Herramientas de Auditoria

2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved.
Universidad de las Amricas

Herramientas de Auditora
Noviembre de 2008
Alfonso Mateluna C.
Gerente Senior
IT Advisory
Agenda
Herramientas de apoyo a la auditora
Herramientas de planificacin y registro
Auditora contnua
Herramientas de evaluacin de la seguridad
Herramientas CAATs, usos y funcionalidades
Agenda
Auditora contnua
Herramientas de apoyo a la Auditora
Las herramientas de apoyo a la auditora estn orientadas a:
Incrementar la productividad y efectividad del auditor.
Efectuar auditoras con mayor valor agregado.
Estandarizar el proceso de los papeles de trabajo.
Homogeneizar el conocimiento de los auditores
Elevar el perfil del departamento de auditoria
Optimizar la emisin del informe de auditoria
Implican que se conozca bien de auditora, su objetivo, alcance, pruebas que se
puede realizar, etc.
COBIT COBIT
1996: versin 1, orientada a la auditora.
1998: versin 2, orientada al control.
2000: versin 3, orienta a la administracin.
2005: Gobierno de TI.
COBIT: lenguaje comn, alineado con mi marco / estndar (ITIL,
TOGAF, CMMI, ISO 27001, etc.)
2006: Surge Val IT, complemento de COBIT que se preocupa del
valor de TI.
Controles generales de TI: Controles generales de TI:
- Desarrollo de sistemas
- Administracin de cambios
- Seguridad
- Operacin del computador
Controles a nivel de aplicaci Controles a nivel de aplicaci n: n:
- Origen de datos / Autorizacin
- Entrada de datos
- Procesamiento de datos
- Salida de datos
- Lmites
De negocio y TI a nivel de: De negocio y TI a nivel de:
- Direccin ejecutiva
- Procesos de negocio
- Soporte de los procesos de negocio
Tipos de controles, segn COBIT:
La Information Technology Assurance Framework
(ITAF):
Provee gua par el diseo, conduccin y reporte tanto de una
auditora de TI como de revisiones de aseguramiento
Define trminos y conceptos especficos para el aseguramiento en
TI
Establece estndares que se refieren los roles y responsabilidades
de los profesionales de auditora y aseguramiento TI, los
conocimientos y habilidades requeridas, as como requerimientos de
conducta y forma de reportar
Ejemplo prctico de ITAF
82,24%
30,84%
61,68%
0,00%
20,00%
40,00%
60,00%
80,00%
100,00%
CobIT ITIL ISO 17799
/27001
Principales guas Utilizadas
Qu marcos de referencia y herramientas utilizan los auditores de TI?
Agenda
Auditora contnua
Herramientas de Planificacin y Registro
Funcionalidades tpicas
-Planificacin estratgica basada en evaluacin de riesgos
-Planificacin y Asignacin de Recursos
-Realizacin de la auditora / Documentacin
-Trabajo distribuido geogrficamente
-Generacin de informe
-Almacenamiento centralizado
-Seguimiento
Agenda
Auditora contnua
Auditora Contnua
Auditora continua Una metodologa que permite a auditores
independientes proveer certeza escrita sobre un asunto usando una
serie de informes de auditora emitidos simultneamente con, o en un
perodo corto de tiempo despus de que han ocurrido los eventos
subyacentes al asunto (del informe de investigacin CICA/AICPA).
La auditora continua de SI (y las que no son de SI) tambin se
realizan usando tpicamente procedimientos automatizados de
auditora.
Auditora Contnua
Caractersticas propias
Lapso corto de tiempo entre el hecho que va a ser auditado y la
recopilacin de evidencia y el informe de auditora
Conductores
Mejor monitoreo de los aspectos financieros
Permite el monitoreo en tiempo real de transacciones
Previene fiascos financieros y escndalos de auditora
Usa software para determinar el control financiero ms
apropiado
Auditora Contnua
Las herramientas del tipo GRC han mostrado una evolucin, la que
se vi favorecida por SOX, pasando de ser meras planillas donde se
registran los riesgos de distintos sectores de la empresa, a ser
sistemas que se conectan a las principales aplicaciones, dando una
visin en tiempo real de los riesgos en los sistemas, en lo referido a:
Privilegios de usuarios
Controles generales
Controles de aplicacin
Patrones de fraude
Hay ejemplos de este tipo de herramientas para las instituciones
financieras, como i-flex (parte de Oracle Financial Services),
relativas a Anti Money Laundry, Basilea II, Solvency II, etc.
Auditora Contnua
Accesos / privilegios de usuarios.
Diagnstico de posibles accesos a funcionalidades incompatibles
entre si
Diagnstico de acceso a funcionalidades / perfiles crticos
Diagnstico para un mismo usuario entre ERPs / sistemas Legacy
Descartar falsos positivos / negativos
Resolucin de conflictos
Administracin simplificada de accesos entre empresas / locaciones
Detectar / detener actividades sospechosas o patrones de fraude
Facilidad para simular escenarios de asignacin de perfiles
Documentacin de los casos en que no se pueden segregar accesos
Auditora Contnua
Controles de aplicacin
Base de datos con controles aplicables por funcionalidades
Adaptabilidad para conectar con otros ERPs / sistemas locales
Compatibilidad con otras herramientas de reporte de riesgos / control
Alarmas categorizadas ante cambios de configuracin de controles
Bsqueda de patrones de fraude
Controles a nivel de pantallas
Controles a nivel de mdulos
Controles a nivel de maestros de datos
Controles aplicables a industrias especficas
Auditora Contnua
Controles Generales
Capacidad de revisar usuarios genricos
Flujo de Ciclo de Vida y Desarrollo de Software
Controles de autenticacin password
Controles de autorizacin
Compatibilidad con paquetes de manejo de identidad de usuarios
Monitoreo al cambio de configuraciones
Deteccin de intentos fallidos de ingreso al sistema
Conexin a configuracin de plataforma TI, como base de datos y
sistema operativo
Auditora Contnua
Hay que dejar de ver los esfuerzos en Gobierno, Administracin de
Riesgos y Cumplimiento como silos; esto es algo que, adems de
costoso, puede ser inconsistente por las distintas visiones de riesgo en
la organizacin.
Los aproximadamente 64 vendedores de soluciones facturaron slo en
licencias el 2001 U$ 85 millones y el 2006 facturaron 590 millones
(www.forrester.com).
El mercado de soluciones est alcanzando un nivel de madurez
adecuado, con funcionalidades que van ms all de la segregacin de
funciones.
Esto ha sido propiciado por una dura competencia, as como por la
compra de los dos gigantes de los ERP de soluciones, quienes las han
internalizado como parte de su suite estndar, lo que hizo que los
vendedores independientes de plataforma mejoren an ms la variedad
y profundidad de sus servicios.
Auditora Contnua
Visin general del ERM y GRC
Fuente: SAP
Administracin de Riesgos del Negocio (ERM)
Control de Acceso
Segregacin de
Funciones
Velar por el cumplimiento
Definificin de Roles
Administracin de Roles
Accesos Privilegiados
Detectar accesos no
autorizados
Control de Proceso
Automatizado
Comparativo
Entre Transacciones
Monitoreado
Centralmente
Tendencias
Diagnsticos
Administracin y
Documentacin del
Cumplimiento
Workflow
Procedimientos
Responsibilidad
Documentacin
Resultados de Pruebas
Cumplimiento para
Industrias
Especializadas
Adm. de emisiones
Cumplimiento de
productos con tratados
de comercio
Aplicacin ERP
Controles Aplicacin Controles grales de TI
Auditora Contnua
Ejemplo de reglas a parametrizar
Agenda
Auditora contnua
Evaluacin de la seguridad
Las distintas herramientas que se puede encontrar para evaluar la seguridad
deben ser vistas en su contexto, dado que por seguridad podemos ver el
enfoque de Halper, de cuatro capas:
-Aplicacin
-Base de datos
-Sistema operativo
-Redes
A nivel de deteccin de debilidades / vulnerabilidades, podemos encontrar:
-Password crackers: ejemplo: Cain and Abel
-Sniffers: ejemplo tcpdump
-Escaners de vulnerabilidades: Nessus, retina
-Escanes de Web: ejemplo Nikto
Evaluacin de la seguridad
Estas herramientas requieren ser usadas por personas que
entiendan bien lo que hacen. Adems, deben provenir de
fuentes confiables
Agenda
Auditora contnua
Herramientas CAAT
Computer Aided Audit Test son pruebas del tipo sustantivas,
usadas entre otros:
- Probar el funcionamiento de un programa
- Probar el cumplimiento de controles / procedimientos
- Buscar excepciones / atipicidades anomalas
- Realizar muestreo
- Anlisis de datos financieros
- Anlisis de archivos log
Herramientas CAAT
Entre sus funcionalidades se destacan:
- Capacidad de muestreo
- Algoritmos de bsqueda de patrones de fraude
- Acceso a datos va OBDC, reportes, diversos formatos
- Filtro de informacin
- Capacidad de reproducir programas complejos
- Recurrencia de pruebas
- Relacionar informacin desde diversos archivos
- Generacin de reportes de texto / grficos
- Integracin con la suite Office
Herramientas CAAT
Ejemplos de funcionalidades de anlisis de datos:
Verificacin de Campos
Totales de Control
Comandos
Contar
Totalizar
Perfil
Estadsticas
Control de Secuencia
Herramientas CAAT
Herramientas CAAT
Muchas gracias
Datos del presentador
Alfonso Mateluna
amateluna@kpmg.com
Fono: 7981505

Herramientas de Auditoria

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Herramientas de Auditoria

Uploaded by

Copyright:

Available Formats

2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved.

Universidad de las Amricas

You might also like