Auditoría: ¿Requisito
o Necesidad?
Ing. José Luis Mauro Vera,
CISAjose-luis.vera@uy.ey.com
/jlmvera
www.isaca.org.uy
• Introducción
• Auditoría de TI/SI
• Tipos de Auditoría de TI/SI
• Principales roles relacionados con TI en las
organizaciones
• Principales actividades de una auditoría de TI
• ¿Por qué deben realizarse auditorías?
• Marcos de Referencia y Estándares
• Marco legal y regulatorio
• Conclusiones
Agenda
www.isaca.org.uy
• Conocimientos sobre TICs…
…una parte del libreto
Introducción
• La otra parte del libreto…
… los usuarios
Introducción
www.isaca.org.uy
• ¿Qué tienen en común?
– Empresas de telecomunicaciones – Empresas de transporte
– Comercios de grandes superficies – Textiles
– Frigoríficos
– Entes públicos (ej: ANTEL, UTE, OSE, etc) – Ministerios
– Justicia – Etc….
Introducción
• Cualquier organización tiene:
– Misión – Visión
– Objetivos:
• Para cumplir “objetivos del negocio”, las organizaciones acuden a llevar a cabo diversas actividades: Procesos de negocio (tareas recurrentes) y Proyectos (tareas con inicio y fin)
• Cumplir con los objetivos es un requerimiento del negocio
– Hay partes interesadas para que los objetivos se cumplan… – ¿Estamos cumpliendo con los objetivos?
www.isaca.org.uy
• Las TI / SI ayudan a la ejecución de tareas, procesos,
proyectos
• ¿Cómo inciden las TI/SI en los objetivos de la
organización?
• ¿Las TI/SI están orientadas a cumplir con los objetivos
de la organización?
• ¿Las TI/SI aportan valor a la organización?
Introducción
www.isaca.org.uy
• Auditoría en general:
– Proceso sistemático ejecutado por un equipo/individuo: Conjunto de etapas
– Evalúa objetivamente la evidencia respecto a afirmaciones acerca de un proceso
– Produce un informe con el grado de cumplimiento respecto a las afirmaciones
– Características del equipo/individuo:
• Independencia • Competencia
• Auditoría de TI/SI: Procesos relacionados con TI/SI
Auditoría de TI / SI
¿Auditoría = Consultoría?
www.isaca.org.uy
TIPOS DE AUDITORÍA DE TI/SI
• Tipos de auditoría relacionados con TI/SI (según el alcance/objeto): – Auditorías Financieras
• Confiabilidad de la información
– Auditorías Operativas
• Controles de Aplicación en procesos • Seguridad de la Información
– Auditorías de Sistemas de Información (SI)
• Alineamiento estratégico entre las TI/SI y los objetivos de negocio
– Auditorías Integradas
• Combinación de Auditorías Financieras, Operativas y de SI.
– Auditorías Forenses
– Auditorías de Cumplimiento:
• Ej: Certificaciones de normas técnicas
– Auditorías especializadas:
• Entrega de servicios por parte de proveedores (ISAE3402 / SSAE16)
www.isaca.org.uy
• Tipos de auditoría relacionados con TI/SI (según quién
la realice):
– Auditoría Interna:
• Proceso interno de la organización
• Podría subcontratarse a una firma de servicios, aunque siempre dependerá de la cabeza de la organización
• Las conclusiones son válidas exclusivamente a nivel interno.
– Auditoría Externa:
• Llevado a cabo por una parte independiente
• Las conclusiones son valederas a nivel interno y para terceras partes
Tipos de Auditoría de TI/SI
• Tipos de auditoría relacionados con TI/SI (Según los
procedimientos llevados a cabo)
– “Tradicional”
• Cubre un período específico ya culminado
• Se analiza la evidencia generada durante ese período
– Auditoría Continua:
• Técnicas de Auditoría Asistidas por Computadora (CAATs)
– Autoevaluaciones de riesgo
• Participación activa de las distintas áreas de la organización • Las áreas se auditan en forma “cruzada”
• No sustituye a la tradicional
www.isaca.org.uy
PRINCIPALES ROLES
RELACIONADOS CON TI EN LAS
ORGANIZACIONES
• Dentro de la organización
Principales roles relacionados con TI en las organizaciones
Gerente de TI (CIO) Gerente de Riesgos y Cumplimiento Junta Directiva / Alta Gerencia (“The Board”) Auditor interno de TI
www.isaca.org.uy
• Fuera de la organización
Principales roles relacionados con TI en las organizaciones
Organismos Regulatorios
Auditor Externo Clientes
Competencia, Ex-empleados
PRINCIPALES ACTIVIDADES DE
UN PROCESO DE AUDITORÍA DE
TI/SI
www.isaca.org.uy
• Entender el negocio.
• Determinar el objetivo, alcance y equipo necesario.
• Planificación: Determinar la estrategia para llevar a cabo
la auditoría (ej: Auditoría basada en Riesgos)
• Definir la Materialidad
• Diseñar los procedimientos de auditoría.
• Ejecución de procedimientos de auditoría: Hallazgos,
Excepciones, etc.
• Emisión de informe.
Principales actividades de un proceso de auditoría de TI/SI
• Materialidad:
– Las excepciones “materiales” son aquellas que son significativas y que ameritan ser reportadas a la Alta Gerencia.
– Define un “margen de error” tolerable para los auditores – ¿El auditado debería saberlo?
• Auditoría basada en Riesgos:
– Se realiza un análisis de riesgos, a efectos de determinar dónde y qué procedimientos realizar (dónde hacer foco)
– Riesgo de Auditoría: Riesgo que existan errores “materiales” que pasen desapercibidos durante la auditoría.
www.isaca.org.uy
• Riesgo de Auditoría = R.I. + R.C. + R.D.
• Riesgo Inherente: (RI) Riesgo inherente al proceso de negocio
• Riesgo de Control: Riesgo de que ocurra un error y que no haya sido prevenido o detectado.
• Riesgo de Detección: Riesgo de que los procedimientos de auditoría no detecten excepciones materiales (inadecuados). • Para reducir el R.C., hay que confiar en el Control Interno de la
Organización
• Para reducir el R.D., hay que diseñar los procedimientos adecuados para mitigar la posibilidad de encontrar diferencias materiales.
Principales actividades de un proceso de auditoría de TI/SI
• Una auditoría basada en riesgos se centra en probar
aquellos controles llevados a cabo por la organización,
que mitigan los riesgos principales del negocio.
• “Sistema de Control Interno” de una organización
• El objetivo es confiar en las actividades de Control
Interno de la organización, procurando reducir el alcance
y hacer foco en asuntos significativos.
• Tipos de Controles:
– Controles Generales de TI – Controles de Aplicación
www.isaca.org.uy
• Controles Generales de TI
– Políticas, procedimientos y prácticas
– “Generales”: No están asociados a un proceso de negocio en particular, ya que afectan a todos, o más de uno.
– Ejemplos:
• Autorizaciones / Aprobaciones de accesos y cambios • Separación de ambientes de producción / desarrollo • Validaciones de usuario y testing
• Uso / Asignación de cuentas de usuario privilegiadas • Autentificación de usuarios: políticas de contraseñas
• Cifrado de datos en comunicaciones y medios de almacenaminto • Procedimientos de respaldos y recuperación
• Planes de Continuidad del Negocio
Principales actividades de un proceso de auditoría de TI/SI
• Controles de Aplicación:
– Controles embebidos o configurables en los SI, que operan sobre procesos de negocio
– Los Controles Generales de TI efectivos, reducen el Riesgo de Control de los Controles de Aplicación.
– Ejemplos:
• Una OC por encima de USD 10.000 requiere de una aprobación en el sistema por parte del Gte. Financiero.
• Los totales calculados por el proceso de facturación se vuelcan automáticamente en la base de datos contable, registrándose la fecha, hora y usuario correspondientes.
www.isaca.org.uy
• Procedimientos para probar controles:
– Relevar los procesos relacionados e identificar los riesgos inherentes
– Identificar los Controles que realiza la organización para mitigar dichos riesgos
– Seleccionar los controles clave: aquellos que mitigan riesgos importantes o un conjunto de éstos.
– Identificar la información requerida para probar el control – Efectuar un recorrido del control (analizar un caso)
– Evaluar el Diseño del control
– Seleccionar una muestra apropiada, considerando solicitar la misma evidencia
– Evaluar la Operativa del control
– Identificación de Hallazgos / Excepciones
Principales actividades de un proceso de auditoría de TI/SI
• Informe final:
– Tipos:
• Hallazgos y recomendaciones (carta de comentarios) • Opinión respecto a la operativa revisada.
• Informe ejecutivo • Presentación oral
– Se emiten borradores previos para discusión
– Podría estar dirigido a la junta directiva, gerentes involucrados, accionistas, organismos reguladores, etc..
– Se deben recolectar las acciones que tomará la organización auditada.
www.isaca.org.uy
• Controles de Segregación de Funciones Incompatibles:
– Hay ciertas funciones que deben ser realizadas por distintos individuos, a efectos de evitar fraudes.
– En TI/SI, las funciones de desarrollo y administración del ambiente de producción deben ser asignadas a personas diferentes: ¿Por qué?
– Pueden ser implementados como Controles Generales de TI o Controles de Aplicación.
Principales actividades de un proceso de auditoría de TI/SI
¿POR QUÉ DEBEN REALIZARSE
AUDITORÍAS DE TI/SI?
www.isaca.org.uy
• Alta Gerencia:
– Verificar que las políticas y procedimientos establecidos se cumplen en la organización (ej: políticas de seguridad de la información, procedimientos de control, proc. Operativos, etc.)
• Auditores Financieros:
– Determinar el alcance de procedimientos de auditoría financiera (confiabilidad en el Sistema de Control Interno)
• Accionistas / Interesados:
– Aumentar el grado de confiabilidad en los reportes financieros
¿Por qué deben realizarse auditorías de TI/SI?
• Organismos de control / regulatorios:
– Que la organización se encuentra dentro del marco regulatorio establecido por los organismos de control aplicables.
• Área de TI/SI:
– Identificar aquellas áreas donde existen problemas, a efectos de trabajar para solucionarlas (oportunidades de mejora)
• Justicia / Litigios:
– Identificar responsabilidades luego de la ocurrencia de
incidentes ocasionados por una mala gestión o mal uso de las TI/SI
www.isaca.org.uy
MARCOS DE REFERENCIA Y
ESTÁNDARES
• Marcos de Referencia:
– Establece lineamientos generales.
– Indican “qué” se debe cumplir o considerar – Se “adoptan”
– No son certificables.
• Estándares:
– Establece lineamientos específicos
– Indican “cómo” deben encontrarse desde el punto de vista técnico.
– Se “implementan”
– Pueden ser certificables o no.
www.isaca.org.uy
• Para la adopción o implementación en la organización:
– CobiT 4.1 (Se viene la versión 5.0) – ITIL
– Normas ISO 27000 – TOGAF
• Para la realización de auditorías de TI/SI:
– Normas ISAE – International standard for Assurance Engagements (ej: 3402)
– Normas SSAE – Statement on Standards for Attestation Engagements (ej: 16, antes SAS-70)
– Estándares y Directrices de ISACA
1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 34
www.isaca.org.uy
• A nivel local:
– El único sector que está sometido a la obligatoriedad en la realización de procedimientos de Auditorías de TI/SI es el Financiero (BCU)
– El resto de las industrias, no tienen leyes locales que las obliguen a efectuar Auditorías de TI/SI relacionadas con el control interno (informar sobre el mismo).
– Otras leyes: Hábeas data y Acceso a la información pública, Unidades Reguladoras, etc.
Marco legal y regulatorio
• A nivel internacional:
– Estados Unidos:
• Ley Sarbanes-Oxley (SOX), arts. 404 y 302
• Ley Health Insurance Portability and Accountability (HIPAA)
– Acuerdos internacionales:
• BASILEA (Sector Financiero – Riesgos de Capital: Supervisión de la gestión)
www.isaca.org.uy
CONCLUSIONES
• Es otro rol posible del profesional de TI/SI.
• Existen muchos tipos de auditoría, y muchos
relacionados con TI/SI, por lo que es muy probable que
nos veamos involucrados con éstos de alguna forma
(como auditados o como auditores)
• Es un proceso que tiene un conjunto de etapas
• Son clave la independencia y la competencia del auditor
• La auditoría enfocada en riesgos procura probar
controles llevados a cabo en la organización.
Conclusiones
www.isaca.org.uy