2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved.
Universidad de las Amricas
Herramientas de Auditora Noviembre de 2008 Alfonso Mateluna C. Gerente Senior IT Advisory 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda Herramientas de apoyo a la auditora Herramientas de planificacin y registro Auditora contnua Herramientas de evaluacin de la seguridad Herramientas CAATs, usos y funcionalidades 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda Herramientas de apoyo a la auditora Herramientas de planificacin y registro Auditora contnua Herramientas de evaluacin de la seguridad Herramientas CAATs, usos y funcionalidades 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora Las herramientas de apoyo a la auditora estn orientadas a: Incrementar la productividad y efectividad del auditor. Efectuar auditoras con mayor valor agregado. Estandarizar el proceso de los papeles de trabajo. Homogeneizar el conocimiento de los auditores Elevar el perfil del departamento de auditoria Optimizar la emisin del informe de auditoria Implican que se conozca bien de auditora, su objetivo, alcance, pruebas que se puede realizar, etc. 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora COBIT COBIT 1996: versin 1, orientada a la auditora. 1998: versin 2, orientada al control. 2000: versin 3, orienta a la administracin. 2005: Gobierno de TI. COBIT: lenguaje comn, alineado con mi marco / estndar (ITIL, TOGAF, CMMI, ISO 27001, etc.) 2006: Surge Val IT, complemento de COBIT que se preocupa del valor de TI. 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora Controles generales de TI: Controles generales de TI: - Desarrollo de sistemas - Administracin de cambios - Seguridad - Operacin del computador Controles a nivel de aplicaci Controles a nivel de aplicaci n: n: - Origen de datos / Autorizacin - Entrada de datos - Procesamiento de datos - Salida de datos - Lmites De negocio y TI a nivel de: De negocio y TI a nivel de: - Direccin ejecutiva - Procesos de negocio - Soporte de los procesos de negocio Tipos de controles, segn COBIT: 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora La Information Technology Assurance Framework (ITAF): Provee gua par el diseo, conduccin y reporte tanto de una auditora de TI como de revisiones de aseguramiento Define trminos y conceptos especficos para el aseguramiento en TI Establece estndares que se refieren los roles y responsabilidades de los profesionales de auditora y aseguramiento TI, los conocimientos y habilidades requeridas, as como requerimientos de conducta y forma de reportar 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora Ejemplo prctico de ITAF 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora 82,24% 30,84% 61,68% 0,00% 20,00% 40,00% 60,00% 80,00% 100,00% CobIT ITIL ISO 17799 /27001 Principales guas Utilizadas Qu marcos de referencia y herramientas utilizan los auditores de TI? 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditora 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda Herramientas de apoyo a la auditora Herramientas de planificacin y registro Auditora contnua Herramientas de evaluacin de la seguridad Herramientas CAATs, usos y funcionalidades 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de Planificacin y Registro Funcionalidades tpicas -Planificacin estratgica basada en evaluacin de riesgos -Planificacin y Asignacin de Recursos -Realizacin de la auditora / Documentacin -Trabajo distribuido geogrficamente -Generacin de informe -Almacenamiento centralizado -Seguimiento 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda Herramientas de apoyo a la auditora Herramientas de planificacin y registro Auditora contnua Herramientas de evaluacin de la seguridad Herramientas CAATs, usos y funcionalidades 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Auditora continua Una metodologa que permite a auditores independientes proveer certeza escrita sobre un asunto usando una serie de informes de auditora emitidos simultneamente con, o en un perodo corto de tiempo despus de que han ocurrido los eventos subyacentes al asunto (del informe de investigacin CICA/AICPA). La auditora continua de SI (y las que no son de SI) tambin se realizan usando tpicamente procedimientos automatizados de auditora. 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Caractersticas propias Lapso corto de tiempo entre el hecho que va a ser auditado y la recopilacin de evidencia y el informe de auditora Conductores Mejor monitoreo de los aspectos financieros Permite el monitoreo en tiempo real de transacciones Previene fiascos financieros y escndalos de auditora Usa software para determinar el control financiero ms apropiado 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Las herramientas del tipo GRC han mostrado una evolucin, la que se vi favorecida por SOX, pasando de ser meras planillas donde se registran los riesgos de distintos sectores de la empresa, a ser sistemas que se conectan a las principales aplicaciones, dando una visin en tiempo real de los riesgos en los sistemas, en lo referido a: Privilegios de usuarios Controles generales Controles de aplicacin Patrones de fraude Hay ejemplos de este tipo de herramientas para las instituciones financieras, como i-flex (parte de Oracle Financial Services), relativas a Anti Money Laundry, Basilea II, Solvency II, etc. 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Accesos / privilegios de usuarios. Diagnstico de posibles accesos a funcionalidades incompatibles entre si Diagnstico de acceso a funcionalidades / perfiles crticos Diagnstico para un mismo usuario entre ERPs / sistemas Legacy Descartar falsos positivos / negativos Resolucin de conflictos Administracin simplificada de accesos entre empresas / locaciones Detectar / detener actividades sospechosas o patrones de fraude Facilidad para simular escenarios de asignacin de perfiles Documentacin de los casos en que no se pueden segregar accesos 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Controles de aplicacin Base de datos con controles aplicables por funcionalidades Adaptabilidad para conectar con otros ERPs / sistemas locales Compatibilidad con otras herramientas de reporte de riesgos / control Alarmas categorizadas ante cambios de configuracin de controles Bsqueda de patrones de fraude Controles a nivel de pantallas Controles a nivel de mdulos Controles a nivel de maestros de datos Controles aplicables a industrias especficas 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Controles Generales Capacidad de revisar usuarios genricos Flujo de Ciclo de Vida y Desarrollo de Software Controles de autenticacin password Controles de autorizacin Compatibilidad con paquetes de manejo de identidad de usuarios Monitoreo al cambio de configuraciones Deteccin de intentos fallidos de ingreso al sistema Conexin a configuracin de plataforma TI, como base de datos y sistema operativo 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Hay que dejar de ver los esfuerzos en Gobierno, Administracin de Riesgos y Cumplimiento como silos; esto es algo que, adems de costoso, puede ser inconsistente por las distintas visiones de riesgo en la organizacin. Los aproximadamente 64 vendedores de soluciones facturaron slo en licencias el 2001 U$ 85 millones y el 2006 facturaron 590 millones (www.forrester.com). El mercado de soluciones est alcanzando un nivel de madurez adecuado, con funcionalidades que van ms all de la segregacin de funciones. Esto ha sido propiciado por una dura competencia, as como por la compra de los dos gigantes de los ERP de soluciones, quienes las han internalizado como parte de su suite estndar, lo que hizo que los vendedores independientes de plataforma mejoren an ms la variedad y profundidad de sus servicios. 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Visin general del ERM y GRC Fuente: SAP Administracin de Riesgos del Negocio (ERM) Control de Acceso Segregacin de Funciones Velar por el cumplimiento Definificin de Roles Administracin de Roles Accesos Privilegiados Detectar accesos no autorizados Control de Proceso Automatizado Comparativo Entre Transacciones Monitoreado Centralmente Tendencias Diagnsticos Administracin y Documentacin del Cumplimiento Workflow Procedimientos Responsibilidad Documentacin Resultados de Pruebas Cumplimiento para Industrias Especializadas Adm. de emisiones Cumplimiento de productos con tratados de comercio Aplicacin ERP Controles Aplicacin Controles grales de TI 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditora Contnua Ejemplo de reglas a parametrizar 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda Herramientas de apoyo a la auditora Herramientas de planificacin y registro Auditora contnua Herramientas de evaluacin de la seguridad Herramientas CAATs, usos y funcionalidades 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Evaluacin de la seguridad Las distintas herramientas que se puede encontrar para evaluar la seguridad deben ser vistas en su contexto, dado que por seguridad podemos ver el enfoque de Halper, de cuatro capas: -Aplicacin -Base de datos -Sistema operativo -Redes A nivel de deteccin de debilidades / vulnerabilidades, podemos encontrar: -Password crackers: ejemplo: Cain and Abel -Sniffers: ejemplo tcpdump -Escaners de vulnerabilidades: Nessus, retina -Escanes de Web: ejemplo Nikto 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Evaluacin de la seguridad Estas herramientas requieren ser usadas por personas que entiendan bien lo que hacen. Adems, deben provenir de fuentes confiables 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda Herramientas de apoyo a la auditora Herramientas de planificacin y registro Auditora contnua Herramientas de evaluacin de la seguridad Herramientas CAATs, usos y funcionalidades 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT Computer Aided Audit Test son pruebas del tipo sustantivas, usadas entre otros: - Probar el funcionamiento de un programa - Probar el cumplimiento de controles / procedimientos - Buscar excepciones / atipicidades anomalas - Realizar muestreo - Anlisis de datos financieros - Anlisis de archivos log 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT Entre sus funcionalidades se destacan: - Capacidad de muestreo - Algoritmos de bsqueda de patrones de fraude - Acceso a datos va OBDC, reportes, diversos formatos - Filtro de informacin - Capacidad de reproducir programas complejos - Recurrencia de pruebas - Relacionar informacin desde diversos archivos - Generacin de reportes de texto / grficos - Integracin con la suite Office 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT Ejemplos de funcionalidades de anlisis de datos: Verificacin de Campos Totales de Control Comandos Contar Totalizar Perfil Estadsticas Control de Secuencia 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Muchas gracias Datos del presentador Alfonso Mateluna amateluna@kpmg.com Fono: 7981505