Metodología COBIT

METODOLOGIA COBIT

El modelo COBIT sirve para evitar y auditor sistemas de control y gestión de los sistemas de información y tecnología relacionada. Está orientado a todos los sectores de la organización, es decir administradores de IT.

Esta metodología está conformada por la siguiente estructura:

  ü  Dominios: conjunto de procesos;

  ü  Procesos: son una serie de actividades;

  ü  Actividades: son acciones para lograr resultados.

Los procesos de TI están integrados por 4 dominios:

1) Planeamiento y Organización; 2) Adquisición e implementación; 3) Entrega y Soporte; 4) Monitoreo.

Dentro de sus usuarios están: Gerencias / Usuarios finales / Auditores / Responsables de TI

Características:        

•            Está orientado al negocio;
•       .  Alineado con estándares “de facto”;
•      Alineado con estándares de auditoría.

Como toda metodología COBIT necesita de recursos en IT para alcanzar sus objetivos, entre estos están:

1.        Datos,
2.        Aplicaciones,
3.        Tecnología,
4.        Instalaciones.

Aspectos o Principios:

     a)       Satisfacer necesidades de las partes interesadas;

     b)       Aplicar un marco integrado;

     c)       Habilitar un enfoque Holístico,

     d)       Separar el Gobierno de la administración.

Estandares y Metodologias Internacionales

                                ESTANDARES Y METODOLOGIAS INTERNACIONALES

Al realizar una auditoría de sistemas informáticos es fundamental conocer las normas y estándares internacionales los cuales han sido diseñados por profesionales en la materia como una guía que permita identificar, enumerar y describir las diversas vulnerabilidades que pueden presentarse dentro del proceso de la auditoria, y permiten realizar una mejor protección, control, y medidas de seguridad.

A continuación se detallan algunas normas que el auditor de sistemas debe conocer:

•  Normas Internacionales de Auditoría – NIAS;
•  Norma ISA 401 – Sistemas de Información por Computadora
•  Norma SAP 1009 – CAATs (en español Técnicas de Auditoría Asistidas por Aomputadora – TAACs)

También existen varias metodologías desde un enfoque  de control Internacional; Dentro de las más importantes para los profesionales son:

  ü  ISACA (COBIT)

  ü  COSO

  ü  AICPA (SAS)

  ü  IFAC (NIA)

  ü  SAC

  ü  MARGERIT

  ü  EDP

ISACA – COBIT: The Information Systems Audit and Control Foundation

Propone la metodología de COBIT (Control Objetives for Information and related Technology). Es un documento realizado en 1996, y revisado posteriormente, dirigido a auditores, administradores, y usuarios de sistemas de información, que tienen como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones. COBIT se desarrolla a travez de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.

COSO: The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).

Publicado en 1992, hace recomendaciones a los contadores de como evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las  operaciones, la información financiera y e l cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.

AICPA – SAS: The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55)

Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.

IFAC-NIA: La Federación Internacional de Contables IFAC

Emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991. IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo. SAC

SAC: The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.

MARGERIT: Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información).

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

EDP: La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.

Procedimientos de Seguridad Informática

PROCEDIMIENTOS DE SEGURIDAD INFORMATICA

La administración de la seguridad informática tiene que cumplir con los siguientes requisitos:

La administración de la Seguridad Informática es el conjunto de aspectos interrelacionados con el fin de proteger de amenazas la información de la entidad.

La estructura organizacional de la seguridad informática se puede dividir de la siguiente manera:

·         Seguridad informática para toda la organización;

1.       Requiere responsabilidad a nivel organización;
2.       Debe haber un responsable que analiza necesidades, que de soporte, vigile y haga mejoras.

Análisis de Riesgo:

El propósito de este análisis es cuantificar para toma de decisiones adecuadas si se usa para convertir “Miedos Técnicos” en aspectos en beneficio del negocio.

Propiedad de los Recursos:

Todo sistema debe tener un dueño o propietario que toma las decisiones del negocio.

Políticas:

1.      Estas definen la posición de la organización y documenta loas decisiones de la administración En lo relacionado a Seguridad Informática.

            2.      Definen el nivel de seguridad al ser logrados.

Guías y Estándares:

  ü  Información detallada como las personas soportan al sistema;

  ü  Dependen de la tecnología.

Procedimientos:

      a)      La tecnología es parte de la solución.

      b)      La altura organizacional es más importante que la tecnología.

Tipos de Política:

  ü  Política General o Corporativa;

  ü  Política sobre aspectos de seguridad

  ü  Políticas Generales o Corporativo

Seguridad Informática

SEGURIDAD INFORMATICA

Es la disciplina que se ocupa de diseñar normas, reglas, métodos, técnicas y procedimientos, orientados a proveer condiciones seguras y confiables para el procedimiento de datos en sistemas informáticos.

Principios Básicos:

• Confidencialidad > privacidad de elementos de información (los protege de intrusos o accesos no autorizados);
• Integridad > validez y consistencia de los elementos de información (autorización y sincronización de procesos);
• Disponibilidad > continuidad de acceso a la información.

Factores de Riesgo:

IMPREDECIBLES:

• Factores ambientales: se dan por factores externos a nuestra voluntad,

• Factores Tecnológicos: son impredecibles (falta de energía, aire acondicionado etc)

PREDECIBLES:

  ü  Factores Humanos: interviene la mano del hombre y pueden ser predecibles.

FACTORES DE RIESGO TECNOLOGICO:

  ü  Virus: programa que se replica a si mismo en otros programas, y son dañinos;

  ü  Hackers: personas que tienen conocimiento avanzado en informática y su objetivo es tener acceso a sistemas no autorizados; persiguen probar que tienen inteligencia para invadir sistemas protegidos y probar que la seguridad de los sistemas falla;

  ü  Crackers: personas que usan sus habilidades para violentar los sistemas de información con el fin de destruir total o parcialmente los sistemas de información, y esto lo hacen por satisfacción personal.

FACTORES DE RIESGO TECNOLOGICO

Son técnicas que se usan para fortalecer la confidencialidad e integridad de los sistemas de informática.

Clasificación:

                    I.            Preventivos: actúan antes que ocurran los hechos;

                  II.            Detectivos: revelan la presencia de agentes no deseados;

                III.            Correctivos: actúan luego de ocurrido los hechos y su finalidad es corregir las consecuencias y daños hechos por intrusos.

Software de Auditoria

SOFTWARE DE AUDITORIA

El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo.

Tipos de software:

1.        Básicos: suelen ser presentaciones simples en formato Adobe, Power Point, Excel, Planilla de cálculo, o cualquier otro software de producción personal;
2.        Intermedios: algunos de ellos son ACL, IDEA, Productos Methdware, entre otros;
3.        Complejos: podemos mencionar SQL, QUERY, DATAENTRY, DUMP, TI;
4.       Avanzados: tenemos el Scan (BNA) 

Vale la pena mencionar las funciones de algunos software

IDEA:

1. Detección de fraudes,
2. Informes y análisis de gestión,
3.  Revisiones de seguridad,
4. Transferencias de archivos,

WORKING PAPERS:

•       T Balance de Comprobación,
•       Generado Automatico de documentos, 
•       Planillas de Caseware, 
•       Facilidad de exportación,
•       Consolidación
•       Funciones de mapeo,
•       División de saldos.

TODAY

• ·         Operaciones en tiempo real,
• ·         Base de Datos ilimitadas,
• ·         Una base de datos de clientes,
• ·         Proyectos completos y sub-proyectos de clientes,
• ·         Mejoramiento de Cash Flow.

IDS:

Sistema de detección de intrusos.

Ø  Clasificación I: IDS’s basados en red – Monitoreo de Registros – Sistemas de decepción o

                         Tarros de miel.

Ø  Clasificación II: Detección de anomalías.

Complemento Metodología Básica Auditoria de Sitemas

METODOLOGIA BASICA DE LA AUDITORIA DE SISTEMAS (Conclusiones)

Una parte importante dentro de la metodología son los procedimientos para elaborar el informe de auditoría de sistemas computacionales, el que también es llamado Dictamen. Este es uno de los puntos más difíciles de la auditoria de sistemas debido a lo complicado de sus procedimientos propios, los cuales son llevados por una secuencia de técnicas muy particulares.

Los pasos para elaboración del informe son los siguientes:

1.  Aplicar instrumentos de recopilación,
2. Registrar situaciones encontradas durante la revisión,
3. Comentar sobre las situaciones encontradas,

·   Encontrar junto con los auditados las causas de situaciones encontradas, así como sus posibles soluciones,

• Analizar, depurar y corregir las desviaciones encontradas,
• Comentar las situaciones relevantes con los directores y encargados del área de sistemas,
• Depurar y elaborar el informe final,
• Presentar el informe y dictamen final a los directores de la empresa.

Con base a técnicas y procedimientos definidos en la planeación el auditor identifica las posibles desviaciones encontradas y las analiza, comparándolas con la operación normal. Una vez identificadas las debe plasmar por escrito en un documento llamado formato de situaciones encontradas.   Dicho documento debe ser elaborado con claridad y de fácil comprensión, para que lo pueda comprender alguien que sea ajeno a la auditoria.

Las características fundamentales de dictamen son:

a) de forma; 

b) de fondo.

a) De Forma: está enfocado en la manera en que se debe presentar el informe en cuanto al estilo de redacción, contenido, tipo y tamaño de hojas, en si es la presentación estética ya que debe ser muy profesional.

b) De Fondo: se refiere al cuidado que se debe tener al revisar el contenido total del dictamen de auditoría para que sea acorde con lo que realmente se quiere señalar de la revisión efectuada.

Metodología Básica Auditoría de Sistemas

METODOLOGIA BASICA DE LA AUDITORIA DE SISTEMAS 

Es el proceso mediante el cual se identifica y se ordenan bajo categorías los recursos de información de manera sistemática.

La metodología básica de la auditoria de sistemas se divide en las siguientes etapas:

1.        PLANEACIÓN - Estudio Preliminar, revisión y evaluación de procesos
2.        EJECUCIÓN - Plan de Trabajo
3.               DICTAMEN - Comunicación de Resultados

Dentro de la Planeación se tienen los siguientes pasos: origen, visita preliminar, objetivo, puntos a evaluar, plan programado y presupuesto, instrumentos y procedimientos,  recurso y sistemas computacionales.

Existe un proceso de control y verificación el cual debe establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora.

La Ejecución es la elaboración de la auditoria, la cual requiere de pasos y aplicación de técnicas dentro de las cuales se pueden mencionar entre otros los papeles de trabajo, y cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.

El Informe de Auditoria también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Los procedimientos para elaborar dicho informe.

Se compone de las siguientes características:

Informe de Situaciones Detectadas: esto incluye análisis de los papeles de trabajo, señalar las situaciones encontradas, hacer modificaciones necesarias entre otras.

Dictamen Final: comprende un análisis de la información, elaboración del borrador del dictamen.

Informe de Auditoria: es la presentación del informe final, así como la integración de los papeles de trabajo.