusión. • Observación  Es el examen visual u ocular realizado para cerciorarse de hechos, circunstancias y de como se ejecutan las operaciones.  Es de utilidad en todas las fases del proceso de auditoria. Puede ser efectuada de manera abierta o discreta.
Técnica Verbal u Oral  Permite obtener información mediante el dialogo con los integrantes de la organización o los de su entorno relevante, con el propósito de averiguar o indagar posibles debilidades de los procedimientos, prácticas de control interno y otras situaciones que el auditor considere importante en el desarrollo de su trabajo.
Técnica Verbal u Oral  Indagación: • Es el acto de obtener información verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios de la entidad. Suelen aportar elementos de juicio en los que puede confiarse si son razonables y consistentes.  Es de especial utilidad cuando se examinan áreas o asuntos no documentados, sin embargo sus resultados no constituyen por sí solos evidencia suficiente.
Técnica Verbal u Oral  Entrevistas • Pueden ser efectuadas a los directivos, funcionarios y trabajadores en general de la entidad auditada o a personas beneficiarias u otras vinculadas respecto de los programas u operaciones sujetas a examen. • Deben ser apropiadamente preparadas, definiéndose previamente a su realización quienes serán los entrevistados y las preguntas que se formularán. • Deberán ser documentadas y advertirse al entrevistado de su propósito o finalidad.
Técnica Verbal u Oral  Encuestas • Son útiles para recopilar información de un gran universo de datos o grupos de personas. • Presentan como ventaja la economía de costos y tiempos para obtener información, sin embargo exigen una preparación y definición de su alcance adecuada y rigurosa en beneficio de su confiabilidad y utilidad, es recomendable recurrir a las técnicas propias de la estadística.
Técnica Escrita  Es la actividad de registrar o plasmar información que a juicio del auditor sea importante dentro de su trabajo. • Análisis  Consiste en identificar, estratificar o clasificar elementos constitutivos del objeto de análisis, con el propósito de obtener información y llegar a conclusiones que a juicio del auditor afecten la gestión de la organización auditada.
Técnica Escrita • Conciliación • Es el cotejo o confrontación que se hace a la información obtenida de diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento de metas, objetivos o de registros independientes pero relacionados entre sí, para establecer su conformidad y veracidad. • Confirmación • Permite obtener un grado razonable de certeza sobre la existencia, cumplimiento, veracidad y autenticidad de planes y programas ejecutados, cobertura de usuarios, operaciones, cifras y datos.
Técnica Documental  Consiste en obtener información escrita que permita soportar las afirmaciones, análisis o estudios realizados por los auditores. • Comprobación  Verifica la evidencia que apoya o sustenta una operación o transacción con el fin de corroborar su autoridad, legalidad, propiedad y veracidad. • Computación  Es el análisis de documentos, programas, datos o hechos asistidos por el computador y/o software especializados, cuando las operaciones o transacciones se ejecutan en cantidad tal que su análisis manual resultaría tedioso.
Técnica Documental • Rastreo • Es utilizada para hacer seguimiento y control, de modo progresivo y razonado, a una operación o conjunto de ellas, de un punto a otro dentro de un proceso o actividad determinada. • Revisión Analítica • Comprende el análisis de índices, indicadores, tendencias y la investigación de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o se desvíen de las operaciones proyectadas de la organización.
Técnicas de auditoría Asistida por Computadora
Introducción  Las técnicas de auditoría Asistidas por Computadora son la utilización de determinados paquetes de programas que actúan sobre los datos, realizando con más frecuencia los siguientes trabajos: • Selección e impresión de muestras de auditorias sobre bases estadísticas o no estadísticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores. • Verificación matemática de sumas, multiplicaciones y otros cálculos en los archivos del sistema auditado.
Introducción • Realización de funciones de revisión analítica, al establecer comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo cálculos de regresión múltiple. • Manipulación de la información al calcular subtotales, sumar y clasificar la información, volver a ordenar en serie la información, etc. • Examen de registros de acuerdo con los criterios especificados. • Búsqueda de alguna información en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita.
Herramientas para la Auditoría de los SI
Generalidades  La auditoría y la auditoría informática tienen una demanda creciente y crecientes exigencias de cobertura y granularidad.  El auditor es un recurso limitado, escaso, relativamente caro. • Existe gran variedad de modos de clasificación:     Embebidas. (EAM) Verticales de gestión (de la auditoría). GAT/CAAT. IDEA y ACL. Hacking ético Compliance
Herramientas  Las herramientas pueden ser especificas, sustitutivas e incluso ser multipropósito. • Generalmente, el mejor costo-beneficio se obtiene con herramientas especificas, no multipropósito. • Excepto claro que los costos de formación, su frecuencia e intensidad de uso y el propio costo directo de cada herramienta aconsejen una multipropósito.
Herramientas El objeto (objetivo y control) Herramienta La herramienta depende del objeto Determina la herramienta en función de objeto y su dominio de herramienta El sujeto (quien las usa) Debe “dominar” (metodología) la herramienta (no al reves)
Herramientas  Integración de la Auditoría. Auditoría SITIC Auditoría Operativa Auditorias de “Sistemas de Gestión” Núcleo común creciente Auditoría Financiera ISO 9001: 2000 Gestion de la Calidad ISO 27001 SGSI (ISMS) ISO 14000 Gestion Medioambiental
Herramientas según su procedencia • De entorno adquisición – construcción. • Lenguajes de programación, debuggers, analizadores. • De prueba. • ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y auditoria “continuada” • Del entorno explotación-operación. • El acceso debe ser controlado y supervisado, pues el riesgo de impacto de un acceso instructivo en un entorno de producción es muy alto.
Herramientas según su procedencia • Software de Sistemas  Un ASITIC capaz de lograr acceso privilegiado al SO, software de red, logs, etc., puede explotar enormes ventajas. • Utilidades  Potentes herramientas, fundamentalmente de extracción de datos. El ASITIC debe comprobar que el acceso a utilidades por el personal auditado esta restringido al máximo, y totalmente trazado, cuando se usan.
Herramientas según su procedencia • TCP/IP e Internet  Hacking Ético – Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye, LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe, SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke, WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper. • Específicas de Auditoría y Herramientas Ofimáticas
Herramientas según su función  Captura de datos. • Recoge información, captura datos, que serán usados (analizados, interpretados, utilizados) en fase posterior o simultanea.  Muestras. – Es una técnica estadística de la que se sabe mucho y se abusa muco (por la ignorancia de quienes lo hacen).  Vigilancia. – Es una variante del muestreo.  Forense. – Variante especial de la recogida de dato.
Herramientas según su función  Análisis • El análisis o interpretación y evaluación de la información recogida puede ser concomitante con la recogida de la información (alertas y gestión de incidencias) o ser diferidas, incluso con horizontes muy amplios.
Herramientas según su uso o propósito  Las herramientas de auditoría pueden usarse para: • Auditoría SITIC • Otros uso, legítimos o ilegítimos. • Auditorias con SITIC  Auditoría Interna o Externa, Auditoría Operativa, Auditoría de Cuentas, Auditoría SITIC, Auditoría ISO 9001: 2000, ISO 27001, ISO 14000, apartes de las intervenciones de control de directivos y supervisores, CSA (Control Self Assement).
Herramientas según su ubicación  Naturaleza cíclica y administrativa del ciclo de vida de la ASITIC. • Auditoría integral, que minimice solapes y lagunas de unas y otras intervenciones. • Auditoría continua, que acorde los ciclos deteccióncorrección y con ello facilite reducir el riesgo. • Paquetes integrales de auditoría que “integren” las labores administrativas y las técnicas. 1. Evaluación de Riesgos 2. Calendario de auditoría 3. Presupuesto 4. Programa de auditoría 5. Pruebas de auditoría 6. Análisis 7. Hallazgos 8. Informe Aplicable a ASITIC “discreta” puntual o periodica; no continua
Herramientas según su ubicación  Prospectiva Auditoría SITIC 2007-2017 2007 2017 Embedida ámbito Automatizada Continua Integrada
Herramientas según su ubicación • Herramientas embebidas. • Herramientas construidas/adquiridas al tiempo que la aplicación/sistema principal, normalmente por requerimiento de un ASITIC que ha participado en el proyecto o por el buen hacer de los desarrolladores. • Herramientas intrusivas.  Insertan en el sistema algún servicio para generar logs; o bien durante el hacking ético, dejen algún tipo de traza. • Herramientas no intrusivas.  Como lo hacen las GAS/CAAT.
Herramientas según su ubicación  Auditoría Continua/Auditoría en Línea. • El objetivo es asegurar que las transacciones en tiempo real se benefician de monitorización y controles también en tiempo real. • La auditoría continua exige servicios en línea. Puede ser total o por muestreo
Herramientas según su ubicación  Auditoría Continua/Auditoría en Línea. • Las condiciones de éxito para una auditoría continua son estrictas:  Alta automatización de la detección, con filtros sofisticados y alarmas en tiempo real.  Herramientas de auditoría avanzadas y paramétricas.  Excelente y ágil interfaz con los auditores altamente cualificados.  Mínimo estorbo al auditado. • Las técnicas de auditoría continua recorren:  Registro de transacciones, las herramientas de consulta (query)  CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses, datamining, IA, redes neuronales, XBRL.
Herramientas según su ubicación  Auditoría diferida “Cooperativa” Auditor 2 1 Selecciona, con CAAT y CRITERIO, una muestra de Transacciones Universo de transacciones Auditado 3 5 4 Aplicación Web remite la transacción seleccionada al auditado e incorpora “mascara” (petición y cuestionario) Tabula respuestas 7 Emite Informe 6 Todo este proceso puede “desencadenarse” -punto4en tiempo real o algo muy diferido
Herramientas según su ubicación • Herramientas exentas • El amplio uso por los ASITIC • Herramientas específicamente diseñadas como de auditoría. • Herramientas horizontales • Groupware. – Son aplicaciones o suites particularmente diseñadas para el trabajo en equipo, sobre las que se pueden hacer integraciones. • GRC. – Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en esta categoría ofimática, admite entradas propias de los sistemas de vigilancia.
Herramientas según su ubicación • Herramientas verticales • Pueden serlo mas de gestión o mas técnicas. – Las mas de gestión se inclinan a las horizontales y el Groupware. – Las mas técnicas fundamentalmente en las GAS (Generalized Audit Software), SAS (Statement on Auditing Standard)
Herramientas según su ubicación • Herramientas verticales de gestión  Audinfor. www.audinfor.com  Bindview. Software de cumplimiento de seguridad. www.paisley.com, www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.  Paisley. Su producto AutoAudit es una conocida herramienta vertical de gestión.  Protivity Inc. Consultores de gestion de riesgos.  TeamMate. Herramienta de gestion de papeles de trabajo. www.pwc.com/teammate/  Tripwire. www.tripwire.com/index.cfm
Herramientas según su ubicación • Herramienta verticales técnicas.  Son herramientas especializadas. Atacan a los archivos de datos y no a los programas de aplicación, por lo general suelen ser invariantes de los programas y mas objetivas en cuanto a los datos.  ACL, IDEA. – Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados según una variedad de estándares. – Calculo, creando campos lógicos, resultando de aplicar una formula a los campos originalmente importados.
Herramientas según su productividad  El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado. Standards for IS Auditing (SISA) (Normas Generales para la auditoría de los Sistemas de Información) Código Titulo Puntos Concretos S6 Realización de labores de Auditoría 04, 05, 07, 08, 09, 10 S7 Reporte 03,07 S8 Actividades de seguimiento 08,09 IS Auditing Guidelines (ISAG) (Directrices de Auditoría) Código Titulo Puntos concretos G3 Uso de CAAT Todo G8 Documentación de la Auditoría Todo G10 Muestreo en Auditoría Todo G35 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6, 4.1.2
Herramientas según su Cobertura  Es deseable una gran cobertura costo-beneficio y a veces se considera necesaria. • Conseguirla depende de una hábil combinación de herramientas embebidas y GAS/CAAT.
Productos • Herramientas gratuitas  www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm • ACL. Audit Command Languaje  www.acl.com/default.aspx?bhcp=1 • IDEA. Interactive Data Extraction and Analysis  www.caseware-idea.com • Symantec.  www.symantec.com/enterprise/index.jsp • Computer Associates  ca.com/us/products • Otras  John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check, Wireshark, Yersinia.
Conclusiones  La auditoría SITIC esta en evolución constante, ello depende de: • Las nuevas demandas y objetivos • La disponibilidad de herramientas y técnicas que permitan:     Hacer ciertas pruebas. Con mayor cobertura. Con menor riesgo/error. Con mayor productividad. • Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva de su productividad, puede ser propio de tecnólogos o de historiadores; pero seria un error imperdonable en empresarios, gestores, economistas, responsables de auditoría y auditores.

Recomendados

CLASE 1: AUDITORIA
CLASE 1: AUDITORIACLASE 1: AUDITORIA
CLASE 1: AUDITORIAangeles111
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistemaMario rivadeneira delgado
 
Auditoría de sistemas instalados
Auditoría de sistemas instaladosAuditoría de sistemas instalados
Auditoría de sistemas instaladosale6119
 
Diapositiva de auditoria
Diapositiva de auditoriaDiapositiva de auditoria
Diapositiva de auditoriaolinda2015
 
Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoWalter Y. Casallas
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 

Recomendados

CLASE 1: AUDITORIA
CLASE 1: AUDITORIACLASE 1: AUDITORIA
CLASE 1: AUDITORIAangeles111
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistemaMario rivadeneira delgado
 
Auditoría de sistemas instalados
Auditoría de sistemas instaladosAuditoría de sistemas instalados
Auditoría de sistemas instaladosale6119
 
Diapositiva de auditoria
Diapositiva de auditoriaDiapositiva de auditoria
Diapositiva de auditoriaolinda2015
 
Roles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoRoles del auditor doc madeleine vallejo
Roles del auditor doc madeleine vallejoWalter Y. Casallas
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Proceso de la auditoria de sistemas
Proceso de la auditoria de sistemasProceso de la auditoria de sistemas
Proceso de la auditoria de sistemasJose Alvarado Robles
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Herramientas y Técnicas de la Auditoria Informática Guía #2
Herramientas y Técnicas de la Auditoria Informática Guía #2Herramientas y Técnicas de la Auditoria Informática Guía #2
Herramientas y Técnicas de la Auditoria Informática Guía #2henser
 
Auditoria de sistemas Homework
Auditoria de sistemas HomeworkAuditoria de sistemas Homework
Auditoria de sistemas HomeworkJean Cruz
 
Investigacion enviado
Investigacion enviadoInvestigacion enviado
Investigacion enviadomjesus72
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaisgleidy
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
Uso de herramientas para auditoría informátic1
Uso de herramientas para auditoría informátic1Uso de herramientas para auditoría informátic1
Uso de herramientas para auditoría informátic1Montse Perez
 
Metodologia para realizar auditorias
Metodologia para realizar auditoriasMetodologia para realizar auditorias
Metodologia para realizar auditoriasjoseaunefa
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaMartin Zǝlɐzuoƃ
 
Fases de la Auditoría
Fases de la AuditoríaFases de la Auditoría
Fases de la AuditoríaLuz Lugo
 
Método del auditor interno o externo
Método del auditor interno o externoMétodo del auditor interno o externo
Método del auditor interno o externoMayra Bernardo Crispin
 
Procesos de auditoria
Procesos de auditoriaProcesos de auditoria
Procesos de auditoriaMathias Sebastian
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copiaPrisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copiaPrisma Consultoria
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaRevisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaEfrain Reyes
 
Planeacion auditoria
Planeacion auditoriaPlaneacion auditoria
Planeacion auditoriaLizzet Juarez
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control internoCristhian Jack Lopez Suasnabar
 
AP 1182
AP 1182AP 1182
AP 1182Herman Budi
 
Resume of Krishnendu Palit
Resume of Krishnendu PalitResume of Krishnendu Palit
Resume of Krishnendu PalitKrishnendu Palit
 
Question two
Question twoQuestion two
Question twoBen Lynn
 

Más contenido relacionado

La actualidad más candente

Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Herramientas y Técnicas de la Auditoria Informática Guía #2
Herramientas y Técnicas de la Auditoria Informática Guía #2Herramientas y Técnicas de la Auditoria Informática Guía #2
Herramientas y Técnicas de la Auditoria Informática Guía #2henser
 
Auditoria de sistemas Homework
Auditoria de sistemas HomeworkAuditoria de sistemas Homework
Auditoria de sistemas HomeworkJean Cruz
 
Investigacion enviado
Investigacion enviadoInvestigacion enviado
Investigacion enviadomjesus72
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaisgleidy
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticajoseaunefa
 
Uso de herramientas para auditoría informátic1
Uso de herramientas para auditoría informátic1Uso de herramientas para auditoría informátic1
Uso de herramientas para auditoría informátic1Montse Perez
 
Metodologia para realizar auditorias
Metodologia para realizar auditoriasMetodologia para realizar auditorias
Metodologia para realizar auditoriasjoseaunefa
 
Fases de la Auditoría
Fases de la AuditoríaFases de la Auditoría
Fases de la AuditoríaLuz Lugo
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copiaPrisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copiaPrisma Consultoria
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaRevisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaEfrain Reyes
 
Planeacion auditoria
Planeacion auditoriaPlaneacion auditoria
Planeacion auditoriaLizzet Juarez
 

La actualidad más candente (18)

Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Herramientas y Técnicas de la Auditoria Informática Guía #2
Herramientas y Técnicas de la Auditoria Informática Guía #2Herramientas y Técnicas de la Auditoria Informática Guía #2
Herramientas y Técnicas de la Auditoria Informática Guía #2
 
Auditoria de sistemas Homework
Auditoria de sistemas HomeworkAuditoria de sistemas Homework
Auditoria de sistemas Homework
 
Investigacion enviado
Investigacion enviadoInvestigacion enviado
Investigacion enviado
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Herramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informáticaHerramientas y técnicas para la auditoria informática
Herramientas y técnicas para la auditoria informática
 
Uso de herramientas para auditoría informátic1
Uso de herramientas para auditoría informátic1Uso de herramientas para auditoría informátic1
Uso de herramientas para auditoría informátic1
 
Metodologia para realizar auditorias
Metodologia para realizar auditoriasMetodologia para realizar auditorias
Metodologia para realizar auditorias
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Fases de la Auditoría
Fases de la AuditoríaFases de la Auditoría
Fases de la Auditoría
 
Método del auditor interno o externo
Método del auditor interno o externoMétodo del auditor interno o externo
Método del auditor interno o externo
 
Procesos de auditoria
Procesos de auditoriaProcesos de auditoria
Procesos de auditoria
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
 
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copiaPrisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
Prisma consultoria ex20 v2 presentación auditoría interna iso 19011 - copia
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaRevisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
 
Planeacion auditoria
Planeacion auditoriaPlaneacion auditoria
Planeacion auditoria
 

Destacado

Resume of Krishnendu Palit
Resume of Krishnendu PalitResume of Krishnendu Palit
Resume of Krishnendu PalitKrishnendu Palit
 
Question two
Question twoQuestion two
Question twoBen Lynn
 
Evaluation Question 2
Evaluation Question 2Evaluation Question 2
Evaluation Question 209samuhard
 
Factores humanos y motivacion de pagiarsa
Factores humanos y motivacion de pagiarsaFactores humanos y motivacion de pagiarsa
Factores humanos y motivacion de pagiarsaPaola Arones
 
Singita Sabi Sand certificate of participation in First Aid Training
Singita Sabi Sand certificate of participation in First Aid TrainingSingita Sabi Sand certificate of participation in First Aid Training
Singita Sabi Sand certificate of participation in First Aid TrainingTim Brown
 
Desarenadores convencionales en microcentrales hidroeléctricas
Desarenadores convencionales en microcentrales hidroeléctricasDesarenadores convencionales en microcentrales hidroeléctricas
Desarenadores convencionales en microcentrales hidroeléctricasmariocastellon
 
We’re not asking, we’re telling: An inventory of practices promoting the dign...
We’re not asking, we’re telling: An inventory of practices promoting the dign...We’re not asking, we’re telling: An inventory of practices promoting the dign...
We’re not asking, we’re telling: An inventory of practices promoting the dign...TheHomelessHub
 
Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...
Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...
Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...Crónicas del despojo
 
Brand Team 2016 sales/Marketing Questions
Brand Team 2016 sales/Marketing QuestionsBrand Team 2016 sales/Marketing Questions
Brand Team 2016 sales/Marketing QuestionsDavid Delong
 

Destacado (20)

2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
AP 1182
AP 1182AP 1182
AP 1182
 
Resume of Krishnendu Palit
Resume of Krishnendu PalitResume of Krishnendu Palit
Resume of Krishnendu Palit
 
Question two
Question twoQuestion two
Question two
 
El recreo 2
El recreo 2El recreo 2
El recreo 2
 
Evaluation Question 2
Evaluation Question 2Evaluation Question 2
Evaluation Question 2
 
Happy New Year 2016!
Happy New Year 2016!Happy New Year 2016!
Happy New Year 2016!
 
AP Ethics
AP EthicsAP Ethics
AP Ethics
 
Introducción biologia
Introducción biologiaIntroducción biologia
Introducción biologia
 
Factores humanos y motivacion de pagiarsa
Factores humanos y motivacion de pagiarsaFactores humanos y motivacion de pagiarsa
Factores humanos y motivacion de pagiarsa
 
El blogger
El bloggerEl blogger
El blogger
 
Singita Sabi Sand certificate of participation in First Aid Training
Singita Sabi Sand certificate of participation in First Aid TrainingSingita Sabi Sand certificate of participation in First Aid Training
Singita Sabi Sand certificate of participation in First Aid Training
 
SAYAN_MUKHERJEE_RHCSA
SAYAN_MUKHERJEE_RHCSASAYAN_MUKHERJEE_RHCSA
SAYAN_MUKHERJEE_RHCSA
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
P.4 CAPITOL GAIN
P.4 CAPITOL GAINP.4 CAPITOL GAIN
P.4 CAPITOL GAIN
 
Desarenadores convencionales en microcentrales hidroeléctricas
Desarenadores convencionales en microcentrales hidroeléctricasDesarenadores convencionales en microcentrales hidroeléctricas
Desarenadores convencionales en microcentrales hidroeléctricas
 
We’re not asking, we’re telling: An inventory of practices promoting the dign...
We’re not asking, we’re telling: An inventory of practices promoting the dign...We’re not asking, we’re telling: An inventory of practices promoting the dign...
We’re not asking, we’re telling: An inventory of practices promoting the dign...
 
Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...
Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...
Grandeza y miserias del río Magdalena. El desembarco de las multinacionales e...
 
Un altro tipo di orto
Un altro tipo di ortoUn altro tipo di orto
Un altro tipo di orto
 
Brand Team 2016 sales/Marketing Questions
Brand Team 2016 sales/Marketing QuestionsBrand Team 2016 sales/Marketing Questions
Brand Team 2016 sales/Marketing Questions
 

Similar a Metodologías para Auditoría Informática

Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoríaUro Cacho
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapasarelyochoa
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemasgrangurusv
 
Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoríaUro Cacho
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónedithua
 
PLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAPLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAp8078c
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistemaVita1985
 
Proceso de Auditoria Administrativa
Proceso de Auditoria AdministrativaProceso de Auditoria Administrativa
Proceso de Auditoria Administrativaeveliatrujillo
 
Diapositiva de auditoria
Diapositiva de auditoriaDiapositiva de auditoria
Diapositiva de auditoriaolinda2015
 
Fases de la auditoria administrativa
Fases de la auditoria administrativaFases de la auditoria administrativa
Fases de la auditoria administrativaAnayenci Ramos
 
informe auditoria administrativas
informe auditoria administrativasinforme auditoria administrativas
informe auditoria administrativasAzalea Moraga
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 

Similar a Metodologías para Auditoría Informática (20)

Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoría
 
Auditoria de sistema etapas
Auditoria de sistema etapasAuditoria de sistema etapas
Auditoria de sistema etapas
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
objetivo de auditoria
objetivo de auditoriaobjetivo de auditoria
objetivo de auditoria
 
Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoría
 
CURSO DE AUDITORIA RESUMEN
CURSO DE AUDITORIA RESUMENCURSO DE AUDITORIA RESUMEN
CURSO DE AUDITORIA RESUMEN
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Herramientas y métodos
Herramientas y métodosHerramientas y métodos
Herramientas y métodos
 
PLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAPLANEACION DE AUDITORIA
PLANEACION DE AUDITORIA
 
A
AA
A
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistema
 
Proceso de Auditoria Administrativa
Proceso de Auditoria AdministrativaProceso de Auditoria Administrativa
Proceso de Auditoria Administrativa
 
Diapositiva de auditoria
Diapositiva de auditoriaDiapositiva de auditoria
Diapositiva de auditoria
 
02.Clase metodologia de auditoria ti
02.Clase metodologia de auditoria ti02.Clase metodologia de auditoria ti
02.Clase metodologia de auditoria ti
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Fases de la auditoria administrativa
Fases de la auditoria administrativaFases de la auditoria administrativa
Fases de la auditoria administrativa
 
Fases de la auditoria
Fases de la auditoriaFases de la auditoria
Fases de la auditoria
 
7. auditoría del sig
7. auditoría del sig7. auditoría del sig
7. auditoría del sig
 
informe auditoria administrativas
informe auditoria administrativasinforme auditoria administrativas
informe auditoria administrativas
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA
 

Más de Cristhian Jack Lopez Suasnabar

Más de Cristhian Jack Lopez Suasnabar (20)

Dkp
DkpDkp
Dkp
 
Boses
BosesBoses
Boses
 
Drop
DropDrop
Drop
 
Ultimo 08 03-14
Ultimo 08 03-14Ultimo 08 03-14
Ultimo 08 03-14
 
Dkp 08 03-14.2
Dkp 08 03-14.2Dkp 08 03-14.2
Dkp 08 03-14.2
 
Dkp 08 03-14
Dkp 08 03-14Dkp 08 03-14
Dkp 08 03-14
 
Diosa,serafin,exiel,serafin 06 03-14
Diosa,serafin,exiel,serafin 06 03-14Diosa,serafin,exiel,serafin 06 03-14
Diosa,serafin,exiel,serafin 06 03-14
 
Kimu y serafo 05 03-14
Kimu y serafo 05 03-14Kimu y serafo 05 03-14
Kimu y serafo 05 03-14
 
04 03-14 dkp
04 03-14 dkp04 03-14 dkp
04 03-14 dkp
 
Dkp 03 03-14
Dkp 03 03-14Dkp 03 03-14
Dkp 03 03-14
 
Lección 1
Lección 1 Lección 1
Lección 1
 
2011 ii cap 02 - marco juridico y deontologia
2011 ii cap 02 - marco juridico y deontologia2011 ii cap 02 - marco juridico y deontologia
2011 ii cap 02 - marco juridico y deontologia
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
052 gmoreno
052 gmoreno052 gmoreno
052 gmoreno
 
2011 ii cap 02 - marco juridico y deontologia
2011 ii cap 02 - marco juridico y deontologia2011 ii cap 02 - marco juridico y deontologia
2011 ii cap 02 - marco juridico y deontologia
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 
2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria2011 ii cap 03 - metodologias y tecnicas de auditoria
2011 ii cap 03 - metodologias y tecnicas de auditoria
 

Metodologías para Auditoría Informática

  • 2. Desarrollo e Implantación  Experiencia  Conocimiento  Habilidades
  • 3. Proceso Metodológico - Ventajas Eliminación de Informalidad Obtención de procesos de calidad Mejor Administración Mejor Comunicación Facilidad de Seguimiento
  • 4. Proceso Metodológico – Requisitos de éxito Adecuación a requerimientos del negocio Capacitación en la metodología Planes AI acordes Comprobación de uso
  • 5. Estrategia - Implantar proceso Metodológico Preliminar (Diagnóstico) Justificación - Negocio - Áreas a Auditar - Informática - Plan propuesto Adecuación Revisión Informal Formalización - Métodos - Aprobación - Técnicas Revisión Formal - Inicio - Herramientas Desarrollo - Entrevistas - Visitas Aprobación Formal - Recomendaciones - Informe de auditoría - Observaciones Implantación Acciones Preventivas y Correctivas Seguimiento
  • 6. Proceso Metodológico General Etapa Preliminar (Diagnóstico) Productos Terminados Requerimientos Adecuación 1. 1. Matriz de riesgos 1. 2. Justificación Diagnóstico de negocio Diagnóstico de Informática Plan de auditoría en Informática 2. 1. Plan y Metodología de acuerdo con el cliente Plan detallado 1. Plan Aprobado Compromiso Ejecutivo 1. Auditar áreas seleccionadas Informe de auditoría en Informática 1. Recomendaciones y acciones terminadas Aprobación final 1. 1. 2. 2. Formalización 1. 2. Desarrollo 1. 2. Implantación 1. 2. 2. 2. 2. 2. 2. 3. Responsab le Involucrados Involucramiento de la Dirección. Información veraz LP AD/AI LP RI/RAI Análisis de riesgos y áreas de oportunidad Definir responsables y tiempos LP RAI/RI LP RAI Entendimiento del negocio y de la función de Informática. Detallar tareas y tiempos LP RI/RAI/PU LP RI/RAI/PU Aprobación formal (firmas) Respaldo y apoyo al proyecto AD AD RI/RAI/PU RI/RAI/PU Aprobación de la dirección Asignar responsables y tiempos para cada acción recomendada LP RI/PU/AI AD/PI/PU RAI/LP/AI Compromiso ejecutivo Basarse en plan de implantación Verificar cumplimiento del plan RI/PU LP/AI RI/PU/RAI LP/AI AD: Alta Dirección; PU: Personal Usuario; RI: Responsable del Área de Informática; PI: Personal de Informática; RAI: Responsable del Área de Auditoría Informática; LP: Líder del proyecto de Auditoría Informática; AI: Auditor en Informática
  • 7. Métodos Técnicas y Herramientas por Área de Revisión
  • 8. Resultados satisfactorios de la Auditoría • Dominio de los conceptos técnicos y administrativos relacionados. • Habilidades inherentes a la Auditoria Informática. • Entendimiento de la Auditoría Informática y sus tendencias. • Adaptación o actualización según el medio dominante. • Organización y administración formal de la Auditoría Informática en el negocio. • Involucramiento formal en el proceso de planeación del negocio y de la auditoría tradicional.
  • 9. Resultados satisfactorios de la Auditoría • Desarrollo de un proceso formal de planeación de Auditoría Informática. • Entendimiento y aplicación de un proceso metodológico formal de la Auditoría Informática. • Participación formal, en asociaciones, instituciones educativas, etc., con fines de actualización o de compartir las experiencias profesionales en el campo de la Auditoría Informática. • Gusto e identificación profesional por la carrera de Auditoría Informática. • Entendimiento satisfactorio de los métodos, técnicas y herramientas necesarios para auditar las áreas seleccionadas en el proceso de planeación de la AI.
  • 10. Técnicas y Herramientas  Definir técnicas y herramientas mínimas para cada etapa del proyecto de Auditoría Informática • • • • • • Muestreos. Entrevistas. Cuestionarios. Inspección. Observación. Documentación.
  • 11. Técnicas y Herramientas  Definir técnicas y herramientas mínimas para cada etapa del proyecto de Auditoría Informática • • • • • • Software de auditoría. Análisis de procesos de negocios. Análisis de sistemas. Lenguajes de programación. Paquetes. Equipos de Computo.
  • 13. Técnicas de Auditoría  Las técnicas de auditoría son métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia que fundamente sus opiniones, conclusiones y reportes. • Las técnicas seleccionadas y aplicadas se convierten en procedimientos de auditoría.
  • 14. Técnica Ocular  Consiste en observar en forma directa y paralela la manera como los responsables de la administración, desarrollan y documentan los procesos o procedimientos que la organización utiliza para ejecutar las actividades objeto de control.
  • 15. Técnica Ocular • Comparación  Es el acto de apreciar la similitud o diferencia existente entre dos o más elementos o situaciones.  En la auditoria supone cotejar y evaluar los mismos criterios aceptables que facilitan la labor del auditor para obtener de dicha acción un resultado o conclusión. • Observación  Es el examen visual u ocular realizado para cerciorarse de hechos, circunstancias y de como se ejecutan las operaciones.  Es de utilidad en todas las fases del proceso de auditoria. Puede ser efectuada de manera abierta o discreta.
  • 16. Técnica Verbal u Oral  Permite obtener información mediante el dialogo con los integrantes de la organización o los de su entorno relevante, con el propósito de averiguar o indagar posibles debilidades de los procedimientos, prácticas de control interno y otras situaciones que el auditor considere importante en el desarrollo de su trabajo.
  • 17. Técnica Verbal u Oral  Indagación: • Es el acto de obtener información verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios de la entidad. Suelen aportar elementos de juicio en los que puede confiarse si son razonables y consistentes.  Es de especial utilidad cuando se examinan áreas o asuntos no documentados, sin embargo sus resultados no constituyen por sí solos evidencia suficiente.
  • 18. Técnica Verbal u Oral  Entrevistas • Pueden ser efectuadas a los directivos, funcionarios y trabajadores en general de la entidad auditada o a personas beneficiarias u otras vinculadas respecto de los programas u operaciones sujetas a examen. • Deben ser apropiadamente preparadas, definiéndose previamente a su realización quienes serán los entrevistados y las preguntas que se formularán. • Deberán ser documentadas y advertirse al entrevistado de su propósito o finalidad.
  • 19. Técnica Verbal u Oral  Encuestas • Son útiles para recopilar información de un gran universo de datos o grupos de personas. • Presentan como ventaja la economía de costos y tiempos para obtener información, sin embargo exigen una preparación y definición de su alcance adecuada y rigurosa en beneficio de su confiabilidad y utilidad, es recomendable recurrir a las técnicas propias de la estadística.
  • 20. Técnica Escrita  Es la actividad de registrar o plasmar información que a juicio del auditor sea importante dentro de su trabajo. • Análisis  Consiste en identificar, estratificar o clasificar elementos constitutivos del objeto de análisis, con el propósito de obtener información y llegar a conclusiones que a juicio del auditor afecten la gestión de la organización auditada.
  • 21. Técnica Escrita • Conciliación • Es el cotejo o confrontación que se hace a la información obtenida de diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento de metas, objetivos o de registros independientes pero relacionados entre sí, para establecer su conformidad y veracidad. • Confirmación • Permite obtener un grado razonable de certeza sobre la existencia, cumplimiento, veracidad y autenticidad de planes y programas ejecutados, cobertura de usuarios, operaciones, cifras y datos.
  • 22. Técnica Documental  Consiste en obtener información escrita que permita soportar las afirmaciones, análisis o estudios realizados por los auditores. • Comprobación  Verifica la evidencia que apoya o sustenta una operación o transacción con el fin de corroborar su autoridad, legalidad, propiedad y veracidad. • Computación  Es el análisis de documentos, programas, datos o hechos asistidos por el computador y/o software especializados, cuando las operaciones o transacciones se ejecutan en cantidad tal que su análisis manual resultaría tedioso.
  • 23. Técnica Documental • Rastreo • Es utilizada para hacer seguimiento y control, de modo progresivo y razonado, a una operación o conjunto de ellas, de un punto a otro dentro de un proceso o actividad determinada. • Revisión Analítica • Comprende el análisis de índices, indicadores, tendencias y la investigación de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o se desvíen de las operaciones proyectadas de la organización.
  • 25. Introducción  Las técnicas de auditoría Asistidas por Computadora son la utilización de determinados paquetes de programas que actúan sobre los datos, realizando con más frecuencia los siguientes trabajos: • Selección e impresión de muestras de auditorias sobre bases estadísticas o no estadísticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores. • Verificación matemática de sumas, multiplicaciones y otros cálculos en los archivos del sistema auditado.
  • 26. Introducción • Realización de funciones de revisión analítica, al establecer comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo cálculos de regresión múltiple. • Manipulación de la información al calcular subtotales, sumar y clasificar la información, volver a ordenar en serie la información, etc. • Examen de registros de acuerdo con los criterios especificados. • Búsqueda de alguna información en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita.
  • 28. Generalidades  La auditoría y la auditoría informática tienen una demanda creciente y crecientes exigencias de cobertura y granularidad.  El auditor es un recurso limitado, escaso, relativamente caro. • Existe gran variedad de modos de clasificación:     Embebidas. (EAM) Verticales de gestión (de la auditoría). GAT/CAAT. IDEA y ACL. Hacking ético Compliance
  • 29. Herramientas  Las herramientas pueden ser especificas, sustitutivas e incluso ser multipropósito. • Generalmente, el mejor costo-beneficio se obtiene con herramientas especificas, no multipropósito. • Excepto claro que los costos de formación, su frecuencia e intensidad de uso y el propio costo directo de cada herramienta aconsejen una multipropósito.
  • 30. Herramientas El objeto (objetivo y control) Herramienta La herramienta depende del objeto Determina la herramienta en función de objeto y su dominio de herramienta El sujeto (quien las usa) Debe “dominar” (metodología) la herramienta (no al reves)
  • 31. Herramientas  Integración de la Auditoría. Auditoría SITIC Auditoría Operativa Auditorias de “Sistemas de Gestión” Núcleo común creciente Auditoría Financiera ISO 9001: 2000 Gestion de la Calidad ISO 27001 SGSI (ISMS) ISO 14000 Gestion Medioambiental
  • 32. Herramientas según su procedencia • De entorno adquisición – construcción. • Lenguajes de programación, debuggers, analizadores. • De prueba. • ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y auditoria “continuada” • Del entorno explotación-operación. • El acceso debe ser controlado y supervisado, pues el riesgo de impacto de un acceso instructivo en un entorno de producción es muy alto.
  • 33. Herramientas según su procedencia • Software de Sistemas  Un ASITIC capaz de lograr acceso privilegiado al SO, software de red, logs, etc., puede explotar enormes ventajas. • Utilidades  Potentes herramientas, fundamentalmente de extracción de datos. El ASITIC debe comprobar que el acceso a utilidades por el personal auditado esta restringido al máximo, y totalmente trazado, cuando se usan.
  • 34. Herramientas según su procedencia • TCP/IP e Internet  Hacking Ético – Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye, LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe, SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke, WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper. • Específicas de Auditoría y Herramientas Ofimáticas
  • 35. Herramientas según su función  Captura de datos. • Recoge información, captura datos, que serán usados (analizados, interpretados, utilizados) en fase posterior o simultanea.  Muestras. – Es una técnica estadística de la que se sabe mucho y se abusa muco (por la ignorancia de quienes lo hacen).  Vigilancia. – Es una variante del muestreo.  Forense. – Variante especial de la recogida de dato.
  • 36. Herramientas según su función  Análisis • El análisis o interpretación y evaluación de la información recogida puede ser concomitante con la recogida de la información (alertas y gestión de incidencias) o ser diferidas, incluso con horizontes muy amplios.
  • 37. Herramientas según su uso o propósito  Las herramientas de auditoría pueden usarse para: • Auditoría SITIC • Otros uso, legítimos o ilegítimos. • Auditorias con SITIC  Auditoría Interna o Externa, Auditoría Operativa, Auditoría de Cuentas, Auditoría SITIC, Auditoría ISO 9001: 2000, ISO 27001, ISO 14000, apartes de las intervenciones de control de directivos y supervisores, CSA (Control Self Assement).
  • 38. Herramientas según su ubicación  Naturaleza cíclica y administrativa del ciclo de vida de la ASITIC. • Auditoría integral, que minimice solapes y lagunas de unas y otras intervenciones. • Auditoría continua, que acorde los ciclos deteccióncorrección y con ello facilite reducir el riesgo. • Paquetes integrales de auditoría que “integren” las labores administrativas y las técnicas. 1. Evaluación de Riesgos 2. Calendario de auditoría 3. Presupuesto 4. Programa de auditoría 5. Pruebas de auditoría 6. Análisis 7. Hallazgos 8. Informe Aplicable a ASITIC “discreta” puntual o periodica; no continua
  • 39. Herramientas según su ubicación  Prospectiva Auditoría SITIC 2007-2017 2007 2017 Embedida ámbito Automatizada Continua Integrada
  • 40. Herramientas según su ubicación • Herramientas embebidas. • Herramientas construidas/adquiridas al tiempo que la aplicación/sistema principal, normalmente por requerimiento de un ASITIC que ha participado en el proyecto o por el buen hacer de los desarrolladores. • Herramientas intrusivas.  Insertan en el sistema algún servicio para generar logs; o bien durante el hacking ético, dejen algún tipo de traza. • Herramientas no intrusivas.  Como lo hacen las GAS/CAAT.
  • 41. Herramientas según su ubicación  Auditoría Continua/Auditoría en Línea. • El objetivo es asegurar que las transacciones en tiempo real se benefician de monitorización y controles también en tiempo real. • La auditoría continua exige servicios en línea. Puede ser total o por muestreo
  • 42. Herramientas según su ubicación  Auditoría Continua/Auditoría en Línea. • Las condiciones de éxito para una auditoría continua son estrictas:  Alta automatización de la detección, con filtros sofisticados y alarmas en tiempo real.  Herramientas de auditoría avanzadas y paramétricas.  Excelente y ágil interfaz con los auditores altamente cualificados.  Mínimo estorbo al auditado. • Las técnicas de auditoría continua recorren:  Registro de transacciones, las herramientas de consulta (query)  CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses, datamining, IA, redes neuronales, XBRL.
  • 43. Herramientas según su ubicación  Auditoría diferida “Cooperativa” Auditor 2 1 Selecciona, con CAAT y CRITERIO, una muestra de Transacciones Universo de transacciones Auditado 3 5 4 Aplicación Web remite la transacción seleccionada al auditado e incorpora “mascara” (petición y cuestionario) Tabula respuestas 7 Emite Informe 6 Todo este proceso puede “desencadenarse” -punto4en tiempo real o algo muy diferido
  • 44. Herramientas según su ubicación • Herramientas exentas • El amplio uso por los ASITIC • Herramientas específicamente diseñadas como de auditoría. • Herramientas horizontales • Groupware. – Son aplicaciones o suites particularmente diseñadas para el trabajo en equipo, sobre las que se pueden hacer integraciones. • GRC. – Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en esta categoría ofimática, admite entradas propias de los sistemas de vigilancia.
  • 45. Herramientas según su ubicación • Herramientas verticales • Pueden serlo mas de gestión o mas técnicas. – Las mas de gestión se inclinan a las horizontales y el Groupware. – Las mas técnicas fundamentalmente en las GAS (Generalized Audit Software), SAS (Statement on Auditing Standard)
  • 46. Herramientas según su ubicación • Herramientas verticales de gestión  Audinfor. www.audinfor.com  Bindview. Software de cumplimiento de seguridad. www.paisley.com, www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.  Paisley. Su producto AutoAudit es una conocida herramienta vertical de gestión.  Protivity Inc. Consultores de gestion de riesgos.  TeamMate. Herramienta de gestion de papeles de trabajo. www.pwc.com/teammate/  Tripwire. www.tripwire.com/index.cfm
  • 47. Herramientas según su ubicación • Herramienta verticales técnicas.  Son herramientas especializadas. Atacan a los archivos de datos y no a los programas de aplicación, por lo general suelen ser invariantes de los programas y mas objetivas en cuanto a los datos.  ACL, IDEA. – Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados según una variedad de estándares. – Calculo, creando campos lógicos, resultando de aplicar una formula a los campos originalmente importados.
  • 48. Herramientas según su productividad  El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado. Standards for IS Auditing (SISA) (Normas Generales para la auditoría de los Sistemas de Información) Código Titulo Puntos Concretos S6 Realización de labores de Auditoría 04, 05, 07, 08, 09, 10 S7 Reporte 03,07 S8 Actividades de seguimiento 08,09 IS Auditing Guidelines (ISAG) (Directrices de Auditoría) Código Titulo Puntos concretos G3 Uso de CAAT Todo G8 Documentación de la Auditoría Todo G10 Muestreo en Auditoría Todo G35 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6, 4.1.2
  • 49. Herramientas según su Cobertura  Es deseable una gran cobertura costo-beneficio y a veces se considera necesaria. • Conseguirla depende de una hábil combinación de herramientas embebidas y GAS/CAAT.
  • 50. Productos • Herramientas gratuitas  www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm • ACL. Audit Command Languaje  www.acl.com/default.aspx?bhcp=1 • IDEA. Interactive Data Extraction and Analysis  www.caseware-idea.com • Symantec.  www.symantec.com/enterprise/index.jsp • Computer Associates  ca.com/us/products • Otras  John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check, Wireshark, Yersinia.
  • 51. Conclusiones  La auditoría SITIC esta en evolución constante, ello depende de: • Las nuevas demandas y objetivos • La disponibilidad de herramientas y técnicas que permitan:     Hacer ciertas pruebas. Con mayor cobertura. Con menor riesgo/error. Con mayor productividad. • Contemplar las herramientas y técnicas, sin hacerlo desde la perspectiva de su productividad, puede ser propio de tecnólogos o de historiadores; pero seria un error imperdonable en empresarios, gestores, economistas, responsables de auditoría y auditores.