Tema 3

129
LOGO www.themegallery.com Capítulo III Metodologías de control interno, seguridad y auditoría informática, Modelos Auditoría informática

Transcript of Tema 3

Page 1: Tema 3

LOGO www.themegallery.com

Capítulo III

Metodologías de control interno, seguridad y auditoría informática, Modelos

Auditoría informática

Page 2: Tema 3

LOGO

Metodologías de auditoría informática

Introducción

Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática.

Page 3: Tema 3

LOGO

Metodologías de auditoría informática

Existen algunas metodologías de Auditoría informática y todas

depende del alcance de lo que se pretenda revisar o

analizar y que proceso informático se va ha auditar, además

las metodologías para auditoria informática, en su gran

mayoría, tienen procedimientos y tareas parecidos.

Para dar una clasificación de las auditorias informáticas

diremos que son de dos tipos:

Generales.

Especificas.

Page 4: Tema 3

LOGO

Metodologías de auditoría informática

Metodologías Generales

Las metodologías generales permiten dar una opinión sobre la fiabilidad de la información, el resultado de esta metodología es un informe generalizado donde se destacan las vulnerabilidades encontradas. Es importante conocer que este tipo de auditoria tiene como material de trabajo los check list, (cuestionarios), entre otras que permiten anotar observaciones que ayudan a conservar un banco importante de pruebas sobre hallazgos.

Metodologías Específicas

Las metodologías especificas son aquellas que el auditor interno o externo “crea” para su uso son mas especificas y exhaustivas, ya que sirve para evaluar un área en particular, al igual que la anterior metodología sus informes permiten el registro de observaciones.

Page 5: Tema 3

LOGO

Metodologías de auditoría informática

Es importante señalar que el uso de cualquier metodología de auditoria informática no garantiza por sí sola el éxito de los diferentes planes de A.I

Se requiere también de un buen dominio y uso constante de los siguientes aspectos complementarios:

Técnicas.

Herramientas de productividad.

Habilidades personales.

Conocimientos técnicos y administrativos.

Experiencia en los campos de auditoría en informática.

Conocimiento de los factores del negocio y del medio externo al mismo.

Actualización permanente.

Involucramiento y comunicación constante con asociaciones nacionales e internacionales relacionadas con el campo

Page 6: Tema 3

LOGO

Metodologías de auditoría informática

Etapas de la Metodología

1. Alcance y Objetivos de la Auditoría Informática

2. Estudio inicial del entorno auditable

3. Determinación de los recursos necesarios para realizar la

auditoría

4. Elaboración del plan y de los Programas de Trabajo

5. Actividades propiamente dichas de la auditoría

6. Confección y redacción del Informe Final

7. Redacción de la Carta de Introducción o Carta de

Presentación del Informe final

Page 7: Tema 3

LOGO

Metodologías de auditoría informática

Fase 1: Definición de Alcance y Objetivos

El alcance de la auditoría expresa los límites de la misma. Debe

existir un acuerdo muy preciso entre auditores y clientes sobre las

funciones, las materias y las organizaciones a auditar, es decir

cuales materias, funciones u organizaciones no van a ser auditadas.

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben

comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría

Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.

Page 8: Tema 3

LOGO

Metodologías de auditoría informática

Fase 2: Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y

actividades generales de la informática. Para su realización el auditor

debe conocer lo siguiente:

Organización:

Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor

deberá fijarse en:

1)Organigrama:

El organigrama expresa la estructura oficial de la organización a

auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.

Page 9: Tema 3

LOGO

Metodologías de auditoría informática

Fase 2: Estudio Inicial

2) Departamentos:

Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá

brevemente las funciones de cada uno de ellos.

3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:

El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario

detectará, por ejemplo, si algún empleado tiene dos jefes.

Las de Jerarquía implican la correspondiente subordinación. Las

funcionales por el contrario, indican relaciones no estrictamente subordinables.

Page 10: Tema 3

LOGO

Metodologías de auditoría informática

Fase 2: Estudio Inicial

4) Flujos de Información:

Además de las corrientes verticales intradepartamentales, la

estructura organizativa cualquiera que sea, produce corrientes de

información horizontales y oblicuas extradepartamentales.

5) Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.

Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y

expresarán el número de puestos de trabajo verdaderamente diferentes.

Page 11: Tema 3

LOGO

Metodologías de auditoría informática

Fase 2: Estudio Inicial

6) Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar.

La inadecuación del personal determina que el número de personas

que realizan las mismas funciones rara vez coincida con la

estructura oficial de la organización.

Page 12: Tema 3

LOGO

Metodologías de auditoría informática

Fase 3: Entorno Operacional

El equipo de auditoría informática debe poseer una adecuada

referencia del entorno en el que va a desenvolverse. Este

conocimiento previo se logra determinando, fundamentalmente, los

siguientes extremos:

a. Situación geográfica de los Sistemas:

Se determinará la ubicación geográfica de los distintos Centros de

Proceso de Datos en la empresa. A continuación, se verificará la

existencia de responsables en cada unos de ellos, así como el uso de

los mismos estándares de trabajo.

Page 13: Tema 3

LOGO

Metodologías de auditoría informática

Fase 3: Entorno Operacional

b. Arquitectura y configuración de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuración

elegida para cada uno de ellos, ya que los mismos deben constituir un

sistema compatible e intercomunicado. La configuración de los

sistemas esta muy ligada a las políticas de seguridad lógica de las

compañías.

Los auditores, en su estudio inicial, deben tener en su poder la

distribución e interconexión de los equipos.

Page 14: Tema 3

LOGO

Metodologías de auditoría informática

Fase 3: Entorno Operacional

c. Inventario de Hardware y Software:

El auditor recabará información escrita, en donde figuren todos los

elementos físicos y lógicos de la instalación. En cuanto a Hardware

figurarán las CPUs, unidades de control local y remotas,

periféricos de todo tipo, etc.

El inventario de software debe contener todos los productos lógicos

del Sistema, desde el software básico hasta los programas de utilidad

adquiridos o desarrollados internamente. Suele ser habitual clasificarlos

en facturables y no facturables.

Page 15: Tema 3

LOGO

Metodologías de auditoría informática

Fase 3: Entorno Operacional

d. Comunicación y Redes de Comunicación:

En el estudio inicial los auditores dispondrán del número, situación y

características principales de las líneas, así como de los accesos a la

red pública de comunicaciones.

Igualmente, poseerán información de las Redes Locales de la

Empresa.

Page 16: Tema 3

LOGO

Metodologías de auditoría informática

Fase 3: Entorno Operacional

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:

a. Volumen, antigüedad y complejidad de las Aplicaciones

b. Metodología del Diseño

Se clasificará globalmente la existencia total o parcial de

metodología en el desarrollo de las aplicaciones. Si se han utilizados

varias a lo largo del tiempo se pondrá de manifiesto.

Page 17: Tema 3

LOGO

Metodologías de auditoría informática

Fase 3: Entorno Operacional

Aplicaciones bases de datos y ficheros

c. Documentación

La existencia de una adecuada documentación de las aplicaciones

proporciona beneficios tangibles e inmediatos muy importantes.

La documentación de programas disminuye gravemente el mantenimiento de los mismos.

d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un

promedio de número de accesos a ellas por hora o días. Esta

operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión

aceptable de las características de la carga informática.

Page 18: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la

Auditoría Informática

Mediante los resultados del estudio inicial realizado se procede a

determinar los recursos humanos y materiales que han de

emplearse en la auditoría.

- Recursos humanos

- Recursos materiales

Page 19: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la Auditoría Informática

Recursos materiales

Es muy importante su determinación, por cuanto la mayoría de ellos son

proporcionados por el cliente. Las herramientas de software propias

del equipo van a utilizarse igualmente en el sistema auditado, por

lo que han de convenirse en lo posible las fechas y horas de uso

entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a. Recursos materiales Software

b. Recursos materiales Hardware

Page 20: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la Auditoría Informática

Recursos materiales

a. Recursos materiales Software

Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

b. Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las

Computadoras del auditado. Para lo cuál habrá de convenir el, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Page 21: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la Auditoría Informática

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las

características y perfiles del personal seleccionado depende de la

materia auditable.

Igualmente, la auditoría en general suele ser ejercida por profesionales

universitarios y por otras personas de probada experiencia

multidisciplinaria.

Page 22: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la Auditoría

Informática

Perfiles Profesionales de los auditores informáticos

Page 23: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la Auditoría Informática

Recursos Humanos

Elaboración del Plan y de los programas de trabajo

Una vez asignados los recursos, el responsable de la auditoría y sus

colaboradores establecen un plan de trabajo. Decidido éste, se

procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:

a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa.

b) Si la auditoría es global, de toda la Informática, o parcial. El

volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.

Page 24: Tema 3

LOGO

Metodologías de auditoría informática

Fase 4: Determinación de recursos de la Auditoría Informática

Recursos Humanos

Elaboración del Plan y de los programas de trabajo

En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos

En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios

En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.

El Plan establece disponibilidad futura de los recursos durante la revisión.

El Plan estructura las tareas a realizar por cada integrante del grupo.

En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

Page 25: Tema 3

LOGO

Metodologías de auditoría informática

Fase 5: Actividades de la Auditoría Informática

Auditoría por temas generales o por áreas específicas:

La auditoría Informática general se realiza por áreas generales o

por áreas específicas. Si se examina por grandes temas, resulta

evidente la mayor calidad y el empleo de más tiempo total y mayores

recursos.

Cuando la auditoría se realiza por áreas específicas, se abarcan de

una vez todas las peculiaridades que afectan a la misma, de forma

que el resultado se obtiene más rápidamente y con menor calidad.

Page 26: Tema 3

LOGO

Metodologías de auditoría informática

Fase 5: Actividades de la Auditoría Informática

Técnicas de Trabajo:

Análisis de la información recabada del auditado Análisis de la información propia Cruzamiento de las informaciones anteriores Entrevistas Simulación Muestreos

Herramientas:

Cuestionario general inicial Cuestionario Checklist Estándares Monitores Simuladores (Generadores de datos) Paquetes de auditoría (Generadores de Programas) Matrices de riesgo

Page 27: Tema 3

LOGO

Metodologías de auditoría informática

Fase 6: Informe Final

La función de la auditoría se materializa exclusivamente por

escrito. Por lo tanto la elaboración final es el exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes

parciales previos al informe final, los que son elementos de contraste

entre opinión entre auditor y auditado y que pueden descubrir fallos de

apreciación en el auditor.

Page 28: Tema 3

LOGO

Metodologías de auditoría informática

Fase 6: Informe Final

Estructura del informe final

1. El informe comienza con la fecha de comienzo de la auditoría y la

fecha de redacción del mismo. Se incluyen los nombres del equipo

auditor y los nombres de todas las personas entrevistadas, con

indicación de la jefatura, responsabilidad y puesto de trabajo que

ostente.

2. Definición de objetivos y alcance de la auditoría.

3. Enumeración de temas considerados:

Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente

posible todos los temas objeto de la auditoría.

Page 29: Tema 3

LOGO

Metodologías de auditoría informática

Fase 6: Informe Final

Estructura del informe final

4. Cuerpo expositivo:

Para cada tema, se seguirá el siguiente orden a saber:

a) Situación actual. Cuando se trate de una revisión periódica, en la que

se analiza no solamente una situación sino además su evolución en el

tiempo, se expondrá la situación prevista y la situación real

b) Tendencias. Se tratarán de hallar parámetros que permitan establecer

tendencias futuras.

c) Puntos débiles y amenazas

d) Recomendaciones y planes de acción. Constituyen junto con la

exposición de puntos débiles, el verdadero objetivo de la auditoría

informática.

e) Redacción posterior de la Carta de Introducción o Presentación.

Page 30: Tema 3

LOGO

Metodologías de auditoría informática

Fase 6: Informe Final

Modelo conceptual de la exposición del informe final:

El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.

El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios:

1. El hecho debe poder ser sometido a cambios.

2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.

3. No deben existir alternativas viables que superen al cambio propuesto.

4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.

Page 31: Tema 3

LOGO

Metodologías de auditoría informática

Fase 6: Informe Final

La aparición de un hecho en un informe de auditoría implica

necesariamente la existencia de una debilidad que ha de ser

corregida.

Flujo del hecho o debilidad:

1 – Hecho encontrado

Ha de ser relevante para el auditor y pera el cliente

Ha de ser exacto, y además convincente.

No deben existir hechos repetidos.

2 – Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente

deducibles del hecho.

Page 32: Tema 3

LOGO

Metodologías de auditoría informática

Fase 6: Informe Final

3 – Repercusión del hecho

Se redactará las influencias directas que el hecho pueda tener sobre

otros aspectos informáticos u otros ámbitos de la empresa.

4 – Conclusión del hecho

No deben redactarse conclusiones más que en los casos en que la

exposición haya sido muy extensa o compleja.

5 – Recomendación del auditor informático

Deberá entenderse por sí sola, por simple lectura.

Deberá estar suficientemente soportada en el propio texto.

Deberá ser concreta y exacta en el tiempo, para que pueda ser

verificada su implementación.

La recomendación se redactará de forma que vaya dirigida

expresamente a la persona o personas que puedan implementarla.

Page 33: Tema 3

LOGO

Metodologías de auditoría informática Fase 7: Carta de Introducción o Presentación

del Informe Final La carta de introducción tiene especial importancia porque en ella ha de

resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.

Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos:

Tendrá como máximo 4 folios

Incluirá fecha, naturaleza, objetivos y alcance

Cuantificará la importancia de las áreas analizadas.

Proporcionará una conclusión general, concretando las áreas de gran debilidad.

Presentará las debilidades en orden de importancia y gravedad.

En la carta de Introducción no se escribirán nunca recomendaciones.

.

Page 34: Tema 3

LOGO

Metodologías de auditoría informática

Metodología de Enrique Hernández

Page 35: Tema 3

LOGO

Metodologías de Auditoría Informática

La metodología usada por el auditor interno

debe ser diseñada y desarrollada por el

propio auditor

Se basa en su grado de experiencia y

habilidad

Se deben crear las metodologías necesarias

para auditar los distintos aspectos definidos en

el plan auditor informático

Page 36: Tema 3

LOGO

Metodologías de Auditoría Informática

Las metodologías de auditoría informática

son del tipo cualitativo-subjetivo. Están

basadas en profesionales de gran nivel de

experiencia y formación, capaces de dictar

recomendaciones técnicas, operativas y jurídicas

Page 37: Tema 3

LOGO

Es el esquema metodológico más importante del

auditor informático

Describe todo sobre esta función y el trabajo que

realiza

El plan del auditor Informático

Page 38: Tema 3

LOGO

Partes del Plan Auditor Informático

Las partes que lo componen deben ser al menos

las siguientes:

Funciones

Procedimientos

Tipos de auditorías que realiza

Sistema de evaluación

Nivel de exposición

Lista de distribución de informes

Seguimiento de acciones correctoras

Plan de trabajo

Page 39: Tema 3

LOGO

FUNCIONES

Ubicación en el organigrama.

Deben describirse las funciones en forma precisa y la

organización interna del departamento, con todos sus

recursos

Partes del Plan Auditor Informático

Page 40: Tema 3

LOGO

PROCEDIMIENTOS

Para las distintas tareas de las auditorías

Definición de debilidades, entrega del informe

preliminar, cierre de la auditoría, redacción del

informe final, etc.

Partes del Plan Auditor Informático

Page 41: Tema 3

LOGO

TIPOS DE AUDITORÍAS que realiza

Metodologías y cuestionarios de las mismas

Ejemplo: revisión de la seguridad física, de controles

internos, de la aplicación de facturación, etc.

Existen tres tipos, según el alcance:

Full o Completa de un área

Limitada a un aspecto

Comprobación de acciones correctivas de auditorías anteriores

(Corrective Action Review)

Partes del Plan Auditor Informático

Page 42: Tema 3

LOGO

SISTEMA DE EVALUACIÓN y los distintos aspectos

que evalúa

Se deben definir varios aspectos (gestión económica, de RH,

cumplimiento de normas)

Se debe realizar una evaluación global de resumen para toda la

auditoría (Bien, Regular, Mal, significando la visión del grado de

gravedad)

La evaluación determina la fecha de repetición de la auditoría en el

futuro, dependiendo del nivel de exposición encontrado.

Partes del Plan Auditor Informático

Page 43: Tema 3

LOGO

NIVEL DE EXPOSICIÓN

Nos permite definir la fecha de repetición de una

auditoría dependiendo de la evaluación final de la última

realizada

Puede significar la suma de factores como impacto,

peso del área, situación de control en el área

Partes del Plan Auditor Informático

Page 44: Tema 3

LOGO

LISTA DE DISTRIBUCIÓN DE INFORMES.

Se define la cantidad de informes con el resultado final de

la auditoría que se van a distribuir

Partes del Plan Auditor Informático

SEGUIMIENTO DE ACCIONES CORRECTIVAS

Dependiendo de las acciones correctivas sugeridas en el

informe final, se realiza un adecuado seguimiento.

Page 45: Tema 3

LOGO

PLAN DE TRABAJO

Se estiman tiempos y se realiza un calendario

con horas de trabajo previstas

Se definen los recursos que se necesitarán

Partes del Plan Auditor Informático

Page 46: Tema 3

LOGO

Se puede definir el control interno como “cualquier actividad o acción

realizada” manual y/o automáticamente para prevenir, corregir errores o

irregularidades que puedan afectar al funcionamiento de un sistema

para conseguir sus objetivos.

Control Interno Informático C.I.I., controla diariamente que todas las

actividades de sistemas de información sean realizadas cumpliendo los

procedimientos, estándares y normas fijados por la Dirección de la

Organización y/o Dirección de Informática, así como los requerimientos

legales.

Control Interno

Page 47: Tema 3

LOGO

Control Interno

Para que exista control es necesario que se establezcan

primero unas normas o estándares que indiquen la ruta

ideal a seguir por el sistema para cumplir con los objetivos,

luego se debe medir el desempeño del sistema y compararlo

con los estándares anteriormente determinados y por ultimo se

deben ejecutar las acciones necesarias para corregir las

desviaciones de la operación del sistema con relación a la ruta

ideal para el cumplimiento de los fines.

Page 48: Tema 3

LOGO

La misión de C.I.I. es asegurarse de que las medidas que se

obtienen de los mecanismos implantados por cada responsable sean

correctas y válidas.

La función se le asigna a una unidad orgánica perteneciente al staff de la

Gerencia de Informática y debe estar dotada de las personas y

medios materiales requeridos para el cumplimiento de su misión.

Control Interno

Page 49: Tema 3

LOGO

C.I.I. - PRINCIPALES FUNCIONES

Realizar en los diferentes sistemas (centrales, departamentales, redes

locales, Peces, etc.) y entornos informáticos (producción, desarrollo o

pruebas) el control de las diferentes actividades operativas sobre:

1. Cumplimiento de diferentes procedimientos, normas y controles dictados.

Ejemplo. Control de cambios y versiones de software.

2. Controles sobre la producción diaria.

3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del

software y del servicio informático.

4. Controles en las redes de comunicaciones.

5. Controles sobre el software de base.

Control Interno

Page 50: Tema 3

LOGO

C.I.I. - PRINCIPALES FUNCIONES

6. Controles en los sistemas microinformáticos.

7. La seguridad informática:

8. Usuarios, responsables y perfiles de uso de archivos y bases de

datos.

9. Normas de seguridad.

10.Control de información clasificada.

11.Control dual de la seguridad informática.

12.Licencias.

13.Contratos con terceros.

14.Asesorar y transmitir cultura sobre el riesgo informático.

Control Interno

Page 51: Tema 3

LOGO

PRINCIPALES OBJETIVOS

Controlar que todas las actividades se realicen cumpliendo

los procedimientos y normas fijados, evaluar su bondad y

asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria Informática, así

como de las auditorias externas.

Definir , implantar y ejecutar mecanismos y controles

para comprobar el logro de los grados adecuados del

servicio informático

Control Interno

Page 52: Tema 3

LOGO

Control Interno

1. Un conjunto de normas o estándares que determinen los

objetivos a lograr por el sistema o Variables a controlar,

2. Un mecanismo que suministre energía o información al

sistema o Fuente de Energía,

3. Un mecanismo de medición del desempeño del sistema o

Mecanismo Sensor,

4. Un mecanismo que compare lo medido con los estándares

establecidos o Mecanismo Comparador,

5. Un mecanismo que comunique lo medido con relación a los

estándares o Mecanismo Realimentador,

6. Un mecanismo que realice la acción de corrección de las

desviaciones con respecto a los estándares o Mecanismo Efector o Motor

La clasificación mas aceptada de los elementos del Control Interno es la de Johansen Bertoglio [Bertoglio, 1986]

Elementos del Control Interno

Page 53: Tema 3

LOGO

Control Interno

1. AMBIENTE DE CONTROL

2. EVALUACION DE RIESGOS

3. ACTIVIDADES DE CONTROL

4. INFORMACION Y COMUNICACIÓN

5. SUPERVISION Y SEGUIMIENTO

Componentes del Control Interno

Page 54: Tema 3

LOGO

Control Interno

1. AMBIENTE DE CONTROL

Componentes del Control Interno

La organización debe establecer un entorno que permita el

estimulo y produzca influencia en la actividad del recurso humano respecto al control de sus actividades. Para que este ambiente de control se genere se requiere de otros elementos asociados al mismo los cuales son:

Integridad y valores éticos. Se deben establecer los valores éticos y de conducta que se esperan del recurso humano al servicio del Ente, durante el desempeño de sus actividades propias.

Competencia. Se refiere al conocimiento y habilidad que debe poseer toda persona que pertenezca a la organización, para desempeñar satisfactoriamente su actividad.

Page 55: Tema 3

LOGO

Control Interno

1. AMBIENTE DE CONTROL

Componentes del Control Interno

Experiencia y dedicación de la Alta Administración. Es vital que quienes determinan los criterios de control posean gran experiencia, dedicación y se comprometan en la toma de las medidas adecuadas para mantener el ambiente de control. Filosofía administrativa y estilo de operación. Es sumamente importante que se muestre una adecuada actitud hacia los productos de los sistemas de información que conforman la organización. Aquí tienen gran influencia la estructura organizativa, delegación de autoridad y responsabilidades y políticas y practicas del recurso humano. Es vital la determinación actividades para el cumplimiento de la misión de la empresa, la delegación autoridad en la estructura jerárquica, la determinación de las responsabilidades a los funcionarios en forma coordinada para el logro de los objetivos.

Page 56: Tema 3

LOGO

Control Interno

2. EVALUACION DE RIESGOS

Componentes del Control Interno

Riesgos. Los factores que pueden incidir interfiriendo el cumplimiento de los objetivos propuestos por el sistema (organización), se denominan riesgos. Estos pueden provenir del medio ambiente o de la organización misma. Se debe entonces establecer un proceso amplio que identifique y analice las interrelaciones relevantes de todas las áreas de la organización y de estas con el medio circundante, para así determinar los riesgos posibles.

La evaluación de riesgos presenta los siguientes aspectos sobresalientes: Objetivos. Todos los recursos y los esfuerzos de la organización están orientados por los objetivos que persigue la misma. Al determinarse los objetivos es crucial la identificación de los factores que pueden evitar su logro.

Page 57: Tema 3

LOGO

Control Interno

2. EVALUACION DE RIESGOS

Componentes del Control Interno

Análisis de riesgos y su proceso. Los aspectos importantes a incluir son entre otros:

• Estimación de la importancia del riesgo y sus efectos • Evaluación de la probabilidad de ocurrencia • Establecimiento de acciones y controles necesarios • Evaluación periódica del proceso anterior

Manejo de cambios. Tiene relación con la identificación de los cambios que puedan tener influencia en la efectividad de los controles internos ya establecidos. Todo control diseñado para una situación especifica puede ser inoperante cuando las circunstancias se modifican. Este elemento tiene estrecha relación con el proceso de análisis de riesgos, pues el cambio en si implica un factor que puede incidir en el éxito de los objetivos.

Page 58: Tema 3

LOGO

Control Interno

2. EVALUACION DE RIESGOS

Componentes del Control Interno

Existe el riesgo de auditoria, que consiste en que el auditor no

detecte un error de importancia relativa que pueda existir en el

sistema examinado. El riesgo de auditoria puede consistir en riesgo

inherente, riesgo de control, y el riesgo de detección.

Page 59: Tema 3

LOGO

Control Interno

3. ACTIVIDADES DE CONTROL

Componentes del Control Interno

Las actividades de una organización se manifiestan en las políticas,

sistemas y procedimientos, siendo realizadas por el recurso

humano que integra la entidad. Todas aquellas actividades que se

orienten hacia la identificación y análisis de los riesgos reales o

potenciales que amenacen la misión y los objetivos y en beneficio

de la protección de los recursos propios o de los terceros en poder

de la organización, son actividades de control. Estas pueden ser

aprobación, autorización, verificación, inspección, revisión de

indicadores de gestión, salvaguarda de recursos, segregación de

funciones, supervisión y entrenamiento adecuado.

Page 60: Tema 3

LOGO

Control Interno

4. INFORMACIÓN Y COMUNICACIÓN

Componentes del Control Interno

Los datos pertinentes a cada sistema de información no solamente

deben ser identificados, capturados y procesados, sino que este

producto debe ser comunicado al recurso humano en forma

oportuna para que así pueda participar en el sistema de control. La

información por lo tanto debe poseer unos adecuados canales de

comunicación que permitan conocer a cada uno de los integrantes

de la organización sus responsabilidades sobre el control de sus

actividades. También son necesarios canales de comunicación

externa que proporcionen información a los terceros interesados en

la entidad y a los organismos estatales.

Page 61: Tema 3

LOGO

Control Interno

5. SUPERVISION Y SEGUIMIENTO

Componentes del Control Interno

Planeado e implementado un sistema de Control Interno, se debe

vigilar constantemente para observar los resultados obtenidos por

el mismo. Todo sistema de Control Interno por perfecto que

parezca, es susceptible de deteriorarse por múltiples

circunstancias y tiende con el tiempo a perder su

efectividad. Por esto debe ejercerse sobre el mismo una

supervisión permanente para producir los ajustes que se requieran

de acuerdo a las circunstancias cambiantes del entorno.

Page 62: Tema 3

LOGO

Control Interno

5. SUPERVISION Y SEGUIMIENTO

Componentes del Control Interno

El sistema de control interno debe estar bajo continua supervision

para determinar si:

• Las políticas descritas están siendo interpretadas

apropiadamente y si se llevan a cabo.

• Los cambios en las condiciones de operación no han hecho

estos procedimientos obsoletos o inadecuados y,

• Es necesario tomar oportunamente efectivas medidas de

corrección cuando sucedan tropiezos en el sistema.

Page 63: Tema 3

LOGO

Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL

CONTROL INTERNO

Existen los siguientes métodos para la documentar el conocimiento

del Control Interno por parte del auditor, los cuales no son

exclusivos y pueden ser utilizados en forma combinada para una

mejor efectividad.

1. Método descriptivo

2. Método grafico

3. Método de cuestionarios

Page 64: Tema 3

LOGO

Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL

CONTROL INTERNO

1. Método descriptivo

Consiste en la narración de los procedimientos relacionados con el control interno, los cuales pueden dividirse por actividades que pueden ser por departamentos, empleados y cargos. Los procesos de control relacionados incluye por lo menos cuatro características: 1. Origen de cada documento y registro en el sistema. 2. Como se efectúa el procesamiento. 3. Disposición de cada documento y registro en el sistema. 4. Indicación de los procedimientos de control pertinentes a la

evaluación de los riesgos de control.

Page 65: Tema 3

LOGO

Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL

CONTROL INTERNO

1. Método Gráfico

Consiste en la preparación de diagramas de flujo de los

procedimientos ejecutados en cada uno de los departamentos

involucrados en una operación. Un diagrama de flujo de control

interno consiste en una representación simbólica y por medio

de flujo secuencial de los documentos de la entidad

auditada. El diagrama de flujo debe representar todas las

operaciones, movimientos, demoras y procedimientos de archivo

concernientes al proceso descrito.

Page 66: Tema 3

LOGO

Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL

CONTROL INTERNO

1. Método de Cuestionarios

Básicamente consiste en un listado de preguntas a través de las cuales se pretende evaluar las debilidades y fortalezas del sistema de control interno. Estos cuestionarios se aplican a cada una de las áreas en las cuales el auditor dividió los rubros a examinar. Para elaborar las preguntas, el auditor debe tener el conocimiento pleno de los puntos donde pueden existir deficiencias para así formular la pregunta clave que permita la evaluación del sistema en vigencia en la empresa. Generalmente el cuestionario se diseña para que las respuestas negativas indiquen una deficiencia de control interno. Algunas de las preguntas pueden ser de tipo general y aplicable a cualquier empresa, pero la mayoría deben ser especificas para cada organización en particular y se deben relacionar con su objeto social.

Page 67: Tema 3

LOGO

CLASIFICACIÓN

1. Controles preventivos.- para tratar de evitar el hecho, como

un software de seguridad que impida los accesos no

autorizados al sistema.

2. Controles detectivos.- cuando fallan los preventivos, para

tratar de conocer cuanto antes el evento. Por ejemplo, el

registro de intentos de acceso no autorizados, el registro de la

actividad diaria para detectar errores u omisiones, etc.

3. Controles correctivos.- facilitan la vuelta a la normalidad

cuando se han producido incidencias. Por ejemplo, la

recuperación de un fichero dañado a partir de las copias de

seguridad.

Control Interno

Page 68: Tema 3

LOGO

Diferencias y similitudes del Control interno y la

Auditoría Informática

Control Interno

Page 69: Tema 3

LOGO

Actividades control interno

1.- En una empresa cualquiera, establezca las medidas de Control

Interno que se aplican. Analice cada una de ellas y determine cual o cuales están de acuerdo a los objetivos que persigue.

2. - Tome la sección o departamento de Centro de Procesamiento de Datos de la empresa y enumere cinco medidas de control interno encaminadas a la protección de los activos físicos de dicha sección.

3. - Tome la sección o departamento de Procesamiento de la empresa y enumere cinco medidas de control interno encaminadas a la obtención de información confiable y segura de dicha sección.

4. - Tome la sección o departamento de Procesamiento de la empresa y enumere cinco medidas de control interno referidas a la entrada de datos.

Page 70: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Los controles pueden implantarse a varios niveles diferentes. La

evaluación de los controles de la Tecnología de la Información

exige analizar diversos elementos independientes. Por ello es

importante llegar a conocer bien la configuración del

sistema, con el objeto de identificar los elementos, productos y

herramientas que existen para saber dónde pueden implantarse

los controles, así como identificar posibles riesgos. Para llegar a

conocer la configuración del sistema es necesario documentar los

detalles de la red, así como los distintos niveles de control y

elementos relacionados:

Page 71: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Entorno de red: esquema de la red, descripción de la

configuración hardware de comunicaciones, descripción del

software que se utiliza como acceso a las telecomunicaciones,

control de red, situación general de los ordenadores de entornos

de base que soportan aplicaciones críticas y consideraciones

relativas a la seguridad de la red.

Configuración del ordenador base: configuración del soporte

físico, entorno del sistema operativo, software con particiones,

entornos (pruebas y real), bibliotecas de programas y conjunto de

datos.

Page 72: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Entorno de aplicaciones: procesos de transacciones, sistemas

de gestión de bases de datos y entornos de procesos distribuidos.

Productos y herramientas: software para desarrollo de

programas, software de gestión de bibliotecas y para operaciones

automáticas.

Seguridad del ordenador base: identificar y verificar

usuarios, control de acceso, registro e información, integridad del

sistema, controles de supervisión, etc.

Page 73: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Para la implantación de un sistema de controles internos

informáticos habrá que definir las siguientes características:

Gestión de sistemas de información: políticas, pautas y

normas técnicas que sirvan de base para el diseño y la

implantación de los sistemas de información y de los controles

correspondientes.

Administración de sistemas: controles sobre la actividad de

los centros de datos y otras funciones de apoyo al sistema,

incluyendo la administración de las redes.

Page 74: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Seguridad: incluye las tres clases de controles fundamentales

implantados en el software del sistema, como son la integridad

del sistema, la confidencialidad (control de acceso) y la

disponibilidad.

Gestión del cambio: separación de las pruebas y la producción

a nivel de software y controles de procedimientos, para la

migración de programas software aprobados y probados.

Page 75: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Page 76: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por fases y esté respaldada por la Dirección. Cada función juega un papel importante en las distintas etapas que son, básicamente, las siguientes: Dirección de Negocio o Dirección de Sistemas de Información (S.I.): han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas. Dirección de Informática: ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática, así como a los usuarios que establezcan el marco de funcionamiento.

Page 77: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por fases y esté respaldada por la Dirección. Cada función juega un papel importante en las distintas etapas que son, básicamente, las siguientes: Dirección de Negocio o Dirección de Sistemas de Información (S.I.): han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas. Dirección de Informática: ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática, así como a los usuarios que establezcan el marco de funcionamiento.

Page 78: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Control Interno Informático: ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarán en los oportunos procedimientos de control interno y podrán ser preventivos o de detección. Realizará periódicamente la revisión de los controles establecidos de Control Interno Informático, informando de las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles. Deberá, además, transmitir constantemente a toda la Organización de Informática la cultura y políticas del riesgo informático.

Page 79: Tema 3

LOGO

Implantación de un sistema de controles internos

informáticos

Control Interno

Auditor interno/externo informático: ha de revisar los

diferentes controles internos definidos en cada una de las

funciones informáticas y el cumplimiento de la normativa interna

y externa, de acuerdo al nivel de riesgo y conforme a los

objetivos definidos por la Dirección de Negocio y la Dirección de

Informática. Informará también a la Alta Dirección, de los

hechos observados y al detectarse deficiencias o ausencias de

controles recomendarán acciones que minimicen los riesgos que

pueden originarse.

Page 80: Tema 3

LOGO

Esquema del Control Interno Informático

Control Interno

Page 81: Tema 3

LOGO

Control Interno

La creación de un sistema de control informático es una

responsabilidad de la Gerencia y un punto destacable de la

política en el entorno informático.

A continuación, se indican algunos controles internos para los

sistemas de información, agrupados por secciones

funcionales, y que serían los que el Control Interno Informático

y la Auditoría Informática deberían verificar para determinar su

cumplimiento y validez:

Page 82: Tema 3

LOGO

Control Interno

Controles generales organizativos: engloba una serie de elementos, tales como:

Políticas. Planificación (plan estratégico de información, plan

informático, plan general de seguridad y plan de emergencia ante desastres).

Estándares. Procedimientos. Organizar el departamento de informática. Descripción de las funciones y responsabilidades dentro

del departamento. Políticas de personal. Asegurar que la dirección revisa todos los informes de

control y resuelve las excepciones que ocurran. Asegurar que existe una política de clasificación de la

información. Designar oficialmente la figura del Control Interno

Informático y de la Auditoría Informática.

Page 83: Tema 3

LOGO

Control Interno

Controles de desarrollo, adquisición y mantenimiento de sistemas de información: se utilizan para que se puedan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:

Metodología del ciclo de vida del desarrollo de sistemas. Explotación y mantenimiento.

Controles de explotación de sistemas de información:

consta de:

Planificación y gestión de recursos. Controles para usar de manera efectiva los recursos en

ordenadores. Procedimientos de selección del software del sistema, de

instalación, de mantenimiento, de seguridad y de control de cambios.

Seguridad física y lógica.

Page 84: Tema 3

LOGO

Control Interno

Controles en aplicaciones: cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, y mantenimiento de los datos:

Control de entrada de datos. Controles de tratamiento de datos. Controles de salida de datos.

Controles específicos de ciertas tecnologías:

Controles en Sistemas de Gestión de Bases de Datos. Controles en informática distribuida y redes. Controles sobre ordenadores personales y redes de área

local.

Page 85: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

la informática crea unos riesgos informáticos de los que hay que

proteger y preservar a la entidad con un entramado de

contramedidas, y la calidad y la eficacia de las mismas es el

objetivo a evaluar para poder identificar así sus puntos débiles y

mejorarlos. Ésta, es una de las funciones de los auditores

informáticos, por lo que debemos profundizar más en este

entramado de contramedidas para ver qué papel tienen las

metodologías y los auditores en el mismo. Para explicar este

aspecto, diremos que cualquier contramedida nace de la

composición de varios factores. Todos los factores de la pirámide

intervienen en la composición de una contramedida:

Page 86: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

Page 87: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

La Normativa: debe definir de forma clara y precisa todo lo

que debe existir y ser cumplido, tanto desde el punto de vista

conceptual, como práctico, desde lo general a lo particular. Debe

inspirarse en estándares, políticas, marco jurídico, políticas y

normas de empresa, experiencia y práctica profesional.

Desarrollando la normativa, debe alcanzarse el resto del “gráfico

valor”. Se puede dar el caso en que una normativa y su carácter

disciplinado sea el único control de un riesgo ( aunque esto no

sea frecuente).

Page 88: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

La Organización: la integran personas con funciones

específicas y con actuaciones concretas, procedimientos

definidos metodológicamente y aprobados por la dirección de la

empresa. Éste es el aspecto más importante, dado que sin él,

nada es posible. Se pueden establecer controles sin alguno de

los demás aspectos, pero nunca sin personas, ya que son éstas

las que realizarán los procedimientos y desarrollan los diversos

planes (Plan de Seguridad, Plan de Contingencias, Auditorías,

etc).

Page 89: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

Las Metodologías: son necesarias para desarrollar cualquier

proyecto que nos propongamos de manera ordenada y eficaz.

Los Objetivos de Control: son los objetivos a cumplir en el

control de procesos. Este concepto es el más importante

después de ‘la organización’, y solamente de un planteamiento

correcto de los mismos, saldrán unos procedimientos eficaces y

realistas.

Page 90: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

Los Procedimientos de Control: son los procedimientos

operativos de las distintas áreas de la empresa, obtenidos con

una metodología apropiada, para la consecución de uno o varios

objetivos de control y, por lo tanto, deben estar documentados y

aprobados por la Dirección. La tendencia habitual de los

informáticos es la de dar más peso a la herramienta que al

propio control o contramedida, pero no se debe olvidar que una

herramienta nunca es solución sino una ayuda para conseguir un

control mejor. Sin la existencia de estos procedimientos, las

herramientas de control son solamente una ‘anécdota’.

Page 91: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

La Tecnología de Seguridad: dentro de este nivel, están

todos los elementos (hardware y software) que ayudan a

controlar un riesgo informático. En este concepto están los

cifradores, autentificadores, equipos denominados ‘tolerantes al

fallo’, las herramientas de control, etc.

Page 92: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Factores de la Contramedida

Las Herramientas de Control: son elementos software que permiten

definir uno o varios procedimientos de control para cumplir una normativa

y un objetivo de control. Las herramientas de control (software) más

comunes son:

Seguridad lógica del sistema.

Seguridad lógica complementaria al sistema (desarrollado a medida) Seguridad lógica para entornos distribuidos. Control de acceso físico. Control de presencia. Control de copias. Gestión de copias. Gestión de soportes magnéticos. Gestión y control de impresión y envío de listados por red. Control de proyectos. Control y gestión de incidencias. Control de cambios.

Page 93: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

La tendencia actual en la organización de la seguridad de

sistemas en la empresa, es que por una parte un comité que

estaría formado por el director de la estrategia y de las

políticas; y por otra parte, el control interno y la auditoría

informática. La función del control interno se ve involucrada en

la realización de los procedimientos de control, y es una labor

del día a día.

La función de la auditoría informática está centrada en la

evaluación de los distintos aspectos que designe su Plan Auditor,

con unas características de trabajo que son las visitas concretas

al centro, con objetivos concretos y, tras terminar su trabajo, la

presentación del informe de resultados.

Page 94: Tema 3

LOGO

METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

Page 95: Tema 3

LOGO

Normas de control interno informático

1. COSO (1992): Internal Control - Integrated Framework del Committee of Sponsoring Organizations of the Treadway Commission. Brinda recomendaciones a la dirección sobre cómo evaluar, reportar y mejorar los sistemas de control.

2. COBIT (1996): (Control Objectives for Information and related Technology) de la Information Systems Audit and Control Foundation. Es una estructura que provee una herramienta para los propietarios de los procesos del negocio para descargar eficiente y efectivamente sus responsabilidades de control sobre los sistemas informáticos.

3. SAC (1991, revisado en 1994) (Systems Auditability and Control) del Institute of Internal Auditors Research Foundation. Ofrece asistencia a los auditores internos sobre el control y auditoria de los sistemas y tecnología informática.

Page 96: Tema 3

LOGO

Normas de control interno informático

Page 97: Tema 3

LOGO

Normas de control interno informático

COBIT: Control Objectives for Information and related

Technology

La Information Systems Audit and Control Foundation (ISACF)

desarrolló los Objetivos de Control para la Información y

Tecnología relacionada (COBIT) para servir como una estructura

generalmente aplicable y prácticas de seguridad y control de SI

para el control de la tecnología de la información. Esta estructura

COBIT le permite a la gerencia comparar (benchmark) la

seguridad y prácticas de control de los ambientes de TI, permite a

los usuarios de los servicios de TI asegurarse que existe una

adecuada seguridad y control y permite a los auditores sustanciar

sus opiniones sobre el control interno y aconsejar sobre materias

de seguridad y control de TI.

Page 98: Tema 3

LOGO

Normas de control interno informático

COBIT: Control Objectives for Information and related

Technology

Definición: COBIT adaptó su definición de control a partir de

COSO: Las políticas, procedimientos, prácticas y estructuras

organizacionales están diseñadas para proveer aseguramiento

razonable de que se lograrán los objetivos del negocio y que se

prevendrán, detectarán y corregirán los eventos no deseables.

COBIT enfatiza el rol e impacto del control de TI en lo

relacionado con los procesos del negocio. COBIT, describe

objetivos de control de TI independientes de plataformas y

aplicaciones.

Page 99: Tema 3

LOGO

Normas de control interno informático

COBIT: Control Objectives for Information and related

Technology

Recursos de TI: COBIT clasifica los recursos de TI como datos,

sistemas de aplicación, tecnología, instalaciones y gente. Los

datos son definidos en su sentido más amplio e incluyen no sólo

números, textos y fechas, sino también objetos tales como

gráficos y sonido. Los sistemas de aplicación son entendidos como

la suma de procedimientos manuales y programados.

La tecnología se refiere al hardware, sistemas operativos, equipos

de redes y otros. Instalaciones son los recursos utilizados para

albergar y soportar los sistemas de información. Gente

comprende las capacidades y habilidades individuales para

planear, organizar, adquirir, entregar, apoyar y monitorear los

servicios y sistemas de información.

Page 100: Tema 3

LOGO

Normas de control interno informático

COBIT: Control Objectives for Information and related

Technology

Requerimientos: COBIT combina los principios incorporados en

los modelos de referencia existentes en tres amplias categorías:

calidad, responsabilidad fiduciaria y seguridad. De estos amplios

requerimientos, se extrae siete categorías superpuestas de

criterios para evaluar cuan bien están satisfaciendo los recursos

de TI los requerimientos de información del negocio. Estos

criterios son efectividad, eficiencia, confidencialidad, integridad,

disponibilidad, cumplimiento y confiabilidad de la información.

Page 101: Tema 3

LOGO

Normas de control interno informático

COBIT: Control Objectives for Information and related

Technology

Procesos y Dominios: COBIT clasifica los procesos de TI en

cuatro dominios. Estos cuatro dominios son (1) planeamiento y

organización, (2) adquisición e implementación, (3) entrega y

soporte y (4) monitoreo. El agrupamiento natural de procesos en

dominios es a menudo confirmado como dominios de

responsabilidad en las estructuras organizacionales y sigue el

ciclo gerencial o ciclo de vida aplicable a los procesos de TI en

cualquier ambiente de TI.

Page 102: Tema 3

LOGO

Normas de control interno informático

COBIT: Control Objectives for Information and related

Technology

Estructura: La estructura COBIT provee declaraciones de control

de alto nivel para los procesos particulares de TI. La estructura

identifica la necesidad del negocio satisfecha por la declaración de

control, identifica los recursos de TI administrados por los

procesos, establece los controles habilitados y lista los principales

objetivos de control aplicables.

Page 103: Tema 3

LOGO

Normas de control interno informático

SAC: Systems Auditability and Control

Definición: El informe SAC define a un sistema de control interno

como: un conjunto de procesos, funciones, actividades,

subsistemas, y gente que son agrupados o conscientemente

segregados para asegurar el logro efectivo de los objetivos y

metas.

El informe SAC enfatiza el rol e impacto de los sistemas computarizados

de información sobre el sistema de control interno. El mismo acentúa la

necesidad de evaluar los riesgos, pesar los costos y beneficios y

construir controles en los sistemas en lugar de agregarlos luego de la

implementación.

Page 104: Tema 3

LOGO

Normas de control interno informático

SAC: Systems Auditability and Control

Componentes: El sistema de control interno consiste en tres

componentes: el ambiente de control, los sistemas manuales y

automatizados y los procedimientos de control.

El ambiente de control incluye la estructura de la organización, la

estructura de control, las políticas y procedimientos y las influencias

externas.

Los sistemas automatizados consisten en sistemas y software de

aplicación. SAC discute los riesgos de control asociados con los sistemas

de usuario final y departamentales pero no describe ni define los sistemas

manuales.

Los procedimientos de control consisten en controles generales, de

aplicaciones y compensatorios.

Page 105: Tema 3

LOGO

Normas de control interno informático

SAC: Systems Auditability and Control

Clasificaciones: SAC provee cinco esquemas de clasificación

para los controles internos en los sistemas informáticos:

(1)preventivos, detectivos, y correctivos,

(2)discrecionales y no-discrecionales,

(3) voluntarios y obligatorios,

(4)manuales y automatizados y

(5)controles de aplicaciones y generales.

Estos esquemas se enfocan en cuándo se aplica el control, si el

control puede ser evitado, quién impone la necesidad del control,

cómo se implementa el control, y dónde se implementa el control

en el software.

Page 106: Tema 3

LOGO

Normas de control interno informático

SAC: Systems Auditability and Control

Objetivos de Control y Riesgos: Los riesgos incluyen fraudes,

errores, interrupción del negocio, y el uso ineficiente e inefectivo

de los recursos. Los objetivos de control reducen estos riesgos y

aseguran la integridad de la información, la seguridad, y el

cumplimiento. La integridad de la información es resguardada por

los controles de calidad del input, procesamiento, output y

software. Las medidas de seguridad incluyen los controles de

seguridad de los datos, física y de programas. Los controles de

cumplimiento aseguran conformidad con las leyes y regulaciones,

los estándares contables y de auditoría, y las políticas y

procedimientos internos.

Page 107: Tema 3

LOGO

Normas de control interno informático

SAC: Systems Auditability and Control

Rol del Auditor Interno: Las responsabilidades de los auditores

internos incluyen asegurar la adecuación del sistema de control

interno, la confiabilidad de los datos y el uso eficiente de los

recursos de la organización. A los auditores internos también les

concierne la prevención y detección de fraudes, y la coordinación

de actividades con los auditores externos. Para los auditores

internos es necesaria la integración de las habilidades de auditoria

y sistemas de información y una comprensión del impacto de la

tecnología informática sobre el proceso de auditoria. Estos

profesionales realizan ahora auditorias financieras, operativas y

de los sistemas de información.

Page 108: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

Definición: El informe COSO define control interno como: un

proceso, efectuado por el directorio, la gerencia y otro personal

de la entidad, diseñado para proveer un aseguramiento razonable

en relación al logro de los objetivos en las siguientes categorías:

efectividad y eficiencia de las operaciones

confiabilidad de los reportes financieros

cumplimiento con las leyes y regulaciones aplicables.

Page 109: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

Componentes: El sistema de control interno consiste en cinco

componentes interrelacionados:

(1)ambiente de control,

(2)evaluación de riesgos,

(3)actividades de control,

(4)información y comunicación, y

(5)monitoreo.

Page 110: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

El ambiente de control provee la base para los otros

componentes. El mismo abarca factores tales como filosofía y

estilo operativo de la gerencia, políticas y prácticas de recursos

humanos, la integridad y valores éticos de los empleados, la

estructura organizacional, y la atención y dirección del directorio.

El informe COSO brinda una guía para evaluar cada uno de estos

factores. Por ejemplo, la filosofía gerencial y el estilo operativo

pueden ser evaluados examinando la naturaleza de los riesgos del

negocio que acepta la gerencia, la frecuencia de su interacción

con los subordinados, y su actitud hacia los informes financieros.

Page 111: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

La evaluación de riesgo consiste en la identificación del riesgo

y el análisis del riesgo. La identificación del riesgo incluye

examinar factores externos tales como los desarrollos

tecnológicos, la competencia y los cambios económicos, y factores

internos tales como calidad del personal, la naturaleza de las

actividades de la entidad, y las características de procesamiento

del sistema de información. El análisis de riesgo involucra estimar

la significación del riesgo, evaluar la probabilidad de que ocurra y

considerar cómo administrarlo.

Page 112: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

Las actividades de control consisten en las políticas y

procedimientos que aseguran que los empleados lleven a cabo las

directivas de la gerencia. Las actividades de control incluyen

revisiones del sistema de control, los controles físicos, la

segregación de tareas y los controles de los sistemas de

información. Los controles sobre los sistemas de información

incluyen los controles generales y los controles de las

aplicaciones. Controles generales son aquellos que cubren el

acceso, el desarrollo de software y sistemas.

Controles de las aplicaciones son aquellos que previenen que

ingresen errores en el sistema o detectan y corrigen errores

presentes en el sistema.

Page 113: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

La entidad obtiene información pertinente y la comunica a

través de la organización. El sistema de información identifica,

captura y reporta información financiera y operativa que es útil

para controlar las actividades de la organización. Dentro de la

organización, el personal debe recibir el mensaje que ellos deben

comprender sus roles en el sistema de control interno, tomar

seriamente sus responsabilidades por el control interno, y, si es

necesario, reportar problemas a los altos niveles de gerencia.

Fuera de la entidad, los individuos y organizaciones que

suministran o reciben bienes o servicios deben recibir el mensaje

de que la entidad no tolerará acciones impropias.

Page 114: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

La gerencia monitorea el sistema de control revisando el

output generado por las actividades regulares de control y

realizando evaluaciones especiales.

Las actividades regulares de control incluyen comparar los activos

físicos con los datos registrados, seminarios de entrenamiento, y

exámenes realizados por auditores internos y externos. Las

evaluaciones especiales pueden ser de distinto alcance y

frecuencia. Las deficiencias encontradas durante las actividades

regulares de control son normalmente reportadas al supervisor a

cargo; las deficiencias detectadas durante evaluaciones especiales

son normalmente comunicadas a los niveles altos de la

organización.

Page 115: Tema 3

LOGO

Normas de control interno informático

COSO: Comittee of Sponsoring Organizations

Beneficios de realizar Auditorías basadas en el Informe COSO • Eficacia: la prueba de los componentes del control interno COSO proporcionan un fundamento sólido para determinar el grado de seguridad brindado por los controles. • Eficiencia: enfocar un único objetivo COSO, evita una costosa dispersión en el alcance. • Capacidad de ser comparado: utilizar un marco común de auditoría y un sistema de clasificación, permite que se pueda comparar a los controles de diferentes áreas. • Comunicación: integrar los criterios del informe COSO, a las discusiones con los responsables mejora la comprensión de los conceptos de control. • Comité de Auditoría: en aquellas entidades con Comité de Auditoría, informar en términos del informe COSO. Ayuda a representar las fortalezas y debilidades del sistema de control interno.

Page 116: Tema 3

LOGO

Normas de control interno informático

ISO 17799: Code of practice information security

management.

La ISO17799 considera la organización como una totalidad y tiene en

consideración todos los posibles aspectos que se pueden ver afectados

ante los posibles incidentes que puedan producirse.

Esta norma pretende aportar las bases para tener en consideración todos

y cada uno de los aspectos que puede suponer un incidente en las

actividades de negocio de la organización.

Page 117: Tema 3

LOGO

Normas de control interno informático

ISO 17799: Code of practice information security

management.

La ISO 17799, es una guía de recomendaciones de

buenas prácticas para la gestión de seguridad informática. Cubre no

sólo la problemática de la IT sino que hace una aproximación

holística a la seguridad de la información abarcando todas las

funcionalidades de una organización en cuanto a que puedan afectar

la seguridad informática. Para ello la norma define para su selección

un total de 36 objetivos de control con 127 controles generales de

seguridad estructurados en 10 áreas de control que incluyen

cuestiones referidas al personal, ambientales, operaciones,

desarrollo y mantenimiento de sistemas, continuidad de negocios,

cumplimiento, etc.

Page 118: Tema 3

LOGO

Normas de control interno informático

ISO 17799: Code of practice information security

management.

La ISO 17799 está redactada bajo la forma verbal "should", un término

presente en otras normas ISO por convención, expresa una forma

condicional a modo de recomendación y no de imposición. Es así como la

norma hace precisamente recomendaciones y no

establece requisitos cuyo cumplimiento pudieren certificarse.

Lamentablemente, errores en algunas traducciones han traído confusión

en el verdadero alcance de esta norma.

Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 y en

realidad prácticamente es igual a la misma.

Page 119: Tema 3

LOGO

Normas de control interno informático

ISO 17799: Code of practice information security

management.

Esta norma se estructura en 10 dominios en los que cada uno de ellos

hace referencia a un aspecto de la seguridad de la organización:

1. Política de seguridad

2. Aspectos organizativos para la seguridad

3. Clasificación y control de activos

4. Seguridad del personal

5. Seguridad física y del entorno

6. Gestión de comunicaciones y operaciones

7. Control de accesos

8. Desarrollo y mantenimiento de sistemas

9. Gestión de continuidad del negocio

10.Conformidad legal

Page 120: Tema 3

LOGO

Normas de control interno informático

ACL: Access Control List

Es una tabla que le dice a un sistema los derechos de

acceso que cada usuario posee para un objeto

determinado, como directorios, ficheros, puertos, etc. Técnicas

para limitar el acceso a los recursos según la información de

autenticidad y las normas de acceso.

Page 121: Tema 3

LOGO

Normas de control interno informático

ACL: Access Control List

ACL es la herramienta de software de auditoria preferida por la comunidad de auditoria interna internacional, para la extracción del análisis de datos, la detección de fraudes y el control continuo. Al proporcionar una exclusiva y eficiente combinación de acceso a los datos, análisis y elaboración integrada de reportes, ACL permite transformar los datos en información significativa. Independientemente del origen de los datos (bases de datos planas o relacionales, hojas de calculo, archivos de reportes), ACL lee y compara los datos y permite que los datos de origen permanezcan intactos, lo que ofrece una calidad e integridad total. ACL te permite captar de inmediato la información sobre las transacciones fundamentales para la organización

Page 122: Tema 3

LOGO

Normas de control interno informático

ACL: Access Control List

Con ACL se puede:

1 - Efectuar análisis mas veloces, independientemente del

departamento de tecnología de la información, con una interfaz

de usuario intuitiva, menos desplegables, barras de tareas y

comandos tipo "apuntar y hacer clic“.

2 - Aprovechar la capacidad de tamaño ilimitado de archivo y la

velocidad sin precedentes de ACL para procesar rápidamente

millones de transacciones, asegurar una cobertura al 100 por

ciento y una confianza absoluta en los resultados.

Page 123: Tema 3

LOGO

Normas de control interno informático

ACL: Access Control List

Con ACL se puede:

3 - Producir informes claros. Diseñar, generar una vista previa y

modificar los resultados en una forma fácil, en pantalla, con

formato tipo "arrastrar y soltar“.

4 - Identificar tendencias, determinar excepciones y destacar

áreas potenciales de interés.

5 - Ubicar errores y fraudes potenciales al comparar y analizar

los archivos, de acuerdo con el criterio del usuario final.

Page 124: Tema 3

LOGO

Normas de control interno informático

ACL: Access Control List

Con ACL se puede:

6 - Identificar temas de control y asegurar el cumplimiento de las

normas

7 - En una forma solida pero sencilla, ACL extiende la

profundidad y el espacio para el análisis, aumenta la

productividad personal y brinda confianza en los resultados.

Además, no se necesita ser un especialista técnico para usarlo.

Con ACL, las organizaciones pueden lograr una rápida

recuperación de la inversión, reducir el riesgo, asegurar la

conformidad con las normas, minimizar las perdidas y mejorar la

rentabilidad.

Page 125: Tema 3

LOGO

Normas de control interno informático

ERM: Enterprise Risk Management

La gestión de Riesgo empresarial (ERM) es un proceso

estructurado, consistente y continuo implementado a través de

toda la organización para identificar, evaluar, medir y reportar

amenazas y oportunidades que afectan el poder alcanzar el logro

de sus objetivos.

Page 126: Tema 3

LOGO

Normas de control interno informático

ERM: Enterprise Risk Management

Responsabilidad por el ERM

La junta posee la responsabilidad de asegurarse que los riesgos

son gestionados. En la práctica, la junta delega en el equipo

gerencial la operación del marco de gestión de riesgo, quienes

son los responsables de realizar las actividades debajo. Podría

existir una función separada que coordine y maneje estas

actividades; y aplique destrezas y conocimientos especiales.

Todos en la organización juegan un rol en el aseguramiento de

éxito de la gestión de riesgo, pero la responsabilidad principal de

la identificación y manejo de éstos recae sobre la dirección o

gerencia.

Page 127: Tema 3

LOGO

Normas de control interno informático

ERM: Enterprise Risk Management

Actividades incluidas en el ERM

Articulación y comunicación de los objetivos de la organización; Determinación apetito de riesgo de la organización; Establecimiento de un ambiente interno apropiado, incluyendo un marco de gestión de riesgo; Identificación de amenazas potenciales; Evaluación de riesgo, por ejemplo: impacto y posibilidad de ocurrencia de las amenazas; Selección e implementación respuestas a riesgos; Fijar controles y otras actividades de respuestas; Comunicación de información sobre riesgos de manera consistente en todos los niveles de la organización; Centralizar monitoreo y control de los procesos de gestión de riesgo y de los resultados; y Proveer aseguramiento sobre la eficiencia con la cual los riesgos están siendo gestionados.

Page 128: Tema 3

LOGO

Normas de control interno informático

Rol de la auditoría interna en el ERM

Page 129: Tema 3

LOGO

Normas de control interno informático

Ventajas de ERM

La ERM puede realizar una gran contribución para ayudar a la organización a gestionar los riesgos para el logro de sus objetivos. Las ventajas incluyen: Mayor probabilidad de lograr dichos objetivos Información consolidada de riesgos dispares en el ámbito del consejo de administración Mayor comprensión de los riesgos clave y sus implicancias más amplias Identificación e intercambio de conocimientos sobre riesgos de negocio cruzados Mayor atención de la dirección a los problemas realmente importantes Menos sorpresas o crisis Mayor atención internamente para hacer lo correcto de la manera correcta Mayor probabilidad de que se logren las iniciativas de cambio Capacidad para asumir mayores riesgos en pos de mayores recompensas Asunción de riesgos y toma de decisiones más informadas