2. Control interno y Auditoria Informática 1

Transcripción

1 UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS CARRERA DE AUDITORIA AUDITORIA DE SISTEMAS INFORMATICOS M. Sc. Miguel Cotaña Mier Lp, Noviembre Control interno y Auditoria Informática 1

2 Tradicionalmente en materia de control interno se adoptaba un enfoque limitado a los controles contables internos. Se han experimentado escándalos relacionados con errores en el otorgamiento de créditos con garantía de inmuebles inexistentes o sobrevalorados, la manipulación de información financiera, operaciones bursátiles realizadas con información privilegiada y otros fallos de los controles que han afectado a las 2 empresas.

3 Por ello hay cambios en las empresas que comprometen los controles internos existentes: La reestructuración de los procesos empresariales (BPR Bussines Process Reenginieering). La gestión de la calidad total (TQM-Total Quality Management). El redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto. La contratación externa (outsourcing). La descentralización. 3

4 Un Centro de Procesamiento de Datos (CPD) de una empresa suele tener una importancia crucial por soportar los sistemas de información del negocio, por el volumen de recursos y costos de TI, mantenimiento, ataques. Por lo tanto, aumenta las necesidades de control interno y auditoría. 4

5 5

6 CONTROL INTERNO Han sido desarrollados para proveer una garantía razonable de que los objetivos del negocio serán alcanzados y que se previenen o detectarán y corregirán los casos de riesgo no deseados. Los controles internos tales como las políticas, procedimientos, prácticas y estructuras organizativas son desarrollados y/o diseñados. 6

7 CONTROL INTERNO INFORMATICO Es una herramienta enfocada a la adecuada gestión de las Tecnologías de Información. Muchos de los problemas informáticos se originan dentro de la misma empresa. Por ello es cada vez más necesario un completo análisis del tráfico de: Los correos electrónicos corporativos; Las páginas web que se visitan desde los ordenadores de la empresa. 7

8 Vigilar el acceso a Internet Cuántas veces uno se queja en la oficina por lo lenta que está la conexión a Internet? Es bastante común que este problema tenga que ver con el uso indiscriminado que se hace de la web dentro de la empresa. El uso de Internet para fines personales en horario de oficina es una práctica muy difundida en todo el mundo. 8

9 Las empresas tratan de controlarlo cada vez más, porque repercute en sus costos y en el menor tiempo que los empleados trabajan. Y esto sin tener en cuenta los riesgos informáticos que implica la navegación por sitios poco seguros. Internet no puede ser de libre uso dentro de la empresa!!! 9

10 Los motivos son diversos, y tienen que ver con el costo que representa: El servicio de banda ancha; La baja en la productividad laboral de aquellos que navegan varias horas por día; El riesgo de recibir cadenas de s con virus o navegar por sitios inseguros; El peligro de que un empleado envíe información confidencial, e incluso con el impacto en la imagen de la compañía si algún empleado envía mensajes racistas o 10 agresivos desde su corporativo.

11 Las empresas ven que están perdiendo capacidad de trabajo y de producción porque la gente abusa de Internet, y ése es un costo!!! Si una compañía tiene que recibir información de archivos financieros que proveen los clientes para procesar, y el ancho de banda está estancado porque hay gente descargando, va a tener un impacto operativo y económico. 11

12 Entre las medidas que se debe adoptar es: Limitar el acceso, mediante filtros, bloqueo de webmails, chats o de algunos sitios en particular. Limitar visitas a sitios que tengan que ver con palabras relacionadas con deporte o sexo. Evitar el acceso a páginas pornográficas, adoptando filtros estrictos que impidan realizar búsquedas de sitios con palabras como sexo. 12

13 Un segundo mecanismo que se utiliza es el de no limitar el acceso pero en cambio vigilar quiénes son los que más navegan. No se puede monitorear a todos, pero lo que sí se hace es establecer un ranking de los 20 o 40 empleados que más están en Internet. Y se monitorea por qué sitios anduvieron 13

14 En general, a los empleados no les alegra saber que se les ha restringido el acceso o que están siendo vigilados, si es que logran enterarse. Las empresas instalan programas de control y de vigilancia en las computadoras sin informarles. La gente que tiene algún tipo de experiencia con regulaciones o que percibe la necesidad de controlar. Entienden la necesidad y el riesgo. 14

15 En nuestro País recién empieza a difundirse entre las organizaciones el control del acceso a Internet, existe un problema más grave y es el de aplicar controles que sean ineficientes. Muchas empresas dicen que adoptan medidas de control, y cuando uno prueba estas normas, se encuentra con que en realidad se trata de un control mal hecho 15

16 C.I.I. controla diariamente que todas las actividades de SI sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales. 16

17 La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. 17

18 OBJETIVOS DEL CONTROL INTERNO Los objetivos del control interno son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. 18

19 OBJETIVOS DE CONTROL EN T.I. Un objetivo de control de TI se define como una declaración del resultado o propósito que se desea alcanzar mediante la implementación de procedimientos de control en una actividad de TI en particular. 19

20 Los principales objetivos del proceso de control interno pueden ser categorizados: Salvaguarda de los activos (objetivos de seguridad); Integridad de los entornos operativos; Asegurar la eficiencia y la eficacia de las operaciones; Cumplimiento con los requerimientos de los usuarios y con las políticas y procedimientos; Planes de copias de seguridad; 20

21 Garantizar la integridad de los entornos sensitivos y críticos de aplicación del sistema, incluyendo información contable/financiera y administrativa a través: Autorización de información entrante; Exactitud e integridad del procesamiento de las transacciones; Fiabilidad de las actividades generales de procesamiento de información; Exactitud, integridad y seguridad de la información saliente (output); Integridad de la Base de Datos. 21

22 PROCEDIMIENTOS DE CONTROL Los controles generales de TI son controles que se aplican a todas las funciones dentro de una organización: Estrategia y dirección; Acceso a datos y programas; Desarrollo de sistemas y control de cambios; Operaciones de procesamiento de datos; Procedimientos de garantía de calidad; Controles físicos de acceso; Planeación de continuidad/recuperación 22 de desastre del negocio.

23 CLASIFICACION DE CONTROLES CLASE FUNCION EJEMPLOS PREVENTIVOS Tratar de evitar la producción de errores o hechos fraudulentos; Descartar problemas antes de que surjan; Monitorear operaciones. Tratar de predecir; Impedir que ocurra un error, omisión o acto malicioso. software de seguridad que impida los accesos no autorizados al sistema; Controlar el acceso a las instalaciones fisicas; Emplear RRHH calificados; Segregacion de funciones; Usar documentos bien diseñados; Establecer procedimientos adecuados para autorizar transacciones; 23

24 CLASE FUNCION EJEMPLOS DETECTIVOS Tratar de conocer cuanto antes el evento Controles que detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan. Registro de intentos de acceso no autorizados; Puntos de verificación; Mensajes de error; Verificacion de los cálculos; Reportes de cuentas vencidas; Controles de eco en comunicaciones; Funciones de auditoria interna 24

25 CLASE FUNCION EJEMPLOS CORRECTIVOS facilitan la vuelta a la normalidad cuando se han producido incidencias; Minimizar el impacto de una amenaza; Remediar problemas descubiertos por los controles de deteccion; Identificar la causa. Corregir errores que surjan de un problema. Modificar el SI, para minimizar que el problema ocurra en el futuro. Recuperación de un fichero dañado a partir de las copias de seguridad; Planeacion contingencias; 25 de Procedimientos de nueva ejecución de programa.

26 MEDIOS DE CONTROL Para que los controles directos resulten efectivos, las actividades del depto. TI: Los empleados del departamento TI no realicen funciones imcompatibles; Exista supervision de las actividades del personal de sistemas; Se controle la utilización de Software sensitivo. 26

27 CONTROLES OPERATIVOS Depto. TI Una efectiva segregación de funciones, debe ir acompañada de controles de acceso, o de supervisión de los accesos otorgados. Estos controles incluyen: Manuales de operación y controles operativos diarios; Supervision de usuarios privilegiados; Control sobre software sensitivo; Controles sobre el desarrollo de sistemas. 27

28 ACCESO A DATOS Y PROGRAMAS Este riesgo implica que personas no autorizadas (empleados o terceros) puedan tener acceso directo a los archivos de datos o programas de aplicación, con fines que puedan perjudicar a sujetos y en el peor de los casos a la organización. 28

29 MEDIOS DE CONTROL Una forma de restringir el acceso en ambientes computacionales es a través de identificadores de usuarios y contraseñas, utilizando software para: Interactuar con solicitudes de acceso de los usuarios a programas o datos; Rechazar o permitir el acceso. 29

30 SEGURIDAD LOGICA Se deben tomar en cuenta lo siguiente: Administración de passwords; Proceso de Log-in; Cambio frecuente de password; No divulgar el password por fono; Uso de los sistemas; Control de acceso para uso de datos; Separación de usuarios por prioridades. 30

31 SEGURIDAD FISICA Control físico de acceso al área de sistemas: Guardia o recepcionista; Tarjeta de identificación visible. 31

32 CAMBIOS A PROGRAMAS Los programadores pueden realizar cambios incorrectos o no autorizados en el software de aplicación, lo cual podria reducir la confiabilidad de la informacion financiera procesada en el sistema. 32

33 El proceso de modificación en el software, considera lo siguiente: Las solicitudes de modificaciones deben ser documentadas y aprobadas por un nivel gerencial adecuado; Los cambios, en primera instancia, deben ser introducidos en las versiones de prueba del software y luego, ser introducidas en versiones de producción; 33

34 Los cambios solo deben ser realizados por el personal de sistemas o programadores; Los cambios deben ser respaldados por documentación; Las pruebas al software modificado deben ser realizadas por un equipo de prueba independiente; Llevar un registro de modificaciones; Aprobación por parte de la gerencia. 34

35 CONTINUIDAD DE PROCESAMIENTO Los negocios de la empresa podrían verse afectados, como consecuencia de interrupciones en los servicios de procesamiento de datos, originadas por desastres u otras contingencias. Los medios de control para la continuidad de procesamiento de datos: 35

36 Procedimientos adecuados que describan su aplicación en caso de contigencia. - Historial de problemas relevantes; - Manejo de interrupciones de proc.; - Modificaciones de emergencia. Mecanismos de seguimiento y control gerencial; Contar con plan de contingencias para procesos críticos. 36

37 AMBIENTES TECNOLOGICOS Estructura de redes; Voz sobre IP (VoIp); Redes WirelessLAN; Redes WirelessMAN; Redes WirelessWAN; Topologías de red; Cableado estructurado; Dispositivos de Networking; Telecomunicaciones. 37