Auditora de sistemas Auditora de Estados Contables Presente
Auditoría de sistemas - Auditoría de Estados Contables Presente y futuro Cra. Roxana Bueno Cr. Ricardo Rivas Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 1
Conceptos para reflexionar Qué debemos saber para conocer a nuestros clientes: Ø Ø Ø Ø Ø Mapa de sistemas de la compañía - Complejidad alta, media o baja Mapa de infraestructura Grado de integración de los sistemas Estructura de datos almacenados Políticas de almacenamiento y resguardo Vinculo a través de los SI con terceros y servicios tercerizados, Organigrama general y del área de TI Manuales de funciones, general y específico del área de TI Políticas de negocios y específicas, relativas al àrea TI y los sistemas Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 2
Características de los sistemas �Condiciones de la información Ø Integridad, Ø Confiabilidad, Ø Confidencialidad, Ø Exactitud, Ø Oportunidad, Ø Disponibilidad (por quienes, donde y cuando sea necesario) Ø Cumplimiento (leyes, decretos, resoluciones, reglamentaciones - Afip, Bcra, etc. - normas, políticas de la organización. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 3
Características Auditoría de sistemas � Concepto: Proceso sistemático de obtención y evaluación de evidencias documentadas sobre los Sistemas de Información, para determinar la suficiencia y aplicación efectiva de normas, políticas, procedimientos, operatorias, prácticas, y controles, orientados a: � Proteger los activos de la organización. (salvaguarda) � Preservar la integridad de los datos. � Cumplir eficazmente los objetivos. � Lograr el uso eficiente de los recursos humanos y materiales aplicados. � Cumplir con las regulaciones legales y fiscales. Auditoría de EECC u otros encargos � Concepto: Proceso sistemático para obtener y evaluar evidencias de una manera objetiva respecto a las afirmaciones concernientes a actos económicos para determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos y comunicar los resultados a terceros interesados. (ACC) � Dictaminar sobre su razonabilidad Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 4
Características Auditoría de sistemas Auditoria de Seguridad Informática: Proceso sistemático de obtención y evaluación de evidencias para comprobar : • El nivel de protección efectiva de la integridad, confidencialidad y disponibilidad de los activos de información de la organización, • Condiciones de autenticación y no repudio, • Identificación de posibles vulnerabilidades. Auditoría de EECC u otros encargos � Los objetivos: esenciales, adicionales y circunstanciales. � La auditoría como aquellos otros encargos se apoyan en un entorno normativo. � Importancia de la fecha del informe profesional respecto a los hechos posteriores al cierre. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR En qué fecha finalizo la revisión? ? 5
AUDITORIA DE SISTEMAS – AUD. ESTADOS FINANCIEROS VINCULOS DATOS E INFORMACION AUDITORIA DE ESTADOS FINANCIEROS AUDITORIA DE SISTEMAS AUDITORIA INTERNA Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 6
Identificación y ponderación de riesgos de TI Su consideración para la auditoría �Concepto de Riesgo: � Que es? ? “Un evento no deseado con probabilidad, o certeza, de efectos negativos para los objetivos de negocio y/o los activos del ente (organización). ” (Coso Enterprise Risk Management. 2004. ). Puede acaecer como consecuencia de una VULNERABILIDAD �Conceptos relacionados: � Amenaza: Persona o cosa vista como posible fuente de peligro. En TI, que pueda afectar los “Activos de TI” (Datos, Información, Recursos tecnológicos, Recursos Humanos) • Vulnerabilidad: Situación en que, por falta o insuficiencia de controles, puede concretarse una AMENAZA. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 7
Identificación y ponderación de riesgos de TI Su consideración para la auditoría �Valorización: Ponderación del daño que pueda concretarse de la combinación de los factores: IMPACTO Y PROBABILIDAD, a través de la aplicación de un método de evaluación. (ISO 27001, ISO 27005, Gtag 11, Magerit, Comunicación A 4609 BCRA, Comunic. 5374 BCRA, etc. ). � Impacto: Evaluación del efecto derivado de la concreción de un RIESGO. � Probabilidad: Posibilidad o frecuencia con la cual puede concretarse el IMPACTO en el tiempo. � Contramedidas: Acciones que pueden encararse para neutralizar o mitigar las consecuencias de la concreción de un Riesgo. (Instrumentación de CONTROLES y medidas de SEGURIDAD). Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 8
SECUENCIA DEL RIESGO DE TECNOLOGIA INFORMATICA Y SISTEMAS A M E N A Z A S IMPACTO RIESGOS DE TI VULNERABILIDADES q INFRAESTRUCTURA TECNOLOGICA. q COMUNICACIONES q SOFT. DE BASE q SISTEMAS APLICATIVOS q ALMACENAMIENTO. q CONTINUIDAD DE OPERACIONES q RECURSOS HUMANOS PROBABILIDAD Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR V A L O R I Z A C I O N C O N T R A M E D I D A S C O N T R O L E S S E G U R I D A D 9
Identificación y ponderación de riesgos de TI Su consideración para la auditoría �Utilidad para la Auditoría de TI y/o EECC �Que sucede si no contamos con este análisis? Efectos en el auditor. Limitaciones Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 10
Marco Normativo • Resolución Técnica 37 - Normas de auditoría y otros encargos. • Resolución MD 816/2015 - Informes de cumplimiento para responder encargos requeridos por reguladores, organismos de control u otros entes con facultades de fiscalización, preparados de acuerdo con la Resolución Técnica N° 37 Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 13
SEGUNDA PARTE (Aprobada por C. D. Nº 60/2013 CPCECABA) I. Introducción II. Normas comunes a los servicios de auditoría, revisión, otros encargos de aseguramiento, certificación y servicios relacionados. III. Normas de auditoría (Informes). IV. Normas de revisión de EECC de períodos intermedios. V. Normas sobre otros encargos de aseguramiento. VI. Normas sobre certificaciones. VII. Normas sobre servicios relacionados. GLOSARIO DE TÉRMINOS Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 14
Estructura de la RT 37 Capitulo I y II (Introducción y normas comunes a todos los encargos) Auditoría y revisión de información financiera histórica Capitulo III y IV Otros encargos aseguramiento que no son auditoría ni revisión de información financiera histórica Capítulo V Certificaciones Capítulo VI Servicios Relacionados Capítulo VII NIER 2000 NIEA 3000 No existen NISR 40002699 3699 4699 NIA 100 normas 999 Normas internacionales internacionale Normas s sobre internacion nales sobre encargos de servicios ales de aseguramiento relacionados Auditoría de Sistemas y de Estados Contables. auditoría de revisión Presente y futuro. RB - RR 15
Resolución MD 816/2015 Dentro de los considerandos: …. correspondería que los informes de cumplimiento se preparen siguiendo las normas comunes previstas en el Capítulo II de la RT 37 aplicables a los encargos específicamente contemplados en los Capítulos III a VII de la RT 37, referidos a las condiciones de independencia (apartado A), las normas para el desarrollo del encargo (apartado B) y las normas sobre informes (apartado C). Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 16
II. Normas comunes a los servicios de auditoría, revisión, otros encargos de aseguramiento, certificación y servicios relacionados Independencia A) Condiciones básicas para su ejercicio profesional en los servicios previstos en esta RT B) Normas para el desarrollo del encargo C) Normas sobre informes Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR Planificar Ejecutar Tareas finales Formalidades de los informes 17
Marco normativo para Auditoría de Sistemas Nacionales: Nacionales � Resoluciòn Nº 48/05 Sindicatura General de la Nación (SIGEN). Normas de Control Interno para Tecnologías de la Información para el Sector Público. , 2005 � Modelo de Política de Seguridad de la Información para organismos de la Administración Publica Nacional. Oficina Nacional de Tecnología de la Información (ONTI). � Requisitos Mínimos de gestión, implementación y control de los Riesgos relacionados con Tecnología de la Información y sistemas de información, para entidades financieras y cámaras compensadoras. Comunicación “A” 4609. BCRA , 2006 Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 18
Marco normativo para Auditoría de Sistemas II � Comunicación BCRA 6375 de Requisitos Mínimos de gestión, implementación y Control de los Riesgos Relacionados con Tecnología Informática, Sistemas de Información y Recursos Asociados para Entidades Financieras. t. o. 2017 � Ley 25326/2000. Protección de datos personales. Resolución sobre “Medidas de seguridad recomendadas para el tratamiento y conservación de los datos personales en medios informatizados” y su reglamento. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 19
Marco normativo para Auditoría de Sistemas III Internacionales (buenas prácticas) � Framework. COSO (Committee of Sponsoring Organization of the Treadway Commission). Marco conceptual de control, alcances y proceso. 1992. Base de referencia del marco Normas SOX. � COSO (Committee of Sponsoring Organization of the Treadway Commission). Guía para determinación de Riesgos. Definición y fundamentación como proceso de negocios a gestionar. 2004. � Normas ISO/IEC 27001/05. Normas estándar sobre Sistema de Gestión de Seguridad de la Información. Idem, su correspondiente actualización. Año 2013. Fija los requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 20
Marco Normativo para Auditoría de Sistemas IV �Normas ISO/IEC 27002/05. Information Technology Security Techniques. Versión Mercosur. Tecnología de la Información. Código de Buenos Prácticas para la Gestión de la Seguridad de la información. Asociación Mercosur de Normalización (AMN). 2007. Idem su correspondiente actualización año 2013. �Objetivos de Control, Directrices Generales. Modelo de Madurez. Versión 4. 1. COBIT (Control Objetives for Information and Related Technology). IT Governance Institute. ISACA (Information System Audits and Control Asociation). 2007 Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 21
Marco normativo para Auditoría de Sistemas V �Objetivos de Control. Directrices Generales. Modelo de Madurez. Seguridad de la Información. Versión 5. 0. COBIT (Control Objetives for Information and Related Technology). IT Governance Institute. ISACA. 2012. �Modelo de gestión de “Gobierno” de las TI”, metodología de definición e instrumentación para las organizaciones. COBIT 2019. Dentro de un marco conceptual general de COBIT. , 2019 �ISO/IEC 27005/2017. IRAM. Normas sobre metodologías de gestión, evaluación y ponderación de riesgos. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 22
Auditoría de Sistemas. Clasificación �Auditoría de cumplimiento. � Es aquella que tiene por objetivo comprobar el comportamiento de los controles para determinar: Ø Funcionan según lo previsto o no? (pruebas de aplicación efectiva y oportuna) Ø Cual es su nivel de suficiencia ? (cobertura de riesgos). Alcanzan o no para circunscribir los niveles de riesgos dentro de los límites deseados o esperados por la organización? ? Ø Su no aplicación. (inexistencia). No se han previsto. Se han omitido, se anularon, etc. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 23
Auditoría de Sistemas. Clasificación �Auditoría Sustantiva. • Es aquella que tiene por objeto comprobar la validez de los datos e información. (foco en los datos). , con la finalidad de verificar: exactitud, integridad, confiabilidad, validez, pertinencia, oportunidad, trazabilidad, y demás atributos de la información. Ø Intimamente ligada a la Auditoría de Estados Financieros, sus Anexos, y soporte para fines fiscales, legales y reglamentarios de la organización. Ø Auditoría tradicional, soportada en herramientas tecnológicas para las comprobaciones. Se amplía el potencial de análisis y la cobertura en alcances y profundidad. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 24
Auditoría de Seguridad. Clasificación Diferencias en el enfoque de Auditoría de Seguridad q Auditoria de Cumplimiento. Tiene por finalidad comprobar el comportamiento de los controles de seguridad de la información q Auditoria Sustantiva: Se concreta en comprobaciones reiteradas, a través de la investigación de fuentes de información específicas, (básicamente Logs), atinentes a la Seguridad. (no es el mismo alcance de la Auditoría Sustantiva tradicional). Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 25
Auditoría Principales tendencias y desafíos �A dónde vamos? ? : I � Profundización de la articulación entre: auditoría interna, auditoría de sistemas y auditoría de Estados Financieros. � Mayor protagonismo (no excluyente) de las verificaciones y comprobaciones en línea. � Instrumentación de técnicas de monitoreo continuo de procesos y operaciones con fines de auditoría (específicas y uso extendido de fuentes de datos generados por herramientas generales) � Incorporación de la “minería de datos” a la auditoria sustantiva (análisis y vinculación de datos). � Desarrollo de nuevos software de auditoría que permitan integrar la auditoría de controles y la sustantiva y automatizar técnicas y documentación. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 26
Auditoría Principales tendencias y desafíos �A dónde vamos? ? : (II) � Incorporación de las herramientas de BI (inteligencia de negocios) para apoyo de la auditoría (cubos multidimensionales específicos y generales). � Inclusión generalizada de “pistas” en los sistemas reales, para captación inmediata de datos sensibles, anomalías y excepciones a parámetros y tablas de control predeterminados. � Uso por parte del auditor de consultas ad hoc de las bases de datos, como soporte de las comprobaciones. � Generalización de la inclusión en los ERP de módulos de auditoría (como estándar). � Incorporación de técnicas y herramientas de “inteligencia artificial” para la auditoría. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 27
Auditoría Principales tendencias y desafíos �A dónde vamos? ? : (III) �Intervención obligatoria del auditor en los procesos, servicios y actividades tercerizadas (en crecimiento, extensión y complejidad). (externas a la organización). �Digitalización de “papeles de trabajo” como práctica estándar de valor legal. �Incremento significativo de la “auditoría de cumplimiento” de leyes, reglamentos, disposiciones, normas, políticas y estándares de “buenas prácticas” de las organizaciones. �Complementación plena entre la auditoría “en línea” y la auditoría de estados financieros. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 28
Auditoría Principales tendencias y desafíos �Desafíos: (I) � Avance de la “virtualización” vs. Infraestructura física en TI. � Distribución a través de la web de información y datos sensibles, con accesos y almacenamientos múltiples. � Digitalización total de operaciones y registros. � Integración extendida de sistemas, datos e información entre organizaciones (clientes, proveedores, organismos de control). � Tercerización generalizada de actividades y servicios sensibles y esenciales para la organización (mayor dependencia y debilidad del control) (producción, servicios, gestión de procesamiento y almacenamiento de datos e información, instalaciones de soporte para continuidad del negocio, etc. ) � Robótica e “internet de las cosas” (Io. T) como fuente de datos e información. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 29
Auditoría Principales tendencias y desafíos �Desafíos: (II) �Expansión y uso generalizado de la “Nube” (Cloud) para: procesamiento, explotación de software, puesta a disposición y almacenamiento de datos. Mayores riesgos, dependencia y pérdida de control. �Uso de técnicas y herramientas intermedias para explotación y análisis de datos e información. (BI, bases multidimensionales, etc. ) que manipulan, integran y explotan datos analíticos como soporte para la toma de decisiones. Integridad, confiabilidad? �La irrupción de la “inteligencia artificial” y su integración a procesos físicos y lógicos. Incertidumbre sobre aportes y nuevas amenazas y vulnerabilidades. ? ? Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 30
Auditoría Principales tendencias y desafíos �Desafíos: (III) �Distribución amplia y extendida de datos e información . Cerca del usuario final (interno y externo). �Expansión de la utilización e integración de la tecnología móvil como parte de la gestión de negocios. (aplicaciones, transacciones digitales de efecto patrimonial). �Planes de Continuidad de operaciones y del negocio, como condición para la sustentabilidad de las organizaciones. (auditoría de planes y comprobaciones periódicas de comportamiento de recursos humanos, físicos y lógicos en simulaciones). �Crecimiento de los negocios y manejo de fondos, bancarios y parabancarios, a través de la web. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 31
Auditoría Principales tendencias y desafíos �Desafíos: (IV) �Desarrollo y crecimiento de los ataques planeados a recursos físicos, lógicos, datos e información. Mayores amenazas y riesgos de vulnerabilidad, con impacto económico y operacional significativo. Mayor automatización, sofisticación y propagación en los ataques. �Chantaje informático (Ransomware) �Particularidades de las empresas tecnológicas. Por su trascendencia de mayor difusión y protagonismo en la economía, volatilidad, cambios permanentes, etc. Auditoría de Sistemas y de Estados Contables. Presente y futuro. RB - RR 32
junio 2019 33
- Slides: 31