AUDITORÍA DE SISTEMAS

Transcripción

1 Universidad Don Bosco Facultad de Ingeniería Escuela de Ingeniería en Computación (EIC) AUDITORÍA DE SISTEMAS UNIDAD II. CONTROL INFORMÁTICO Milton Narváez Universidad Don Bosco 19 de febrero de 2015

2 UNIDAD II. CONTROL INFORMÁTICO CONTENIDO 2.1. Definición de Control 2.2. Elemento del control 2.3. Estándares de Control 2.4. Los controles internos 2.5. Diseño de instrumentos COMPETENCIAS DESEABLES Planeación estratégica Ejecución de procesos Comunicación efectiva Mejora continua Aula virtual UDB:

3 2.1. Definición de control El control interno nace por la necesidad de evaluar y satisfacer la eficiencia, eficacia, razonabilidad, oportunidad y confiabilidad en la protección, salvaguarda y seguridad de los bienes de una empresa, así como para ayudar a controlar el desarrollo de sus actividades, operaciones y resultados financieros que se espera obtener en el desempeño de las funciones y operaciones de toda la empresa (Muñoz, 2002). Definición de control: es una de las fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ello para incrementar la eficiencia y eficacia de una institución (Muñoz, 2002).

4 2.1. Definición de control Control se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos (COBIT 4.0, 2006). Tipos de Controles a) Control Preventivo: instrucciones de cómo completar un formulario. Nota: las instrucciones no son el control. a) Control Detectivo: un programa que valida datos de input, rechazando los erróneos. b) Control Correctivo: un programa que detecta el ruido en comunicaciones y permite corregir datos corruptos.

5 2.1. Definición de control Objetivos del control a) Establecer estándares, medir su cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado. b) Proteger y salvaguardar los bienes y activos de las empresas. c) Planear y evaluar correctamente el cumplimiento de las funciones, actividades y operaciones de las empresas. d) Ayudar permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma.

6 2.2. Elementos del control Elementos básicos del control: a)una característica medible y controlable para la que se conocen estándares. b)un medio (instrumento censor) para medir las características. c)un medio para comparar los resultados reales con los estándares y evaluar las diferencias. d)un medio para efectuar cambios en el sistema a fin de ajustarlos a las necesidades. Factores fundamentales del control: a)el plan. b)la comparación entre los hechos reales y el plan. c)la acción para rectificar las divergencias.

7 2.2. Elementos del control

8 2.3. Estándares de control No. ESTÁNDARES DE CONTROL CLASIFICACIÓN 1 Estándares físicos 2 Estándares de costo 3 Estándares de capital De medición De comparación De acumulación De costo fijo De costo variable Económicos Financieras De rendimiento de capital Inventarios 4 Estándares de ingreso y egreso De ingresos De egresos 5 Estándares no tangibles Estándares de control estadístico ---

9 2.3. Estándares de control No. ESTÁNDARES DE CONTROL CLASIFICACIÓN 7 Estándares de auditoría Estándares del IEEE Estándares de educación ---

10 2.4. Los controles internos CONTROL COMPONENTE SUBCOMPONENTE 1.1. Dirección La coordinación de recursos La supervisión de actividades La delegación de autoridad y responsabilidad La asignación de actividades La distribución de recursos 1. Controles internos sobre la organización del área de informática 1.2. División del trabajo Dirección general del área de informática Área de análisis y diseño Área de programación Área de sistemas de redes Área de operación Área de telecomunicación Área de administración 1.3. Asignación de responsabilidad y autoridad ---

11 2.4. Los controles internos CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 1. Controles internos sobre la organización del área de informática 2. Controles internos para el análisis, desarrollo e implementación de sistemas 1.4. Establecimiento de estándares y métodos 1.5 Perfiles de puestos 2.1. Estandarización de metodologías para el desarrollo de proyectos Estandarización de métodos para el diseño de sistemas Lineamientos en la realización de sistemas Uniformidad de funciones para el desarrollo de sistemas Políticas para el desarrollo de sistemas Normas para regular el desarrollo de proyectos

12 2.4. Los controles internos CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 2.2. Asegurar que el beneficio del sistema sea óptimo Controles internos para el análisis, desarrollo e implementación de sistemas 2.3. Elaborar estudios de factibilidad del sistema Viabilidad y factibilidad operativa Viabilidad y factibilidad económica Viabilidad y factibilidad técnica Viabilidad y factibilidad administrativa Otros estudios de viabilidad y factibilidad

13 2.4. Los controles internos CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema La adopción y seguimiento de una metodología institucional Adoptar una adecuada planeación, programación y presupuestación para el desarrollo de sistema Contar con la participación activa de los usuarios finales o solicitantes del nuevo sistema para garantizar su buen desarrollo Contar con personal que tenga la disposición, experiencia, capacitación y conocimientos para el desarrollo de sistemas Utilizar los requerimientos técnicos necesarios para el desarrollo del sistema, como son el hardware, software y personal informático

14 2.4. Los controles internos CONTROL COMPONENTE SUBCOMPONENTE 2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema 2.5. Vigilar la efectividad y eficiencia de la implementación y mantenimiento del sistema Diseñar y aplicar las pruebas previas a la implementación del sistema Supervisar permanentemente el avance de actividades del proyecto Lograr el uso eficiente del sistema por medio de su documentación Manuales e instructivos del usuario Manual e instructivo de operación del sistema Manual técnico del sistema

15 2.4. Los controles internos CONTROL COMPONENTE SUBCOMPONENTE Manual para el seguimiento del desarrollo 2.6. Lograr el uso del proyecto del sistema eficiente del sistema Manual e instructivo por medio de su de mantenimiento del documentación sistema 2. Controles internos para el análisis, desarrollo e implementación de sistemas 3. Controles internos para la operación del sistema 3.1. Prevenir y corregir errores de operación 3.2. Prevenir y evitar la manipulación fraudulenta de la información 3.3. Implementar y mantener la seguridad en la operación Otros manuales e instructivos del sistema

16 2.4. Los controles internos CONTROL (DOMINIO) 3. Controles internos para la operación del sistema COMPONENTE (OBJETIVOS DE CONTROL) 3.4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución --- SUBCOMPONENTE 4. Controles internos para los procedimientos de entrada de datos, procesamiento de información y emisión de resultados 4.1. Verificar la existencia y funcionamiento de los procedimientos de captura de datos 4.2. Comprobar que todos los datos sean debidamente procesados 4.3. Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos 4.4. Comprobar la suficiencia de la emisión de información ---

17 2.4. Los controles internos CONTROL (DOMINIO) 5. Controles internos para la seguridad del área de sistemas COMPONENTE (OBJETIVOS DE CONTROL) 5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de sistematización SUBCOMPONENTE Control de accesos físicos del personal al área de cómputo Control de accesos al sistema, a las bases de datos, a los programas y a la información Usos de niveles de privilegio para acceso, palabras clave y control de usuario Monitoreo de accesos de usuarios, información y programas de uso Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema

18 2.4. Los controles internos CONTROL (DOMINIO) 5. Controles internos para la seguridad del área de sistemas COMPONENTE (OBJETIVOS DE CONTROL) 5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de sistematización 5.2. Controles para la seguridad física del área de sistemas SUBCOMPONENTE Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas necesarias Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento Inventario de hardware, mobiliario y equipo Resguardo del equipo de cómputo Bitácora de mantenimientos y correcciones Controles de acceso del personal al área de sistemas Control de mantenimiento a instalaciones y construcciones

19 2.4. Los controles internos CONTROL (DOMINIO) 5. Controles internos para la seguridad del área de sistemas COMPONENTE (OBJETIVOS DE CONTROL) 5.2. Controles para la seguridad física del área de sistemas 5.3. Controles para la seguridad lógica de los sistemas SUBCOMPONENTE Seguros y fianzas para el personal, equipos y sistemas Contrato de actualización, asesoría y mantenimiento del hardware Control para el acceso al sistema, a los programas y a la información Establecimiento de niveles de acceso Dígitos verificadores y cifras de control Palabras claves de acceso Controles para el seguimiento de las secuencias y rutinas lógicas del sistema

20 2.4. Los controles internos CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5. Controles internos para la seguridad del área de sistemas 5.4. Controles para la seguridad de las bases de datos Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo Respaldo periódico de información Planes y programas para prevenir contingencias y recuperar información Control de accesos a las bases de datos Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos

21 2.4. Los controles internos CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5. Controles internos para la seguridad del área de sistemas 5.5. Controles para la seguridad en la operación de los sistemas computacionales Controles para los procedimientos de operación Controles para el procesamiento de información Controles para la emisión de resultados Controles específicos para la operación de la computadora Controles para el almacenamiento de la información Controles para el mantenimiento del sistema 5.6. Controles para la seguridad del personal de informática Controles administrativos del personal Seguros y fianzas para el personal de sistemas Planes y programas de capacitación

22 2.4. Los controles internos CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5. Controles internos para la seguridad del área de sistemas 5.7. Controles para la seguridad en la telecomunicación de datos 5.8. Controles para la seguridad en sistemas de redes y multiusuarios

23 2.5. Diseño de instrumentos Los instrumentos de control son las herramientas (formatos, fichas o formularios) que se utilizan para la valoración de los controles, su nivel de cumplimiento y las acciones correctivas a considerar, en caso sean pertinentes. Los instrumentos de control deben ser diseñados ad hoc al contexto de la auditoría que se vaya a realizar.

24 2.5. Diseño de instrumentos Un control está estructurado por: Dominio Macro grupo al que pertenece uno o más controles. Objetivos de control Sub grupo al que pertenece uno o más controles. Controles Compuesto por: Nombre del control Descripción Criterios de evaluación del control (ítems) Niveles de expectativas (ponderación)

25 2.5. Diseño de instrumentos Tabla. Ejemplo de un control. Dominio: Objetivos de control: Nombre del Control: Descripción: No Controles internos para la seguridad del área de sistemas. Controles para la seguridad lógica de los sistemas. Palabras claves de acceso Verifica la autenticación del usuario para acceder a los sistemas. Criterios de evaluación del control (Ítems) Hay un usuario y una contraseña para acceder al sistema La contraseña tiene una construcción segura Existen políticas de autenticación Niveles de expectativas Si No N/ A Comentarios

26 Fuentes de consulta Muñoz Razo, Carlos (2002). Auditoría en Sistemas Computacionales, Primera Edición, Editorial Pearson Prentice Hall, México. IT Governance Institute (2006). COBIT 4.0. Objetivos de Control, Directrices Gerenciales, Modelos de Madurez.

27 Realiza cada una de tus acciones como si fuera la última de tu vida (Marco Aurelio) Milton Narváez Universidad Don Bosco 19 de febrero de 2015