Auditoria de Sistemas Control Interno Informtico

Auditoria de SistemasControl Interno InformticoIng. Elizabeth Guerrero1Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.

Control

Se considera que el control produce dos tipos de acciones segn sea el mbito donde se aplique:Influencia directiva, intenta que las actividades del sistema se realicen de modo tal que produzcan determinados resultados o alcancen objetivos especficos predefinidos.Influencia restrictiva, la accin se ejerce de modo tal que evite que las actividades de un sistema produzcan resultados no deseados.Acciones del ControlElemento, caracterstica o condicin a controlar.Sensor: artefacto o mtodo para medir las caractersticas o condiciones controladas, es decir instrumento para medir el rendimiento.Grupo de control: unidad o equipo de control para comparar los datos medidos con el rendimiento planeado. Determina la necesidad de correccin y enva la informacin a los mecanismos que deben normalizar o corregir laproduccin del sistemaGrupo activante: mecanismo activador que es capaz de producir un cambio en el sistema operante, es decir, realizar la accin correctiva correspondiente.Elementos de ControlTipos de controlTipos de controlTipos de controlEstablecimiento de estndares: es la accin de determinar el/los parmetro/s sobre los cuales se ejercer el control y, posteriormente, el estado o valor de esos parmetros considerado deseable.Comparacin o diagnstico: implica el cotejo entre los resultados reales con los deseables.

Etapas de controlLa determinacin de acciones correctivas. Lleva implcita una decisin: corregir o dejar como estLa ejecucin de las acciones correctivas Sin ste, el control ser estril, intil e incompleto. Ms an, infinitamente caro como respuesta al problema que intent solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una accin de control.Etapas de control

Se define como cualquier actividad o accin realizada para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivosControl Interno InformticoClasificacin del control interno informticoControles internos sobre la organizacin:DireccinDivisin del trabajoAsignacin de responsabilidad y autoridadEstablecimiento de estndares y mtodosPerfiles de puestosControl Interno en el rea de informticaControles internos sobre el anlisis, desarrollo e implementacin de sistemas:Estndarizacin de metodologas para el desarrollo de proyectosAsegurar que el beneficiario de los sistemas sea el ptimoElaborar estudios de factibilidad del sistemaGarantizar la eficiencia y la eficacia en el anlisis y diseo de sistemasVigilar la efectividad y eficiencia de la implementacin y mantenimiento del sistemaOptimizar el uso del sistema por medio de su documentacinControl Interno en el rea de informticaControles internos sobre la operacin del sistema:Prevenir y corregir errores de operacinPrevenir y evitar la manipulacin fraudulenta de la informacinImplementar y mantener la seguridad de la operacinMantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la informacin de la institucinControl Interno en el rea de informticaControles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultadosVerificar la existencia y funcionamiento de los procedimientos de captura de datosComprobar que todos los datos sean debidamente procesadosVerificar la confiabilidad, veracidad y exactitud del procesamiento de datosComprobar la oportunidad, confiabilidad y veracidad de la emisin de los resultados del procesamiento de informacinControl Interno en el rea de informticaControles internos sobre la seguridad del rea de sistemas:Prevenir y evitar las amenazas, riesgos y contingencias que inciden en el rea de sistematizacinSeguridad fsica del rea de sistemasSeguridad lgica de los sistemasSeguridad de las bases de datosOperacin de los sistemas computacionalesSeguridad del personal de informticaSeguridad de la telecomunicacin de datosSeguridad de redes y sistemas multiusuariosControl Interno en el rea de informticaAutenticidadPermiten verificar la identidad1. Passwords2. Firmas digitalesExactitudAseguran la coherencia de los datos1. Validacin de campos2. Validacin de excesosTotalidadEvitan la omisin de registros as como garantizan la conclusin de un proceso de envio1. Conteo de registros2. Cifras de controlRedundanciaEvitan la duplicidad de datos1. Cancelacin de lotes2. Verificacin de secuenciasPrivacidadAseguran la proteccin de los datos1. Compactacin2. EncriptacinPrincipales Controles fsicos y lgicosExistenciaAseguran la disponibilidad de los datos1. Bitcora de estados2. Mantenimiento de activosProteccin de ActivosDestruccin o corrupcin de informacin o del hardware1. Extintores2. PasswordsEfectividadAseguran el logro de los objetivos1. Encuestas de satisfaccin2. Medicin de niveles de servicioEficienciaAseguran el uso ptimo de los recursos1. Programas monitores2. Anlisis costo-beneficioPrincipales Controles fsicos y lgicosPeriodicidad de cambio de claves de accesoLos cambios de las claves de acceso a los programas se deben realizar peridicamente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin.Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.Combinacin de alfanumricos en claves de accesoNo es conveniente que la clave este compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.Para redefinir claves es necesario considerar los tipos de claves que existen:Individuales Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.Confidenciales De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de las claves.No significativas Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas.Controles automticos o lgicosVerificacin de datos de entradaIncluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.Conteo de registrosConsiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.Totales de Control Se realiza mediante la creacin de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.Verficacin de limitesConsiste en la verificacin automtica de tablas, cdigos, limites mnimos y mximos o bajo determinadas condiciones dadas previamente.Controles automticos o lgicosVerificacin de secuenciasEn ciertos procesos los registros deben observar cierta secuencia numerica o alfabetica, ascendente o descendente, esta verificacion debe hacerse mediante rutinas independientes del programa en si.Dgito autoverificadorConsiste en incluir un dgito adicional a una codificacin, el mismo que es resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS, que detecta la correccin o no del cdigo. Tal es el caso por ejemplo del decimo dgito de la cdula de identidad, calculado con el modulo 10 o el ultimo dgito del RUC calculado con el mdulo 11.Utilizar software de seguridad en los microcomputadoresEl software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que estn autorizados.Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.

Controles automticos o lgicos1.- Controles de Preinstalacin2.- Controles de Organizacin y Planificacin3.- Controles de Sistemas en Desarrollo y Produccin4.- Controles de Procesamiento5.- Controles de Operacin6.- Controles de uso de MicrocomputadoresControles administrativos en un ambiente de Procesamiento de DatosControl Interno InformticoAuditor InformticoSimilitudesConocimientos especializados en Tecnologa de la InformacinVerificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la Direccin de Informtica y la Direccin General para los sistemas de informacinDiferenciasAnlisis de los controles en el da a daAnlisis de un momento informtico determinadoInforma a la Direccin del Depatamento de InformticaInforma a la Direccin General de la OrganizacinSlo personal internoPersonal interno y/o externoEl alcance de sus funciones es nicamente sobre el Departamento de InfomticaTiene cobertura sobre todos los componentes de los sistemas de informacin de la OrganizacinControl Interno y Auditora Informtico