Auditoría Informática y Control Interno
Descargar como PPTX, PDF1 recomendación1,982 vistas
El documento describe los conceptos clave de la auditoría informática, incluyendo que es el proceso de recopilar, agrupar y evaluar evidencias para determinar si un sistema salvaguarda los activos, mantiene la integridad de los datos y cumple con las leyes. También describe los objetivos, funciones y tipos de auditoría informática, así como los controles internos que debe verificar un auditor para determinar su cumplimiento y validez.
Auditoría Informática y Control Interno
- 1. Grupo N° 2
- 2. Auditoría Informática ES EL PROCESO DE RECOGER, AGRUPAR Y EVALUAR EVIDENCIAS PARA DETERMINAR SI UN SISTEMA INFORMATIZADO SALVAGUARDA LOS ACTIVOS, MANTIENE LA INTEGRIDAD DE LOS DATOS, LLEVA A CABO EFICAZMENTE LOS FINES DE LA ORGANIZACIÓN, UTILIZA EFICIENTEMENTE LOS RECURSOS, Y CUMPLE CON LAS LEYES Y REGULACIONES ESTABLECIDAS. ESTUDIA LOS MECANISMOS DE CONTROL QUE ESTÁN IMPLANTADOS EN UNA EMPRESA U ORGANIZACIÓN, DETERMINANDO SI LOS MISMOS SON ADECUADOS Y CUMPLEN CON DETERMINADOS OBJETIVOS O ESTRATEGIAS, ESTABLECIENDO LOS CAMBIOS QUE SE DEBERÍAN REALIZAR PARA LA CONSECUCIÓN DE LOS MISMOS.
- 3. Objetivos de la auditoría Informática
- 4. Evalúa y comprueba, los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. En muchos casos ya no es posible verificar manualmente los procedimientos informáticos que resumen, calculan y clasifican datos, por lo que deberá emplear software de auditoría y otras técnicas asistidas por ordenador. Es responsable de revisar e informar a la dirección de la empresa, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Funciones Principales de un Auditor Informático
- 5. Funciones Principales de un Auditor Informático Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. Participar en las revisiones durante y después del diseño, realización, implantación, explotación y cambios importantes de aplicaciones informáticas.
- 7. Es el examen crítico, sistemático y detallado de un sistema de información, realizado por un auditor sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización. Auditoria Externa
- 8. EN LA AUDITORÍA INTERNA EXISTE UN VÍNCULO LABORAL ENTRE EL AUDITOR Y LA EMPRESA, MIENTRAS QUE EN LA AUDITORÍA EXTERNA LA RELACIÓN ES DE TIPO CIVIL. EN LA AUDITORÍA INTERNA EL DIAGNÓSTICO DEL AUDITOR, ESTA DESTINADO PARA LA EMPRESA; EN EL CASO DE LA AUDITORÍA EXTERNA ESTE DICTAMEN SE DESTINA GENERALMENTE PARA TERCERAS PERSONAS O SEA AJENA A LA EMPRESA. LA AUDITORÍA INTERNA ESTÁ INHABILITADA PARA DAR FE PÚBLICA, DEBIDO A SU VINCULACIÓN CONTRACTUAL LABORAL, MIENTRAS LA AUDITORÍA EXTERNA TIENE LA FACULTAD LEGAL DE DAR FE PÚBLICA. Diferencias entre Auditoría Interna y Externa
- 9. Controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales. La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. La función se le asigna a una unidad orgánica perteneciente al staff de la Gerencia de Informática y debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su misión. Control Interno Informático
- 10. Principales Funciones del Control Interno CUMPLIMIENTO DE DIFERENTES PROCEDIMIENTOS, NORMAS Y CONTROLES DICTADOS. CONTROLES SOBRE LA CALIDAD Y EFICIENCIA DEL DESARROLLO Y MANTENIMIENTO DEL SOFTWARE Y DEL SERVICIO INFORMÁTICO. CONTROLES EN LAS REDES DE COMUNICACIONES. CONTROLES SOBRE EL SOFTWARE DE BASE. ASESORAR Y TRANSMITIR CULTURA SOBRE EL RIESGO INFORMÁTICO. LICENCIAS. CONTRATOS CON CONTROLES SOBRE LA PRODUCCIÓN DIARIA.
- 12. • Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles Preventivos.- • Cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles de Detección.- • Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. Controles Correctivos.- Categorías de Controles
- 13. Métodos de Control y Objetivos de Control La relación entre los métodos de control y los objetivos de control puede demostrarse en el siguiente ejemplo. En el que un mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de programas. • Asegurar que las modificaciones de los procedimientos programados estén adecuadamente diseñadas, probadas, aprobadas e implantadas. Objetivo de Control de Mantenimiento • Garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados. Objetivo de Control de Seguridad de Programas
- 14. Auditoría y Control Interno Informático Política de Seguridad Plan de Seguridad Normas y Procedimientos Medidas Tecnológicas Implementadas
- 15. Control Interno para un Sistema de Información AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ. PARA QUE PERMITAN ALCANZAR LA EFICACIA DEL SISTEMA, ECONOMÍA Y EFICIENCIA, INTEGRIDAD DE LOS DATOS, PROTECCIÓN DE LOS RECURSOS Y CUMPLIMIENTO CON LAS LEYES Y REGULACIONES.
- 16. Metodología del Ciclo de Vida del Desarrollo de Sistemas LA ALTA DIRECCIÓN DEBE PUBLICAR UNA NORMATIVA SOBRE EL USO DE METODOLOGÍA DE CICLO DE VIDA DE DESARROLLO DE SISTEMAS Y REVISAR ÉSTA PERIÓDICAMENTE. LA METODOLOGÍA DEBE ESTABLECER LOS PAPELES Y RESPONSABILIDADES DE LAS DISTINTAS ÁREAS DEL DEPARTAMENTO DE INFORMÁTICA Y DE LOS USUARIOS, ASÍ COMO LA COMPOSICIÓN Y RESPONSABILIDADES DEL EQUIPO DEL PROYECTO. LAS ESPECIFICACIONES DEL NUEVO SISTEMA DEBEN SER DEFINIDAS POR LOS USUARIOS Y QUEDAR ESCRITAS Y APROBADAS ANTES DE QUE COMIENCE EL PROCESO DE DESARROLLO. DEBE ESTABLECERSE UN ESTUDIO TECNOLÓGICO DE VIABILIDAD EN EL CUAL SE FORMULEN FORMAS ALTERNATIVAS DE ALCANZAR LOS OBJETIVOS ACOMPAÑADAS DE UN ANÁLISIS COSTO- BENEFICIO DE CADA ALTERNATIVA. CUANDO SE SELECCIONE UNA ALTERNATIVA DEBE FORMULARSE EL PLAN DIRECTOR DEL PROYECTO. EN DICHO PLAN DEBERÁ EXISTIR UNA METODOLOGÍA DE CONTROL DE COSTOS.
- 17. Controles en la Metodología del Desarrollo de Sistemas 1. Procedimientos para la definición y documentación de especificaciones de: diseño, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditoría, etc. 2. Plan de validación, verificación y pruebas. 3. Estándares de prueba de programas, de pruebas de sistemas. 4. Plan de conversión: prueba de aceptación final. 5. Los procedimientos de adquisición de software deberán seguir las políticas de adquisición de la organización y dichos productos deberán ser probados y revisados antes de pagar por ellos y ponerlos en uso. 6. La contratación de outsourcing debe estar justificada mediante una petición escrita de un director del proyecto. 7. Deberán prepararse manuales de operación y mantenimiento como parte de todo proyecto de desarrollo o modificación de sistemas de información, así como manuales de usuario.
- 18. Controles Seguridad Física y Lógica 1. Revisar periódicamente los informes de violaciones y actividad de seguridad para identificar y resolver incidentes. 2. Control de Visitas: personas externas a la organización. Instalación de medidas de protección contra el fuego. 3. Formación y concientización en procedimientos de seguridad y evacuación del edificio. Control de acceso restringido a los ordenadores. Normas que regulen el acceso a los recursos informáticos. 4. Existencia de un plan de contingencias para el respaldo de recursos de ordenador críticos y para la recuperación de los servicios del Dpto. Informático después de una interrupción imprevista de los mismos.
- 19. CONTROL DE ENTRADA DE DATOS: PROCEDIMIENTOS DE CONVERSIÓN Y DE ENTRADA, VALIDACIÓN Y CORRECCIÓN DE DATOS. CONTROLES DE SALIDAS DE DATOS: SOBRE EL CUADRE Y RECONCILIACIÓN DE SALIDAS, PROCEDIMIENTOS DE DISTRIBUCIÓN CONTROL DE TRATAMIENTOS DE DATOS PARA ASEGURAR QUE NO SE DAN DE ALTA, MODIFICAN O BORRAN DATOS NO AUTORIZADOS PARA GARANTIZAR LA INTEGRIDAD DE LOS MISMOS MEDIANTE PROCESOS NO AUTORIZADOS. Controles de Aplicaciones Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, validez y mantenimiento completo y exactos de los datos. Aspectos más importantes en el control de datos:
- 20. Controles en Sistemas de Gestión De Bases de Datos 1. Sobre el software de gestión de BD para prever el acceso a la estructuración de y el control sobre los datos compartidos, deberá instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno. 2. Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de los activos de datos, es decir, un administrador de datos. 3. Que existen procedimientos para la descripción y los cambios de datos así como para el mantenimiento del diccionario de datos. 4. Sobre el acceso de datos y la concurrencia. 5. Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la caída y minimizar el tiempo necesario para la recuperación 6. Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces físicos <<punteros>> asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas.