2 Contro interno y auditoria informatica

•

SIN SIGLA

Deimer Mejia

17/6/2024

¡Este material tiene más páginas!

Vista previa del material en texto

2. Control interno y Auditoria Informática 1
M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS
CARRERA DE AUDITORIA
AUDITORIA DE SISTEMAS INFORMATICOS
2
Tradicionalmente en materia de control
interno se adoptaba un enfoque limitado a
los controles contables internos.
Se han experimentado escándalos
relacionados con errores en el
otorgamiento de créditos con garantía de
inmuebles inexistentes o sobrevalorados,
la manipulación de información financiera,
operaciones bursátiles realizadas con
información privilegiada y otros fallos de
los controles que han afectado a las
empresas.
3
Por ello hay cambios en las empresas que
comprometen los controles internos existentes:
La reestructuración de los procesos
empresariales (BPR – Bussines Process Re-
enginieering).
La gestión de la calidad total (TQM-Total
Quality Management).
El redimensionamiento por reducción y/o
aumento del tamaño hasta el nivel correcto.
La contratación externa (outsourcing).
La descentralización.
4
Un Centro de Procesamiento de Datos
(CPD) de una empresa suele tener una
importancia crucial por soportar los
sistemas de información del negocio, por el
volumen de recursos y costos de TI,
mantenimiento, ataques.
Por lo tanto, aumenta las necesidades de
control interno y auditoría.
5
6
Han sido desarrollados para proveer
una garantía razonable de que los
objetivos del negocio serán alcanzados
y que se previenen o detectarán y
corregirán los casos de riesgo no
deseados.
Los controles internos tales como las
políticas, procedimientos, prácticas y
estructuras organizativas son
desarrollados y/o diseñados.
CONTROL INTERNO
7
Es una herramienta enfocada a la adecuada
gestión de las Tecnologías de Información.
Muchos de los problemas informáticos se
originan dentro de la misma empresa.
Por ello es cada vez más necesario un
completo análisis del tráfico de:
Los correos electrónicos corporativos;
Las páginas web que se visitan desde
los ordenadores de la empresa.
CONTROL INTERNO INFORMATICO
8
¿Cuántas veces uno se queja en la
oficina por lo lenta que está la
conexión a Internet?
Es bastante común que este problema
tenga que ver con el uso indiscriminado
que se hace de la web dentro de la
empresa. El uso de Internet para fines
personales en horario de oficina es una
práctica muy difundida en todo el mundo.
Vigilar……… el acceso a Internet
9
Las empresas tratan de controlarlo cada vez
más, porque repercute en sus costos y en
el menor tiempo que los empleados
trabajan. Y esto sin tener en cuenta los
riesgos informáticos que implica la
navegación por sitios poco seguros.

Internet no puede ser de libre uso
dentro de la empresa!!!
10
Los motivos son diversos, y tienen que ver
con el costo que representa:
El servicio de banda ancha;
La baja en la productividad laboral de
aquellos que navegan varias horas por día;
El riesgo de recibir cadenas de e-mails con
virus o navegar por sitios inseguros;
El peligro de que un empleado envíe
información confidencial, e incluso con el
impacto en la imagen de la compañía si
algún empleado envía mensajes racistas o
agresivos desde su e-mail corporativo.
http://bp3.blogger.com/_QRAUBADVP_g/Rxe4eWC1vxI/AAAAAAAAAEg/eQ3WlcxMu_s/s1600-h/SpamInACan.jpg
11
Las empresas ven que están perdiendo
capacidad de trabajo y de producción
porque la gente abusa de Internet, y ése es
un costo!!!
“Si una compañía tiene que recibir
información de archivos financieros que
proveen los clientes para procesar, y el
ancho de banda está estancado porque hay
gente descargando, va a tener un impacto
operativo y económico”.
12
Entre las medidas que se debe adoptar es:
Limitar el acceso, mediante filtros,
bloqueo de webmails, chats o de algunos
sitios en particular.
Limitar visitas a sitios que tengan que ver
con palabras relacionadas con deporte o
sexo.
Evitar el acceso a páginas pornográficas,
adoptando filtros estrictos que impidan
realizar búsquedas de sitios con palabras
como “sexo”.
13
Un segundo mecanismo que
se utiliza es el de no limitar
el acceso pero en cambio
vigilar quiénes son los que
más navegan. “No se puede
monitorear a todos, pero lo
que sí se hace es establecer
un ranking de los 20 o 40
empleados que más están
en Internet. Y se monitorea
por qué sitios anduvieron”
http://go2.wordpress.com/?id=725X1342&site=mlarracuente.wordpress.com&url=http://www.bifsniff.com/&sref=http://mlarracuente.wordpress.com/2007/04/25/%C2%BFdeberan-las-companias-monitorear-el-e-mail-de-sus-empleados/
14
En general, a los empleados no les alegra
saber que se les ha restringido el acceso o
que están siendo vigilados, si es que logran
enterarse.
Las empresas instalan programas de control
y de vigilancia en las computadoras sin
informarles. “La gente que tiene algún tipo
de experiencia con regulaciones o que
percibe la necesidad de controlar. Entienden
la necesidad y el riesgo”.
http://bp3.blogger.com/_QRAUBADVP_g/RxZvSmC1vrI/AAAAAAAAADw/2ElOfVr7m2w/s1600-h/trabajoduro.JPG
15
En nuestro País recién empieza a difundirse
entre las organizaciones el control del
acceso a Internet, existe un problema más
grave y es el de aplicar controles que sean
ineficientes.
“Muchas empresas dicen que adoptan medidas
de control, y cuando uno prueba estas normas,
se encuentra con que en realidad se trata de un
control mal hecho”
16
C.I.I. controla
diariamente que todas las
actividades de SI sean
realizadas cumpliendo los
procedimientos,
estándares y normas
fijados por la Dirección
de la Organización y/o
Dirección de Informática,
así como los
requerimientos legales.
17
La misión de C.I.I.
es asegurarse de
que las medidas
que se obtienen de
los mecanismos
implantados por
cada responsable
sean correctas y
válidas.
18
Los objetivos del control interno son
declaraciones del resultado deseado o del
propósito a ser alcanzado implementando
procedimientos de control en una
actividad en particular.
En otras palabras, control es el medio por
el cual se alcanzan los objetivos de
control.
OBJETIVOS DEL CONTROL INTERNO
19
Un objetivo de control de TI se define
como una declaración del resultado o
propósito que se desea alcanzar
mediante la implementación de
procedimientos de control en una
actividad de TI en particular.
OBJETIVOS DE CONTROL EN T.I.
20
Los principales objetivos del proceso de
control interno pueden ser categorizados:
Salvaguarda de los activos (objetivos de
seguridad);
Integridad de los entornos operativos;
Asegurar la eficiencia y la eficacia de las
operaciones;
Cumplimiento con los requerimientos de los
usuarios y con las políticas y procedimientos;
Planes de copias de seguridad;
21
Garantizar la integridad de los entornos
sensitivos y críticos de aplicación del sistema,
incluyendo información contable/financiera y
administrativa a través:
Autorización de información entrante;
Exactitud e integridad del procesamiento
de las transacciones;
Fiabilidad de las actividades generales de
procesamiento de información;
Exactitud, integridad y seguridad de la
información saliente (output);
Integridad de la Base de Datos.
22
Los controles generales de TI son controles
que se aplican a todas las funciones dentro
de una organización:
Estrategia y dirección;
Acceso a datos y programas;
Desarrollo de sistemas y control de
cambios;
Operaciones de procesamiento de datos;
Procedimientos de garantía de calidad;
Controles físicos de acceso;
Planeación de continuidad/recuperación
de desastre del negocio.
PROCEDIMIENTOS DE CONTROL
23
CLASE FUNCION EJEMPLOS

PREVENTIVOS
Tratar de evitar la
producción de errores o
hechos fraudulentos;

Descartar problemas
antes de que surjan;
Monitorear operaciones.
Tratar de predecir;Impedir que ocurra un
error, omisión o acto
malicioso.
software de seguridad que
impida los accesos no
autorizados al sistema;
Controlar el acceso a las
instalaciones fisicas;
Emplear RRHH calificados;
Segregacion de funciones;
Usar documentos bien
diseñados;
Establecer procedimientos
adecuados para autorizar
transacciones;
CLASIFICACION DE CONTROLES
24
CLASE FUNCION EJEMPLOS

DETECTIVOS
Tratar de
conocer cuanto
antes el evento
Controles que
detectan que ha
ocurrido un
error, una
omisión o un
acto malicioso y
lo reportan.
Registro de intentos de
acceso no autorizados;
Puntos de verificación;
Mensajes de error;
Verificacion de los cálculos;
Reportes de cuentas
vencidas;
Controles de eco en
comunicaciones;
Funciones de auditoria
interna
25
CLASE FUNCION EJEMPLOS

CORRECTIVOS
 facilitan la vuelta a la
normalidad cuando se han
producido incidencias;
Minimizar el impacto de una
amenaza;
Remediar problemas
descubiertos por los
controles de deteccion;
Identificar la causa.
Corregir errores que surjan
de un problema.
Modificar el SI, para
minimizar que el problema
ocurra en el futuro.
Recuperación de un
fichero dañado a partir
de las copias de
seguridad;
Planeacion de
contingencias;
Procedimientos de
nueva ejecución de
programa.
26
Para que los controles directos resulten
efectivos, las actividades del depto. TI:
 Los empleados del departamento TI
no realicen funciones imcompatibles;
 Exista supervision de las actividades
del personal de sistemas;
 Se controle la utilización de Software
sensitivo.
MEDIOS DE CONTROL
27
Una efectiva segregación de funciones,
debe ir acompañada de controles de
acceso, o de supervisión de los accesos
otorgados. Estos controles incluyen:
 Manuales de operación y controles
operativos diarios;
 Supervision de usuarios privilegiados;
 Control sobre software sensitivo;
 Controles sobre el desarrollo de sistemas.
CONTROLES OPERATIVOS Depto. TI
28
Este riesgo implica que personas no
autorizadas (empleados o terceros)
puedan tener acceso directo a los
archivos de datos o programas de
aplicación, con fines que puedan
perjudicar a sujetos y en el peor de los
casos a la organización.
ACCESO A DATOS Y PROGRAMAS
29
Una forma de restringir el
acceso en ambientes
computacionales es a
través de identificadores
de usuarios y contraseñas,
utilizando software para:
 Interactuar con
solicitudes de acceso
de los usuarios a
programas o datos;
 Rechazar o permitir el
acceso.
MEDIOS DE CONTROL
30
Se deben tomar en cuenta lo siguiente:
 Administración de passwords;
 Proceso de Log-in;
 Cambio frecuente de password;
 No divulgar el password por fono;
 Uso de los sistemas;
 Control de acceso para uso de datos;
 Separación de usuarios por
prioridades.
SEGURIDAD LOGICA
31
Control físico de
acceso al área de
sistemas:
 Guardia o
recepcionista;
 Tarjeta de
identificación
visible.
SEGURIDAD FISICA
32
Los programadores pueden realizar
cambios incorrectos o no autorizados en
el software de aplicación, lo cual podria
reducir la confiabilidad de la informacion
financiera procesada en el sistema.
CAMBIOS A PROGRAMAS
33
El proceso de modificación en el
software, considera lo siguiente:
 Las solicitudes de modificaciones
deben ser documentadas y
aprobadas por un nivel gerencial
adecuado;
 Los cambios, en primera instancia,
deben ser introducidos en las
versiones de prueba del software y
luego, ser introducidas en versiones
de producción;
34
 Los cambios solo deben ser realizados
por el personal de sistemas o
programadores;
 Los cambios deben ser respaldados por
documentación;
 Las pruebas al software modificado
deben ser realizadas por un equipo de
prueba independiente;
 Llevar un registro de modificaciones;
 Aprobación por parte de la gerencia.
35
Los negocios de la empresa podrían
verse afectados, como consecuencia de
interrupciones en los servicios de
procesamiento de datos, originadas por
desastres u otras contingencias.

Los medios de control para la continuidad
de procesamiento de datos:
CONTINUIDAD DE PROCESAMIENTO
36
 Procedimientos adecuados que
describan su aplicación en caso de
contigencia.
- Historial de problemas relevantes;
- Manejo de interrupciones de proc.;
- Modificaciones de emergencia.
 Mecanismos de seguimiento y control
gerencial;
 Contar con plan de contingencias para
procesos críticos.
37

 Estructura de redes;
 Voz sobre IP (VoIp);
 Redes WirelessLAN;
 Redes WirelessMAN;
 Redes WirelessWAN;
 Topologías de red;
 Cableado estructurado;
 Dispositivos de Networking;
 Telecomunicaciones.
AMBIENTES TECNOLOGICOS