Definiciones

“Es la revisión de la propia informática y de su entorno“

Incluye actividades como:

- Análisis de Riesgos
- Planes de contingencia
- Desarrollo de aplicaciones
- Asesoramiento en paquetes de seguridad.
- Revisión de controles y cumplimiento de los mismos, así como de las
normas legales aplicables
- Evaluación de la gestión de los recursos informáticos
Definiciones

El cometido de la auditoría informática se puede dividir en:

- Un estudio del sistema y un análisis de los controles organizativos y
operativos de] departamento de informática
- Una investigación y análisis de los sistemas de aplicación que se estén
desarrollando o que ya estén implantado
- La realización de auditorías de datos reales y de resultados de los sistemas
que se estén utilizando
- La realización de auditorías de eficiencia y eficacia
 Definiciones

"Un conjunto de procedimientos y técnicas para evaluar y controlar total o

parcialmente un Sistema Informático, con el fin de proteger sus activos y
recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo
con la normativa informática y general existente en cada empresa y para
conseguir la eficacia exigida en el marco de la organización correspondiente".
Definiciones

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un

sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos
Definiciones

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas
al Grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los

grados adecuados del servicio informática
Definiciones

Controlar diariamente que todas las actividades de sistemas de

información sean realizadas cumpliendo lo procedimientos ,estándares
y normas fijados por la Dirección de la Organización y/o la Dirección
de Informática, así como los requerimientos legales.
Definiciones
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's, etc.)
y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes
actividades operativas sobre:
• El cumplimiento de procedimiento, normas y controles dictados. Merece resaltarse la vigilancia sobre el control de cambios y
versiones del software.
• Controles sobre la producción diaria.
• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informática.
• Controles en las redes de comunicaciones
• Controles sobre el software de base
• Controles en los sistemas microinformáticos
• La seguridad informática (su responsabilidad puede estar asignada a control interno o bien puede asignársele la responsabilidad de
control dual de la misma cuando está encargada a otro órgano):
- Usuarios, responsables y perfiles de uso de archivos y bases de datos.
- Normas de seguridad.
- Control de información clasificada.
- Control dual de la seguridad informática
• Licencias y relaciones contractuales con terceros.
• Asesorar y transmitir cultura sobre el riesgo informático.
Definicione
s Se pueden establecer tres grupos de funciones a realizar por un auditor informático:

• Participar en las revisiones durante y después del diseño, realización, implantación y

explotación de aplicaciones informativas, así como en las fases análogas de realización de
cambios importantes.
• Revisar y juzgar los controles implantados en los sistemas informativos para verificar su
adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes
• Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e
información.
Controles preventivos: para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto
antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
registro de la actividad diaria para detectar errores u omisiones, etc.

Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido

incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las
copias de seguridad.
 Implantación
Se debe conocer bien la configuración del sistema

Entorno de red: esquema de la red, descripción de la configuración hardware

de comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los computadores de
entornos de base que soportan aplicaciones críticas y consideraciones relativas
a la seguridad de la red.

Configuración del computador base: configuración del soporte físico, entorno del
sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de
programas y conjunto de datos.
 Implantación

Entorno de aplicaciones: procesos de transacciones, sistemas de

gestión de bases de datos y entornos de procesos distribuidos

Seguridad del computador Productos y herramientas: software para

base: identificar y verificar
usuarios, control de acceso,
registro e información,
integridad del sistema,
controles de supervisión, etc.
desarrollo de programas, software de gestión
de bibliotecas y para operaciones
automáticas.
Gestión de sistemas de información:
políticas, pautas y normas técnicas que
sirvan de base para el diseño y la
implantación de los sistemas de
información y de los controles
correspondientes.
Implantación

Administración de sistemas: controles sobre la' actividad de los centros. de

datos y otras funciones de apoyo al sistema, incluyendo la administración de
las redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en

el software del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.

Gestión del cambio: separación de las pruebas y la producción a nivel de

software y controles de procedimientos para la migración de programas
software aprobados y probados
CONTROLES INTERNOS
CONTROLES INTERNOS Controles Generales Organizativos

Algunos controles que Control Interno Informático y Auditoría Informática deberían verificar para
determinar su cumplimiento y validez:

• Políticas: deberán servir de base para la planificación, control y evaluación por la Dirección de las
actividades del Departamento de Informática

• Planificación:
- Plan Estratégico de Información donde se definen los procesos corporativos y se considera el uso de
las diversas tecnologías de información así como las amenazas y oportunidades de su uso o de su
ausencia.
- Plan Informático determina los caminos precisos para cubrir las necesidades de la Empresa
plasmándolas en proyectos informáticos
- Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y
disponibilidad de la información
- Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos.
• Estándares: que regulen la adquisición de recursos, el diseño, desarrollo y modificación y explotación
de sistemas.
CONTROLES INTERNOS
Controles Generales Organizativos

• Procedimientos: que describan la forma y las responsabilidades de ejecutoria para regular las
relaciones entre el Departamento de Informática y los departamentos usuarios

• Asegurar que existe una política de clasificación de la información para saber dentro de la
Organización qué personas están autorizadas y a qué información.

• Descripción de las funciones y responsabilidades dentro del Departamento con una clara separación
de las mismas.

• Asegurar que la Dirección revisa todos los informes de control y resuelve las excepciones que
ocurran.
CONTROLES INTERNOS Controles de desarrollo, adquisición y
mantenimiento de sistemas de información

Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad
de los datos. protección de los recursos y cumplimiento con las leyes y regulaciones.
• Metodología del ciclo de vida del desarrollo de sistemas: su empleo podrá garantizar a
la alta Dirección que se alcanzarán los objetivos definidos para el sistema.
Éstos son algunos controles que deben existir en la metodología:

Las especificaciones del nuevo sistema deben ser definidas por los usuarios y
quedar escritas y aprobadas antes de que comience el proceso de desarrollo.

Plan de validación, verificación y pruebas.

Deberán prepararse manuales de operación y mantenimiento como parte de todo

proyecto de desarrollo o modificación de sistemas de información, así como
manuales de usuario.
CONTROL INTERNO INFORMÁTICO
OBJETIVOS ESPECÍFICOS

• Establecer como prioridad la seguridad y protección de la información, del sistema computacional

y de los recursos informáticos de la empresa.

• Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su procesamiento en

el sistema y la emisión de informes en la empresa.

• Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente

desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer
los requerimientos de sistemas en la empresa.

• Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de
sistematización de la empresa.

• Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas

computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento
de información en la empresa.
CONTROL INTERNO INFORMÁTICO
EN LAS ÁREAS DE SISTEMAS

• Controles internos sobre:

• La organización del área de informática.
• El análisis, desarrollo e implementación de sistemas.
• La operación del sistema.
• Los procedimientos de entrada de datos, el procesamiento
de información y la emisión de resultados.
• La seguridad del área de sistemas.
CONTROLES INTERNOS SOBRE LA ORGANIZACIÓN
DEL ÁREA DE INFORMÁTICA

• Dirección
• División del trabajo
• Asignación de responsabilidad y autoridad
• Establecimiento de estándares y métodos
• Perfiles de puestos
CONTROLES INTERNOS SOBRE EL ANÁLISIS, DESARROLLO
E IMPLEMENTACIÓN DE SISTEMAS

• Estandarización de metodologías para el desarrollo de proyectos

• Asegurar que el beneficio de los sistemas sea el óptimo
• Elaborar estudios de factibilidad del sistema
• Garantizar la eficiencia y eficacia en el análisis y diseño de
sistemas
• Vigilar la efectividad y eficiencia en la implementación y
mantenimiento del sistema
• Optimizar el uso del sistema por medio de su documentación
CONTROLES INTERNOS
SOBRE LA OPERACIÓN DEL SISTEMA

• Prevenir y corregir los errores de operación

• Prevenir y evitar la manipulación fraudulenta de la
información
• Implementar y mantener la seguridad en la operación
• Mantener la confiabilidad, oportunidad, veracidad y
suficiencia en el procesamiento de la información de la
institución
 CONTROLES INTERNOS
SOBRE LOS PROCEDIMIENTOS DE ENTRADA DE DATOS, EL PROCESAMIENTO DE
INFORMACIÓN Y LA EMISIÓN DE RESULTADOS

• Verificar la existencia y funcionamiento de los procedimientos de

captura de datos
• Comprobar que todos los datos sean debidamente procesados
• Verificar la confiabilidad, veracidad y exactitud del procesamiento de
datos
• Comprobar la oportunidad, confiabilidad y veracidad en la emisión de
los resultados del procesamiento de información
 CONTROLES INTERNOS
SOBRE LA SEGURIDAD DEL ÁREA DE SISTEMAS

• Controles para prevenir y evitar las amenazas, riesgos y

contingencias que inciden en las áreas de sistematización

• Controles sobre la seguridad:

 física del área de sistemas
 lógica de los sistemas
 de las bases de datos
 la operación de los sistemas computacionales
 del personal de informática
 de la telecomunicación de datos
 de redes y sistemas multiusuarios.