CONTROL INTERNO Y AUDITORIA INFORMTICA INTRODUCCION

Tradicionalmente en materia de control interno se adoptaba un enfoque bastante restringido limitado a los controles contables internos.Durante el ltimo decenio la prensa ha informado sobre escndalos relacionados con errores en el otorgamiento de crditos con garanta de inmuebles inexistentes o sobrevalorados, la manipulacin de informacin financiera, operaciones burstiles realizadas con informacin privilegiada y otros fallos de los controles que han afectado a las empresas de diferentes sectores.

Por ellos hay cambios en las empresas que comprometen los controles internos existentes: 1. La reestructuracin de los procesos empresariales (BPR Bussines Process Reenginieering). 2. La gestin de la calidad total (TQM-Total Quality Management). 3. El redimensionamiento por reduccin y/o aumento del tamao hasta el nivel correcto. 4. La contratacin externa (outsourcing). 5. La descentralizacin. El mundo en general est cambiando y somete a las empresas a la accin de muchas fuerzas externas tales como la creciente necesidad de acceder a los mercados mundiales la consolidacin industrial, la intensificacin de la competencia y las nuevas tecnologas. 1. 2. 3. 4. 5. 6. 7. Tendencias externas que influyen en las empresas: La globalizacin. La diversificacin de actividades. La eliminacin de ramas de negocio no rentable o antiguas. La introduccin de nuevos productos como respuesta a la competencia. Las fusiones y la formacin de alianzas estratgicas Ante la rapidez de los cambios los directivos toman conciencia que para evitar fallos de control significativos deben reevaluar y reestructurar sus sistemas de controles internos. Deben evaluar de manera PROACTIVA antes de que surjan los problemas, tomando medidas audaces para su tranquilidad, as como para garantizar al consejo de administracin, accionistas, comits y publico, que los controles internos de la empresa estn adecuadamente diseados para hacer frente a los retos del futuro y asegurar la integridad en el momento actual.

Un centro de informtica de una empresa suele tener una importancia crucial por soportar los sistemas de informacin del negocio, por el volumen de recursos y presupuestos que maneja, etc. Por lo tanto aumenta las necesidades de control y auditora, surgiendo en las organizaciones, como medidas organizativas, las figuras de: CONTROL INTERNO Y AUDITORIA INFORMATICOS.

La auditora ha cambiado notablemente en los ltimos aos con el enorme impacto que ha venido obrando las tcnicas informticas en la forma de procesar la informacin para la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informticos devuelve cada vez mas acuciante. Los auditores informticos aportan conocimientos especializados, as como su familiaridad con la tecnologa informtica. Se siguen tratando las mismas cuestiones de control de auditora, pero los especialistas en auditora informtica de sistemas basados en ordenadores prestan ayuda valiosa a la organizacin y a los otros auditores en todo lo relativo a los controles sobre dichos temas. En muchas organizaciones el auditor ha dejado de centrarse en la evaluacin y la comprobacin de resultados de procesos, desplazando su atencin a la evaluacin de riesgos y comprobacin de controles. Muchos de los controles se incorporan en programas de sistemas o se realizan por parte de la funcin informtica de la organizacin, representado por el control interno informtico. El enfoque centrado en controles normalmente exige conocimientos informticos a nivel de la tecnologa utilizada en el rea o la organizacin que se examina.

LAS FUNCIONES DE CONTROL INTERNO Y AUDITORA INFORMTICA CONTROL INTERNO INFORMTICA C.I.I.

Control Interno Informtico C.I.I., controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la Direccin de la Organizacin y/o Direccin de Informtica, as como los requerimientos legales. La misin de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. La funcin se le asigna a una unidad orgnica perteneciente al staff de la Gerencia de Informtica y debe estar dotada de las personas y medios materiales requeridos para el cumplimiento de su misin. En los tratados de auditora se le denomina CONTROL INTERNO INFORMATICO (CII), definicin que a nuestro concepto debe ser reemplazado por el titulo de ADMINISTRACION DE LA SEGURIDAD Y CONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y conceptos actualizados de las funciones especializadas de control y administracin de riesgos.

C.I.I. - PRINCIPALES OBJETIVOS

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria Informtica, as como de las auditorias externas.

Definir , implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico

C.I.I. - PRINCIPALES FUNCIONES

Realizar en los diferentes sistemas (centrales, departamentales, redes locales, Peces, etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:

1. Cumplimiento de diferentes procedimientos, normas y controles dictados. Ejemplo. Control de cambios y versiones de software. 2. Controles sobre la produccin diaria. 3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informtico. 4. Controles en las redes de comunicaciones. 5. Controles sobre el software de base. 6. Controles en los sistemas microinformticos. 7. La seguridad informtica: Usuarios, responsables y perfiles de uso de archivos y bases de datos. Normas de seguridad. Control de informacin clasificada. Control dual de la seguridad informtica. 8. Licencias. 9. Contratos con terceros. 10.Asesorar y transmitir cultura sobre el riesgo informtico. EL AUDITOR INFORMTICO (AI)

Evala y comprueba en determinados momentos del tiempo, los controles y procedimientos informticos ms complejos, desarrollando y aplicando tcnicas mecanizadas de auditoria, incluyendo el uso de software. En muchos casos ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que deber emplear software de auditora y otras tcnicas asistidas por ordenador. Es responsable de revisar e informar a la Direccin de la Empresa, sobre el diseo y funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.

EL AUDITOR INFORMTICO (AI): FUNCIONES PRINCIPALES

Se pueden establecer tres grupos de funciones principales:

1. Participar en las revisiones durante y despus del diseo, realizacin, implantacin y explotacin de aplicaciones informticas, as como en las fases anlogas de realizacin de cambios importantes. 2. Revisar y juzgar controles implantados en los sistemas informticos para verificar su adecuacin a las rdenes e instrucciones de la Direccin, requisitos legales, proteccin de confidencialidad y cobertura ante errores y fraudes. 3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e informacin. CONTROL INTERNO Y AUDITORA INFORMTICOS: CAMPOS ANLOGOS

La evolucin de ambas funciones ha sido espectacular en la ltima dcada. Muchos de los funcionarios de controles internos informticos, fueron auditores. Han recibido formacin enseguridad informtica tras su paso por la formacin en auditora. Hay una similitud de los objetivos profesionales de control y auditora, campos anlogos que propician una transicin natural.

DASYCS AI: ANALOGA

SISTEMA DE CONTROL INFORMTICO DEFINICIN Y TIPOS DE CONTROLES INTERNOS

Se puede definir el control interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Los controles cuando se diseen, desarrollen e implanten han de ser al menos, completos, simples, fiable, revisables, adecuados y rentables. Los controles internos que se utilizan en el entorno informtico continan evolucionando hoy en da a medida que los sistemas informticos se vuelven complejos.

Los progresos que se producen en la tecnologa de soportes fsicos y de software han modificado de manera significativa los procedimientos que se empleaban tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de informacin.

CONTROLES INTERNOS INFORMTICOS: CLASIFICACIN

Controles preventivos.- para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos.- cuando fallan los preventivos, para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. Controles correctivos.- facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

RELACIN EXISTENTE ENTRE LOS MTODOS DE CONTROL, LOS OBJETIVOS DE CONTROL Y LOS OBJETIVOS DE AUDITORA

A medida que los sistemas se han vuelto ms complejos, los controles informticos han evolucionado hasta convertirse en procesos integrados en los que se atenan las diferencias entre las categoras tradicionales de controles informticos. Por ejemplo, en los actuales sistemas informticos puede resultar difcil ver la diferencia entre seguridad de los programas, de los datos y objetivos de control del software del sistema, porque el mismo grupo de mtodos de control satisface casi totalmente los tres objetivos de control. La relacin entre los mtodos de control y los objetivos de control puede demostrarse en el siguiente. Ejemplo, en el que un mismo conjunto de mtodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de programas: Objetivo de control de mantenimiento: asegurar que las modificaciones de los procedimientos programados estn adecuadamente diseadas, probadas, aprobadas e implantadas. Objetivo de Control de seguridad de programas: garantizar que no se puedan efectuar cambios no autorizados en los procedimientos programados.

IMPLANTACIN DE UN SISTEMA DE CONTROL INTERNO INFORMTICO CRITERIO BSICO

Los controles pueden implantarse a varios niveles. La evaluacin de controles de tecnologa de la Informacin exige analizar diversos elementos interdependientes. Por ello es importante conocer bien la configuracin del sistema, para poder identificar los elementos, productos, herramientas que existen para saber donde pueden implantarse los controles, as como para identificar los posibles riesgos.

CONOCER LA CONFIGURACIN DEL SISTEMA

Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados: 1. Entorno de red..- esquema de la red, descripcin de la configuracin de hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soportan las aplicaciones crticas y consideraciones relativas a la seguridad de la red. 2. Configuracin del ordenador base.- configuracin del soporte fsico, entorno del sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y conjunto datos. 3. Entorno de aplicaciones.- procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. 4. Productos y herramientas.- software para desarrollo de programas, software de gestin de bibliotecas y para operaciones automticas. 5. Seguridad del ordenador base.- identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc. PARA LA IMPLANTACIN DE UN SISTEMA DE CONTROL INTERNO INFORMTICO DEBE DEFINIRSE:

Gestin de sistemas de informacin.- poltica, pautas y normas tcnicas que sirvan para el diseo y la implantacin de los sistemas de informacin y de los controles correspondiente. Administracin de sistemas.- controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad.- incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin de cambio.- separacin de las pruebas y la produccin a nivel de software y controles de procedimientos para la migracin de programas software aprobados y probados.

RESPALDO PARA LA IMPLANTACIN DE UNA POLTICA Y CULTURA DE SEGURIDAD

Direccin de Negocio o Direccin de Sistemas de Informacin (S.I).- Define la poltica y/o directrices para los sistemas de informacin en base a las exigencias del negocio, que podrn ser internas o externas. Direccin de Informtica.- Ha de definir las normas de funcionamiento del entorno informtico y de cada una de las funciones de informtica mediante la creacin y publicacin de procedimientos, estndares, metodologa y normas, aplicables a todas las reas de informtica as como a los usuarios, que establezcan el marco de funcionamiento. Control Interno Informtico.- ha de definir los diferentes controles peridicos a realizar en cada una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseados conforme a los objetivos de negocio y dentro del

marco legal aplicable. Estos se plasmarn en los oportunos procedimientos de control interno y podrn ser preventivos o de deteccin. Peridicamente realizar la revisin de controles establecidos de Control Interno Informtico informando las desviaciones a la Direccin de Informtica y sugiriendo cuantos cambios crea convenientes en los controles, as como trasmitir constantemente a toda la organizacin de Informtica la cultura y polticas de riesgo informtico. Auditor interno/externo informtico.- ha de revisar los diferentes controles internos definidos en cada una de las funciones informticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a os objetivos definidos por la Direccin de Negocio y la Direccin de Informtica. Informar a la Alta Direccin de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarn acciones que minimicen los riesgos que puedan originarse. La creacin de un sistema de control informtico es una responsabilidad de la Gerencia y un punto destacable de la poltica en el entorno informtico.

CONTROL INTERNO Y AUDITORA

CONTROLES INTERNOS PARA SISTEMAS DE INFORMACIN AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERAN LOS QUE CONTROL INTERNO INFORMTICO Y AUDITORA INFORMTICA DEBERAN VERIFICAR PARA DETERMINAR SU CUMPLIMIENTO Y VALIDEZ CONTROLES DE DESARROLLO, ADQUISICIN Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Para que permitan alcanzar la eficacia del sistema, economa y eficiencia, integridad de los datos, proteccin de los recursos y cumplimiento con las leyes y regulaciones. Metodologa del ciclo de vida del desarrollo de sistemas. Principales controles: La Alta Direccin debe publicar una normativa sobre el uso de metodologa de ciclo de vida de desarrollo de sistemas y revisar sta peridicamente. La metodologa debe establecer los papeles y responsabilidades de las distintas reas del Departamento de Informtica y de los Usuarios, as como la composicin y responsabilidades del equipo del proyecto. Las especificaciones del nuevo sistema deben ser definidas por los usuarios y quedar escritas y aprobadas antes e que comience el proceso de desarrollo. Debe establecerse un estudio tecnolgico de viabilidad en el cual se formulen formas alternativas de alcanzar los objetivos acompaadas de un anlisis costobeneficio de cada alternativa. Cuando se seleccione una alternativa debe formularse el plan director del proyecto. En dicho plan deber existir una metodologa de control de costos.

CONTROLES EN LA METODOLOGA DE DESARROLLO DE SISTEMAS

Procedimientos para la definicin y documentacin de especificaciones de: diseo, de entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de pistas de auditora, etc. Plan de validacin, verificacin y pruebas.

Estndares de prueba de programas, de pruebas de sistemas. Plan de conversin: prueba de aceptacin final. Los procedimientos de adquisicin de software debern seguir las polticas de adquisicin de la organizacin y dichos productos debern ser probados y revisados antes de pagar por ellos y ponerlos en uso. La contratacin de outsourcing debe estar justificada mediante una peticin escrita de un director del proyecto. Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto de desarrollo o modificacin de sistemas de informacin, as como manuales de usuario.

EXPLOTACIN Y MANTENIMIENTO

El establecimiento de controles asegurar que los datos se traten de forma congruente y exacta y que el contenido de sistemas slo ser modificado mediante autorizacin adecuada. Algunos controles que deben implantarse:

1. Procedimiento de control de explotacin. 2. Sistema de contabilidad para asignar usuarios de costos asociados con la explotacin de un sistema de informacin. 3. Procedimientos para realizar un seguimiento y control de los cambios de un sistema de informacin. CONTROLES DE EXPLOTACIN DE SISTEMAS DE INFORMACIN

Planificacin y Gestin de recurso: definir el presupuesto operativo del Departamento, Plan de adquisicin de equipos y gestin de la capacidad de los equipos. Controles para usar de manera efectiva los recursos en ordenadores: Calendario de carga de trabajo. Programacin de personal. Mantenimiento preventivo del material. Gestin de problemas y cambios. Procedimientos de facturacin a usuarios. Sistemas de gestin de la biblioteca de soportes. Procedimientos de seleccin del software del sistema, de instalacin, de mantenimiento, de seguridad y control de cambios.

1. 2. 3. 4. 5. 6.

SEGURIDAD FSICA Y LGICA

Definir un grupo de seguridad de la informacin, siendo una de sus funciones la administracin y gestin del software de seguridad, revisar peridicamente los

informes de violaciones y actividad de seguridad para identificar y resolver incidentes. Controles fsicos para asegurar que el acceso a las instalaciones del Dpto. de Informtica quede restringido a las personas autorizadas. Control de visitas: personas externas a la organizacin. Instalacin de medidas de proteccin contra el fuego. Formacin y concientizacin en procedimientos de seguridad y evacuacin del edificio. Control de acceso restringido a los ordenadores. Normas que regulen el acceso a los recursos informticos. Existencia de un plan de contingencias para el respaldo de recursos de ordenador crticos y para la recuperacin de los servicios del Dpto. Informtico despus de una interrupcin imprevista de los mismos.

CONTROLES DE APLICACIONES

Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, validez y mantenimiento completos y exactos de los datos. Aspectos ms importantes en el control de datos:

1. Control de entrada de datos: procedimientos de conversin y de entrada, validacin y correccin de datos. 2. Control de tratamientos de datos para asegurar que no se dan de alta, modifican o borran datos no autorizados para garantizar la integridad de los mismos mediante procesos no autorizados. 3. Controles de salidas de datos: sobre el cuadre y reconciliacin de salidas, procedimientos de distribucin de salidas, de gestin de errores en las salidas, etc. CONTROLES ESPECFICOS DE CIERTAS TECNOLOGAS Controles en sistemas de Gestin de Base de datos.

Sobre el software de gestin de BD para preveer el acceso a la estructuracin de y el control sobre los datos compartidos, deber instalarse y mantenerse de modo tal que asegure la integridad del software, las bases de datos y las instrucciones de control que definen el entorno. Que estn definidas las responsabilidades sobre la planificacin, organizacin, dotacin y control de los activos de datos, es decir, un administrador de datos. Que existen procedimientos para la descripcin y los cambios de datos as como para el mantenimiento del diccionario de datos. Sobre el acceso de datos y la concurrencia. Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto de la cada y minimizar el tiempo necesario para la recuperacin Controles para asegurar la integridad de los datos: programas de utilidad para comprobar los enlaces fsicos punteros asociados a los datos, registros de control para mantener los balances transitorios de transacciones para su posterior cuadre con totales generados por el usuario o por otros sistemas.

CONTROLES ESPECFICOS DE CIERTAS TECNOLOGAS

Planes adecuados de implantacin, conversin y pruebas de aceptacin para la red. Existencia de un grupo de control de red. Controles para asegurar la compatibilidad de conjunto de datos entre aplicaciones cuando la red es distribuida. Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de informtica en conexin con la distribucin del contenido de bases de datos entre los departamentos que usan la red. Que se identifiquen todos los conjuntos de datos sensibles de la red y que se han determinado las especificaciones para su seguridad. Existencia de inventario de todos los activos de la red. Existencia de mantenimiento preventivo de todos los activos. Que existen controles que verifican que todos los mensajes de salida se validan de forma rutinaria para asegurar que contienen direcciones de destino vlidas. Controles de seguridad lgica: control de acceso a la red, establecimiento de perfiles de usuario. Procedimientos de cifrado de informacin sensible que se transmite a travs de la red. Procedimientos de cifrado de informacin sensible que se transmite a travs de la red. Procedimientos automticos para resolver cierres del sistema. Monitorizacin para medir la eficiencia de la red. Disear el trazado fsico y las medidas de seguridad de las lneas de comunicacin local dentro de la organizacin. Detectar la correcta o mala recepcin de mensajes. Identificar los mensajes por una clave individual de usuario, por terminal y por el nmero de secuencia del mensaje. Revisar los contratos de mantenimiento y el tiempo medio de servicio acordados con el proveedor. Determinar si el equipo multiplexor/concentrador/procesador frontal remoto tiene lgica redundante y poder de respaldo con realimentacin automtica para casos de fallas. Asegurarse de que haya procedimientos de recuperacin y reinicio. Asegurarse de que existan pistas de auditora que puedan usarse en la reconstruccin de los archivos de datos y de las transacciones de los diversos terminales. Debe existir la capacidad de rastrear los datos entre el terminal y el usuario. Considerar circuitos de conmutacin que usen rutas alternativas para diferentes paquetes de informacin provenientes del mismo mensaje; esto ofrece una forma de seguridad en caso alguien intercepte los mensajes.

FUNCIN CONTROL EN LOS SISTEMAS

Funcin control esparcida en la empresa. Consecuencia del desarrollo empresarial. Especializacin de sus reas con infraestructura tecnolgica.

Decisiones basadas en informacin confiable, adecuado en tiempo y forma. Administracin de empresas apoyada en tecnologa. Persona encargadas de control: cmo hacer para obtener efectividad en sus funciones, si no participan en el desarrollo de los sistemas.Tendencia se invierte con activa participacin de la funcin de control en el desarrollo, implementacin y seguimiento de los sistemas de informtica.