Beruflich Dokumente
Kultur Dokumente
Unidad 2
Control Interno y
Auditoría en Sistemas de Información
1º 7º
Control
El control actúa sobre las personas, cosas, situaciones específicas, fuentes de información y
organizaciones, las cuales requieren con urgencia el diseño de estrategias que le permitan
organizaciones
controlar y corregir los resultados de sus actividades
actividades..
1
03/04/2011
• El control debe ser ejecutado frecuentemente para que permita identificar las
desviaciones a tiempo y poder tomar las acciones correctivas oportunamente.
• Debe ser económico,
económico es decir los beneficios que arroje deben ser
superiores a los costos de implantación y mantenimiento del sistema.
• El control se debe fundamentar en datos verídicos para evitar
apreciaciones subjetivas.
• El proceso de control debe corresponder a una planeación tal, que permita
conocer la magnitud de la acción correctiva necesaria.
• El control debe ser en lo posible,, sencillo, comprensible y adaptativo,
adaptativo y
no debe entorpecer el desarrollo normal de la organización.
organización.
Controles Preventivos
Preventivos::
Son aquellos controles que tienen como propósito evitar la ocurrencia y frecuencia de desviaciones.
Controles Detectivos
Detectivos::
Independientemente de que tan buenos y efectivos sean los controles preventivos, siempre ocurren errores y se
necesitan mecanismos de detección. Los controles detectivos son aquellos que se activan una vez que se
registra la ocurrencia de la desviación y tiene como propósito avisar a las personas involucradas en el
proceso, para que estén vigilantes debido a la existencia de un problema.
Controles Correctivos
Correctivos::
2
03/04/2011
Caso de Estudio:
WorldCom
A Manipulación
N de información
T
financiera.
E
C
E
D
E
N Operaciones
T Fallos de los
bursátiles
E controles.
S beneficiosas.
INFLUENCIAS EXTERNAS
Eliminación de
Diversificación Nuevos Alianzas
Globalización. ramas de
de actividades. productos. estratégicas.
negocio.
3
03/04/2011
INICIATIVAS EMPRESARIALES
BPR: Bussiness
Process Re- TQM: Total Quality
Outsourcing:
engineering Management
Descentralización
Contratación externa.
(Reestructuración de (Gestión de la calidad
Redimensionamiento
los procesos total)
empresariales)
Concienciación
Acción
Proactiva
Reestructuración
Interna
CONTROL INTERNO Y
AUDITORÍA INFORMÁTICA
4
03/04/2011
OBJETIVOS
5
03/04/2011
• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio de
informático.
AUDITORÍA INFORMÁTICA
6
03/04/2011
AUDITORÍA INFORMÁTICA
• El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos
informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo
el uso del software.
• Se encarga de la evaluación de todos aquellos aspectos relacionados con los recursos informáticos de
la organización, como son software, hardware, talento humano, funciones y procedimientos,
enfocados todos ellos desde el punto de vista administrativo, técnico y de seguridad; para prevenir a la
organización de aquellos riesgos originados por omisiones, errores, violaciones, actos mal
intencionados, desastres naturales, etc, asesorando y proporcionando recomendaciones y sugerencias
a nivel directivo para lograr un adecuado control interno en la organización.
AUDITORÍA INFORMÁTICA
OBJETIVOS
FUNCIONES
• Participar en las revisiones durante y después del diseño, realización, implantación y explotación de
aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes.
• Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las
órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante
errores y fraudes.
• Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
información
7
03/04/2011
8
03/04/2011
CONTROL INTERNO:
Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplo: Letrero “No fumar” para salvaguardar las instalaciones. Software de seguridad que impida los accesos no autorizados al
sistema.
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones
omisiones,,
procedimientos de validación.
Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo
necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una
actividad altamente propensa a errores.
Ejemplo: la recuperación de un archivo dañado a partir de las copias de seguridad.
CONTROL INTERNO:
Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo
riesgo, permitiendo cierto margen de violaciones.
Ejemplo: Letrero “No fumar” para salvaguardar las instalaciones. Software de seguridad que impida los accesos no autorizados al
sistema.
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos
ocurridos. Son los mas importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones
omisiones,,
procedimientos de validación.
Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo
necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una
actividad altamente propensa a errores.
Ejemplo: la recuperación de un archivo dañado a partir de las copias de seguridad.
9
03/04/2011
Administración de Sistemas:
Controles sobre la actividad de los centros de datos y funciones de apoyo al sistema, incluyendo la administración
de redes.
Seguridad:
Incluye las tres clases de controles fundamentales implantados en el software del sistema: integridad del sistema,
confidencialidad (control de acceso) y disponibilidad.
10
03/04/2011
La implantación de una política y cultura sobre la seguridad requiere que sea realizada por fases:
POLÍTICA
CULTURA
Dirección de Negocio:
Han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser
internas o externas.
Dirección de Informática:
Ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de Informática
mediante la creación y publicación de procedimientos, estándares, metodología y normas aplicables a todas las áreas de
Informática así como a los usuarios, que establezcan el marco de funcionamiento.
11
03/04/2011
Controles Internos:
• Controles de calidad
12
03/04/2011
Controles Internos:
3. Controles de explotación de SI
• Planificación y gestión de recursos
• Procedimientos de Selección de software, instalación, mantenimiento, seguridad y control de cambios.
• Seguridad física y lógica
• Seguridad física, control de acceso, procedimientos de seguridad, protección contra incendios, etc.
• Corregir y prevenir errores de operación, evitar acciones fraudulentas
• Mantener la confiabilidad
Controles Internos:
4. Controles en aplicaciones
• Entrada
Validación
Corrección de datos
• Tratamiento de datos
Protección de datos (contra modificaciones no deseadas)
Integridad de los datos
• Salida
Resultados correctos
Distribución de salidas
Gestión de errores
13
03/04/2011
Controles Internos:
Controles Internos:
6. Controles de calidad
• Plan general de calidad de mejora continua
• Normas de garantía de calidad vinculadas a las actividades de desarrollo de proyectos y demás actividades de
informática que deben ser realizadas para lograr los objetivos del Plan General de Calidad
14
03/04/2011
Ejemplos de circunstancias que se presentan favorecidas por alguna debilidad del control interno:
• En el mostrador de cualquier negocio, un empleado de despacho podría realizar modificaciones a los precios de
algunos de los artículos, de forma que, por ejemplo, este fuera facturado a la mitad de su precio, favoreciendo a alguien
allegado con quien ha convenido la distribución del beneficio.
• En algunas empresas, ha sucedido que especialistas en sistemas han realizado modificaciones a los programas, de
forma que al efectuar el cálculo de su planilla se incremente su salario por hora o algún otro período, en cantidades que
son de difícil detección para la administración.
15
03/04/2011
BIBLIOGRAFÍA
Auditoría de Tecnologías y Sistemas de información. Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz.
Auditoría Informática – Un enfoque práctico, Mario Piattini Velthuis, Emilio del Peso Navarro.
16