Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Universidad de Buenos Aires Facultad de Ciencias Económicas Facultad de Ciencias Ciencias Económicas Departamento de Sistemas Auditoria y seguridad de los sistemas de información Agosto 2021 Todas las imágenes fueron obtenidas de Google Imágenes 1 1 No todas las cualidades que hay que tener para realizar un buen desarrollo del sistema caen en disciplinas que sean del campo exclusivo de la computación. EXISTE SISTEMA DE INF. AUN CUANDO NO HAYA COMPUTADORAS Temas: Análisis de Riesgos Control Interno en General Control Interno Informático 2 2 No todas las cualidades que hay que tener para realizar un buen desarrollo del sistema caen en disciplinas que sean del campo exclusivo de la computación. EXISTE SISTEMA DE INF. AUN CUANDO NO HAYA COMPUTADORAS Objetivos: Concepto de riesgo y su vinculación con los controles Distinguir diferencias y relaciones entre control interno y auditoría Distinguir diferencias entre control y control interno. Identificar las características del control interno. Diferencias y relación entre control interno informático y auditoria de sistemas 3 3 No todas las cualidades que hay que tener para realizar un buen desarrollo del sistema caen en disciplinas que sean del campo exclusivo de la computación. EXISTE SISTEMA DE INF. AUN CUANDO NO HAYA COMPUTADORAS Riesgo es la posibilidad de que algo desagradable acontezca. Se asocia generalmente a una decisión que conlleva a una exposición o a un tipo de peligro. Los factores que componen el riesgo son la amenaza y la vulnerabilidad. Riesgo –definición- 4 4 Algunas definiciones asociadas al Riesgo Amenaza: Persona o cosa vista como posible fuente de peligro. Vulnerabilidad: situación creada que por falta de controles puede concretarse una amenaza. Riesgo: Probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. Impacto: Evaluación del efecto del riesgo. 5 5 Riesgos- acciones- Podemos: evitarlos, transferirlos, reducirlos asumirlos. 6 6 Clasificación de los riesgos Riesgo inherente: Susceptibilidad de un elemento a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control. Riesgo de control: Riesgo de que los sistemas de control en uso no puedan prevenir o detectar errores o irregularidades significativos en forma oportuna. Riesgo de detección: Riesgo de que a través de la aplicación de procedimientos de auditoria no se descubran errores o irregularidades significativas si las hubiera. 7 7 EVALUACION DE LOS SISTEMAS Análisis de Riesgos - Metodología 1. Cuestionario 2. Identificar riesgos 3. Determinar probabilidad de ocurrencia 4. Calcular impacto 5. Identificar medidas y costo 6. Simulaciones (un Wath if ... para definir un plan de contramedidas). 7. Creación de informes 8 8 VER DE HACER UN SOFTWARE DE ANÁLISIS DE RIESGO. ¿Cómo reducir los riesgos? Los controles son las medidas adoptadas para reducir los riesgos a niveles aceptables 9 9 CONTROLES Definición Consiste en verificar que las actividades que realizan las organizaciones se efectúen como se planeó para corregir cualquier desviación. 10 10 CONTROL INTERNO-Definición s/ COSO* Es un proceso llevado a cabo por personal de distintas áreas de la empresa, diseñado con el objeto de proporcionar un grado razonable de seguridad en cuanto a la consecución de objetivos dentro de las siguientes categorías: Eficacia y eficiencia en las operaciones Fiabilidad de la información financiera Cumplimiento de leyes y normas aplicables 11 *(COSO=Commitee of Sponsoring Organizations of the Treadway Commission-EEUU. Informe publicado en 1992. 11 PROCESO: Es un continuo que se extiende por todas las actividades de la Organización. Esta integrado a los procesos de negocio Apoya la tendencia de búsqueda de calidad. Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse. PERSONAS: Condiciona el accionar ya que determina formas de trabajo. SEGURIDAD RAZONABLE: No total ni definitiva. CONTROL INTERNO –Definición cont.- Conjunto de normas, controles, consideraciones y aspectos a tener en cuenta por el propio ente que los ha de adoptar, cuyo objetivo es: evitar la comisión de errores y fraudes ganar seguridad y confiabilidad en la operatoria de la empresa Sin que ello signifique pérdida de eficiencia operativa 12 12 PROCESO: Es un continuo que se extiende por todas las actividades de la Organización. Esta integrado a los procesos de negocio Apoya la tendencia de búsqueda de calidad. Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse. PERSONAS: Condiciona el accionar ya que determina formas de trabajo. SEGURIDAD RAZONABLE: No total ni definitiva. CONTROL INTERNO –Componentes- (multidireccionales, repetitivos, permanentes, interrelacionados) ENTORNO DE CONTROL EVALUACION DE RIESGOS ACTIVIDADES DE CONTROL INFORMACION Y COMUNICACION SUPERVISION 13 13 PROCESO: Es un continuo que se extiende por todas las actividades de la Organización. Esta integrado a los procesos de negocio Apoya la tendencia de búsqueda de calidad. Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse. PERSONAS: Condiciona el accionar ya que determina formas de trabajo. SEGURIDAD RAZONABLE: No total ni definitiva. Es una actividad PREVENTIVA Y CONTINUA Se debe adaptar ante cambios en el entorno que impliquen cambios en los procedimientos. CONTROL INTERNO Aspectos a resaltar Es preventivo y continuo Unido a los sistemas de la organización Incorporado al diseño de la estructura No es esporádico ni externo Implica eficacia en los procedimientos, eficiencia operativa y seguridad en la información Relación costo/beneficio Flexibilidad 14 14 PROCESO: Es un continuo que se extiende por todas las actividades de la Organización. Esta integrado a los procesos de negocio Apoya la tendencia de búsqueda de calidad. Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse. PERSONAS: Condiciona el accionar ya que determina formas de trabajo. SEGURIDAD RAZONABLE: No total ni definitiva. Preguntas disparadoras para determinar las características del control interno (preventivo, etc.). Por ejemplo preguntar si se pudieron prevenir algunos desfalcos observados (p ej. robo de mercadería). Control interno de los novios (contrato que se basa en la confianza. José Maria Peña dice que lo primero por lo que me paga la DGI es por desconfiar. CONTROL INTERNO-para recordar- El procesamiento electrónico de datos no afecta los objetivos del control interno, pero afecta el enfoque para la evaluación del mismo y el tipo de evidencia de auditoría que se obtiene 15 15 PROCESO: Es un continuo que se extiende por todas las actividades de la Organización. Esta integrado a los procesos de negocio Apoya la tendencia de búsqueda de calidad. Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse. PERSONAS: Condiciona el accionar ya que determina formas de trabajo. SEGURIDAD RAZONABLE: No total ni definitiva. CONTROL INTERNO Normas Generales Formación de un Ambiente de Control Evitar Zonas disputadas y Tierras de nadie Formalizar las operaciones por escrito Niveles de autorización de operaciones Separación de funciones. Control Cruzado Prenumeración de formularios Control de correlatividad numérico / cronológico 16 16 CONTROL INTERNO Normas Generales Análisis de riesgo-conveniencia El sector que ejerce control no debe depender del sector controlado Custodia de los formularios sin usar Importancia de los archivos Rotación de personal en áreas sensibles Evitar rotación interna acelerada Registraciones claras, adecuadas y al día 17 17 CONTROL INTERNO Ambiente de Control-puntos a analizar- Filosofía y estilo de conducción Estructura, reglamentos y manuales Integridad, valores éticos y competencia profesional Documentaciónde políticas Normas de asignación de responsabilidades Normas sobre administración de personal Canales de comunicación 18 18 CONTROL INTERNO Protección de Activos-puntos a analizar- Servicio de vigilancia Protección contra incendio Mantenimiento preventivo Separación de funciones Política de seguros Formularios prenumerados 19 19 CONTROL INTERNO Protección de Activos-puntos a analizar- Depósito total de ingresos monetarios Un cheque por cada egreso Cheques con más de una firma Régimen de autorizaciones 20 20 CONTROL INTERNO Información adecuada-puntos a analizar- Manual de cuentas Sumatoria de información analítica igual a la sintética Uniformidad en las instrucciones Información cruzada Comparación de datos actuales contra históricos 21 21 CONTROL INTERNO Información adecuada-puntos a analizar- Comparación de información propia con la de terceros Información constante Comparación de información real contra pronosticada Formularios prenumerados 22 22 CONTROL INTERNO Eficiencia Operativa-puntos a analizar- Perfil profesional División del trabajo Manuales de funciones Medios materiales y tecnológicos 23 23 CONTROL INTERNO Adhesión a las políticas-puntos a analizar- Manuales de Organización Organigrama Manual de funciones Manual de procedimientos 24 24 CONTROL INTERNO INFORMATICO Definición Es cualquier actividad o acción realizada manual o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos. 25 25 ¿Qué diferencias y similitudes reconoce entre auditoria Informatica y controles internos informaticos. CONTROLES INTERNO INFORMATICO Deben ser: Completos, Simples, Fiables, Revisables, Adecuados Rentables. 26 26 Hay controles que están integrados con el software. CONTROL INTERNO INFORMATICO Clasificación Preventivos. Son medidas anteriores a la entrada al procesamiento. Rechazan los inválidos y obliga a su corrección. Detectivos. Advierten sobre errores ocurridos. Provoca un informe sobre la falla obligando a corregir el procedimiento Correctivos. Comprenden las acciones que permiten a un sistema recuperar su capacidad de procesamiento 27 27 Tipos de Controles Controles Generales. Se enfocan a la organización general del Departamento de Sistemas, a las normas y procedimientos y a las funciones del personal del área. Controles de aplicación. Son interiores de cada sistema y tienen el objetivo de lograr integridad y confiabilidad de la información, mediante la autorización y validación correspondiente. 28 28 Hay controles que están integrados con el software. Ejemplos de Controles Generales Organización del área de sistemas Normas y procedimientos de análisis, programación y operación. Seguridad física y lógica Validez de la información procesada Comunicaciones Continuidad de la operatoria Relación con proveedores externos 29 29 Hay controles que están integrados con el software. Ejemplos de Controles de Aplicación Ingreso/salida de datos Almacenamiento y acumulación de datos Acceso a registros Documentación Resguardo de archivos Mantenimiento de sistemas Seguridad lógica Interfases 30 30 Hay controles que están integrados con el software. 31 31 Hay controles que están integrados con el software. image1.jpeg image2.png image3.jpeg image4.png
Compartir