CONTROL INTERNO Y
AUDITORIA INFORMATICA
Ubaidin Gémez Mat. 2003-498
Pedro Lantigua Mat. 2008-145
Edwin Matos Mat. 2010-1649INTRODUCCION
Basicamente todos los cambios que se realizan en una organizacién someten
@ una gran tension a los controles internos existentes.
Cuando un auditor profesional se somete a auditar una empresa, lo primero
que se le viene a la cabeza es mejorar todas los procesos que se llevan en la
misma para buscar la eficiencia total. Este trabajo no se hace de Ia noche a
la majiana; para ello se empieza, ya bien sea por Greas o departamentos o
mejor dicho se empieza a trabajar intermamente.La mayoria de las organizaciones han presentado varias iniciativas en tal
sentido tales como:
La reestructuracién de los procesos empresariales.
La gestién de la calidad total.
* Elredimensionamiento por reduccién y/o por aumento de tamajio hasta el
nivel correcto,
La contrataci6n externa.
La descentralizacion.LAS FUNCIONES DEL CONTROL
INTERNO Y AUDITORIA INFORMATICA
El Control Interno Informdatico o Cll controla diariamente que todas las
actividades de sistemas de informacién sean realizadas cumpliendo los
procedimientos, estandares y normas fijados por la direccién de la
organizacién y/o la direccién informatica, asi como los requerimientos legales.
La funcién del Cll es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y vdlidas.
El Cll suele ser un érgano stoff de la direccién del departamento de
informatica y esta dotado de las personas y recursos materiales
proporcionados a los objetives que se le encomienden.‘Como principales objetivos podemos indicar los siguientes:
> Controlar que todas las actividades se realicen cumpliendo los procedimientos y
normas fijades, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
> Asesorar sobre €| conocimiento de las normas.
Colaborar y apoyar el trabajo de auditeria informatica, asi como de las auditorias
externas al grupo.
+ Definir, implaniar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informatico,
La auditoria informatica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatico salvaguarda los activos, mai ne Ia integridad
de los datos, lleva a cabo eficazmente los objetivos de la organizacion y utiliza
eficientemente los recursos.CONTROL INTERNO Y AUDITORIA
INFORMATICA: CAMPOS ANALOGOS
La evolucion de ambas funciones ha sido espectacular en Ia Ultima déecada.
Muchos de los funcionaries de controles internos informaticos, fueron
auditores. Han recibido formacién en seguridad informatica tras su paso por
la formaci6n en auditoria.
Hay una similitud de los objetivos profesionales de control y auditoria, campos
andlogos que propician una transicién natural.‘SIMILITUDES:
DIFERENCIAS
Cena ed
Conocimientos especializados en tecnologias de informacién.
Verificaci6én del cumplimiento de controles internos, normativa y
procedimientos establecides por la direccién informatica y la direccién
general para los sistemas de infermacién,
Andlisis de los controles en el diaa Andlisis de un momento informatico
dia determinado
Informa a la direccién del Informa a la direcci6n general dela
departamento de informatica ‘erganizacion
Sdlo personal interno Personal interno y/o extemo
El enlace de sus funciones Tiene cobertura sobre todos los
Gnicamente sobre el componentes de los sistemas de
departamento de informatica informacion de la erganizacionEL AUDITOR INFORMATICO (Al)
Evalja y comprueba en determinados momentos, les controles y
procedimientos informaticos mas complejos, desarrollando y aplicando
técnicas mecanizadas de auditoria, incluyendo el uso de software.
En muchos casos ya no es posible verificar manualmente los procedimientos
informaticos que resumen, calculan y clasifican datos, por lo que deberd
emplear software de auditoria y otras técnicas asistidas por ordenador.
Es responsable de revisar e informar a la Direccién de la Empresa, sobre el
disenio y funcionamiento de los controles implantades y sobre Ia fiabilidad de
la informacién suministrada.FUNCIONES PRINCIPALES DEL Al
1. Participar en las revisiones durante y después del disefio. realizacién,
implantacién y explotacién de aplicaciones informaticas, asi como en las
fases andlogas de realizacion de cambios importantes.
2. Revisar y juzgar controles implantados en los sistemas informaticos para
verificar su adecuacién a las drdenes e instrucciones de la Direccién,
requisitos legales, protecci6n de confidencialidad y cobertura ante errores
y fraudes.
3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipos e informacién.SISTEMA DE CONTROL INTERNO INFORMATICO
Definicién:
Se puede definir el control interno como “cualquier actividad e accién
realizada" manual y/o automaticamente para prevenir, coregir erores o
imegularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetives.
Los controles cuando se disefien, desarrollen e implanten han de ser al menos
completos, simples, fiable, revisables, adecuados y rentables.
Los controles internos que se utilizan en el entorno informatico ‘contingan
evolucionando hoy en dia a medida que los sistemas informaticos se vuelven
complejos.Clasificacién:
*Controles Preventivos.- Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
“Controles de Deteccién.- Cuando fallan los preventivos, para trator de
conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la actividad diaria para detectar
errores U omisiones, etc.
*Controles Correctivos.- Facilitan la vuelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacién de un fichero dafhtado
a partir de las copias de seguridad.IMPLANTACION DE UN SISTEMA DE
CONTROLES INTERNOS INFORMATICOS
Criterio Basico:
+ Los controles pueden implantarse a varios niveles.
+ La evalyacién de controles de tecnologia de Ia Informacién exige analizar
diversos elementos interdependientes. Por ello es importante conocer bien
la configuracién del sistema, para poder identificar los elementos,
productos y herramientas que existen para saber donde pueden
implantarse los controles, asi como para identificar los posibles riesgos.Conocer la Configuracién del Sistema
Para llegar a conocer la configuracién del sistema es necesario documentar
los detalles de la red, asi como los distintos niveles de control y elementos
relacionados:
+ Entorno de Red.- Debemos tener una descripcién de la configuracién de
hardware de comunicaciones, descripcién del software que se utiliza como
acceso a las telecomunicaciones, control de red, situacién general de los
ordenadores de entornos de base que soportan las aplicaciones criticas y
consideraciones relativas a la seguridad de la red.
* Configuracién del Ordenador Base.- Configuracién del soporte fisico,
entomo del sistema operative, software con particiones, entomos (pruebas y
real), bibliotecas de programas y conjunte datos.* Entorno de Aplicaciones.- Procesos de fransacciones, sistemas de gestién
de base de datos y entornos de procesos disiribuidos.
+ Productos y Herramientas.- Software para desarrollo de programas, software
de gestién de bibliotecas y para operaciones automaticas.
+ Seguridad del Ordenador Base.- Identificar y verificar Usuarios, control de
acceso, registro € informacién, integridad del sistema, controles de
supervision, etc.PARA LA IMPLANTACION DE UN SISTEMA DE
CONTROL INTERNO INFORMATICO DEBE DEFINIRSE
+ Gestién de sistemas de Informacién.- Politica, pautas y normas técnicas que
sirvan para el diseho y la implantacién de los sistemas de informaci6n y de
los centroles correspondiente.
Administracién de Sistemas.- Coniroles sobre Ig actividad de los centros de
tos y giras funciones de apoyo al sistema, incluyendo la administracién
le las redes.
Seguridad.- Incluye las tres clases de controles fundamentales implantados
en el software del sistema, integridad del sistema, confidencialidad (control
de acceso) y disponibilidad.
Gestién de Cambio.- Separacion de las pruebas y la produccion a nivel de
software y controles de procedimientos para la migracién de pregramas
software aprobades y probados._
Preguntas?