ASSI Sesión T2 Conceptos, Delito Informático, Control Interno y Auditoría Interna

7/31/2019 ASSI Sesin T2 Conceptos, Delito Informtico, Control Interno y Auditora Interna

1/6

Universidad Nacional de Trujillo Facultad de Ingeniera - Ingeniera de Sistemas Auditora de Sistemas

Auditora de Sistemas - Pgina 1

Auditora de SistemasUniversidad Nacional de Trujillo

Conceptos, Delito Informtico,Control Interno y Auditora

Jaime E. Daz SnchezIng. Sistemas C.I.P. 73304

[email protected]


Agenda

2

Introduccin Riesgo

Amenazas

Vulnerabilidades

Impacto tecnolgico

Delitos Informticos

El Control Interno y la Auditoria de Sistemas.

Control Informtico


Riesgo Informtico

La Organizacin Internacional de Normalizacin (ISO )define riesgo tecnolgico (Guas para la Gestin de laSeguridad) como:

La probabilidad de que una amenaza se materialice deacuerdo al nivel de vulnerabilidad existente de un activo,generando un impacto especfico, el cual puede estarrepresentado por prdidas y daos.

3


Amenazas

Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible : fallas, ingresos noautorizados a las reas de computo, virus, uso

inadecuado de activos informticos, desastresambientales (terremotos, inundaciones), incendios,accesos ilegales a los sistemas, fallas elctricas.

Pueden ser de tipo lgico o fsico.

4


Vulnerabilidad

Condiciones inherentes a los activos o presentes en suentorno que facilitan que las amenazas se materialicen.

Se manifiestan como debilidades o carencias: Falta de conocimiento del usuario,

Tecnologa inadecuada,

Fallas en la transmisin,

Inexistencia de antivirus,

Otros.

5


Impacto

Consecuencias de la ocurrencia de las distintas amenazas : financieras o no financieras.

Perdida de dinero, deterioro de la imagen de la empresa,reduccin de eficiencia, fallas operativas a corto o largoplazo, prdida de vidas humanas, etc.

6


2/6




Control

Cualquier actividad o accin realizada manual y/oautomticamente para prevenir, corregir errores oirregularidades que puedan afectar al funcionamiento deun sistema para conseguir sus objetivos.

7


Control

COSO define: las polticas, procedimientos, prcticas yestructuras organizacionales diseadas para garantizarrazonablemente que los objetivos del negocio sernalcanzados y que eventos no deseables sern prevenidoso detectados y corregidos .

COSO: Committee of Sponsoring Organizations of the Treadway Commission (Comit deOrganizaciones Patrocinadoras de la Comisin Treadway)

8


reas de Aplicacin de los Controles

Gestin financiera, Contabilidad, Logstica,

Personal, Obras, Tecnologa de informacin, Valores ticos, entre otras.

9


Necesidad de Control

Cmo hacer para lograr tener bajo control laTecnologa de Informacin de manera tal que estaentregue la informacin segn las necesidades?

10


Necesidad de Control en TI

La sociedad se ha globalizado en el ciberespacio para elintercambio de informacin sin restricciones.

Las organizaciones se han percatado de laimportancia dela Informacin y TI relacionada.

Los informticos se preocupan por supropio gobierno dela TI.

Existe un crecientedesarrollo y utilizacin de Tecnologasde Informacin.

11


Caractersticas de los Controles

Completos.

Simples.

Fiables.

Revisables.

Adecuados.

Rentables.

12


3/6




Controles preventivos: para tratar de evitar el hecho.Ejemplo: un software que impida los accesos noautorizados.

Controles detectivos: se realizan para tratar de conocercuanto antes el evento. Ejemplo: Registro de intentos deacceso no autorizados, registro de errores diarios, etc.

Controles correctivos: facilitan la vuelta a la normalidadcuando se han producido incidencias. Ejemplo:Recuperacin de un archivo daado a partir de las copiasde seguridad.

Clasificacin

13


Razones de los Controles

Efectividad. Eficiencia.

Confidencialidad.

Disponibilidad.

Integridad.

Cumplimiento.

Confiabilidad.

14


Control Interno

Es un proceso llevado a cabo por las personas de unaorganizacin, diseado con el fin deproporcionar un grado de seguridad "razonable" para la consecucin de sus

objetivos, dentro de las siguientes categoras: Eficiencia y eficacia de las operaciones. Fiabilidad de la informacin financiera. Cumplimiento de las leyes y normas aplicables

15


Control Interno

Constituyen lineamientos, criterios, mtodos ydisposiciones para laaplicacin y regulacin del controles en las principales reas de la actividad administrativa u

operativa de las organizaciones.

16


Componentes del Control Interno

Entorno de control: el personal es el ncleo del negocio,como as tambin el entorno donde trabaja.

Evaluacin de riesgos: toda organizacin debe conocerlos riesgos a los que enfrenta, estableciendo mecanismospara identificarlos, analizarlos y tratarlos.

Actividades de control: establecimiento y ejecucin de laspolticas y procedimientos que sirvan para alcanzar losobjetivos de la organizacin.

17


Componentes del Control Interno

Informacin y comunicacin: los sistemas de informacin ycomunicacin permiten que el personal capte eintercambie la informacin requerida para desarrollar,gestionar y controlar sus operaciones.

Supervisin: Para que un sistema reaccione gil yflexiblemente de acuerdo con las circunstancias, deber sersupervisado.

18


4/6




Relacin entre los Objetivos y los Componentes

19


Seguridad razonable El Control Interno por muy bien diseado e implementado

que est, slo puede brindar a la direccin ungrado razonable de seguridad acerca de la consecucin de losobjetivos de la organizacin, esto se debe a que losobjetivos se ven afectados por limitaciones que soninherente al Sistema de Control Interno, pudiendo ser: Decisiones errneas. Problemas en el funcionamiento del sistema como consecuencia

de fallas o intenciones humanas. Colusin entre 2 o ms empleados que permita burlar los controles

establecidos.

20


Auditora Interna

Constituye un proceso sistemtico, independiente ydocumentado para obtener informacin pertinente yverificable acerca decmo en la organizacin se cumple con

un conjunto de polticas, procedimientos o requisitosutilizados como referencia.

21


Aspectos de una Auditora Interna

Planificar un programa de auditoras tomando enconsideracin el estado y la importancia de los procesos ylas reas a auditar, as como los resultados de auditoras

previas. Definir loscriterios de auditora , el alcance de la misma, su

frecuencia y lametodologa . Los auditoresno deben auditar su propio trabajo. Mantener registros de las auditorias y de sus resultados.

22



La seleccin de los auditores y la realizacin de lasauditoras deben asegurar la objetividad e imparcialidad del proceso de auditora.

Establecer un procedimiento documentado para definir lasresponsabilidades y los requisitos para planificar y realizarlas auditoras, establecer los registros e informar de losresultados.

23



La direccin responsable del rea que est siendoauditada debe asegurarse de que se realizan lascorrecciones y se toman las acciones correctivas necesarias sin demora injustificada para eliminar lasno conformidades detectadas y sus causas.

Las actividades de seguimiento deben incluir laverificacin de las acciones tomadas y el informe de losresultados de la verificacin.

24


5/6




Principios de la Auditora Interna

Principios referidos a losAuditores : Conducta tica el fundamento de la profesionalidad

Confianza, integridad, confidencialidad y discrecin son esencialesen la auditora

Presentacin ecunime la obligacin de informar con veracidad y exactitud Los hallazgos, conclusiones e informes de la auditora reflejansinceramente y con exactitud sus actividades. Informar obstculos yopiniones divergentes.

25



Principios referidos a losAuditores : Debido cuidado profesional la aplicacin de diligencia y

juicio al auditar Poseer la competencia necesaria es un requisito previo importante.

26



Principios referidos a laAuditora :

Independencia la base para la imparcialidad y la objetividad de las conclusiones de la auditora

Auditores independientes de la actividad auditada y libres de sesgoy/o conflicto de intereses.

Objetividad a lo largo del proceso para que los hallazgos yconclusiones estn basados slo en la evidencia.

27



Principios referidos a laAuditora :

Enfoque basado en la Evidencia mtodo racional para alcanzar conclusiones fiables y reproducibles

La evidencia en la auditora es verificable, basada en muestras de lainformacin disponible.

28


Actividades de una Auditora Interna

Nro Actividad

1 Inicio de la Auditora2 Revisin de la Documentacin3 Preparacin de Actividades de Auditora IN SITU4 Realizacin de Actividades de Auditora IN SITU5 Preparacin, Aprobacin y Distribucin del Informe6 Finalizacin de la Auditora

7 Seguimiento de la Auditora

29



1. Inicio de Auditora Designacin del auditor lder Definicin de los objetivos, alcance y criterios de auditora Determinacin de la viabilidad de la auditora Establecimiento del equipo auditor Establecimiento de los contactos iniciales con el auditado

30


6/6





2. Revisin de la documentacin La documentacin del auditado debe ser revisada para determinar

la conformidad del sistema, segn documentacin, con elcriterio de auditora.

3. Preparacin de actividades de Auditora IN SITU Preparacin del plan de auditora Asignacin de los trabajos al equipo auditor Preparacin de los documentos de trabajo

31



4. Realizacin de actividades de Auditora IN SITU Realizacin de la reunin de apertura Comunicacin durante la auditora Funciones y responsabilidades de los guas y de los observadores Recopilacin y verificacin de informacin Generacin de hallazgos de auditora Preparacin de conclusiones de la auditora Realizacin de la reunin de cierre

32



5. Preparacin, aprobacin y distribucin del Informe Preparacin del informe Aprobacin y distribucin del informe

6. Finalizacin de la Auditora Conservacin de los documentos Finalizacin de la auditora

33



7. Seguimiento de la Auditora Las acciones derivadas de las conclusiones de la auditora

(preventivas, correctivas, de mejora) no se consideran parte de lamisma y son responsabilidad del auditado.

La verificacin puede ser parte de una auditora posterior.

34


Vigilancia y evaluacin mediantedictmenes

Evalan eficiencia, costo ySeguridad

Operan segn un plan Utilizan metodologas de evaluacin Repeticin de auditoria por nivel de

exposicin de rea auditada y elresultado de la ltima auditoria de lamisma.

Diferencias entre Control Interno y Auditoria

Control Interno

Definicin de Propietarios y Perfiles:Clasificacin de la Informacin

Administracin delegada en controlDual

Responsable del desarrollo yactualizacin del Plan deContingencias, Manual deProcedimientos y Planes deSeguridad

Define procedimientos de control Control de calidad Control de costos

Auditora

35

ASSI Sesión T2 Conceptos, Delito Informático, Control Interno y Auditoría Interna

Documents

Transcript of ASSI Sesión T2 Conceptos, Delito Informático, Control Interno y Auditoría Interna