122 Cómo Implementar Auditoría de TI que Agregue Valor a la by rockman20

VIEWS: 4,191 PAGES: 59

									122 - Cómo Implementar Auditoría
  de TI que Agregue Valor a la
          Organización

Luis Gustavo Rojas CPA, CISA
Banco Popular, Costa Rica
                          AGENDA
• Concepto de valor
• Evolución de la tecnología y la auditoría
• Elementos necesarios para implementar una auditoría de
  TI que agregue valor
   – Cambio de enfoque
   – Evaluación de riesgos
   – Mejores prácticas en auditoría de TI
• Condiciones para crear la auditoría de TI
   –   Interna versus outsourcing
   –   Perfil del auditor de TI
   –   Funciones
   –   Herramientas
   –   Auditoría continua
   –   Planeación del desarrollo profesional
Concepto de valor

                                 Configuración
        Planificación




            Entrega               Toma de
                                 Decisiones
            Soporte


 “Grado de utilidad o aptitud de las cosas, para satisfacer las
 necesidades o proporcionar bienestar o deleite”
Concepto de valor
Evaluación
del Riesgo

                             Configuración
             Planificación


                Entrega        Toma de
                              Decisiones

                Soporte

                                             Objetivos
                                             de Control
Evolución de la Tecnología
90 hasta hoy
Internet E-Commerce
Rápida difusión de la
información
Rompe paradigmas
Nuevo estándar Internet
compatible
Pérdida de intimidad
Seguridad la mayor
preocupación
Los negocios de hoy

    VALOR DE E-COMMERCE EN EL MUNDO

      M ILLONES

                                                                  1.640.221
   $ 1.800.000
   $ 1.600.000
   $ 1.400.000
   $ 1.200.000                                             930.795
   $ 1.000.000
                                                    515.197
     $ 800.000
     $ 600.000                               268.614
     $ 400.000                        130.546
                     15.450 60.365
     $ 200.000
            $0
                   1997    1998    1999      2000   2001   2002   2003



Fuente: International Data Corporation IDC
Los negocios de hoy

             VALOR DE E-COMMERCE EN AMERICA LATINA
  MILLONES
                                                                        10.957
  $ 12.000
  $ 10.000
                                                                6.420
   $ 8.000
   $ 6.000                                             3.331

   $ 4.000                                    1.453
                           203        600
   $ 2.000       43

       $0
              1997      1998       1999      2000     2001     2002     2003

Fuente: International Data Corporation IDC
                         Evolución del enfoque de
                         auditoría
Valor hacia el negocio




                                                                     Alineación con la
                                                                      visión y misión
                                                                        empresarial
                                                     Económia,
                                                    Eficiencia y
                                                   Eficacia de las
                                                    operaciones
                              Finanzas y
                             Contabilidad




                          Enfoque en administración de riesgos
Un elemento crítico para el éxito y supervivencia de las organizaciones es la
administración efectiva de la información y de la Tecnología de Información
TI relacionada. En esta sociedad global donde la información viaja en el
“ciberespacio” sin restricciones de tiempo, distancia y velocidad, esta
criticidad emerge de:
    •La creciente dependencia en información y en los sistemas que
    proporcionan dicha información
    •La creciente vulnerabilidad y el amplio espectro de amenazas, tales como
    la “ciberamenazas” y la guerra de información
    •La escala y el costo de las inversiones actuales y futuras en tecnología de
    información, y
    •El potencial que tienen las tecnologías para cambiar radicalmente las
    organizaciones y las prácticas del negocio, crear nuevas oportunidades y
    reducir costos
                      1. Cambio del
                      enfoque tradicional
¿Cómo                 2. Auditoría con la
implementar           misión de reportar los
auditoría de TI que   riesgos y los
                      controles para
agregue valor a la    mitigarlos
organización?
                      3. Auditoría que
                      aplique las mejores
                      prácticas de la
                      industria
                      1. Cambio del
                      enfoque tradicional
¿Cómo                 2. Auditoría con la
implementar           misión de reportar los
auditoría de TI que   riesgos y los
                      controles para
agregue valor a la    mitigarlos
organización?
                      3. Auditoría que
                      aplique las mejores
                      prácticas de la
                      industria
Entrada   Proceso   Salida
Salida
Entrada   Proceso   Salida
                      1. Cambio del
                      enfoque tradicional
¿Cómo                 2. Auditoría con la
implementar           misión de reportar los
auditoría de TI que   riesgos y los
                      controles para
agregue valor a la    mitigarlos
organización?
                      3. Auditoría que
                      aplique las mejores
                      prácticas de la
                      industria
 Riesgo
 “La amenaza de que
 un evento, acción ó
falta de acción afecte
   adversamente la
   habilidad de una
  organización para
lograr sus objetivos y
     ejecutar sus
      estrategias
    exitósamente”
Dependencia del negocio
Nivel de dependencia


                                                    RIESGOS




                       Nivel de utilización de TI
Principal riesgo en TI




              Gerencia




          Contabilidad
Riesgos de la tecnología de información

– Información errónea o
  inoportuna
– Tiempo laboral perdido
  por mal uso del e-mail e
  Internet
– Alteración de datos
– Insatisfacción del
  usuario
– Acceso no autorizado
– Ineficiente uso de los
  recursos tecnológicos
– Robo de información
Presupuesto en crecimiento
Prioridades de TI
                      1. Cambio del
                      enfoque tradicional
¿Cómo                 2. Auditoría con la
implementar           misión de reportar los
auditoría de TI que   riesgos y los
                      controles para
agregue valor a la    mitigarlos
organización?
                      3. Auditoría que
                      aplique las mejores
                      prácticas de la
                      industria
 Mejores prácticas de la industria
   COBIT Control Objectives for Information and related Technology

                     www.isaca.org/cobit.htm
                (Guías de Auditoría solo para miembros)
                               Standards

                     www.isaca.org/standards
   Code of Practice for Information Security Management (ISO17799)
            www.bspsl.com/secure/iso17799software/cvm.cfm
 Generally Accepted Principles and Practices for Securing Information
                     Technology Systems (NIST)
               http://csrc.nist.gov/publications/nistpubs/
Normas Internacionales de Auditoría (401; 1001; 1002; 1003; 1008 y 1009)

                            www.ifac.org
                    1. Interna o
                       Outsourcing
¿Creando la         2. Pérfil del auditor o el
función de             equipo
Auditoría de        3. Funciones
                    4. Herramientas para
Tecnología de
                       agregar valor
Información en la   5. Auditoría Continua
organización?       6. Planeación del
                       desarrollo
                       profesional
1. Auditoría Interna versus Outsourcing
                  Interna                             Outsourcing
 Amplio conocimiento del negocio           Disponibilidad de diferentes
                                           habilidades y profesionales
 Integración con otras disciplinas de la
 Auditoría Interna                         Economías de escala en la
                                           adquisición de herramientas y
 Las brechas de seguridad y control no
                                           capacitación
 salen de la empresa
                                           Relación contractual puede causar
 Mejor aprovechamiento del recurso
                                           costos ocultos
 humano capacitado
                                           Requiere dar privilegios a personal
 La experiencia adquirida queda en la
                                           externo
 organización

Outsourcing no es sólo una decisión de costo, es también una
decisión estratégica que tiene implicaciones de control para la
gerencia. (Manual de preparación examen CISA)
2. Perfil del auditor de T I

Visión de riesgos
Lenguaje de negocios
Proactivo y preventivo
Entendimiento del
entorno
Conocimiento de
metodologías y
herramientas
2. Perfil del auditor de T I



Contador Público
  Autorizado
       o
  Ingeniero en
  Informática
2. Perfil del auditor de T I
• Aprender algún lenguaje de
  programación y técnicas de
  análisis y diseño
• Entender los riesgos
  tecnológicos
• Conocimiento de DBMS
• Entender los riesgos de los
  sistemas operativos
• Contar con un conocimiento
  general de infraestructura de
  telecomunicaciones
• Dominio de los objetivos de
  control para la información y la
  tecnología relacionada
2. Perfil del auditor de T I
              • Comprender los conceptos de
                riesgo de auditoría, riesgo de
                detección
              • Entender los riesgos del
                negocio y riesgos operativos
              • Aprender sobre las normas
                internacionales de auditoría
              • Formarse en administración,
                contaduría y finanzas
              • Contar con conocimiento sobre
                la metodología para llevar a
                cabo una auditoría
              • Dominio de los objetivos de
                control para la información y la
                tecnología relacionada
3. Funciones

 Misión de la Auditoría de TI
3. Funciones
               • Evaluar si los recursos tecnológicos
               se utilizan en forma eficiente y en
               concordancia con los requerimientos
               del negocio
               •Verificar que en TI se cumpla con las
               políticas corporativas y con las
               regulaciones y normas
               •Evaluar la información de la
               organización (Integridad,
               Confidencialidad, Disponibilidad y
               Completitud)
               •Evaluar la fortaleza de los controles
               preventivos, detectivos y correctivos
               en TI
3. Funciones
•Verificar la salvaguarda de los
activos de TI (tangibles e
intangibles)
•Evaluar si las vulnerabilidades
más conocidas en Internet son
adecuadamente mitigadas en la
organización
•Participar activamente en el ciclo
de vida del desarrollo de sistemas
•Evaluar los planes de
recuperación de desastres y
continuidad del negocio
3. Funciones
•Evaluar la seguridad física y
lógica a los activos de TI
•Verificar la seguridad y
suficiencia de los controles en la
infraestructura de red y en las
telecomunicaciones
•Evaluar el proceso de
adquisiciones de recursos de TI
•Participar en auditorías integrales
y facilitar la integración de la
auditoría de TI con otras
especialidades de la auditoría
4. Herramientas
4.1 Para determinar los riesgos que más
podrían afectar a la organización




                 UNIVERSO AUDITABLE
4. Herramientas
4.2 Herramientas que
multiplican el alcance de la
Auditoría de T I

Software de Análisis de Datos
Software para monitoreo de red
Software para monitoreo de cambios
en las bases de datos (Alarmas)
Software para la detección de
intrusos IDS
Software para evaluar logs
EAM Embedded Audit Modules
4. Herramientas
4.3 Herramientas para el
soporte metodológico de la
Auditoría de T I

Planeación anual y presupuesto
Calendarización de trabajos y control
de tiempo
Desarrollo del programa de auditoría
(Interacción con COBIT)
Papeles de trabajo y plantillas
Seguimiento de recomendaciones y
repuestas de la administración
4. Herramientas

4.4 Reportes a la
Gerencia en términos
concisos y de valor



•No entendemos ni
hablamos su lenguaje        •Presentar razones y/o hechos

•Informes de resultados     •Considerar que algunos directivos
demasiado técnicos          son más conscientes que otros

•Preocupados por costos y   •Necesitan entender la información
gastos                      sobre riesgos y controles

•Esperan el retorno de su
inversión
WWW y Auditoría


• AuditNet www.auditnet.org
   – ASAP (Auditors Sharing Audit Programs)
        • Programas financieros y operativos
        • Programas IT
   –   Lista de recursos de Auditoría
   –   Directorio de Programas de Auditoría
   –   AuditZine: compendio de artículos
   –   ACNIA: Foro de discusión para Auditores Internos
       (AuditBest, AuditTrain, AuditBooks, AuditJobs, etc)
       Otras fuentes de información
                                       www.anao.gov
      www.isaca.org
                                         www.theiia.org
www.itaudit.org



www.gao.gov



www.ignet.gov

                                          www.cert.org
   www.intosai.org
                                      www.isaudit.com
5. Auditoría Continua

   COSO
                            Monitoreo
   COBIT

   Universo Auditable > Recursos de Auditoría
5. Auditoría Continua
              PRECONDICIONES
  • Un sistema con características apropiadas
  • Un sistema de información confiable que incluya
    controles primarios y un sistema de recolección de
    datos
  • Una auditoría o control secundario que esté
    altamente automatizado
  • Auditores hábiles en tecnología de información
  • Control sobre el proceso de reporte de la auditoría
5. Auditoría Continua

EAM Embedded Audit Modules (Módulos de
Auditoría Integrados)
“Son módulos puestos en determinados puntos
para obtener información acerca de las
transacciones o eventos en los sistemas que los
auditores pueden considerar materiales” Weber
(1999)
Se implementan en los ambientes de DBMS como
triggers o procedimientos almacenados
6. Planeación del desarrollo profesional

    International Federation of Accountants
        IFAC emitió desde el año 1993 el
                  documento:
    “Minimum Skill Levels in Information
   Technology for Professional Accountants”
 6. Planeación del desarrollo profesional
• Es un camino para crecer y
  actualizarse en el nivel de
  servicio
• Incluye capacitación formal e
  informal (auto estudio)
• Define el conocimiento y las
  habilidades necesarias
• Define los métodos para el
  aseguramiento del desarrollo
• Establece los métodos para la
  actualización y
  retroalimentación
6. Planeación del desarrollo profesional

   Un estrategia que garantiza el adecuado
  enfoque de educación continua y desarrollo
     profesional es la Certificación CISA
Índice de madurez de la
Auditoría de Tecnología
de Información
Índice de madurez

Indefinido: En su mayoría los procesos claves no
están definidos o posiblemente no existen, la
capacidad de realizar auditoría de TI no existe o esta
basada solamente en la experiencia individual por lo
que se dificulta su administración
Índice de madurez
Establecida: Este ambiente incluye:
•Una infraestructura estable y soportada en TI
•Mediciones del desempeño efectivo de los sistemas son
desarrolladas, permitiéndole a la Auditoría Interna tener
entendimiento del impacto de la tecnología
•El resultado de las auditoría de TI se aplica
exitosamente y está sustentado en normas de auditoría
•Se realizan auditorías por Outsourcing
Índice de madurez

Estandarizada: La auditoría se realiza en
concordancia con los procesos estándares
documentados.
Existe un proceso de auditoría integrado que es
aplicado y administrado consistentemente (AC).
Hay programas de aseguramiento de la calidad de los
sistemas
Existen programas de desarrollo profesional
establecidos
Índice de madurez

Calidad Total: Tiene un estatus de clase mundial
Se aplican procesos de mejoramiento continuo,
mediante la evaluación del desempeño por parte de
los usuarios de la auditoría.
Existe un proceso de calidad total en la auditoría de
TI.
Ejemplos de herramientas que ayudan al
            Auditor de hoy
De Soporte Metodológico

ADM Plus – Audit Department   Planificación, Administración de Riesgos, Reporte de
                              Tiempos, gastos y costos, indicadores, asignación de
Manager Plus www.pleier.com   tareas, seguimiento de recomendaciones y observaciones
                              y administración de RRHH, y papeles de trabajo


AutoAudit                     Control de tiempos y gastos, papeles de trabajo
                              electrónicos, seguimiento de recomendaciones y
www.paisleyconsulting.com     observaciones, planificación y otros


Auditor Assistant             Workflow para trabajos colaborativos, programación y
                              automatización de papeles de trabajo, generacion de
www.auditorassistant.com      reportes y seguimiento de recomendaciones


Gestión de Procesos de        Contempla los componentes necesarios para llevar a cabo
                              la labor de auditoría y por eso contiene varios módulos
Auditoría GPA                 que son: Catálogos (Base de Conocimiento), Análisis de
                              Riesgo, Planificación, Ejecución, Comunicación , Indices
www.umccr.com                 de Gestión y Misceláneos.

Pentana   www.pentana.com     Planificación, control de tiempos, checklists y programas y
                              seguimiento de planes de acción
De Soporte Metodológico

 AutoAudit                   Control de tiempos y gastos, papeles de trabajo
                             electrónicos, seguimiento de recomendaciones y
 www.paisleyconsulting.com   observaciones


 CaseWare Working Papers     Planificación y papeles de trabajo para Auditorías
                             financieras y customizable para otras, incluye checklists
 www.caseware.com            y programas de trabajo y actualiza los papeles de trabajo
                             automáticamente, seguimiento recomendaciones.


 AuditLeverage               Sistema de auditoría que permite crear un data
                             warehouse de auditoría incluyendo una solución
 www.AuditLaverage.com       integrada para la planificación, trabajo de campo y
                             reporte y seguimiento, permite seleccionar programas de
                             auditoría de TI basados en estándares como COBIT,
                             CMM y BS7799

 Internal Audit Software     Ofrece varios productos para la planficiación de la
                             auditoría con base en riesgos Planning Advisor, soporte
 www.methodware.com          para papeles electrónicos y ejecución de auditorías
                             internas ProAudit Advisor, Producto orientado a facilitar
                             la aplicación de CobIT, registrando los resultados de las
                             auditorías, reportes y módulo de revisión y análisis al
                             completarse la auditoría. Cobit Advisor
De Análisis de Datos



 CaseWare IDEA             Funciones de Análisis de Datos avanzadas y Auditoría,
                           permite lectura de datos de cualquier orígen
 www.caseware-idea.com
 DATAS for IDEA            Plug-in desarrollado para Data Mining y Análisis predictivo y
                           de Fraude con IDEA, incorporó la Ley de Benford que hoy ya
 www.audimation.com        se ha incorporado al producto.


 ACL     www.acl.com       Funciones de Análisis de Datos avanzadas y Auditoría,
                           permite lectura de datos de cualquier orígen



 WizRule www.wizsoft.com   Software de data mining y reportes, orientado a detectar
                           patrones o relaciones entre datos, identificando aquellas que
                           no responden a los patrones detectados.
De Revisiones Seguridad de IT

 BindView                    Diversos sistemas y productos orientados a la seguridad
                             y control de los activos de Tecnología de Información
 www.bindview.com
 Internet Security Systems   Diversos sistemas y productos orientados a la seguridad
                             y control de los activos de Tecnología de Información
 www.iss.net
 XP Auditor for IDEA         Plug in – Auditor de NT y Firewalls para IDEA

 www.caseware-idea.com
 Unix Auditor for IDEA       Plug in – Auditor de Unix para IDEA

 www.audimation.com
 Kane www.intrusion.com      Analiza la seguridad de redes y notifica de
                             vulnerabilidades detectadas



 AuditCASE para Oracle       Permite evaluar sistemas que utilicen bases de datos
                             ORACLE, seleccionando campos sobre los cuales crea
 www.orcase.com              un pista de auditoría, también permite implementar un
                             modelo de auditoría continua mediante una serie de
                             alertas
Bibliografía recomendada

• Accountant´s guide to fraud detection and control; Howard R Davia y
  otros
• Auditing in a computerised environment, Mohan Bhatia
• Practical IT Auditing 2 Edition Jack Champlain
• Claves para el gobierno de los sistema de información Reynaldo J de
  la Fuente y otros
• Cobit 3 Edition

   www.isaca.org/ordinfo.htm

• Revista Control Journal para los afiliados a la ISACA
  www.isaca.org
Para más información:

Luis Gustavo Rojas, CISA,CPA
Subauditor General
Banco Popular, Costa Rica
Vicepresidente ACAI
E mail: lrojascr@hotmail.com
Muchas Gracias!

								
To top