Your SlideShare is downloading. ×
Herramientas de auditoria
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Herramientas de auditoria

27,086
views

Published on


1 Comment
4 Likes
Statistics
Notes
No Downloads
Views
Total Views
27,086
On Slideshare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
391
Comments
1
Likes
4
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Universidad de las Américas Herramientas de Auditoría Noviembre de 2008 Alfonso Mateluna C. Gerente Senior IT Advisory
  • 2. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda ♦Herramientas de apoyo a la auditoría ♦Herramientas de planificación y registro ♦Auditoría contínua ♦Herramientas de evaluación de la seguridad ♦Herramientas CAAT’s, usos y funcionalidades
  • 3. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda ♦Herramientas de apoyo a la auditoría ♦Herramientas de planificación y registro ♦Auditoría contínua ♦Herramientas de evaluación de la seguridad ♦Herramientas CAAT’s, usos y funcionalidades
  • 4. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría Las herramientas de apoyo a la auditoría están orientadas a: •Incrementar la productividad y efectividad del auditor. • Efectuar auditorías con mayor valor agregado. • Estandarizar el proceso de los papeles de trabajo. • Homogeneizar el conocimiento de los auditores • Elevar el perfil del departamento de auditoria • Optimizar la emisión del informe de auditoria Implican que se conozca bien de auditoría, su objetivo, alcance, pruebas que se puede realizar, etc.
  • 5. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría COBITCOBIT ♦ 1996: versión 1, orientada a la auditoría. ♦ 1998: versión 2, orientada al control. ♦ 2000: versión 3, orienta a la administración. ♦ 2005: Gobierno de TI. ♦ COBIT: lenguaje común, alineado con mi marco / estándar (ITIL, TOGAF, CMMI, ISO 27001, etc.) ♦ 2006: Surge Val IT, complemento de COBIT que se preocupa del valor de TI.
  • 6. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría Controles generales de TI:Controles generales de TI: - Desarrollo de sistemas - Administración de cambios - Seguridad - Operación del computador Controles a nivel de aplicaciControles a nivel de aplicacióón:n: - Origen de datos / Autorización - Entrada de datos - Procesamiento de datos - Salida de datos - Límites De negocio y TI a nivel de:De negocio y TI a nivel de: - Dirección ejecutiva - Procesos de negocio - Soporte de los procesos de negocio Tipos de controles, según COBIT:
  • 7. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría La Information Technology Assurance Framework (ITAF): • Provee guía par el diseño, conducción y reporte tanto de una auditoría de TI como de revisiones de aseguramiento • Define términos y conceptos específicos para el aseguramiento en TI • Establece estándares que se refieren los roles y responsabilidades de los profesionales de auditoría y aseguramiento TI, los conocimientos y habilidades requeridas, así como requerimientos de conducta y forma de reportar
  • 8. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría Ejemplo práctico de ITAF
  • 9. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría 82,24% 30,84% 61,68% 0,00% 20,00% 40,00% 60,00% 80,00% 100,00% CobIT ITIL ISO 17799 /27001 Principales guías Utilizadas ¿Qué marcos de referencia y herramientas utilizan los auditores de TI?
  • 10. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de apoyo a la Auditoría
  • 11. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda ♦Herramientas de apoyo a la auditoría ♦Herramientas de planificación y registro ♦Auditoría contínua ♦Herramientas de evaluación de la seguridad ♦Herramientas CAAT’s, usos y funcionalidades
  • 12. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas de Planificación y Registro Funcionalidades típicas -Planificación estratégica basada en evaluación de riesgos -Planificación y Asignación de Recursos -Realización de la auditoría / Documentación -Trabajo distribuido geográficamente -Generación de informe -Almacenamiento centralizado -Seguimiento
  • 13. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda ♦Herramientas de apoyo a la auditoría ♦Herramientas de planificación y registro ♦Auditoría contínua ♦Herramientas de evaluación de la seguridad ♦Herramientas CAAT’s, usos y funcionalidades
  • 14. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua ♦ Auditoría continua – “Una metodología que permite a auditores independientes proveer certeza escrita sobre un asunto usando una serie de informes de auditoría emitidos simultáneamente con, o en un período corto de tiempo después de que han ocurrido los eventos subyacentes al asunto” (del informe de investigación CICA/AICPA). ♦ La auditoría continua de SI (y las que no son de SI) también se realizan usando típicamente procedimientos automatizados de auditoría.
  • 15. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua − Características propias •Lapso corto de tiempo entre el hecho que va a ser auditado y la recopilación de evidencia y el informe de auditoría − Conductores •Mejor monitoreo de los aspectos financieros •Permite el monitoreo en tiempo real de transacciones •Previene fiascos financieros y escándalos de auditoría •Usa software para determinar el control financiero más apropiado
  • 16. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua Las herramientas del tipo GRC han mostrado una evolución, la que se vió favorecida por SOX, pasando de ser meras planillas donde se registran los riesgos de distintos sectores de la empresa, a ser sistemas que se conectan a las principales aplicaciones, dando una visión en tiempo real de los riesgos en los sistemas, en lo referido a: − Privilegios de usuarios − Controles generales − Controles de aplicación − Patrones de fraude Hay ejemplos de este tipo de herramientas para las instituciones financieras, como i-flex (parte de Oracle Financial Services), relativas a Anti Money Laundry, Basilea II, Solvency II, etc.
  • 17. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua Accesos / privilegios de usuarios. ♦Diagnóstico de posibles accesos a funcionalidades incompatibles entre si ♦Diagnóstico de acceso a funcionalidades / perfiles críticos ♦Diagnóstico para un mismo usuario entre ERP’s / sistemas Legacy ♦Descartar falsos positivos / negativos ♦Resolución de conflictos ♦Administración simplificada de accesos entre empresas / locaciones ♦Detectar / detener actividades sospechosas o patrones de fraude ♦Facilidad para simular escenarios de asignación de perfiles ♦Documentación de los casos en que no se pueden segregar accesos
  • 18. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua Controles de aplicación ♦Base de datos con controles aplicables por funcionalidades ♦Adaptabilidad para conectar con otros ERP’s / sistemas locales ♦Compatibilidad con otras herramientas de reporte de riesgos / control ♦Alarmas categorizadas ante cambios de configuración de controles ♦Búsqueda de patrones de fraude ♦Controles a nivel de pantallas ♦Controles a nivel de módulos ♦Controles a nivel de maestros de datos ♦Controles aplicables a industrias específicas
  • 19. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua Controles Generales ♦Capacidad de revisar usuarios genéricos ♦Flujo de Ciclo de Vida y Desarrollo de Software ♦Controles de autenticación – password ♦Controles de autorización ♦Compatibilidad con paquetes de manejo de identidad de usuarios ♦Monitoreo al cambio de configuraciones ♦Detección de intentos fallidos de ingreso al sistema ♦Conexión a configuración de plataforma TI, como base de datos y sistema operativo
  • 20. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua ♦Hay que dejar de ver los esfuerzos en Gobierno, Administración de Riesgos y Cumplimiento como silos; esto es algo que, además de costoso, puede ser inconsistente por las distintas visiones de riesgo en la organización. ♦Los aproximadamente 64 vendedores de soluciones facturaron sólo en licencias el 2001 U$ 85 millones y el 2006 facturaron 590 millones (www.forrester.com). ♦El mercado de soluciones está alcanzando un nivel de madurez adecuado, con funcionalidades que van más allá de la segregación de funciones. ♦Esto ha sido propiciado por una dura competencia, así como por la compra de los dos gigantes de los ERP de soluciones, quienes las han internalizado como parte de su suite estándar, lo que hizo que los vendedores independientes de plataforma mejoren aún más la variedad y profundidad de sus servicios.
  • 21. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua Visión general del ERM y GRC Fuente: SAP Administración de Riesgos del Negocio (ERM) Control de Acceso Segregación de Funciones Velar por el cumplimiento Definifición de Roles Administración de Roles Accesos Privilegiados Detectar accesos no autorizados Control de Proceso Automatizado Comparativo Entre Transacciones Monitoreado Centralmente Tendencias Diagnósticos Administración y Documentación del Cumplimiento Workflow Procedimientos Responsibilidad Documentación Resultados de Pruebas Cumplimiento para Industrias Especializadas Adm. de emisiones Cumplimiento de productos con tratados de comercio Aplicación ERP Controles AplicaciónControles grales de TI
  • 22. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Auditoría Contínua Ejemplo de reglas a parametrizar
  • 23. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda ♦Herramientas de apoyo a la auditoría ♦Herramientas de planificación y registro ♦Auditoría contínua ♦Herramientas de evaluación de la seguridad ♦Herramientas CAAT’s, usos y funcionalidades
  • 24. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Evaluación de la seguridad Las distintas herramientas que se puede encontrar para evaluar la seguridad deben ser vistas en su contexto, dado que por seguridad podemos ver el enfoque de Halper, de cuatro capas: -Aplicación -Base de datos -Sistema operativo -Redes A nivel de detección de debilidades / vulnerabilidades, podemos encontrar: -Password crackers: ejemplo: Cain and Abel -Sniffers: ejemplo tcpdump -Escaners de vulnerabilidades: Nessus, retina -Escanes de Web: ejemplo Nikto
  • 25. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Evaluación de la seguridad Estas herramientas requieren ser usadas por personas que entiendan bien lo que hacen…. Además, deben provenir de fuentes confiables…
  • 26. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Agenda ♦Herramientas de apoyo a la auditoría ♦Herramientas de planificación y registro ♦Auditoría contínua ♦Herramientas de evaluación de la seguridad ♦Herramientas CAAT’s, usos y funcionalidades
  • 27. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT Computer Aided Audit Test son pruebas del tipo sustantivas, usadas entre otros: - Probar el funcionamiento de un programa - Probar el cumplimiento de controles / procedimientos - Buscar excepciones / atipicidades – anomalías - Realizar muestreo - Análisis de datos financieros - Análisis de archivos log
  • 28. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT Entre sus funcionalidades se destacan: - Capacidad de muestreo - Algoritmos de búsqueda de patrones de fraude - Acceso a datos vía OBDC, reportes, diversos formatos - Filtro de información - Capacidad de reproducir programas complejos - Recurrencia de pruebas - Relacionar información desde diversos archivos - Generación de reportes de texto / gráficos - Integración con la suite Office
  • 29. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT Ejemplos de funcionalidades de análisis de datos: − Verificación de Campos − Totales de Control − Comandos − Contar − Totalizar − Perfil − Estadísticas − Control de Secuencia
  • 30. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT
  • 31. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Herramientas CAAT
  • 32. © 2008, KPMG, member firm of International, a Swiss cooperative. All rights reserved. Muchas gracias Datos del presentador Alfonso Mateluna amateluna@kpmg.com Fono: 7981505