LOGO www.themegallery.com
Capítulo III
Metodologías de control interno, seguridad y auditoría informática, Modelos
Auditoría informática
LOGO
Metodologías de auditoría informática
Introducción
Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática.
LOGO
Metodologías de auditoría informática
Existen algunas metodologías de Auditoría informática y todas
depende del alcance de lo que se pretenda revisar o
analizar y que proceso informático se va ha auditar, además
las metodologías para auditoria informática, en su gran
mayoría, tienen procedimientos y tareas parecidos.
Para dar una clasificación de las auditorias informáticas
diremos que son de dos tipos:
Generales.
Especificas.
LOGO
Metodologías de auditoría informática
Metodologías Generales
Las metodologías generales permiten dar una opinión sobre la fiabilidad de la información, el resultado de esta metodología es un informe generalizado donde se destacan las vulnerabilidades encontradas. Es importante conocer que este tipo de auditoria tiene como material de trabajo los check list, (cuestionarios), entre otras que permiten anotar observaciones que ayudan a conservar un banco importante de pruebas sobre hallazgos.
Metodologías Específicas
Las metodologías especificas son aquellas que el auditor interno o externo “crea” para su uso son mas especificas y exhaustivas, ya que sirve para evaluar un área en particular, al igual que la anterior metodología sus informes permiten el registro de observaciones.
LOGO
Metodologías de auditoría informática
Es importante señalar que el uso de cualquier metodología de auditoria informática no garantiza por sí sola el éxito de los diferentes planes de A.I
Se requiere también de un buen dominio y uso constante de los siguientes aspectos complementarios:
Técnicas.
Herramientas de productividad.
Habilidades personales.
Conocimientos técnicos y administrativos.
Experiencia en los campos de auditoría en informática.
Conocimiento de los factores del negocio y del medio externo al mismo.
Actualización permanente.
Involucramiento y comunicación constante con asociaciones nacionales e internacionales relacionadas con el campo
LOGO
Metodologías de auditoría informática
Etapas de la Metodología
1. Alcance y Objetivos de la Auditoría Informática
2. Estudio inicial del entorno auditable
3. Determinación de los recursos necesarios para realizar la
auditoría
4. Elaboración del plan y de los Programas de Trabajo
5. Actividades propiamente dichas de la auditoría
6. Confección y redacción del Informe Final
7. Redacción de la Carta de Introducción o Carta de
Presentación del Informe final
LOGO
Metodologías de auditoría informática
Fase 1: Definición de Alcance y Objetivos
El alcance de la auditoría expresa los límites de la misma. Debe
existir un acuerdo muy preciso entre auditores y clientes sobre las
funciones, las materias y las organizaciones a auditar, es decir
cuales materias, funciones u organizaciones no van a ser auditadas.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben
comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría
Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y
actividades generales de la informática. Para su realización el auditor
debe conocer lo siguiente:
Organización:
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor
deberá fijarse en:
1)Organigrama:
El organigrama expresa la estructura oficial de la organización a
auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
2) Departamentos:
Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá
brevemente las funciones de cada uno de ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:
El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario
detectará, por ejemplo, si algún empleado tiene dos jefes.
Las de Jerarquía implican la correspondiente subordinación. Las
funcionales por el contrario, indican relaciones no estrictamente subordinables.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
4) Flujos de Información:
Además de las corrientes verticales intradepartamentales, la
estructura organizativa cualquiera que sea, produce corrientes de
información horizontales y oblicuas extradepartamentales.
5) Número de Puestos de trabajo
El equipo auditor comprobará que los nombres de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y
expresarán el número de puestos de trabajo verdaderamente diferentes.
LOGO
Metodologías de auditoría informática
Fase 2: Estudio Inicial
6) Número de personas por Puesto de Trabajo
Es un parámetro que los auditores informáticos deben considerar.
La inadecuación del personal determina que el número de personas
que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organización.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
El equipo de auditoría informática debe poseer una adecuada
referencia del entorno en el que va a desenvolverse. Este
conocimiento previo se logra determinando, fundamentalmente, los
siguientes extremos:
a. Situación geográfica de los Sistemas:
Se determinará la ubicación geográfica de los distintos Centros de
Proceso de Datos en la empresa. A continuación, se verificará la
existencia de responsables en cada unos de ellos, así como el uso de
los mismos estándares de trabajo.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
b. Arquitectura y configuración de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuración
elegida para cada uno de ellos, ya que los mismos deben constituir un
sistema compatible e intercomunicado. La configuración de los
sistemas esta muy ligada a las políticas de seguridad lógica de las
compañías.
Los auditores, en su estudio inicial, deben tener en su poder la
distribución e interconexión de los equipos.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
c. Inventario de Hardware y Software:
El auditor recabará información escrita, en donde figuren todos los
elementos físicos y lógicos de la instalación. En cuanto a Hardware
figurarán las CPUs, unidades de control local y remotas,
periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos
del Sistema, desde el software básico hasta los programas de utilidad
adquiridos o desarrollados internamente. Suele ser habitual clasificarlos
en facturables y no facturables.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
d. Comunicación y Redes de Comunicación:
En el estudio inicial los auditores dispondrán del número, situación y
características principales de las líneas, así como de los accesos a la
red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la
Empresa.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente:
a. Volumen, antigüedad y complejidad de las Aplicaciones
b. Metodología del Diseño
Se clasificará globalmente la existencia total o parcial de
metodología en el desarrollo de las aplicaciones. Si se han utilizados
varias a lo largo del tiempo se pondrá de manifiesto.
LOGO
Metodologías de auditoría informática
Fase 3: Entorno Operacional
Aplicaciones bases de datos y ficheros
c. Documentación
La existencia de una adecuada documentación de las aplicaciones
proporciona beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los mismos.
d. Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un
promedio de número de accesos a ellas por hora o días. Esta
operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión
aceptable de las características de la carga informática.
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la
Auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a
determinar los recursos humanos y materiales que han de
emplearse en la auditoría.
- Recursos humanos
- Recursos materiales
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría Informática
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas de software propias
del equipo van a utilizarse igualmente en el sistema auditado, por
lo que han de convenirse en lo posible las fechas y horas de uso
entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
b. Recursos materiales Hardware
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría Informática
Recursos materiales
a. Recursos materiales Software
Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado. Para lo cuál habrá de convenir el, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría Informática
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las
características y perfiles del personal seleccionado depende de la
materia auditable.
Igualmente, la auditoría en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia
multidisciplinaria.
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría
Informática
Perfiles Profesionales de los auditores informáticos
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría Informática
Recursos Humanos
Elaboración del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditoría y sus
colaboradores establecen un plan de trabajo. Decidido éste, se
procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El
volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.
LOGO
Metodologías de auditoría informática
Fase 4: Determinación de recursos de la Auditoría Informática
Recursos Humanos
Elaboración del Plan y de los programas de trabajo
En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios
En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.
LOGO
Metodologías de auditoría informática
Fase 5: Actividades de la Auditoría Informática
Auditoría por temas generales o por áreas específicas:
La auditoría Informática general se realiza por áreas generales o
por áreas específicas. Si se examina por grandes temas, resulta
evidente la mayor calidad y el empleo de más tiempo total y mayores
recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de
una vez todas las peculiaridades que afectan a la misma, de forma
que el resultado se obtiene más rápidamente y con menor calidad.
LOGO
Metodologías de auditoría informática
Fase 5: Actividades de la Auditoría Informática
Técnicas de Trabajo:
Análisis de la información recabada del auditado Análisis de la información propia Cruzamiento de las informaciones anteriores Entrevistas Simulación Muestreos
Herramientas:
Cuestionario general inicial Cuestionario Checklist Estándares Monitores Simuladores (Generadores de datos) Paquetes de auditoría (Generadores de Programas) Matrices de riesgo
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
La función de la auditoría se materializa exclusivamente por
escrito. Por lo tanto la elaboración final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes
parciales previos al informe final, los que son elementos de contraste
entre opinión entre auditor y auditado y que pueden descubrir fallos de
apreciación en el auditor.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
Estructura del informe final
1. El informe comienza con la fecha de comienzo de la auditoría y la
fecha de redacción del mismo. Se incluyen los nombres del equipo
auditor y los nombres de todas las personas entrevistadas, con
indicación de la jefatura, responsabilidad y puesto de trabajo que
ostente.
2. Definición de objetivos y alcance de la auditoría.
3. Enumeración de temas considerados:
Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente
posible todos los temas objeto de la auditoría.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
Estructura del informe final
4. Cuerpo expositivo:
Para cada tema, se seguirá el siguiente orden a saber:
a) Situación actual. Cuando se trate de una revisión periódica, en la que
se analiza no solamente una situación sino además su evolución en el
tiempo, se expondrá la situación prevista y la situación real
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
c) Puntos débiles y amenazas
d) Recomendaciones y planes de acción. Constituyen junto con la
exposición de puntos débiles, el verdadero objetivo de la auditoría
informática.
e) Redacción posterior de la Carta de Introducción o Presentación.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
Modelo conceptual de la exposición del informe final:
El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.
El Informe debe consolidar los hechos que se describen en el mismo. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios:
1. El hecho debe poder ser sometido a cambios.
2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.
3. No deben existir alternativas viables que superen al cambio propuesto.
4. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser
corregida.
Flujo del hecho o debilidad:
1 – Hecho encontrado
Ha de ser relevante para el auditor y pera el cliente
Ha de ser exacto, y además convincente.
No deben existir hechos repetidos.
2 – Consecuencias del hecho
Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
LOGO
Metodologías de auditoría informática
Fase 6: Informe Final
3 – Repercusión del hecho
Se redactará las influencias directas que el hecho pueda tener sobre
otros aspectos informáticos u otros ámbitos de la empresa.
4 – Conclusión del hecho
No deben redactarse conclusiones más que en los casos en que la
exposición haya sido muy extensa o compleja.
5 – Recomendación del auditor informático
Deberá entenderse por sí sola, por simple lectura.
Deberá estar suficientemente soportada en el propio texto.
Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan implementarla.
LOGO
Metodologías de auditoría informática Fase 7: Carta de Introducción o Presentación
del Informe Final La carta de introducción tiene especial importancia porque en ella ha de
resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría.
Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción.
La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios
Incluirá fecha, naturaleza, objetivos y alcance
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca recomendaciones.
.
LOGO
Metodologías de auditoría informática
Metodología de Enrique Hernández
LOGO
Metodologías de Auditoría Informática
La metodología usada por el auditor interno
debe ser diseñada y desarrollada por el
propio auditor
Se basa en su grado de experiencia y
habilidad
Se deben crear las metodologías necesarias
para auditar los distintos aspectos definidos en
el plan auditor informático
LOGO
Metodologías de Auditoría Informática
Las metodologías de auditoría informática
son del tipo cualitativo-subjetivo. Están
basadas en profesionales de gran nivel de
experiencia y formación, capaces de dictar
recomendaciones técnicas, operativas y jurídicas
LOGO
Es el esquema metodológico más importante del
auditor informático
Describe todo sobre esta función y el trabajo que
realiza
El plan del auditor Informático
LOGO
Partes del Plan Auditor Informático
Las partes que lo componen deben ser al menos
las siguientes:
Funciones
Procedimientos
Tipos de auditorías que realiza
Sistema de evaluación
Nivel de exposición
Lista de distribución de informes
Seguimiento de acciones correctoras
Plan de trabajo
LOGO
FUNCIONES
Ubicación en el organigrama.
Deben describirse las funciones en forma precisa y la
organización interna del departamento, con todos sus
recursos
Partes del Plan Auditor Informático
LOGO
PROCEDIMIENTOS
Para las distintas tareas de las auditorías
Definición de debilidades, entrega del informe
preliminar, cierre de la auditoría, redacción del
informe final, etc.
Partes del Plan Auditor Informático
LOGO
TIPOS DE AUDITORÍAS que realiza
Metodologías y cuestionarios de las mismas
Ejemplo: revisión de la seguridad física, de controles
internos, de la aplicación de facturación, etc.
Existen tres tipos, según el alcance:
Full o Completa de un área
Limitada a un aspecto
Comprobación de acciones correctivas de auditorías anteriores
(Corrective Action Review)
Partes del Plan Auditor Informático
LOGO
SISTEMA DE EVALUACIÓN y los distintos aspectos
que evalúa
Se deben definir varios aspectos (gestión económica, de RH,
cumplimiento de normas)
Se debe realizar una evaluación global de resumen para toda la
auditoría (Bien, Regular, Mal, significando la visión del grado de
gravedad)
La evaluación determina la fecha de repetición de la auditoría en el
futuro, dependiendo del nivel de exposición encontrado.
Partes del Plan Auditor Informático
LOGO
NIVEL DE EXPOSICIÓN
Nos permite definir la fecha de repetición de una
auditoría dependiendo de la evaluación final de la última
realizada
Puede significar la suma de factores como impacto,
peso del área, situación de control en el área
Partes del Plan Auditor Informático
LOGO
LISTA DE DISTRIBUCIÓN DE INFORMES.
Se define la cantidad de informes con el resultado final de
la auditoría que se van a distribuir
Partes del Plan Auditor Informático
SEGUIMIENTO DE ACCIONES CORRECTIVAS
Dependiendo de las acciones correctivas sugeridas en el
informe final, se realiza un adecuado seguimiento.
LOGO
PLAN DE TRABAJO
Se estiman tiempos y se realiza un calendario
con horas de trabajo previstas
Se definen los recursos que se necesitarán
Partes del Plan Auditor Informático
LOGO
Se puede definir el control interno como “cualquier actividad o acción
realizada” manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema
para conseguir sus objetivos.
Control Interno Informático C.I.I., controla diariamente que todas las
actividades de sistemas de información sean realizadas cumpliendo los
procedimientos, estándares y normas fijados por la Dirección de la
Organización y/o Dirección de Informática, así como los requerimientos
legales.
Control Interno
LOGO
Control Interno
Para que exista control es necesario que se establezcan
primero unas normas o estándares que indiquen la ruta
ideal a seguir por el sistema para cumplir con los objetivos,
luego se debe medir el desempeño del sistema y compararlo
con los estándares anteriormente determinados y por ultimo se
deben ejecutar las acciones necesarias para corregir las
desviaciones de la operación del sistema con relación a la ruta
ideal para el cumplimiento de los fines.
LOGO
La misión de C.I.I. es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas.
La función se le asigna a una unidad orgánica perteneciente al staff de la
Gerencia de Informática y debe estar dotada de las personas y
medios materiales requeridos para el cumplimiento de su misión.
Control Interno
LOGO
C.I.I. - PRINCIPALES FUNCIONES
Realizar en los diferentes sistemas (centrales, departamentales, redes
locales, Peces, etc.) y entornos informáticos (producción, desarrollo o
pruebas) el control de las diferentes actividades operativas sobre:
1. Cumplimiento de diferentes procedimientos, normas y controles dictados.
Ejemplo. Control de cambios y versiones de software.
2. Controles sobre la producción diaria.
3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informático.
4. Controles en las redes de comunicaciones.
5. Controles sobre el software de base.
Control Interno
LOGO
C.I.I. - PRINCIPALES FUNCIONES
6. Controles en los sistemas microinformáticos.
7. La seguridad informática:
8. Usuarios, responsables y perfiles de uso de archivos y bases de
datos.
9. Normas de seguridad.
10.Control de información clasificada.
11.Control dual de la seguridad informática.
12.Licencias.
13.Contratos con terceros.
14.Asesorar y transmitir cultura sobre el riesgo informático.
Control Interno
LOGO
PRINCIPALES OBJETIVOS
Controlar que todas las actividades se realicen cumpliendo
los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria Informática, así
como de las auditorias externas.
Definir , implantar y ejecutar mecanismos y controles
para comprobar el logro de los grados adecuados del
servicio informático
Control Interno
LOGO
Control Interno
1. Un conjunto de normas o estándares que determinen los
objetivos a lograr por el sistema o Variables a controlar,
2. Un mecanismo que suministre energía o información al
sistema o Fuente de Energía,
3. Un mecanismo de medición del desempeño del sistema o
Mecanismo Sensor,
4. Un mecanismo que compare lo medido con los estándares
establecidos o Mecanismo Comparador,
5. Un mecanismo que comunique lo medido con relación a los
estándares o Mecanismo Realimentador,
6. Un mecanismo que realice la acción de corrección de las
desviaciones con respecto a los estándares o Mecanismo Efector o Motor
La clasificación mas aceptada de los elementos del Control Interno es la de Johansen Bertoglio [Bertoglio, 1986]
Elementos del Control Interno
LOGO
Control Interno
1. AMBIENTE DE CONTROL
2. EVALUACION DE RIESGOS
3. ACTIVIDADES DE CONTROL
4. INFORMACION Y COMUNICACIÓN
5. SUPERVISION Y SEGUIMIENTO
Componentes del Control Interno
LOGO
Control Interno
1. AMBIENTE DE CONTROL
Componentes del Control Interno
La organización debe establecer un entorno que permita el
estimulo y produzca influencia en la actividad del recurso humano respecto al control de sus actividades. Para que este ambiente de control se genere se requiere de otros elementos asociados al mismo los cuales son:
Integridad y valores éticos. Se deben establecer los valores éticos y de conducta que se esperan del recurso humano al servicio del Ente, durante el desempeño de sus actividades propias.
Competencia. Se refiere al conocimiento y habilidad que debe poseer toda persona que pertenezca a la organización, para desempeñar satisfactoriamente su actividad.
LOGO
Control Interno
1. AMBIENTE DE CONTROL
Componentes del Control Interno
Experiencia y dedicación de la Alta Administración. Es vital que quienes determinan los criterios de control posean gran experiencia, dedicación y se comprometan en la toma de las medidas adecuadas para mantener el ambiente de control. Filosofía administrativa y estilo de operación. Es sumamente importante que se muestre una adecuada actitud hacia los productos de los sistemas de información que conforman la organización. Aquí tienen gran influencia la estructura organizativa, delegación de autoridad y responsabilidades y políticas y practicas del recurso humano. Es vital la determinación actividades para el cumplimiento de la misión de la empresa, la delegación autoridad en la estructura jerárquica, la determinación de las responsabilidades a los funcionarios en forma coordinada para el logro de los objetivos.
LOGO
Control Interno
2. EVALUACION DE RIESGOS
Componentes del Control Interno
Riesgos. Los factores que pueden incidir interfiriendo el cumplimiento de los objetivos propuestos por el sistema (organización), se denominan riesgos. Estos pueden provenir del medio ambiente o de la organización misma. Se debe entonces establecer un proceso amplio que identifique y analice las interrelaciones relevantes de todas las áreas de la organización y de estas con el medio circundante, para así determinar los riesgos posibles.
La evaluación de riesgos presenta los siguientes aspectos sobresalientes: Objetivos. Todos los recursos y los esfuerzos de la organización están orientados por los objetivos que persigue la misma. Al determinarse los objetivos es crucial la identificación de los factores que pueden evitar su logro.
LOGO
Control Interno
2. EVALUACION DE RIESGOS
Componentes del Control Interno
Análisis de riesgos y su proceso. Los aspectos importantes a incluir son entre otros:
• Estimación de la importancia del riesgo y sus efectos • Evaluación de la probabilidad de ocurrencia • Establecimiento de acciones y controles necesarios • Evaluación periódica del proceso anterior
Manejo de cambios. Tiene relación con la identificación de los cambios que puedan tener influencia en la efectividad de los controles internos ya establecidos. Todo control diseñado para una situación especifica puede ser inoperante cuando las circunstancias se modifican. Este elemento tiene estrecha relación con el proceso de análisis de riesgos, pues el cambio en si implica un factor que puede incidir en el éxito de los objetivos.
LOGO
Control Interno
2. EVALUACION DE RIESGOS
Componentes del Control Interno
Existe el riesgo de auditoria, que consiste en que el auditor no
detecte un error de importancia relativa que pueda existir en el
sistema examinado. El riesgo de auditoria puede consistir en riesgo
inherente, riesgo de control, y el riesgo de detección.
LOGO
Control Interno
3. ACTIVIDADES DE CONTROL
Componentes del Control Interno
Las actividades de una organización se manifiestan en las políticas,
sistemas y procedimientos, siendo realizadas por el recurso
humano que integra la entidad. Todas aquellas actividades que se
orienten hacia la identificación y análisis de los riesgos reales o
potenciales que amenacen la misión y los objetivos y en beneficio
de la protección de los recursos propios o de los terceros en poder
de la organización, son actividades de control. Estas pueden ser
aprobación, autorización, verificación, inspección, revisión de
indicadores de gestión, salvaguarda de recursos, segregación de
funciones, supervisión y entrenamiento adecuado.
LOGO
Control Interno
4. INFORMACIÓN Y COMUNICACIÓN
Componentes del Control Interno
Los datos pertinentes a cada sistema de información no solamente
deben ser identificados, capturados y procesados, sino que este
producto debe ser comunicado al recurso humano en forma
oportuna para que así pueda participar en el sistema de control. La
información por lo tanto debe poseer unos adecuados canales de
comunicación que permitan conocer a cada uno de los integrantes
de la organización sus responsabilidades sobre el control de sus
actividades. También son necesarios canales de comunicación
externa que proporcionen información a los terceros interesados en
la entidad y a los organismos estatales.
LOGO
Control Interno
5. SUPERVISION Y SEGUIMIENTO
Componentes del Control Interno
Planeado e implementado un sistema de Control Interno, se debe
vigilar constantemente para observar los resultados obtenidos por
el mismo. Todo sistema de Control Interno por perfecto que
parezca, es susceptible de deteriorarse por múltiples
circunstancias y tiende con el tiempo a perder su
efectividad. Por esto debe ejercerse sobre el mismo una
supervisión permanente para producir los ajustes que se requieran
de acuerdo a las circunstancias cambiantes del entorno.
LOGO
Control Interno
5. SUPERVISION Y SEGUIMIENTO
Componentes del Control Interno
El sistema de control interno debe estar bajo continua supervision
para determinar si:
• Las políticas descritas están siendo interpretadas
apropiadamente y si se llevan a cabo.
• Los cambios en las condiciones de operación no han hecho
estos procedimientos obsoletos o inadecuados y,
• Es necesario tomar oportunamente efectivas medidas de
corrección cuando sucedan tropiezos en el sistema.
LOGO
Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
Existen los siguientes métodos para la documentar el conocimiento
del Control Interno por parte del auditor, los cuales no son
exclusivos y pueden ser utilizados en forma combinada para una
mejor efectividad.
1. Método descriptivo
2. Método grafico
3. Método de cuestionarios
LOGO
Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método descriptivo
Consiste en la narración de los procedimientos relacionados con el control interno, los cuales pueden dividirse por actividades que pueden ser por departamentos, empleados y cargos. Los procesos de control relacionados incluye por lo menos cuatro características: 1. Origen de cada documento y registro en el sistema. 2. Como se efectúa el procesamiento. 3. Disposición de cada documento y registro en el sistema. 4. Indicación de los procedimientos de control pertinentes a la
evaluación de los riesgos de control.
LOGO
Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método Gráfico
Consiste en la preparación de diagramas de flujo de los
procedimientos ejecutados en cada uno de los departamentos
involucrados en una operación. Un diagrama de flujo de control
interno consiste en una representación simbólica y por medio
de flujo secuencial de los documentos de la entidad
auditada. El diagrama de flujo debe representar todas las
operaciones, movimientos, demoras y procedimientos de archivo
concernientes al proceso descrito.
LOGO
Control Interno METODOS PARA DOCUMENTAR EL CONOCIMIENTO DEL
CONTROL INTERNO
1. Método de Cuestionarios
Básicamente consiste en un listado de preguntas a través de las cuales se pretende evaluar las debilidades y fortalezas del sistema de control interno. Estos cuestionarios se aplican a cada una de las áreas en las cuales el auditor dividió los rubros a examinar. Para elaborar las preguntas, el auditor debe tener el conocimiento pleno de los puntos donde pueden existir deficiencias para así formular la pregunta clave que permita la evaluación del sistema en vigencia en la empresa. Generalmente el cuestionario se diseña para que las respuestas negativas indiquen una deficiencia de control interno. Algunas de las preguntas pueden ser de tipo general y aplicable a cualquier empresa, pero la mayoría deben ser especificas para cada organización en particular y se deben relacionar con su objeto social.
LOGO
CLASIFICACIÓN
1. Controles preventivos.- para tratar de evitar el hecho, como
un software de seguridad que impida los accesos no
autorizados al sistema.
2. Controles detectivos.- cuando fallan los preventivos, para
tratar de conocer cuanto antes el evento. Por ejemplo, el
registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.
3. Controles correctivos.- facilitan la vuelta a la normalidad
cuando se han producido incidencias. Por ejemplo, la
recuperación de un fichero dañado a partir de las copias de
seguridad.
Control Interno
LOGO
Diferencias y similitudes del Control interno y la
Auditoría Informática
Control Interno
LOGO
Actividades control interno
1.- En una empresa cualquiera, establezca las medidas de Control
Interno que se aplican. Analice cada una de ellas y determine cual o cuales están de acuerdo a los objetivos que persigue.
2. - Tome la sección o departamento de Centro de Procesamiento de Datos de la empresa y enumere cinco medidas de control interno encaminadas a la protección de los activos físicos de dicha sección.
3. - Tome la sección o departamento de Procesamiento de la empresa y enumere cinco medidas de control interno encaminadas a la obtención de información confiable y segura de dicha sección.
4. - Tome la sección o departamento de Procesamiento de la empresa y enumere cinco medidas de control interno referidas a la entrada de datos.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Los controles pueden implantarse a varios niveles diferentes. La
evaluación de los controles de la Tecnología de la Información
exige analizar diversos elementos independientes. Por ello es
importante llegar a conocer bien la configuración del
sistema, con el objeto de identificar los elementos, productos y
herramientas que existen para saber dónde pueden implantarse
los controles, así como identificar posibles riesgos. Para llegar a
conocer la configuración del sistema es necesario documentar los
detalles de la red, así como los distintos niveles de control y
elementos relacionados:
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Entorno de red: esquema de la red, descripción de la
configuración hardware de comunicaciones, descripción del
software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de entornos
de base que soportan aplicaciones críticas y consideraciones
relativas a la seguridad de la red.
Configuración del ordenador base: configuración del soporte
físico, entorno del sistema operativo, software con particiones,
entornos (pruebas y real), bibliotecas de programas y conjunto de
datos.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Entorno de aplicaciones: procesos de transacciones, sistemas
de gestión de bases de datos y entornos de procesos distribuidos.
Productos y herramientas: software para desarrollo de
programas, software de gestión de bibliotecas y para operaciones
automáticas.
Seguridad del ordenador base: identificar y verificar
usuarios, control de acceso, registro e información, integridad del
sistema, controles de supervisión, etc.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Para la implantación de un sistema de controles internos
informáticos habrá que definir las siguientes características:
Gestión de sistemas de información: políticas, pautas y
normas técnicas que sirvan de base para el diseño y la
implantación de los sistemas de información y de los controles
correspondientes.
Administración de sistemas: controles sobre la actividad de
los centros de datos y otras funciones de apoyo al sistema,
incluyendo la administración de las redes.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Seguridad: incluye las tres clases de controles fundamentales
implantados en el software del sistema, como son la integridad
del sistema, la confidencialidad (control de acceso) y la
disponibilidad.
Gestión del cambio: separación de las pruebas y la producción
a nivel de software y controles de procedimientos, para la
migración de programas software aprobados y probados.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por fases y esté respaldada por la Dirección. Cada función juega un papel importante en las distintas etapas que son, básicamente, las siguientes: Dirección de Negocio o Dirección de Sistemas de Información (S.I.): han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas. Dirección de Informática: ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática, así como a los usuarios que establezcan el marco de funcionamiento.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por fases y esté respaldada por la Dirección. Cada función juega un papel importante en las distintas etapas que son, básicamente, las siguientes: Dirección de Negocio o Dirección de Sistemas de Información (S.I.): han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas. Dirección de Informática: ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática, así como a los usuarios que establezcan el marco de funcionamiento.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Control Interno Informático: ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Estos se plasmarán en los oportunos procedimientos de control interno y podrán ser preventivos o de detección. Realizará periódicamente la revisión de los controles establecidos de Control Interno Informático, informando de las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles. Deberá, además, transmitir constantemente a toda la Organización de Informática la cultura y políticas del riesgo informático.
LOGO
Implantación de un sistema de controles internos
informáticos
Control Interno
Auditor interno/externo informático: ha de revisar los
diferentes controles internos definidos en cada una de las
funciones informáticas y el cumplimiento de la normativa interna
y externa, de acuerdo al nivel de riesgo y conforme a los
objetivos definidos por la Dirección de Negocio y la Dirección de
Informática. Informará también a la Alta Dirección, de los
hechos observados y al detectarse deficiencias o ausencias de
controles recomendarán acciones que minimicen los riesgos que
pueden originarse.
LOGO
Esquema del Control Interno Informático
Control Interno
LOGO
Control Interno
La creación de un sistema de control informático es una
responsabilidad de la Gerencia y un punto destacable de la
política en el entorno informático.
A continuación, se indican algunos controles internos para los
sistemas de información, agrupados por secciones
funcionales, y que serían los que el Control Interno Informático
y la Auditoría Informática deberían verificar para determinar su
cumplimiento y validez:
LOGO
Control Interno
Controles generales organizativos: engloba una serie de elementos, tales como:
Políticas. Planificación (plan estratégico de información, plan
informático, plan general de seguridad y plan de emergencia ante desastres).
Estándares. Procedimientos. Organizar el departamento de informática. Descripción de las funciones y responsabilidades dentro
del departamento. Políticas de personal. Asegurar que la dirección revisa todos los informes de
control y resuelve las excepciones que ocurran. Asegurar que existe una política de clasificación de la
información. Designar oficialmente la figura del Control Interno
Informático y de la Auditoría Informática.
LOGO
Control Interno
Controles de desarrollo, adquisición y mantenimiento de sistemas de información: se utilizan para que se puedan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:
Metodología del ciclo de vida del desarrollo de sistemas. Explotación y mantenimiento.
Controles de explotación de sistemas de información:
consta de:
Planificación y gestión de recursos. Controles para usar de manera efectiva los recursos en
ordenadores. Procedimientos de selección del software del sistema, de
instalación, de mantenimiento, de seguridad y de control de cambios.
Seguridad física y lógica.
LOGO
Control Interno
Controles en aplicaciones: cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, y mantenimiento de los datos:
Control de entrada de datos. Controles de tratamiento de datos. Controles de salida de datos.
Controles específicos de ciertas tecnologías:
Controles en Sistemas de Gestión de Bases de Datos. Controles en informática distribuida y redes. Controles sobre ordenadores personales y redes de área
local.
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
la informática crea unos riesgos informáticos de los que hay que
proteger y preservar a la entidad con un entramado de
contramedidas, y la calidad y la eficacia de las mismas es el
objetivo a evaluar para poder identificar así sus puntos débiles y
mejorarlos. Ésta, es una de las funciones de los auditores
informáticos, por lo que debemos profundizar más en este
entramado de contramedidas para ver qué papel tienen las
metodologías y los auditores en el mismo. Para explicar este
aspecto, diremos que cualquier contramedida nace de la
composición de varios factores. Todos los factores de la pirámide
intervienen en la composición de una contramedida:
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
La Normativa: debe definir de forma clara y precisa todo lo
que debe existir y ser cumplido, tanto desde el punto de vista
conceptual, como práctico, desde lo general a lo particular. Debe
inspirarse en estándares, políticas, marco jurídico, políticas y
normas de empresa, experiencia y práctica profesional.
Desarrollando la normativa, debe alcanzarse el resto del “gráfico
valor”. Se puede dar el caso en que una normativa y su carácter
disciplinado sea el único control de un riesgo ( aunque esto no
sea frecuente).
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
La Organización: la integran personas con funciones
específicas y con actuaciones concretas, procedimientos
definidos metodológicamente y aprobados por la dirección de la
empresa. Éste es el aspecto más importante, dado que sin él,
nada es posible. Se pueden establecer controles sin alguno de
los demás aspectos, pero nunca sin personas, ya que son éstas
las que realizarán los procedimientos y desarrollan los diversos
planes (Plan de Seguridad, Plan de Contingencias, Auditorías,
etc).
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
Las Metodologías: son necesarias para desarrollar cualquier
proyecto que nos propongamos de manera ordenada y eficaz.
Los Objetivos de Control: son los objetivos a cumplir en el
control de procesos. Este concepto es el más importante
después de ‘la organización’, y solamente de un planteamiento
correcto de los mismos, saldrán unos procedimientos eficaces y
realistas.
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
Los Procedimientos de Control: son los procedimientos
operativos de las distintas áreas de la empresa, obtenidos con
una metodología apropiada, para la consecución de uno o varios
objetivos de control y, por lo tanto, deben estar documentados y
aprobados por la Dirección. La tendencia habitual de los
informáticos es la de dar más peso a la herramienta que al
propio control o contramedida, pero no se debe olvidar que una
herramienta nunca es solución sino una ayuda para conseguir un
control mejor. Sin la existencia de estos procedimientos, las
herramientas de control son solamente una ‘anécdota’.
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
La Tecnología de Seguridad: dentro de este nivel, están
todos los elementos (hardware y software) que ayudan a
controlar un riesgo informático. En este concepto están los
cifradores, autentificadores, equipos denominados ‘tolerantes al
fallo’, las herramientas de control, etc.
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
Factores de la Contramedida
Las Herramientas de Control: son elementos software que permiten
definir uno o varios procedimientos de control para cumplir una normativa
y un objetivo de control. Las herramientas de control (software) más
comunes son:
Seguridad lógica del sistema.
Seguridad lógica complementaria al sistema (desarrollado a medida) Seguridad lógica para entornos distribuidos. Control de acceso físico. Control de presencia. Control de copias. Gestión de copias. Gestión de soportes magnéticos. Gestión y control de impresión y envío de listados por red. Control de proyectos. Control y gestión de incidencias. Control de cambios.
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
La tendencia actual en la organización de la seguridad de
sistemas en la empresa, es que por una parte un comité que
estaría formado por el director de la estrategia y de las
políticas; y por otra parte, el control interno y la auditoría
informática. La función del control interno se ve involucrada en
la realización de los procedimientos de control, y es una labor
del día a día.
La función de la auditoría informática está centrada en la
evaluación de los distintos aspectos que designe su Plan Auditor,
con unas características de trabajo que son las visitas concretas
al centro, con objetivos concretos y, tras terminar su trabajo, la
presentación del informe de resultados.
LOGO
METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
LOGO
Normas de control interno informático
1. COSO (1992): Internal Control - Integrated Framework del Committee of Sponsoring Organizations of the Treadway Commission. Brinda recomendaciones a la dirección sobre cómo evaluar, reportar y mejorar los sistemas de control.
2. COBIT (1996): (Control Objectives for Information and related Technology) de la Information Systems Audit and Control Foundation. Es una estructura que provee una herramienta para los propietarios de los procesos del negocio para descargar eficiente y efectivamente sus responsabilidades de control sobre los sistemas informáticos.
3. SAC (1991, revisado en 1994) (Systems Auditability and Control) del Institute of Internal Auditors Research Foundation. Ofrece asistencia a los auditores internos sobre el control y auditoria de los sistemas y tecnología informática.
LOGO
Normas de control interno informático
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
La Information Systems Audit and Control Foundation (ISACF)
desarrolló los Objetivos de Control para la Información y
Tecnología relacionada (COBIT) para servir como una estructura
generalmente aplicable y prácticas de seguridad y control de SI
para el control de la tecnología de la información. Esta estructura
COBIT le permite a la gerencia comparar (benchmark) la
seguridad y prácticas de control de los ambientes de TI, permite a
los usuarios de los servicios de TI asegurarse que existe una
adecuada seguridad y control y permite a los auditores sustanciar
sus opiniones sobre el control interno y aconsejar sobre materias
de seguridad y control de TI.
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
Definición: COBIT adaptó su definición de control a partir de
COSO: Las políticas, procedimientos, prácticas y estructuras
organizacionales están diseñadas para proveer aseguramiento
razonable de que se lograrán los objetivos del negocio y que se
prevendrán, detectarán y corregirán los eventos no deseables.
COBIT enfatiza el rol e impacto del control de TI en lo
relacionado con los procesos del negocio. COBIT, describe
objetivos de control de TI independientes de plataformas y
aplicaciones.
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
Recursos de TI: COBIT clasifica los recursos de TI como datos,
sistemas de aplicación, tecnología, instalaciones y gente. Los
datos son definidos en su sentido más amplio e incluyen no sólo
números, textos y fechas, sino también objetos tales como
gráficos y sonido. Los sistemas de aplicación son entendidos como
la suma de procedimientos manuales y programados.
La tecnología se refiere al hardware, sistemas operativos, equipos
de redes y otros. Instalaciones son los recursos utilizados para
albergar y soportar los sistemas de información. Gente
comprende las capacidades y habilidades individuales para
planear, organizar, adquirir, entregar, apoyar y monitorear los
servicios y sistemas de información.
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
Requerimientos: COBIT combina los principios incorporados en
los modelos de referencia existentes en tres amplias categorías:
calidad, responsabilidad fiduciaria y seguridad. De estos amplios
requerimientos, se extrae siete categorías superpuestas de
criterios para evaluar cuan bien están satisfaciendo los recursos
de TI los requerimientos de información del negocio. Estos
criterios son efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad de la información.
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
Procesos y Dominios: COBIT clasifica los procesos de TI en
cuatro dominios. Estos cuatro dominios son (1) planeamiento y
organización, (2) adquisición e implementación, (3) entrega y
soporte y (4) monitoreo. El agrupamiento natural de procesos en
dominios es a menudo confirmado como dominios de
responsabilidad en las estructuras organizacionales y sigue el
ciclo gerencial o ciclo de vida aplicable a los procesos de TI en
cualquier ambiente de TI.
LOGO
Normas de control interno informático
COBIT: Control Objectives for Information and related
Technology
Estructura: La estructura COBIT provee declaraciones de control
de alto nivel para los procesos particulares de TI. La estructura
identifica la necesidad del negocio satisfecha por la declaración de
control, identifica los recursos de TI administrados por los
procesos, establece los controles habilitados y lista los principales
objetivos de control aplicables.
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
Definición: El informe SAC define a un sistema de control interno
como: un conjunto de procesos, funciones, actividades,
subsistemas, y gente que son agrupados o conscientemente
segregados para asegurar el logro efectivo de los objetivos y
metas.
El informe SAC enfatiza el rol e impacto de los sistemas computarizados
de información sobre el sistema de control interno. El mismo acentúa la
necesidad de evaluar los riesgos, pesar los costos y beneficios y
construir controles en los sistemas en lugar de agregarlos luego de la
implementación.
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
Componentes: El sistema de control interno consiste en tres
componentes: el ambiente de control, los sistemas manuales y
automatizados y los procedimientos de control.
El ambiente de control incluye la estructura de la organización, la
estructura de control, las políticas y procedimientos y las influencias
externas.
Los sistemas automatizados consisten en sistemas y software de
aplicación. SAC discute los riesgos de control asociados con los sistemas
de usuario final y departamentales pero no describe ni define los sistemas
manuales.
Los procedimientos de control consisten en controles generales, de
aplicaciones y compensatorios.
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
Clasificaciones: SAC provee cinco esquemas de clasificación
para los controles internos en los sistemas informáticos:
(1)preventivos, detectivos, y correctivos,
(2)discrecionales y no-discrecionales,
(3) voluntarios y obligatorios,
(4)manuales y automatizados y
(5)controles de aplicaciones y generales.
Estos esquemas se enfocan en cuándo se aplica el control, si el
control puede ser evitado, quién impone la necesidad del control,
cómo se implementa el control, y dónde se implementa el control
en el software.
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
Objetivos de Control y Riesgos: Los riesgos incluyen fraudes,
errores, interrupción del negocio, y el uso ineficiente e inefectivo
de los recursos. Los objetivos de control reducen estos riesgos y
aseguran la integridad de la información, la seguridad, y el
cumplimiento. La integridad de la información es resguardada por
los controles de calidad del input, procesamiento, output y
software. Las medidas de seguridad incluyen los controles de
seguridad de los datos, física y de programas. Los controles de
cumplimiento aseguran conformidad con las leyes y regulaciones,
los estándares contables y de auditoría, y las políticas y
procedimientos internos.
LOGO
Normas de control interno informático
SAC: Systems Auditability and Control
Rol del Auditor Interno: Las responsabilidades de los auditores
internos incluyen asegurar la adecuación del sistema de control
interno, la confiabilidad de los datos y el uso eficiente de los
recursos de la organización. A los auditores internos también les
concierne la prevención y detección de fraudes, y la coordinación
de actividades con los auditores externos. Para los auditores
internos es necesaria la integración de las habilidades de auditoria
y sistemas de información y una comprensión del impacto de la
tecnología informática sobre el proceso de auditoria. Estos
profesionales realizan ahora auditorias financieras, operativas y
de los sistemas de información.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
Definición: El informe COSO define control interno como: un
proceso, efectuado por el directorio, la gerencia y otro personal
de la entidad, diseñado para proveer un aseguramiento razonable
en relación al logro de los objetivos en las siguientes categorías:
efectividad y eficiencia de las operaciones
confiabilidad de los reportes financieros
cumplimiento con las leyes y regulaciones aplicables.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
Componentes: El sistema de control interno consiste en cinco
componentes interrelacionados:
(1)ambiente de control,
(2)evaluación de riesgos,
(3)actividades de control,
(4)información y comunicación, y
(5)monitoreo.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
El ambiente de control provee la base para los otros
componentes. El mismo abarca factores tales como filosofía y
estilo operativo de la gerencia, políticas y prácticas de recursos
humanos, la integridad y valores éticos de los empleados, la
estructura organizacional, y la atención y dirección del directorio.
El informe COSO brinda una guía para evaluar cada uno de estos
factores. Por ejemplo, la filosofía gerencial y el estilo operativo
pueden ser evaluados examinando la naturaleza de los riesgos del
negocio que acepta la gerencia, la frecuencia de su interacción
con los subordinados, y su actitud hacia los informes financieros.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
La evaluación de riesgo consiste en la identificación del riesgo
y el análisis del riesgo. La identificación del riesgo incluye
examinar factores externos tales como los desarrollos
tecnológicos, la competencia y los cambios económicos, y factores
internos tales como calidad del personal, la naturaleza de las
actividades de la entidad, y las características de procesamiento
del sistema de información. El análisis de riesgo involucra estimar
la significación del riesgo, evaluar la probabilidad de que ocurra y
considerar cómo administrarlo.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
Las actividades de control consisten en las políticas y
procedimientos que aseguran que los empleados lleven a cabo las
directivas de la gerencia. Las actividades de control incluyen
revisiones del sistema de control, los controles físicos, la
segregación de tareas y los controles de los sistemas de
información. Los controles sobre los sistemas de información
incluyen los controles generales y los controles de las
aplicaciones. Controles generales son aquellos que cubren el
acceso, el desarrollo de software y sistemas.
Controles de las aplicaciones son aquellos que previenen que
ingresen errores en el sistema o detectan y corrigen errores
presentes en el sistema.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
La entidad obtiene información pertinente y la comunica a
través de la organización. El sistema de información identifica,
captura y reporta información financiera y operativa que es útil
para controlar las actividades de la organización. Dentro de la
organización, el personal debe recibir el mensaje que ellos deben
comprender sus roles en el sistema de control interno, tomar
seriamente sus responsabilidades por el control interno, y, si es
necesario, reportar problemas a los altos niveles de gerencia.
Fuera de la entidad, los individuos y organizaciones que
suministran o reciben bienes o servicios deben recibir el mensaje
de que la entidad no tolerará acciones impropias.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
La gerencia monitorea el sistema de control revisando el
output generado por las actividades regulares de control y
realizando evaluaciones especiales.
Las actividades regulares de control incluyen comparar los activos
físicos con los datos registrados, seminarios de entrenamiento, y
exámenes realizados por auditores internos y externos. Las
evaluaciones especiales pueden ser de distinto alcance y
frecuencia. Las deficiencias encontradas durante las actividades
regulares de control son normalmente reportadas al supervisor a
cargo; las deficiencias detectadas durante evaluaciones especiales
son normalmente comunicadas a los niveles altos de la
organización.
LOGO
Normas de control interno informático
COSO: Comittee of Sponsoring Organizations
Beneficios de realizar Auditorías basadas en el Informe COSO • Eficacia: la prueba de los componentes del control interno COSO proporcionan un fundamento sólido para determinar el grado de seguridad brindado por los controles. • Eficiencia: enfocar un único objetivo COSO, evita una costosa dispersión en el alcance. • Capacidad de ser comparado: utilizar un marco común de auditoría y un sistema de clasificación, permite que se pueda comparar a los controles de diferentes áreas. • Comunicación: integrar los criterios del informe COSO, a las discusiones con los responsables mejora la comprensión de los conceptos de control. • Comité de Auditoría: en aquellas entidades con Comité de Auditoría, informar en términos del informe COSO. Ayuda a representar las fortalezas y debilidades del sistema de control interno.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
La ISO17799 considera la organización como una totalidad y tiene en
consideración todos los posibles aspectos que se pueden ver afectados
ante los posibles incidentes que puedan producirse.
Esta norma pretende aportar las bases para tener en consideración todos
y cada uno de los aspectos que puede suponer un incidente en las
actividades de negocio de la organización.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
La ISO 17799, es una guía de recomendaciones de
buenas prácticas para la gestión de seguridad informática. Cubre no
sólo la problemática de la IT sino que hace una aproximación
holística a la seguridad de la información abarcando todas las
funcionalidades de una organización en cuanto a que puedan afectar
la seguridad informática. Para ello la norma define para su selección
un total de 36 objetivos de control con 127 controles generales de
seguridad estructurados en 10 áreas de control que incluyen
cuestiones referidas al personal, ambientales, operaciones,
desarrollo y mantenimiento de sistemas, continuidad de negocios,
cumplimiento, etc.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
La ISO 17799 está redactada bajo la forma verbal "should", un término
presente en otras normas ISO por convención, expresa una forma
condicional a modo de recomendación y no de imposición. Es así como la
norma hace precisamente recomendaciones y no
establece requisitos cuyo cumplimiento pudieren certificarse.
Lamentablemente, errores en algunas traducciones han traído confusión
en el verdadero alcance de esta norma.
Ocurre que la ISO 17799 deriva de la norma británica BS 7799-1 y en
realidad prácticamente es igual a la misma.
LOGO
Normas de control interno informático
ISO 17799: Code of practice information security
management.
Esta norma se estructura en 10 dominios en los que cada uno de ellos
hace referencia a un aspecto de la seguridad de la organización:
1. Política de seguridad
2. Aspectos organizativos para la seguridad
3. Clasificación y control de activos
4. Seguridad del personal
5. Seguridad física y del entorno
6. Gestión de comunicaciones y operaciones
7. Control de accesos
8. Desarrollo y mantenimiento de sistemas
9. Gestión de continuidad del negocio
10.Conformidad legal
LOGO
Normas de control interno informático
ACL: Access Control List
Es una tabla que le dice a un sistema los derechos de
acceso que cada usuario posee para un objeto
determinado, como directorios, ficheros, puertos, etc. Técnicas
para limitar el acceso a los recursos según la información de
autenticidad y las normas de acceso.
LOGO
Normas de control interno informático
ACL: Access Control List
ACL es la herramienta de software de auditoria preferida por la comunidad de auditoria interna internacional, para la extracción del análisis de datos, la detección de fraudes y el control continuo. Al proporcionar una exclusiva y eficiente combinación de acceso a los datos, análisis y elaboración integrada de reportes, ACL permite transformar los datos en información significativa. Independientemente del origen de los datos (bases de datos planas o relacionales, hojas de calculo, archivos de reportes), ACL lee y compara los datos y permite que los datos de origen permanezcan intactos, lo que ofrece una calidad e integridad total. ACL te permite captar de inmediato la información sobre las transacciones fundamentales para la organización
LOGO
Normas de control interno informático
ACL: Access Control List
Con ACL se puede:
1 - Efectuar análisis mas veloces, independientemente del
departamento de tecnología de la información, con una interfaz
de usuario intuitiva, menos desplegables, barras de tareas y
comandos tipo "apuntar y hacer clic“.
2 - Aprovechar la capacidad de tamaño ilimitado de archivo y la
velocidad sin precedentes de ACL para procesar rápidamente
millones de transacciones, asegurar una cobertura al 100 por
ciento y una confianza absoluta en los resultados.
LOGO
Normas de control interno informático
ACL: Access Control List
Con ACL se puede:
3 - Producir informes claros. Diseñar, generar una vista previa y
modificar los resultados en una forma fácil, en pantalla, con
formato tipo "arrastrar y soltar“.
4 - Identificar tendencias, determinar excepciones y destacar
áreas potenciales de interés.
5 - Ubicar errores y fraudes potenciales al comparar y analizar
los archivos, de acuerdo con el criterio del usuario final.
LOGO
Normas de control interno informático
ACL: Access Control List
Con ACL se puede:
6 - Identificar temas de control y asegurar el cumplimiento de las
normas
7 - En una forma solida pero sencilla, ACL extiende la
profundidad y el espacio para el análisis, aumenta la
productividad personal y brinda confianza en los resultados.
Además, no se necesita ser un especialista técnico para usarlo.
Con ACL, las organizaciones pueden lograr una rápida
recuperación de la inversión, reducir el riesgo, asegurar la
conformidad con las normas, minimizar las perdidas y mejorar la
rentabilidad.
LOGO
Normas de control interno informático
ERM: Enterprise Risk Management
La gestión de Riesgo empresarial (ERM) es un proceso
estructurado, consistente y continuo implementado a través de
toda la organización para identificar, evaluar, medir y reportar
amenazas y oportunidades que afectan el poder alcanzar el logro
de sus objetivos.
LOGO
Normas de control interno informático
ERM: Enterprise Risk Management
Responsabilidad por el ERM
La junta posee la responsabilidad de asegurarse que los riesgos
son gestionados. En la práctica, la junta delega en el equipo
gerencial la operación del marco de gestión de riesgo, quienes
son los responsables de realizar las actividades debajo. Podría
existir una función separada que coordine y maneje estas
actividades; y aplique destrezas y conocimientos especiales.
Todos en la organización juegan un rol en el aseguramiento de
éxito de la gestión de riesgo, pero la responsabilidad principal de
la identificación y manejo de éstos recae sobre la dirección o
gerencia.
LOGO
Normas de control interno informático
ERM: Enterprise Risk Management
Actividades incluidas en el ERM
Articulación y comunicación de los objetivos de la organización; Determinación apetito de riesgo de la organización; Establecimiento de un ambiente interno apropiado, incluyendo un marco de gestión de riesgo; Identificación de amenazas potenciales; Evaluación de riesgo, por ejemplo: impacto y posibilidad de ocurrencia de las amenazas; Selección e implementación respuestas a riesgos; Fijar controles y otras actividades de respuestas; Comunicación de información sobre riesgos de manera consistente en todos los niveles de la organización; Centralizar monitoreo y control de los procesos de gestión de riesgo y de los resultados; y Proveer aseguramiento sobre la eficiencia con la cual los riesgos están siendo gestionados.
LOGO
Normas de control interno informático
Rol de la auditoría interna en el ERM
LOGO
Normas de control interno informático
Ventajas de ERM
La ERM puede realizar una gran contribución para ayudar a la organización a gestionar los riesgos para el logro de sus objetivos. Las ventajas incluyen: Mayor probabilidad de lograr dichos objetivos Información consolidada de riesgos dispares en el ámbito del consejo de administración Mayor comprensión de los riesgos clave y sus implicancias más amplias Identificación e intercambio de conocimientos sobre riesgos de negocio cruzados Mayor atención de la dirección a los problemas realmente importantes Menos sorpresas o crisis Mayor atención internamente para hacer lo correcto de la manera correcta Mayor probabilidad de que se logren las iniciativas de cambio Capacidad para asumir mayores riesgos en pos de mayores recompensas Asunción de riesgos y toma de decisiones más informadas