slide 1: Servicio de Auditoría Interna
Auditoría de
Sistemas de Información
Servicio de Auditoría Interna
slide 2: Servicio de Auditoría Interna
Índice
Estrategia para la Auditoría de Sistemas de la
Información
Esquema Organizativo
Auditor Informático
Estándares y Normas Técnicas
Planificación de Actuaciones
Proceso de Auditorías de Sistemas de Información
Guión para Auditorías de Sistemas de Información
Informes de Auditorías de Sistemas de Información
slide 3: Servicio de Auditoría Interna
Estrategia para la Auditoría de Sistemas de Información
Necesidad de definir una estrategia
Las TIC han acompañado la automatización y el crecimiento
La información y los recursos TIC como activos de las
organizaciones
Dependencia de las TIC
Implicación de la Dirección
Incremento vulnerabilidad de los sistemas
Dar respuesta a la dependencia de la información
Importancia costes e inversiones TIC
Potencial de las TIC para introducir cambios
Desconfianza en los procedimientos automatizados
slide 4: Servicio de Auditoría Interna
Objetivos de las Administraciones Públicas:
Cumplimiento de la legalidad vigente
Eficacia
Eficiencia
Auditoría Sistemas de Información
Supervisión de los riesgos de los sistemas de información
que pudieran afectar al cumplimiento de la legalidad
vigente la eficiencia y la eficacia de los procesos
soportados por los sistemas de información en especial
los de la administración electrónica.
Estrategia para la Auditoría de Sistemas de Información
slide 5: Servicio de Auditoría Interna
Estrategia para la Auditoría de Sistemas de Información
slide 6: Servicio de Auditoría Interna
Esquema Organizativo
Independencia
Autoridad
slide 7: Servicio de Auditoría Interna
Esquema Organizativo
Mandato para una Auditoría Interna
slide 8: Servicio de Auditoría Interna
Esquema Organizativo
Mandato para una Auditoría Externa
slide 9: Servicio de Auditoría Interna
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información I
Actuaciones de apreciación independiente para
supervisar el control establecido
A- Actividades básicas
Dirección o Gobierno de las TIC Gobernanza TIC
Supervisar el control interno TIC
Supervisar la gestión de riesgos TIC
slide 10: Servicio de Auditoría Interna
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información II
Protección de datos de carácter personal
Control de accesos
Administración Electrónica
Equipamiento informático
Seguridad sistemas
Desarrollo y mantenimiento de aplicaciones
Explotación de sistemas de información
Contratación bienes y servicios TIC
Técnica de sistemas
Continuidad del servicio TIC
Acreditación de confianza
slide 11: Servicio de Auditoría Interna
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información III
B- Acciones proactivas
Participación en el ciclo de control
Asegurar existencia de controles internos razonables y adecuados
Divulgar y fomentar las buenas prácticas
Fomentar la documentación de los sistemas y procedimientos
Asesorar en la implementación de pistas de auditoría
Asesorar en las salvaguardas de activos
Asegurar eficiencia gestión recursos
slide 12: Servicio de Auditoría Interna
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información IV
C- Auditoría forense
Desafío ante delitos informáticos garantizando la evidencia
digital que se presentase en un proceso judicial.
Recuperar información
Determinar cusa y origen de una situación
Identificar autores acciones ilícitas
Identificar uso inapropiado de los medios de la Organización
slide 13: Servicio de Auditoría Interna
Esquema Organizativo
Naturaleza del trabajo de auditoría de sistemas de
información V
D- Apoyo en auditorías externas
Supervisión de auditores externos.
E- Apoyo a otras áreas de Auditoría
Asistencia para la obtención estructuración y análisis de la
información.
slide 14: Servicio de Auditoría Interna
Auditor Informático
Áreas de Conocimiento certificables
Técnica o metodología de auditoría informática
Gestión planificación y organización de las TIC
Infraestructura técnica prácticas operativas y protección de
activos
Recuperación de desastres y continuidad de la actividad
Desarrollo adquisición implementación y mantenimiento de
sistemas
Evaluación de procesos y gestión de riesgos
slide 15: Servicio de Auditoría Interna
Auditor Informático
Otras características no certificables
Comprender procesos de gestión y normativa legal
Identificar problemas y plantear soluciones
Llenar vacío de comunicación entre dirección usuarios y
técnicos
Saber comunicar
Negociar situaciones de conflicto
Saber cuando solicitar asistencia
slide 16: Servicio de Auditoría Interna
Estándares y Normas Técnicas
Principios
Salvar brechas entre riesgos del proceso de gestión
necesidades de control y aspectos técnicos
Determinar el alcance de las actuaciones e identificar los
controles mínimos
Observar e incorporar estándares y regulaciones nacionales o
internacionales
Hechos
Adecuar técnicas auditoría tradicionales a los controles de las TIC
Generar resultados homogéneos
Organizar los trabajos tipificar tareas
Emplear distintos referentes según tipo de auditoría
Estándares basados en buenas prácticas
slide 17: Servicio de Auditoría Interna
Estándares y Normas Técnicas
1 Instrumentos de normalización de las
Administraciones Públicas en España
Normas de Auditoría del Sector Público de la IGAE: No son
específicas a la auditoría de sistemas de información
MAGERIT Versión 2: Es la metodología de análisis y gestión
de riesgos de los sistemas de información.
Modelo EFQM de Excelencia: Es una orientación de la
Fundación Europea para la Gestión de la Calidad que
contempla algunos criterios que hacen referencia a las TIC
Serie Seguridad de las Tecnologías de la Información del
Centro Criptográfico Nacional CCN-STIC
slide 18: Servicio de Auditoría Interna
Estándares y Normas Técnicas
2 Instrumentos de normalización de las
Administraciones Públicas en EE.UU.
Government Auditing Standars GAGAS: Son las normas
de aplicación para el General Accountability Office GAO de
EE.UU.
Federal Information System Controls Audit Manual
FISCAM: Una guía metodológica que aplica las normas del
GAO y del NIST.
Serie de Publicaciones Especiales SP-800 del Instituto
Nacional de Estándares y Tecnología NIST
slide 19: Servicio de Auditoría Interna
Estándares y Normas Técnicas
3 Prácticas y recomendaciones de asociaciones
internacionales I
Normas Internacionales para el Ejercicio Profesional de la
Auditoría Interna The Institute of Internal Auditors
Asociación de Auditoría y Control de Sistemas de
Información ISACA
Control Objetives for Information and Related
Technologies COBIT
IS Standars Guidelines and Procedures for Auditing
and Control Professionals
Information Technology Infraestructure Library ITIL
slide 20: Servicio de Auditoría Interna
Estándares y Normas Técnicas
3 Prácticas y recomendaciones de asociaciones
internacionales II
Modelo de Madurez de las Capacidades Integrado para el
Desarrollo CMMI del Instituto de Ingeniería del Software SEI
Instituto SANS SysAdmin Audit Network Security
Normalización internacional ISO:
Gestión de Servicios de las Tecnologías de la
Información IT Service Management: ISO/IEC
20000:2005
Seguridad de la Información: Familia ISO/IEC 27000
Criterios comunes de evaluación de la seguridad de las
tecnologías de la información ISO/IEC 15408:2005 Common
Criteria for Information Technology Security Evaluation
slide 21: Servicio de Auditoría Interna
Planificación de Actuaciones
Qué auditar
Cumplimiento de requerimientos legales
Sensibilidad de la organización a riesgos / resultado de análisis
Resultado de auditorías anteriores
Condicionantes de la Organización
Cuándo auditar
Priorizar las actuaciones detectadas y ajustando el alcance a
los recursos disponibles y las demandas de la dirección
Elaborar el documento de planificación periódica de la unidad
de auditoría
Revisión periódica del plan inicial para incorporar actuaciones
no previstas
Cómo auditar
Proceso para planificar las actuaciones individuales
slide 22: Servicio de Auditoría Interna
Planificación de Actuaciones
Análisis de
riesgos
Sensibilidad de
la Dirección
Requerimientos
legales
Prioridades de la
Organización
Situaciones de riesgo
inicialmente no previstas
Plan de Actuaciones de
Auditoría
Actuación 1 Actuación 2 Actuación n
....
Tarea 2
Tarea 1
Tarea n
slide 23: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
slide 24: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
slide 25: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
PLANIFICACIÓN DE ACTIVIDADES
Identificar la información a recopilar
Identificar las tareas de campo
Identificar interlocutores
Recursos necesarios/disponibles
Responsabilidades de los miembros del equipo auditoría
Calendario tentativo
slide 26: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
Identificar el Alcance de la Actuación
Que se quiere comprobar
Que se pretende demostrar
Que se va a informar
Obtención de Información Preliminar
Actividad llevada a cabo por el área a auditar
Esquema de control interno políticas normas etc.
Estándares de referencia
Informes anteriores
Familiarizarse con el entorno tecnológico a auditar
slide 27: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
Identificar Objetivos Detallados
Evaluación preliminar para identificar objetivos de control
Identificar posibles condicionantes
Grado de extensión acorde al alcance
Auditorías de cumplimiento:
Modelo de control de referencia
Existencia de controles
Adecuación y eficacia de los controles
Proporcionalidad
Auditorías operativas:
Modelo de control de referencia
Planificación y gestión de controles
Aseguramiento de los controles
Oportunidad de introducir cambios
slide 28: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
FORMALIZACIÓN DEL INICIO DE LA ACTUACIÓN
Notificación del responsable de la unidad de auditoría al
responsable del área a auditar
Reunión del equipo auditor con el responsable de la
unidad a auditar para comunicar:
Alcance de los trabajos
Necesidad/obligación de colaboración
Interlocutor del equipo auditor
Se debe tener presente no interferir con el trabajo
realizado por el área auditada
slide 29: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
TRABAJOS DE CAMPO
Técnicas Recolección de Evidencias
Revisión de documentos
Entrevistas
Observación del trabajo realizado
Pruebas y verificaciones
Uso de herramientas
slide 30: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
Uso de Herramientas Informáticas o Técnicas de
Auditoría Asistidas por Ordenador - CAAT I
Obtención de información de los SI
Recolección de evidencias de los SI
Creación de muestras para realizar pruebas
Ventajas
Aseguran independencia en la recolección de datos
Disminuyen el riesgo propio del proceso de auditoría
Mayor cobertura y consistencia de la pruebas
slide 31: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
Características
Productos informáticos ad-hoc o herramientas de los sistemas
Acceso a distintas estructuras o formatos de datos
Aplicación de criterios de selección
Reorganización de la información obtenida
Funciones estadísticas y aritméticas
Precauciones
El acceso a los datos reales por los auditores debe ser siempre sólo
en modo lectura
Los datos extraídos deben aislarse del entorno de producción para
evitar que las manipulaciones alteren los originales
El empleo de herramientas que puedan causar perturbaciones debe
ser limitado
Uso de Herramientas Informáticas o Técnicas de
Auditoría Asistidas por Ordenador - CAAT II
slide 32: Servicio de Auditoría Interna
Proceso de Auditorías de Sistemas de Información
Uso de Herramientas Informáticas o Técnicas de
Auditoría Asistidas por Ordenador - CAAT III
Ejemplos
Logs: contienen el registro de actividad
Utilidades de sistema: contienen los parámetros que
implementan las políticas de control
Software generalizado de auditoría: acceso a archivos
selección de datos reorganización etc.
Software específico: herramientas empleadas con un
propósito concreto
slide 33: Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de Información
El GUIÓN es la herramienta fundamental de
apoyo para el auditor que documenta el
proyecto de la auditoría
Identifica que tareas se deben efectuar
durante la actuación
Cuantifica los medios necesarios
Define la secuencia de los trabajos
Para que el equipo comprenda lo que debe
realizar y obtenga una visión del conjunto
slide 34: Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de Información
ESTRUCTURA DEL GUIÓN
1. Puntos de control
En función del objetivo y alcance de la actuación se habrán
establecido objetivos de control detallados apartados
del guión. Identifica lo que se va a supervisar del sistema de
control.
2. Directriz de auditoría
Desarrollan los Puntos de control señalando las tareas a
efectuar antes o durante la actuación.
Determinan los medios y técnicas necesarios para cada punto
de control
Limitadas por el desarrollo de la función de auditoría en la
Organización
slide 35: Servicio de Auditoría Interna
Guión para Auditorías de Sistemas de Información
Esquema COBIT para el guión
Secuencia de las actividades
slide 36: Servicio de Auditoría Interna
Informes de Auditorías de Sistemas de Información
Contenidos
del Informe
de Auditoría
slide 37: Servicio de Auditoría Interna
Informes de Auditorías de Sistemas de Información
Ejemplos de Informes de Auditorías Sistemas de
Información
Elaboración propia
Basado en actuaciones reales
Cumplimiento de políticas e instrucciones
Georgia Department of Audits and Accounts
Informe sistema información para la gestión del IVA
Informe de seguimiento
National Audit Office
Informe de calidad de la información Impuesto Renta
Progreso en información y servicios on-line
Goverment Accountabillity Office
Uso de datos adquiridos
Desafío en el uso del correo electrónico
slide 38: Servicio de Auditoría Interna
www.agenciatributaria.es
Fernando Rodríguez Rivadulla
frrivadullacorreo.aeat.es