22 CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT 23 1
Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparición del negocio. 24 Carlos Muñoz Razzo El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y así ayudar a la administración para el cumplimiento correcto de las actividades y operaciones de las empresas. 25 2
José Antonio Echenique : El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y proveer la adherencia a las políticas prescritas por la administración 26 Algo es claro y evidente, la nueva economía ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en: Restructuración de los procesos empresariales (BPR: Business Process Re-engineering). Gestión de la calidad (TQM). Redimensionamiento por reducción o crecimiento hasta el nivel correcto. Outsourcing. Descentralización. 27 3
Los grandes cambios en las empresas, no siempre son voluntarios, estos generalmente responden a fuerzas externas que presionan a la empresa. Ante esta situación, las empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopción de la tecnología disponible. Empr esas 28 Los Sistemas de información constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta dirección. Lo que origina también un aumento de las necesidades de control y auditoria. Es en este escenario que aparecen dos conceptos fundamentales: El control interno informático y la Auditoria informática. Empresa s 29 4
Alianzas Estratégicas Globalización Empresas Desaparición de nichos de mercados Competencia 30 Es un proceso realizado por la dirección, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a si están lográndose los objetivos siguientes: 1. Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios. 2.Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto legal 3.Cumplir las leyes, reglamentos y otras normas gubernamentales 4.Elaborar información financiera válida y confiable, presentada con oportunidad. 5.Promover una Cultura de Integridad, Transparencia y Responsabilidad den la Función Pública, cautelando el correcto desempeño de los funcionarios y servidores. 31 5
En las entidades gubernamentales realizan la función de control interno los funcionarios y servidores de la entidad de acuerdo a sus niveles de responsabilidad. 32 QUIÉN EVALUA EL CONTROL INTERNO? Los auditores de la entidad (OCI) de la Contraloría General de la República y las SOAs, mediante auditorías o exámenes especiales. 33 6
Se encarga de que el control de las actividades informáticas, se realicen cumpliendo los estándares fijados por la organización. Este control debe tener carácter preventivo, detectivo y correctivo. 34 Las medidas preventivas son aquellas orientadas a la prevención de riesgos o situaciones anómalas a las fijadas en la institución. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones. 35 7
Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estándares fijados. Podríamos citar como situación ilustrativa la revisión de la bitácora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso. 36 Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daños ocasionados por un acceso no deseado. 37 8
El control interno informático, suele ser un staff de la Dirección del departamento de informática y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. En nuestro país la constitución de este staff va a depender de la magnitud de la organización. 38 OBJETIVOS: Control de las actividades orientadas al cumplimiento de los procedimientos y normas fijados por la organización así como el cumplimiento de las normas legales. Asesorar al personal de la organización sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de auditoria Informática. Definir, implantar y ejecutar mecanismos y controles así como establecer responsabilidades en la evaluación y ejecución de las medidas preventivas. 39 9
TIPOS: Según los objetivos se clasifica en: Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. 40 TIPOS Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. 41 10
TIPOS Controles correctivos: facilitan la vuelta a la normatividad cuando se han producido incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad. 42 El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar. 43 11
CONTROL INTERNO Y AUDITORIA Política de Seguridad Plan de Seguridad Normas y Procedimientos Medidas Tecnológicas implantadas FORMACION Y MENTALIZACION 44 CONTROL INTERNO INFORMATICO AUDITORÍA INFORMATICA SIMILITUDES Conocimientos especializados en Tecnología de la Información. Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección de informática y la Dirección General para los sistemas de información. DIFERENCIAS Análisis de los controles en el día a día. Informa a la Dirección del Departamento de Informática. Sólo personal interno. El alcance de sus funciones es únicamente para el Departamento de Informática. Análisis de un momento informático determinado. Informa a la Dirección General de la Organización. Personal interno y/o externo. Tiene cobertura sobre todos los componentes de los sistemas de información de la Organización. 45 12
ENTIDADES QUE LO REPRESENTAN Reconocida como líder mundial en el gobierno, control y evaluación de TI. 13
Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas) COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar: los riesgos del negocio, las necesidades de control, y los aspectos tecnológicos, mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades. 14
Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores. Dependencia creciente del negocio frente a la información La Tecnología soporta la cuasi totalidad de los procesos del negocio Los desarrollos constantes en TI y en las prácticas de negocio La responsabilidad por el uso de la tecnología se extiende en la organización Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio Nivel de inversiones en tecnología 15
Constante aumento de vulnerabilidades y un amplio espectro de amenazas. Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa ( corporate governance ) Gerentes decisiones de inversión en TI equilibrar riesgo y control de las inversiones benchmarking entre la situación de TI actual y la deseada Usuarios obtención de una seguridad adecuada sobre los productos y servicios de TI que ellos adquieren, internamente y externamente Auditores fundamentar las opiniones vertidas a la gerencia en materia de control interno aconsejar sobre los controles mínimos necesarios 16
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Dominios Procesos Actividades o tareas Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional Conjuntos o series de actividades unidas con delimitación o cortes de control. Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas. 17
La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus áreas 18
Provee un renovado y autorizado Framework de Administración y gobierno para la información empresarial y tecnología relacionada. Integra las mejores guías y framewoks de ISACA. Se alinea con otros Frameworks y estándares de buenas prácticas. 19
La información es un recurso clave para toda la empresa. La información es creada, usada, retenida, revelada y destruida. La tecnología juega un rol clave en estas acciones. La tecnología está penetrando en todos los aspectos de los negocios y la vida personal. Las empresas y sus ejecutivos, se esfuerzan para: Mantener información de calidad para soportar las decisiones de negocio. Generar valor para el negocio a partir de las inversiones en TI. Alcanzar la excelencia operacional a través de la aplicación de Tecnología de manera fiable y eficiente. Mantener el riesgo asociado a TI en un nivel aceptable. Optimizar el costo de tecnología y servicios de TI. 20
21