UNIVERSIDAD NACIONAL PEDRO RUIZ GALLO

AUDITORA INFORMATICA

BERNAL GAMARRA EDWIN JAVIER

GONZALES CHAFLOQUE DANIEL
GONZALES RELUZ SEGUNDO MANUEL
PISFIL CASTRO PAOLO
PORTOCARRERO SAUCEDO CARLOS EMILIO
URUPEQUE SANCHEZ RICHARD STEYNER
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS

Los controles pueden implantarse a varios niveles

diferentes. Es importante llegar a conocer bien la
configuracin del sistema, con el objeto de identificar los
elementos, productos y herramientas que existen para
saber dnde pueden implantarse los controles, as como
para identificar posibles riesgos.
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red,
as como los distintos niveles de control y elementos relacionados:
Entorno de red:
Esquema de la red
Descripcin de la configuracin hardware de comunicaciones
Descripcin del software que se utiliza como acceso a las telecomunicaciones,
Control de red
Consideraciones relativas a la seguridad de la red.
Configuracin del ordenador base:
Configuracin del soporte fsico
Entorno del sistema operativo software con particiones
Bibliotecas de programas
Conjunto de datos

Entorno de aplicaciones:
Procesos de transacciones
Sistemas de gestin de bases de datos
Entornos de procesos distribuidos
Productos y herramientas:
Software para desarrollo de programas
Software de gestin de bibliotecas y para operaciones automticas

Seguridad del ordenador base:

Identificar y verificar usuarios
Control de acceso, registro e informacin
Integridad del sistema
Controles de supervisin
 Para la implantacin de un sistema de controles internos informticas habr que
definir

Gestin de sistemas de informacin: polticas, pautas y normas tcnicas que sirvan de

bas para el diseo y la implantacin de los sistemas de informacin y de los controles
correspondientes.
Administracin de sistemas: contrales sobre la actividad de los centros de datos y otras
funciones de apoyo al sistema, incluyendo la administracin de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software
del sistema, integridad del sistema, confidencialidad ( control de acceso) y disponibilidad.
Gestin del cambio: separacin de las pruebas y la produccin a nivel de
software y controles de procedimientos para la migracin de programas
software aprobados y probados.
La implantacin de una poltica y cultura sobre la seguridad requiere ser realizada por fases y
est respaldada por la Direccin.
Cada funcin juega un papel importante en las distintas etapas:

Direccin del Negocio o Direccin de Sistemas de lnformacin: han de definir la poltica y/o
directrices para los sistemas de informacin en base a las exigencias del negocio.
Direccin de Informtica: han de definir las normas de funcionamiento del entorno
informtico y de cada una de las funciones de informtica mediante la creacin de
procedimientos, estndares, metodologa y normas.
Control Interno Informtico: han de definir los diferentes controles peridicos a realizar en
cada una de las funciones informticas, de acuerdo al nivel de riesgo de cada una de ellas,
y disearlos conforme a los objetivos de negocio y dentro del marco legal aplicable.
 Auditor interno/externa informtico: han de revisar los diferentes controles internos definidos
en cada una de las funciones informticas y el cumplimiento de normativa interna y externa,
conforme a los objetivos definidos por la Direccin de Negocio y la Direccin de Informtica.
Informar a la Alta Direccin de los hechos observados y al detectarse deficiencias o
ausencias de controles recomendarn acciones que minimicen los riesgos que pueden
originarse.
Controles Internos de Sistemas Informticos

Controles generales organizativos

Polticas: debern servir de base para la planificacin, control y evaluacin por la Direccin de
las actividades del Departamento de Informtica.
Planificacin:
- Plan estratgico de informacin: Se definen los procesos corporativos y es realizado por los
por los rganos de la alta direccin de la empresa.

- Plan informtico: Determina los caminos precisos para cubrir las necesidades de la empresa y
es realizados por el departamento de informtica.
 - Plan general de seguridad(fsica y lgico): que garantice la confidencialidad, integridad y
disponibilidad de la informacin.
- Plan de emergencia ante desastres: que garantice la disponibilidad de los sistemas ante eventos

Estndares: que regulen la adquisicin de recursos, el diseo, desarrollo, modificacin y explotacin

ele sistemas.
Procedimientos: que describan la forma y las responsabilidades para regular las relaciones entre el
departamento de informtica y el de los usuarios.
Organizar el departamento de informtica: para asegurar su independencia de los departamentos
de usuarios
 Descripcin de las funciones y responsabilidad dentro del departamento con un clara
separacin de las mismas
Polticas de personal: seleccin, plan de formacin, plan de vacaciones, evaluacin y
promocin.
Asegurar que la direccin revise todos los informes de control y resuelvan las excepciones
que ocurran.
Asegurar que existe una poltica de clasificacin de la informacin para saber dentro de la
Organizacin qu personas estn autorizadas y a qu informacin,
Designar oficialmente la figura de Control Interno informtico y de Auditoria Informtica
Controles de desarrollo, adquisicin y mantenimiento de sistemas de informacin

Para que permitan alcanzar la eficacia del sistema, integridad de los datos, proteccin de los
recursos y cumplimiento con las leyes y regulaciones:
Metodologa del ciclo de vida del desarrollo de sistemas: su empleo podr garantizar a la
alta. Direccin que se alcanzarn los objetivos definidos para el sistema. Estos son algunos
controles que deben existir en la metodologa:
La alta direccin debe publicar una normativa sobre el uso de metodologa de ciclo de vida del
desarrollo de sistemas y revisar sta peridicamente.
La metodologa debe establecer los papeles y responsabilidades de las distintas reas del
Departamento de Informtica y de los usuarios, as como la composicin y responsabilidades del
equipo del proyecto.
Las especificaciones el nuevo sistema deben ser definidas por los usuarios y quedar escritas y
aprobadas antes de que comience el proceso de desarrollo.
Procedimientos para la definicin y documentacin de especificaciones de diseo, de
entrada, de salida, de ficheros, de procesos, de programas, de controles de seguridad, de
pistas de auditora, etc.
Plan de validacin, verificacin y pruebas.
Estndares de prueba de programas, de prueba de sistemas
Debern prepararse manuales de operacin y mantenimiento como parte de todo proyecto
de desarrollo o modificacin de sistemas de Informacin, as como manuales de usuario.
 Explotacin y mantenimiento: el establecimiento de controles asegurar que los datos se
tratan de forma congruente y exacta y que el contenido de sistemas slo ser modificado
mediante autorizacin adecuada. stos son algunos de los controles que se deben
'implantar:

Procedimientos de control de explotacin.

Sistema de contabilidad para asignar a usuarios los costes asociados con la. explotacin de un
sistema de informacin.
Procedimientos para realizar un seguimiento y control de los cambios de un sistema de
informacin.
Controles de explotacin de sistemas de informacin
Planificacin y Gestin de recursos: definir el presupuesto operativo del departamento, plan
de adquisicin de equipos y gestin de la capacidad de los equipos.
Controles para usar, de manera efectiva, los recursos en ordenadores
Procedimientos de seleccin del software del sistema de instalacin, de mantenimiento, de
seguridad y control de cambios
Seguridad fsica y lgica: Control de acceso restringido a los ordenadores, normas que
regulen el .acceso a los recursos informticos, instalacin de medidas de proteccin contra
el fuego.
Controles en aplicaciones
Cada aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin,
validez y mantenimiento completos y exactos de los datos. Las cuestiones ms importantes en el
control de los datos son:
Control de entrada de datos: procedimientos de conversin y de entrada, validacin y
correccin de datos.
Controles de tratamientos de datos para asegurar que no se dan de alta, modifican o borran
datos no autorizados para garantizar la integridad de los mismos mediante procesos no
autorizados.
Controles de salidas de datos: sobre el cuadre y reconciliacin de salidas, procedimientos de
distribucin de salidas, de gestin de errores en fas salidas, etc.
Controles especficos de ciertas tecnologas

Controles en Sistemas de Gestin de Bases de Datos:

El software de gestin de bases de datos para prever el acceso a la estructuracin y el control
sobre los datos
Que estn definidas las responsabilidades sobre la planificacin, organizacin, dotacin y
control de los de datos
Controles sobre el acceso a datos y de concurrencia
Controles para minimizar fallos, recuperar el entorno de las bases de datos
 Controles en informtica distribuida y redes:
Planes adecuados de implantacin, conversin y pruebas de aceptacin para la red
Existencia de un grupo de control de red
Controles para asegurar la compatibilidad del conjunto de datos entre aplicaciones cuando
la red es distribuida
Procedimientos que definan las medidas y controles de seguridad a ser usados en la red de
informtica en conexin con la distribucin del contenido de bases de datos entre los
departamentos que usan la red
Existencia de-inventario de todos los activos de la red
Procedimientos de respaldo del hardware y del software de la red
 Controles sobre ordenadores personales y redes de rea local
Polticas de adquisicin y utilizacin
Normativas y procedimientos: de desarrollo y adquisicin de software de aplicaciones
Procedimientos de control del software contratado bajo licencia
Controles de acceso a redes mediante palabra clave, a travs de ordenadores personales
Revisiones peridicas del uso de los ordenadores personales
Inventario actualizado de todas las aplicaciones de la entidad
Proteccin contra incendios, inundaciones o electricidad esttica
Controles pata evitar la introduccin de un sistema operativo a travs de disquete que pudiera
vulnerar el sistema de seguridad establecido
Controles de calidad
Existencia de un Plan General de Calidad
Esquema de Garanta de Calidad: que se refiera tanto a las actividades de desarrollo de
proyectos, como a las dems actividades de Informtica
Compatibilidad de la revisin de Garanta de Calidad con las normas procedimientos
habituales en las distintas funciones de Informtica
Actualizacin de la Metodologa de Desarrollo de Sistemas respecto a cambios en la
tecnologa
Pruebas Piloto o en Paralelo: la Metodologa de Desarrollo de Sistemas de la entidad debe
definir las circunstancias bajo las cuales efectuarn pruebas piloto o en paralelo de
programas o sistemas.
Documentacin de las Pruebas de Sistemas
Evaluacin del cumplimiento de Garanta de Calidad de las Normas de Desarroll
CONCLUSIONES

El sistema de control interno informtico ser ms eficiente en una organizacin inmersa en

tecnologa cuando se le dote de herramientas modernas de supervisin. Esto ayuda a que la
organizacin logre adecuados niveles de excelencia en la custodia y aprovechamiento de su
informacin.
En el momento en el que las organizaciones adquieren conciencia sobre la necesidad de
aumentar el nivel de control sobre la gestin de sus sistemas de informacin, surge la siguiente
pregunta: pero que es realmente la auditora informtica y cmo puede ayudarme?
A partir de este instante, fa labor del auditor informtico comienza a confluir con la del auditor
financiero, adquiriendo una doble versin de especialista en la definicin de procesos de control
interno en los procesos de negocio y en su aplicacin o anlisis sobre los sistemas de informacin
que los soportan.