AUDITORIA INFORMÁTICACONTROL

M B A , C A R O L I N A A R G U E L LO

CONTROLES INTERNOS Conjunto de políticas, procedimientos, prácticas y

estructuras organizacionales implementadas para reducir riesgos.

Son desarrollados para proveer certeza razonable de que se alcanzarán los objetivos del negocio de una organización y que los eventos de riesgo no deseados serán evitados o detectados y corregidos, ya sea por cumplimiento de los controles o por iniciativa de la dirección.

La alta dirección es responsable de establecer la cultura apropiada para facilitar un sistema efectivo y eficiente de control interno y de supervisar continuamente la efectividad del sistema de control interno

OBJETIVOS DE CONTROL INTERNO Salvaguarda de activos de tecnología de

información Cumplimiento con las políticas corporativas o

requerimientos legales Autorización para Introducción y salida de

información Exactitud e integridad del procesamiento de

transacciones Confiabilidad de los procesos Copias Respaldos, verificación de recuperación Eficiencia y economía de las operaciones

NATURALEZA DE LOS CONTROLES

Ej. Control de contraseñaLas contraseñas son controles solo en el contexto de un

sistema si permite:• La emisión segura de nuevas contraseñas• Su validación correcta• Su almacenamiento seguro• El seguimiento de su uso ilícito, Etc.

Si este sistema falla de alguna manera, las contraseñas serán ineficaces como control

El termino “Control de contraseña” es una notación para el conjunto de cosas que funcionan juntas (sistema) para asegurar que solo las personas autorizadas utilizan los recursos de computación.

CLASIFICACIÓN DE CONTROLES

• Preventivos • Son aquellos que reducen la frecuencia con que

ocurren las causas de riesgo o evitan que ocurran errores.

• Detectivos • Control que detecta la aparición de un riesgo,

error, omisión o acto deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

• Correctivos• Ayudan a la investigación y corrección de las

causas del riesgo.

CONTROLES PREVENTIVOS• Función:• Detectar problemas antes que surjan, realizar ajustes• Monitorear tanto las operaciones como las entradas de

datos• Impedir que ocurra un error, una omisión o un acto

malicioso• Ejemplos:• Emplear solo personal calificado• Segregar funciones• Controlar el acceso físico a las instalaciones• Usar documentos bien diseñados• Establecer procedimientos bien adecuados para la

autorización de transacciones, etc..

CONTROLES DETECTIVO• Función• Detectar un error, omisión o acto delictivo que haya

ocurrido y reporta la ocurrencia• Ejemplos• Totales de comprobación• Puntos de chequeó en trabajos de producción• Controles de eco en telecomunicaciones• Mensajes de error sobre las etiquetas internas de las

cintas• Doble verificación de los cálculos• El reportaje periódico de la ejecución con variaciones• Reportes de las cuentas atrasadas• Funciones de auditoría interna

CONTROLES CORRECTIVOS

• Función:• Minimizar el impacto de una amenaza• Remediar problemas descubiertos por controles

detectivos• Identificar la causa de un problema• Corregir errores resultantes de un problema

• Ejemplos• Planeación de contingencias• Procedimientos de respaldo• Procedimientos de segunda ejecución de

programas

PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS

• Autenticidad.- Permiten verificar la identidad.• Passwords• Firmas digitales

• Exactitud.- Aseguran la coherencia de los datos• Validación de campos• Validación de excesos o casos de borde

• Totalidad.- Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío• Conteo de registros• Cifras de control.

• Redundancia.- Evitan la duplicidad de datos.• Cancelación de lotes o proceso batch• Verificación de secuencias.

• Privacidad.- Aseguran la protección de los datos.• Compactación• Encriptación.

• Protección de Activos.- Destrucción o corrupción de información o del hardware.• Extintores• Passwords.

• Efectividad.- Aseguran el logro de los objetivos.• Encuestas de satisfacción• Medición de niveles de servicio.

• Eficiencia.- Aseguran el uso óptimo de los recursos.• Análisis costo-beneficio

PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS

CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN

• Controles de Desarrollo • Los usuarios deben participar en el diseño e

implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilita el proceso de cambio

• El personal de auditoría interna debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control

• El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías estándares, procedimientos y en general a normatividad escrita y aprobada.

• Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

• Controles de Desarrollo • Los programas antes de pasar a Producción

deben ser probados con datos que agoten todas las excepciones posibles.

• Todos los sistemas deben estar debidamente documentados y actualizados

• Implantar procedimientos de solicitud, aprobación y ejecución de cambios a programas, formatos de los sistemas en desarrollo.

• El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales de operación respectivos

CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN

• Controles de ProcesamientoLos controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información, lo que conlleva al establecimiento de una serie de medidas de seguridad para:• Asegurar que todos los datos sean procesados• Garantizar la exactitud de los datos procesados• Garantizar que se grabe un archivo para uso de

la gerencia y con fines de auditoría (Log)• Asegurar que los resultados sean entregados a

los usuarios en forma oportuna y en las mejores condiciones.

CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN

• Controles de OperaciónAbarcan todo el ambiente de la operación del

equipo central de computación y dispositivos de almacenamiento, la administración de discos, la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line.• Prevenir o detectar errores accidentales que puedan

ocurrir en el Centro de Cómputo durante un proceso• Evitar o detectar el manejo de datos con fines

fraudulentos por parte de funcionarios del Centro de Procesamiento

• Garantizar la integridad de los recursos informáticos.• Asegurar la utilización adecuada de equipos acorde a

planes y objetivos

CONTROLES DE SISTEMA EN DESARROLLO Y PRODUCCIÓN

EJERCICIOS

MUCHAS GRACIAS !!!PREGUNTAS???