Auditoria de Sistemas Control Interno Informático
23
Auditoria de Sistemas Control Interno Informático Ing. Elizabeth Guerrero
description
Auditoria de Sistemas Control Interno Informático. Ing . Elizabeth Guerrero. Control. - PowerPoint PPT Presentation
Transcript of Auditoria de Sistemas Control Interno Informático
Auditoria de SistemasControl Interno Informático
Ing. Elizabeth Guerrero
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
Control
Se considera que el control produce dos tipos de acciones según sea el ámbito donde se aplique:Influencia directiva, intenta que las actividades
del sistema se realicen de modo tal que produzcan determinados resultados o alcancen objetivos específicos predefinidos.
Influencia restrictiva, la acción se ejerce de modo tal que evite que las actividades de un sistema produzcan resultados no deseados.
Acciones del Control
Elemento, característica o condición a controlar. Sensor: artefacto o método para medir las
características o condiciones controladas, es decir instrumento para medir el rendimiento.
Grupo de control: unidad o equipo de control para comparar los datos medidos con el rendimiento planeado. Determina la necesidad de corrección y envía la información a los mecanismos que deben normalizar o corregir laproducción del sistema
Grupo activante: mecanismo activador que es capaz de producir un cambio en el sistema operante, es decir, realizar la acción correctiva correspondiente.
Elementos de Control
De acuerdo a su objetivo
Correctivos Miden las desviaciones e informan sobre ellas
No correctivos
Prescinden de la medición e
informacion de los desvíos que se pueden
producir
Tipos de control
De acuerdo a su marco temporal
RetroalimentadosComparan los
resultados obtenidos con los esperados
PrealimentadosPrevienen la
ocurrencia de resultados indeseados
Tipos de control
De acuerdo a su pertenencia
De secuencia abiertaEl grupo de control es
independiente del sistema operante
De secuencia cerradaTodos los elementos
de control pertenecen al propio sitema
operante
Tipos de control
Establecimiento de estándares: es la acción de determinar el/los parámetro/s sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de esos parámetros considerado deseable.
Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables.
Etapas de control
La determinación de acciones correctivas. Lleva implícita una decisión: corregir o dejar como está
La ejecución de las acciones correctivas Sin éste, el control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una acción de control.
Etapas de control
Se define como cualquier actividad o acción realizada para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos
Control Interno Informático
•Tratar de evitar o prevenir una acción•Ejemplo: Software de seguridad evita los
accesos no autorizadosControles Preventivos
•Cuando fallan los preventivos para tratar de conocer cuanto antes el evento
•Ejemplo: Registro de intentos de acceso no autorizadosControles Detectivos
•Facilitan la vuelta a la normalidad cuando se han producido fallas
•Ejemplo: Recuperación de un archivo dañado a partir de las copias de seguridadControles Correctivos
Clasificación del control interno informático
Controles internos sobre la organización: Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puestos
Control Interno en el área de informática
Controles internos sobre el análisis, desarrollo e implementación de sistemas: Estándarización de metodologías para el desarrollo de
proyectos Asegurar que el beneficiario de los sistemas sea el
óptimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y la eficacia en el análisis y
diseño de sistemas Vigilar la efectividad y eficiencia de la implementación
y mantenimiento del sistema Optimizar el uso del sistema por medio de su
documentación
Control Interno en el área de informática
Controles internos sobre la operación del sistema: Prevenir y corregir errores de operación Prevenir y evitar la manipulación fraudulenta de
la información Implementar y mantener la seguridad de la
operación Mantener la confiabilidad, oportunidad, veracidad
y suficiencia en el procesamiento de la información de la institución
Control Interno en el área de informática
Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados Verificar la existencia y funcionamiento de los
procedimientos de captura de datos Comprobar que todos los datos sean debidamente
procesados Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos Comprobar la oportunidad, confiabilidad y
veracidad de la emisión de los resultados del procesamiento de información
Control Interno en el área de informática
Controles internos sobre la seguridad del área de sistemas: Prevenir y evitar las amenazas, riesgos y
contingencias que inciden en el área de sistematización
Seguridad física del área de sistemas Seguridad lógica de los sistemas Seguridad de las bases de datos Operación de los sistemas computacionales Seguridad del personal de informática Seguridad de la telecomunicación de datos Seguridad de redes y sistemas multiusuarios
Control Interno en el área de informática
Autenticidad◦ Permiten verificar la identidad1. Passwords2. Firmas digitales
Exactitud◦ Aseguran la coherencia de los datos1. Validación de campos2. Validación de excesos
Totalidad◦ Evitan la omisión de registros así como garantizan la conclusión de un proceso de envio1. Conteo de registros2. Cifras de control
Redundancia◦ Evitan la duplicidad de datos1. Cancelación de lotes2. Verificación de secuencias
Privacidad◦ Aseguran la protección de los datos1. Compactación2. Encriptación
Principales Controles físicos y lógicos
Existencia◦ Aseguran la disponibilidad de los datos1. Bitácora de estados2. Mantenimiento de activos
Protección de Activos◦ Destrucción o corrupción de información o del hardware1. Extintores2. Passwords
Efectividad◦ Aseguran el logro de los objetivos1. Encuestas de satisfacción2. Medición de niveles de servicio
Eficiencia◦ Aseguran el uso óptimo de los recursos1. Programas monitores2. Análisis costo-beneficio
Principales Controles físicos y lógicos
Periodicidad de cambio de claves de acceso◦ Los cambios de las claves de acceso a los programas se deben realizar
periódicamente. ◦ El no cambiar las claves periódicamente aumenta la posibilidad de que personas
no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
◦ Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinación de alfanuméricos en claves de acceso
◦ No es conveniente que la clave este compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.
◦ Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier
cambio. Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente
respecto al uso de las claves. No significativas Las claves no deben corresponder a números secuenciales ni a nombres o
fechas.
Controles automáticos o lógicos
Verificación de datos de entrada◦ Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.
Conteo de registros◦ Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados. Totales de Control
◦ Se realiza mediante la creación de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.
Verficación de limites◦ Consiste en la verificación automática de tablas, códigos, limites mínimos y
máximos o bajo determinadas condiciones dadas previamente.
Controles automáticos o lógicos
Verificación de secuencias◦ En ciertos procesos los registros deben observar cierta secuencia numerica o
alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes del programa en si.
Dígito autoverificador◦ Consiste en incluir un dígito adicional a una codificación, el mismo que es
resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso por ejemplo del decimo dígito de la cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC calculado con el módulo 11.
Utilizar software de seguridad en los microcomputadores◦ El software de seguridad permite restringir el acceso al microcomputador, de tal
modo que solo el personal autorizado pueda utilizarlo.◦ Adicionalmente, este software permite reforzar la segregación de funciones y la
confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.
◦ Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.
Controles automáticos o lógicos
1.- Controles de Preinstalación 2.- Controles de Organización y Planificación 3.- Controles de Sistemas en Desarrollo y
Producción 4.- Controles de Procesamiento 5.- Controles de Operación 6.- Controles de uso de Microcomputadores
Controles administrativos en un ambiente de Procesamiento de Datos
Control Interno Informático
Auditor Informático
Similitudes
Conocimientos especializados en Tecnología de la Información
Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información
Diferencias
Análisis de los controles en el día a día
Análisis de un momento informático determinado
Informa a la Dirección del Depatamento de Informática
Informa a la Dirección General de la Organización
Sólo personal interno Personal interno y/o externo
El alcance de sus funciones es únicamente sobre el Departamento de Infomática
Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización
Control Interno y Auditoría Informático
