Control Interno y Auditoria Informtica 48544977

Descargar como pdf
Descargar como pdf
Está en la página 1de 17
CONTROL INTERNO Y AUDITORIA INFORMATICA Ubaidin Gémez Mat. 2003-498 Pedro Lantigua Mat. 2008-145 Edwin Matos Mat. 2010-1649 INTRODUCCION Basicamente todos los cambios que se realizan en una organizacién someten @ una gran tension a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todas los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de Ia noche a la majiana; para ello se empieza, ya bien sea por Greas o departamentos o mejor dicho se empieza a trabajar intermamente. La mayoria de las organizaciones han presentado varias iniciativas en tal sentido tales como: La reestructuracién de los procesos empresariales. La gestién de la calidad total. * Elredimensionamiento por reduccién y/o por aumento de tamajio hasta el nivel correcto, La contrataci6n externa. La descentralizacion. LAS FUNCIONES DEL CONTROL INTERNO Y AUDITORIA INFORMATICA El Control Interno Informdatico o Cll controla diariamente que todas las actividades de sistemas de informacién sean realizadas cumpliendo los procedimientos, estandares y normas fijados por la direccién de la organizacién y/o la direccién informatica, asi como los requerimientos legales. La funcién del Cll es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vdlidas. El Cll suele ser un érgano stoff de la direccién del departamento de informatica y esta dotado de las personas y recursos materiales proporcionados a los objetives que se le encomienden. ‘Como principales objetivos podemos indicar los siguientes: > Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijades, evaluar su bondad y asegurarse del cumplimiento de las normas legales. > Asesorar sobre €| conocimiento de las normas. Colaborar y apoyar el trabajo de auditeria informatica, asi como de las auditorias externas al grupo. + Definir, implaniar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informatico, La auditoria informatica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatico salvaguarda los activos, mai ne Ia integridad de los datos, lleva a cabo eficazmente los objetivos de la organizacion y utiliza eficientemente los recursos. CONTROL INTERNO Y AUDITORIA INFORMATICA: CAMPOS ANALOGOS La evolucion de ambas funciones ha sido espectacular en Ia Ultima déecada. Muchos de los funcionaries de controles internos informaticos, fueron auditores. Han recibido formacién en seguridad informatica tras su paso por la formaci6n en auditoria. Hay una similitud de los objetivos profesionales de control y auditoria, campos andlogos que propician una transicién natural. ‘SIMILITUDES: DIFERENCIAS Cena ed Conocimientos especializados en tecnologias de informacién. Verificaci6én del cumplimiento de controles internos, normativa y procedimientos establecides por la direccién informatica y la direccién general para los sistemas de infermacién, Andlisis de los controles en el diaa Andlisis de un momento informatico dia determinado Informa a la direccién del Informa a la direcci6n general dela departamento de informatica ‘erganizacion Sdlo personal interno Personal interno y/o extemo El enlace de sus funciones Tiene cobertura sobre todos los Gnicamente sobre el componentes de los sistemas de departamento de informatica informacion de la erganizacion EL AUDITOR INFORMATICO (Al) Evalja y comprueba en determinados momentos, les controles y procedimientos informaticos mas complejos, desarrollando y aplicando técnicas mecanizadas de auditoria, incluyendo el uso de software. En muchos casos ya no es posible verificar manualmente los procedimientos informaticos que resumen, calculan y clasifican datos, por lo que deberd emplear software de auditoria y otras técnicas asistidas por ordenador. Es responsable de revisar e informar a la Direccién de la Empresa, sobre el disenio y funcionamiento de los controles implantades y sobre Ia fiabilidad de la informacién suministrada. FUNCIONES PRINCIPALES DEL Al 1. Participar en las revisiones durante y después del disefio. realizacién, implantacién y explotacién de aplicaciones informaticas, asi como en las fases andlogas de realizacion de cambios importantes. 2. Revisar y juzgar controles implantados en los sistemas informaticos para verificar su adecuacién a las drdenes e instrucciones de la Direccién, requisitos legales, protecci6n de confidencialidad y cobertura ante errores y fraudes. 3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacién. SISTEMA DE CONTROL INTERNO INFORMATICO Definicién: Se puede definir el control interno como “cualquier actividad e accién realizada" manual y/o automaticamente para prevenir, coregir erores o imegularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetives. Los controles cuando se disefien, desarrollen e implanten han de ser al menos completos, simples, fiable, revisables, adecuados y rentables. Los controles internos que se utilizan en el entorno informatico ‘contingan evolucionando hoy en dia a medida que los sistemas informaticos se vuelven complejos. Clasificacién: *Controles Preventivos.- Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. “Controles de Deteccién.- Cuando fallan los preventivos, para trator de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores U omisiones, etc. *Controles Correctivos.- Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacién de un fichero dafhtado a partir de las copias de seguridad. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Criterio Basico: + Los controles pueden implantarse a varios niveles. + La evalyacién de controles de tecnologia de Ia Informacién exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuracién del sistema, para poder identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, asi como para identificar los posibles riesgos. Conocer la Configuracién del Sistema Para llegar a conocer la configuracién del sistema es necesario documentar los detalles de la red, asi como los distintos niveles de control y elementos relacionados: + Entorno de Red.- Debemos tener una descripcién de la configuracién de hardware de comunicaciones, descripcién del software que se utiliza como acceso a las telecomunicaciones, control de red, situacién general de los ordenadores de entornos de base que soportan las aplicaciones criticas y consideraciones relativas a la seguridad de la red. * Configuracién del Ordenador Base.- Configuracién del soporte fisico, entomo del sistema operative, software con particiones, entomos (pruebas y real), bibliotecas de programas y conjunte datos. * Entorno de Aplicaciones.- Procesos de fransacciones, sistemas de gestién de base de datos y entornos de procesos disiribuidos. + Productos y Herramientas.- Software para desarrollo de programas, software de gestién de bibliotecas y para operaciones automaticas. + Seguridad del Ordenador Base.- Identificar y verificar Usuarios, control de acceso, registro € informacién, integridad del sistema, controles de supervision, etc. PARA LA IMPLANTACION DE UN SISTEMA DE CONTROL INTERNO INFORMATICO DEBE DEFINIRSE + Gestién de sistemas de Informacién.- Politica, pautas y normas técnicas que sirvan para el diseho y la implantacién de los sistemas de informaci6n y de los centroles correspondiente. Administracién de Sistemas.- Coniroles sobre Ig actividad de los centros de tos y giras funciones de apoyo al sistema, incluyendo la administracién le las redes. Seguridad.- Incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestién de Cambio.- Separacion de las pruebas y la produccion a nivel de software y controles de procedimientos para la migracién de pregramas software aprobades y probados. _ Preguntas?

También podría gustarte