La auditoría de sistemas de información es el proceso de recopilar, agrupar y evaluar evidencias para determinar si un sistema de información protege los activos, mantiene la integridad de los datos, cumple con los objetivos de la organización y utiliza los recursos de manera eficiente. COBIT proporciona un marco integral para el gobierno y gestión de tecnologías de la información que ayuda a las organizaciones a crear valor a través del equilibrio entre beneficios, riesgos y uso de recursos.
1. La AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para
DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la
INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA
EFICIENTEMENTE los RECURSOS.
RIESGO
La probabilidad de que se dé un error, falle un proceso, o tenga lugar un
hecho negativo para la empresa u organización, incluyendo la posibilidad de
fraudes
CONTROL
el MECANISMO o PROCEDIMIENTO que EVITA o PREVIENE un RIESGO
el sistema de control interno en TI está constituido por las políticas,
procedimientos, prácticas y estructuras organizativas
diseñadas para proveer una seguridad razonable
politicas: provienen de a direccion , norams estrictas
METODOLOGIA basada en la EVALUACIÓN de RIESGOS
evaluación del RIESGO POTENCIAL EXISTENTE
Como consecuencia de la ausencia de controles o bien por ser un sistema
deficiente, estos riesgos deben ser cuantificados y
valorados de tal forma que permita determinar el nivel de fiabilidad
OBJETIVOS de CONTROL su objetivo es -
EVALUACIÓN de RIESGOS
TECNICAS de CONTROL(Políticas y Procedimientos)
PRUEBAS INDEPENDIENTES
CONCLUSIONES SUSTENTADAS
CONTROLES de APLICACIÓN--
CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS
PRUEBAS
Permiten obtener evidencia y verificar la consistencia de los controles
existentes y también medir el riesgo por deficiencia de estos o por su ausencia
.ENTREVISTAS
.REVISIONES de DOCUMENTOS
.EVALUACION de RIESGOS y CONTROLES
.MUESTREO ESTADISTICO
.VERIFICACIONES de CALCULOS
.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS
.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO
SECUENCIA del PROCESO
OBJETIVO de la AUDITORÍA
DEFINICION del ALCANCE
RECURSOS y TIEMPO
RECOPILACION de INFORMACIÓN BÁSICA
IDENTIFICACIÓN y EVALUACIÓN de RIESGOS POTENCIALES
PROGRAMA de AUDITORÍA
IDENTIFICACION de ÁREAS CRÍTICAS y CONTROLES FUERTES
PRUEBAS y TÉCNICAS a UTILIZAR
REALIZACION de PRUEBAS y OBTENCIÓN de RESULTADOS
EVALUACIÓN de RESULTADOS y CONCLUSIONES
CONSIDERACIÓN de OTROS CONTROLES COMPENSATORIOS o PRUEBAS ADICIONALES
REVISIÓN y CIERRE de PAPELES de TRABAJO
INFORME
EVIDENCIAS, RESULTADOS y CONCLUSIONES
DESCRIPCION de la situación RIESGO existente, DEFICIENCIA a solucionar si
corresponde, SUGERENCIA de solución
CONEXIÓN con objetivo y otras deficiencias
2. CUANTIFICACIÓN del riesgo
----------------------------------------------------
COBIT
COBIT esta orientado a ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administración de riesgos asociados con tecnología de
información y con tecnologías relacionadas. (Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas)
Information Systems Audit and Control Association (ISACATM)
-Características
Orientado al negocio
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoría (COSO, IFAC, IIA, ISACA, AICPA)
Requerimientos de la Información del Negocio
Requerimientos de Calidad
Requerimientos Financieros (COSO)
Requerimientos de Seguridad-
Efectividad - Eficiencia - Confidencialidad - Integridad - Disponibilidad -
Cumplimiento - Confiabilidad
Recursos de TI -
Datos-Aplicaciones-Tecnología-Instalaciones-Recurso Humano
Procesos de TI Los Tres Niveles
Dominios-Procesos-Actividades o tareas
Estructura de COBIT
Recursos de TI-Información-Procesos del Negocio-Criterios
----------------------------------------------------------------
AUDITORÍA Y SEGURIDAD DE TI#COBIT 5
La Información constituye un Recurso Clave para todas las organizaciones.
Beneficios para las Organizaciones
Valor para las Partes Interesadas
Dicho en pocas palabras, COBIT 5 ayuda a las Organizaciones a crear un valor
óptimo a partir de la TI, al mantener un equilibrio entre la realización de
beneficios y la optimización de los niveles de riesgo y utilización de los
recursos.
Los Principios de COBIT 5----
Satisfacer las necesidades de las partes interesadas
Cubrir la Organización de forma integral
Aplicar un solo marco integrado
Habilitar un enfoque holistico
Separar el Gobierno de la Administración
Habilitadores de COBIT 5----
1. Principios, Políticas y Marcos
2. Procesos
3. Estructuras Organizacionales
4. Cultura, Ética y Comportamiento
(recursos)
5. Información
6. Servicios, Infraestructura y Aplicaciones
7. Personas, Habilidades y Competencias
Gobierno y Administración---
asegura el logro de los objetivos de la Organización, evaluar las necesidades,
establecer prioridades y tomar decisiones;La Administración planifica,
construye, ejecuta y monitorea las actividades.
Resumiendo…
COBIT 5 une los cinco principios que permiten a la Organización construir un
marco efectivo de Gobierno y Administración basado en una serie holística de
siete habilitadores, que optimizan la inversión en tecnología e información así
como su uso en beneficio de las partes interesadas.
Los 5 Principios de COBIT
-Satisfacer las necesidades de las Partes Interesadas
Las metas en cascada de COBIT 5 traducen las necesidades de las Partes
Interesadas en metas específicas
3. -Cubrir la Compañía de Forma Integral
Cubre todas las funciones y los procesos dentro de la Organización; Integra el
gobierno de la TI corporativa en el gobierno corporativo, o sea, el sistema de
gobierno para la TI corporativa propuesto por COBIT 5 se integra.
-Aplicar un solo Marco Integrado
últimos marcos y normas
-Habilitar un Enfoque Holístico
-Separar el Gobierno de la Administración
Gobierno: En la mayoría de las organizaciones el Gobierno es responsabilidad de
la Junta Directiva bajo el liderazgo de su Presidente.
Administración: En la mayoría de las organizaciones, la Administración es
responsabilidad de la Gerencia Ejecutiva, bajo el liderazgo del Gerente General
(CEO).
El Gobierno asegura que se evalúen las necesidades de las partes interesadas,
así como las condiciones y opciones, para determinar los objetivos corporativos
balanceados acordados a lograr; fijando directivas al establecer prioridades y
tomar decisiones; así como monitorear el desempeño, cumplimiento y progreso
comparándolos contra las directivas y objetivos fijados (EDM).
La Administración planifica, construye, ejecuta y monitorea las actividades
conforme a las directivas fijadas por el ente de Gobierno para lograr los
objetivos de la Compañía (PBRM por su sigla en inglés – PCEM).