www.isaca.org.uy

Auditoría: ¿Requisito

o Necesidad?

Ing. José Luis Mauro Vera, CISA

jose-luis.vera@uy.ey.com

/jlmvera

/joseluismaurovera

www.isaca.org.uy

• Introducción

• Auditoría de TI/SI

• Tipos de Auditoría de TI/SI

• Principales roles relacionados con TI en las organizaciones

• Principales actividades de una auditoría de TI

• ¿Por qué deben realizarse auditorías?

• Marcos de Referencia y Estándares

• Marco legal y regulatorio

• Conclusiones

Agenda

1 de diciembre de 2011 2Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

INTRODUCCIÓN

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 3

www.isaca.org.uy

• Conocimientos sobre TICs…

…una parte del libreto

Introducción

1 de diciembre de 2011 4Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• La otra parte del libreto…

… los usuarios

Introducción

1 de diciembre de 2011 5Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• ¿Qué tienen en común?

– Empresas de telecomunicaciones

– Empresas de transporte

– Comercios de grandes superficies

– Textiles

– Frigoríficos

– Entes públicos (ej: ANTEL, UTE, OSE, etc)

– Ministerios

– Justicia

– Etc….

Introducción

1 de diciembre de 2011 6Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Cualquier organización tiene:

– Misión

– Visión

– Objetivos:

• Para cumplir “objetivos del negocio”, las organizaciones acuden a

llevar a cabo diversas actividades: Procesos de negocio (tareas

recurrentes) y Proyectos (tareas con inicio y fin)

• Cumplir con los objetivos es un requerimiento del negocio

– Hay partes interesadas para que los objetivos se cumplan…

– ¿Estamos cumpliendo con los objetivos?

Introducción

1 de diciembre de 2011 7Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Las TI / SI ayudan a la ejecución de tareas, procesos,

proyectos

• ¿Cómo inciden las TI/SI en los objetivos de la

organización?

• ¿Las TI/SI están orientadas a cumplir con los objetivos

de la organización?

• ¿Las TI/SI aportan valor a la organización?

Introducción

1 de diciembre de 2011 8Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

AUDITORÍA DE TI / SI

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 9

www.isaca.org.uy

• Auditoría en general:

– Proceso sistemático ejecutado por un equipo/individuo: Conjunto

de etapas

– Evalúa objetivamente la evidencia respecto a afirmaciones

acerca de un proceso

– Produce un informe con el grado de cumplimiento respecto a las

afirmaciones

– Características del equipo/individuo:

• Independencia

• Competencia

• Auditoría de TI/SI: Procesos relacionados con TI/SI

Auditoría de TI / SI

1 de diciembre de 2011 10Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

¿Auditoría = Consultoría?

Auditoría de TI / SI

1 de diciembre de 2011 11Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

TIPOS DE AUDITORÍA DE TI/SI

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 12

www.isaca.org.uy

• Tipos de auditoría relacionados con TI/SI (según el alcance/objeto):– Auditorías Financieras

• Confiabilidad de la información

– Auditorías Operativas

• Controles de Aplicación en procesos

• Seguridad de la Información

– Auditorías de Sistemas de Información (SI)

• Alineamiento estratégico entre las TI/SI y los objetivos de negocio

– Auditorías Integradas

• Combinación de Auditorías Financieras, Operativas y de SI.

– Auditorías Forenses

– Auditorías de Cumplimiento:

• Ej: Certificaciones de normas técnicas

– Auditorías especializadas:

• Entrega de servicios por parte de proveedores (ISAE3402 / SSAE16)

Tipos de Auditoría de TI/SI

1 de diciembre de 2011 13Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Tipos de auditoría relacionados con TI/SI (según quién

la realice):

– Auditoría Interna:

• Proceso interno de la organización

• Podría subcontratarse a una firma de servicios, aunque siempre

dependerá de la cabeza de la organización

• Las conclusiones son válidas exclusivamente a nivel interno.

– Auditoría Externa:

• Llevado a cabo por una parte independiente

• Las conclusiones son valederas a nivel interno y para terceras

partes

Tipos de Auditoría de TI/SI

1 de diciembre de 2011 14Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Tipos de auditoría relacionados con TI/SI (Según los

procedimientos llevados a cabo)

– “Tradicional”

• Cubre un período específico ya culminado

• Se analiza la evidencia generada durante ese período

– Auditoría Continua:

• Técnicas de Auditoría Asistidas por Computadora (CAATs)

– Autoevaluaciones de riesgo

• Participación activa de las distintas áreas de la organización

• Las áreas se auditan en forma “cruzada”

• No sustituye a la tradicional

Tipos de Auditoría de TI/SI

1 de diciembre de 2011 15Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

PRINCIPALES ROLES

RELACIONADOS CON TI EN LAS

ORGANIZACIONES

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 16

www.isaca.org.uy

• Dentro de la organización

Principales roles relacionados con TI en las organizaciones

Gerente de TI

(CIO)

Gerente de Riesgos y

Cumplimiento

Junta Directiva /

Alta Gerencia

(“The Board”)

Auditor interno

de TI

1 de diciembre de 2011 17Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Fuera de la organización

Principales roles relacionados con TI en las organizaciones

Organismos

Regulatorios

Auditor ExternoClientes

Competencia,

Ex-empleados

1 de diciembre de 2011 18Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

PRINCIPALES ACTIVIDADES DE

UN PROCESO DE AUDITORÍA DE

TI/SI

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 19

www.isaca.org.uy

• Entender el negocio.

• Determinar el objetivo, alcance y equipo necesario.

• Planificación: Determinar la estrategia para llevar a cabo

la auditoría (ej: Auditoría basada en Riesgos)

• Definir la Materialidad

• Diseñar los procedimientos de auditoría.

• Ejecución de procedimientos de auditoría: Hallazgos,

Excepciones, etc.

• Emisión de informe.

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 20Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Materialidad:

– Las excepciones “materiales” son aquellas que son significativas

y que ameritan ser reportadas a la Alta Gerencia.

– Define un “margen de error” tolerable para los auditores

– ¿El auditado debería saberlo?

• Auditoría basada en Riesgos:

– Se realiza un análisis de riesgos, a efectos de determinar dónde

y qué procedimientos realizar (dónde hacer foco)

– Riesgo de Auditoría: Riesgo que existan errores “materiales” que

pasen desapercibidos durante la auditoría.

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 21Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Riesgo de Auditoría = R.I. + R.C. + R.D.

• Riesgo Inherente: (RI) Riesgo inherente al proceso de

negocio

• Riesgo de Control: Riesgo de que ocurra un error y que no

haya sido prevenido o detectado.

• Riesgo de Detección: Riesgo de que los procedimientos de

auditoría no detecten excepciones materiales (inadecuados).

• Para reducir el R.C., hay que confiar en el Control Interno de la

Organización

• Para reducir el R.D., hay que diseñar los procedimientos adecuados

para mitigar la posibilidad de encontrar diferencias materiales.

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 22Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Una auditoría basada en riesgos se centra en probar

aquellos controles llevados a cabo por la organización,

que mitigan los riesgos principales del negocio.

• “Sistema de Control Interno” de una organización

• El objetivo es confiar en las actividades de Control

Interno de la organización, procurando reducir el alcance

y hacer foco en asuntos significativos.

• Tipos de Controles:

– Controles Generales de TI

– Controles de Aplicación

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 23Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Controles Generales de TI

– Políticas, procedimientos y prácticas

– “Generales”: No están asociados a un proceso de negocio en

particular, ya que afectan a todos, o más de uno.

– Ejemplos:

• Autorizaciones / Aprobaciones de accesos y cambios

• Separación de ambientes de producción / desarrollo

• Validaciones de usuario y testing

• Uso / Asignación de cuentas de usuario privilegiadas

• Autentificación de usuarios: políticas de contraseñas

• Cifrado de datos en comunicaciones y medios de almacenaminto

• Procedimientos de respaldos y recuperación

• Planes de Continuidad del Negocio

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 24Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Controles de Aplicación:

– Controles embebidos o configurables en los SI, que operan

sobre procesos de negocio

– Los Controles Generales de TI efectivos, reducen el Riesgo de

Control de los Controles de Aplicación.

– Ejemplos:

• Una OC por encima de USD 10.000 requiere de una aprobación en

el sistema por parte del Gte. Financiero.

• Los totales calculados por el proceso de facturación se vuelcan

automáticamente en la base de datos contable, registrándose la

fecha, hora y usuario correspondientes.

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 25Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Procedimientos para probar controles:– Relevar los procesos relacionados e identificar los riesgos

inherentes

– Identificar los Controles que realiza la organización para mitigar dichos riesgos

– Seleccionar los controles clave: aquellos que mitigan riesgos importantes o un conjunto de éstos.

– Identificar la información requerida para probar el control

– Efectuar un recorrido del control (analizar un caso)

– Evaluar el Diseño del control

– Seleccionar una muestra apropiada, considerando solicitar la misma evidencia

– Evaluar la Operativa del control

– Identificación de Hallazgos / Excepciones

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 26Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Informe final:

– Tipos:

• Hallazgos y recomendaciones (carta de comentarios)

• Opinión respecto a la operativa revisada.

• Informe ejecutivo

• Presentación oral

– Se emiten borradores previos para discusión

– Podría estar dirigido a la junta directiva, gerentes involucrados,

accionistas, organismos reguladores, etc..

– Se deben recolectar las acciones que tomará la organización

auditada.

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 27Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Controles de Segregación de Funciones Incompatibles:

– Hay ciertas funciones que deben ser realizadas por distintos

individuos, a efectos de evitar fraudes.

– En TI/SI, las funciones de desarrollo y administración del

ambiente de producción deben ser asignadas a personas

diferentes: ¿Por qué?

– Pueden ser implementados como Controles Generales de TI o

Controles de Aplicación.

Principales actividades de un proceso de auditoría de TI/SI

1 de diciembre de 2011 28Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

¿POR QUÉ DEBEN REALIZARSE

AUDITORÍAS DE TI/SI?

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 29

www.isaca.org.uy

• Alta Gerencia:

– Verificar que las políticas y procedimientos establecidos se

cumplen en la organización (ej: políticas de seguridad de la

información, procedimientos de control, proc. Operativos, etc.)

• Auditores Financieros:

– Determinar el alcance de procedimientos de auditoría financiera

(confiabilidad en el Sistema de Control Interno)

• Accionistas / Interesados:

– Aumentar el grado de confiabilidad en los reportes financieros

¿Por qué deben realizarse auditorías de TI/SI?

1 de diciembre de 2011 30Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Organismos de control / regulatorios:

– Que la organización se encuentra dentro del marco regulatorio

establecido por los organismos de control aplicables.

• Área de TI/SI:

– Identificar aquellas áreas donde existen problemas, a efectos de

trabajar para solucionarlas (oportunidades de mejora)

• Justicia / Litigios:

– Identificar responsabilidades luego de la ocurrencia de

incidentes ocasionados por una mala gestión o mal uso de las

TI/SI

¿Por qué deben realizarse auditorías de TI/SI?

1 de diciembre de 2011 31Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

MARCOS DE REFERENCIA Y

ESTÁNDARES

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 32

www.isaca.org.uy

• Marcos de Referencia:

– Establece lineamientos generales.

– Indican “qué” se debe cumplir o considerar

– Se “adoptan”

– No son certificables.

• Estándares:

– Establece lineamientos específicos

– Indican “cómo” deben encontrarse desde el punto de vista

técnico.

– Se “implementan”

– Pueden ser certificables o no.

Marcos de Referencia y Estándares

1 de diciembre de 2011 33Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Para la adopción o implementación en la organización:

– CobiT 4.1 (Se viene la versión 5.0)

– ITIL

– Normas ISO 27000

– TOGAF

• Para la realización de auditorías de TI/SI:

– Normas ISAE – International standard for Assurance

Engagements (ej: 3402)

– Normas SSAE – Statement on Standards for Attestation

Engagements (ej: 16, antes SAS-70)

– Estándares y Directrices de ISACA

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 34

Marcos de Referencia y Estándares

www.isaca.org.uy

MARCO LEGAL Y REGULATORIO

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 35

www.isaca.org.uy

• A nivel local:

– El único sector que está sometido a la obligatoriedad en la

realización de procedimientos de Auditorías de TI/SI es el

Financiero (BCU)

– El resto de las industrias, no tienen leyes locales que las

obliguen a efectuar Auditorías de TI/SI relacionadas con el

control interno (informar sobre el mismo).

– Otras leyes: Hábeas data y Acceso a la información pública,

Unidades Reguladoras, etc.

Marco legal y regulatorio

1 de diciembre de 2011 36Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• A nivel internacional:

– Estados Unidos:

• Ley Sarbanes-Oxley (SOX), arts. 404 y 302

• Ley Health Insurance Portability and Accountability (HIPAA)

– Acuerdos internacionales:

• BASILEA (Sector Financiero – Riesgos de Capital: Supervisión de

la gestión)

Marco legal y regulatorio

1 de diciembre de 2011 37Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

CONCLUSIONES

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 38

www.isaca.org.uy

• Es otro rol posible del profesional de TI/SI.

• Existen muchos tipos de auditoría, y muchos

relacionados con TI/SI, por lo que es muy probable que

nos veamos involucrados con éstos de alguna forma

(como auditados o como auditores)

• Es un proceso que tiene un conjunto de etapas

• Son clave la independencia y la competencia del auditor

• La auditoría enfocada en riesgos procura probar

controles llevados a cabo en la organización.

Conclusiones

1 de diciembre de 2011 39Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

• Los Controles Generales de TI ayudan a reducir el

alcance de las pruebas sobre los controles de aplicación

• Aumentan el grado de confianza de actores internos y

externos a la organización, sobre la información de

gestión.

• Ayudan a mejorar procesos y aportar valor agregado:

eficacia y eficiencia.

• Indicador de cumplimiento con leyes y regulaciones

• Existen diversos marcos y estándares que exigen su

realización en forma regular

Conclusiones

1 de diciembre de 2011 40Auditoría: ¿Requisito o necesidad?

www.isaca.org.uy

PREGUNTAS. DUDAS.

1 de diciembre de 2011 Auditoría: ¿Requisito o necesidad? 41

¡Muchas gracias!

www.isaca.org.uy