Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Planificación de la auditoria
2
Planificación de la auditoria
Factores
De Riesgos
Reputación
Ejemplo:
Para una empresa de venta al por mayor la reputación es un factor de riesgo
importante para el cual se le puede solicitar información sobre riesgos a los dueños de
los procesos de negocio con un criterio de clasificación de
Alto
Medio
Bajo
4
Planificación de la auditoria
Factores
De Riesgos
Reputación
5
Pasos para planificar una auditoria
Al planificar una auditoria el auditor debe de tener una compresión general del
ambiente bajo revisión
Esto debe incluir un entendimiento general de las diferentes practicas y funciones del
negocio relacionadas al área a auditar así como los tipos de sistemas de información y
tecnologías que soportan los procesos también es necesario conocer el marco
regulatorio que aplica a la entidad
6
7
Para realizar una planificación de auditoria el auditor debe seguir los pasos que se
describen a continuación
Comprender la misión, objetivo, el propósitos y los procesos del negocio incluyendo los
1 requerimientos de información y procesamiento tales como (Disponibilidad, integridad,
seguridad, tecnología y la confidencialidad de la información)
Recolectar la evidencia y
Planificar evaluar las fortalezas y
debilidades de los
Planificar de manera controles existentes.
que se utilicen
adecuadamente los Preparar un informe de
recursos de auditoria.
Preparar
un Informe
Evaluar
riesgos
auditoria para la
Pasos para gerencia con los asuntos
Evaluar todos los riesgos realizar observados y
de las áreas de la
una recomendaciones para su
auditoria
institución. solución.
Desarrollar un programa
de auditora. Recolectar
Desarrollar
un
Evidencia
programa
9
Realización del entendimiento
Evaluación de riesgos
Revisión preliminar
Un programa de auditoria es un
Evaluación del área
conjunto de procedimientos
estructurados paso a paso que
deben realizarse para completar Pruebas de cumplimiento
una auditoria.
Pruebas Sustantivas
Redacción de informes
Seguimiento
10
Pasos para logar la comprensión del negocio
Los pasos que la auditoria de sistemas podría realizar para lograr la comprensión del
negocio incluyen:
11
Pasos para logar la comprensión del negocio
12
Control Interno
Actualmente, la información y la tecnología son consideradas como activos valiosos dentro de
las organizaciones, ya que las decisiones apropiadas que tomen los directivos se basan en
datos precisos y veraces.
Para lograr una administración efectiva, se debe tener un conocimiento suficiente sobre los
riesgos que implica la tecnología de la información, para poder aplicar los controles necesarios
dentro de la organización.
Es en este contexto que es ineludible contar con un ambiente de control conveniente, en donde
exista un marco de control interno que regule y asegure procesos internos eficaces, así como
las debidas políticas y procedimientos organizacionales, en donde todos los miembros de la
empresa que operan los sistemas informáticos sean partícipes de sus deberes y
responsabilidades de forma que, sean sus acciones las más adecuadas para la obtención
conjunta de los objetivos organizacionales.
13
CONTROL INTERNO INFORMATICO
El control interno informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o la dirección informática, así como los requerimientos legales.
La función del control interno informático es asegurarse de que las medidas que se obtienen
de los mecanismos implantados por cada responsable sean correctas y válidas.
Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.
14
CONTROL INTERNO INFORMATICO
15
Principales funciones del Control Interno Informático
Cumplimiento de
diferentes
Controles sobre la
procedimientos ,
producción diaria
normas y conrtroles
dictados
16
CONTROL INTERNO INFORMATICO
Objetivos Principales
Normas y procedimientos
Medidas tecnológicas
implantadas
Formación y Mentalización
18
CONTROL INTERNO
El control, según la metodología COBIT se define como: “Las Políticas, Procedimientos,
Prácticas y Estructura Organizacional, diseñadas para proveer una razonable seguridad
de que los objetivos del negocio serán alcanzados y los eventos indeseados serán
prevenidos o detectados y corregidos.
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
19
CONTROL INTERNO
20
Diferencia y similitudes Control interno y Auditoria TI
21
Controles Internos
Políticas Procedimientos
Estructuras
Practicas Organizacionales
22
Controles Internos
23
TIPOS DE CONTROLES
Controles Preventivos: Se implementan para tratar de evitar la producción de errores o
hechos fraudulentos.
Ejemplo:
El software de seguridad que evita el acceso a personal no autorizado.
Controles Defectivos: Trata de descubrir errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
Cuando fallas los preventivos, estos permiten conocer cuanto antes del evento.
Ejemplo:
El registro de intentos no autorizados.
Controles Correctivos: Tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
Ejemplo:
Procedimiento de respaldo
Procedimientos de Backup 24
TIPOS DE CONTROLES Preventivos
A continuación veremos algunos tipos de controles preventivos y una breve descripción
de a función de cada control .
Sistemas de seguridad lógica :
La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de los
datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios
a la información.
Consiste en aplicar defensas y asegurar procedimientos para resguardar el acceso a los
datos, de tal manera que sólo las personas con autorización puedan acceder a ellos.
La evaluación se debe realizar en los siguientes controles:
Restricción del acceso a los programas y archivos.
Identificación y autentificación. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema;
y Autenticación a la verificación que realiza el sistema sobre esta identificación.
Definición de roles de usuario, donde se agrupan los derechos de acceso de acuerdo con el rol de los usuarios.
Control de las transacciones, a través de accesos autorizados.
Limitaciones a los servicios, existencia de restricciones para utilización de aplicaciones, ya sean establecidas por el
administrador del sistema o por las propiedades preestablecidas de la aplicación.
25
TIPOS DE CONTROLES Preventivos
Controles de validación y razonabilidad :
Los controles de validación detectan los errores cometidos al ingresar información a un
sistema. Los controles de razonabilidad verifican si el contenido de un campo ingresado
corresponde a un rango determinado.
Segregación de funciones:
26
TIPOS DE CONTROLES Detectivos
Pistas de auditoría :
Una pista de auditoría es una lista de entradas de auditoría, que describen la vida útil de un
objeto, archivos o eventos. Es una serie de registros sobre las actividades del sistema, de
procesos o aplicaciones y de los usuarios del sistema e incluye información suficiente para
determinar los eventos que han ocurrido en un sistema y quién o qué los disparó.
Informes de excepción :
Los informes de excepción destacan las desviaciones en las operaciones normales de un
sistema. Un informe de excepción tiene como finalidad avisar de los comportamientos
anormales o desencadenar una acción determinada cuando se presentan, es decir, es un
sistema de alerta o alarma, al realizar comprobaciones de la información captada con un
estándar. Estos informes de excepción serán útiles si el estándar escogido es apropiado y
si la desviación frente a él recoge realmente la excepción que ha de desencadenar la
acción correctora.
27
TIPOS DE CONTROLES Detectivos
Técnicas de backup y de recuperación:
28
TIPOS DE CONTROLES Correctivos
Restauración de ficheros:
Cuando los eventos indeseables ya han sucedido y si se han seguido con las políticas
de respaldo y recuperación, se dispondrá de copias de seguridad de los archivos
importantes para la organización.
29
Controles Generales
Los controles generales tienen como fin el asegurar las operaciones de la organización y su
continuidad apropiada. Básicamente, se fundamentan en la estructura, políticas y
procedimientos que se aplican a las operaciones del sistema informático de toda la
organización.
Estos controles preparan el entorno adecuado para que operen con seguridad los sistemas de
aplicación.
El objetivo final de los controles generales es suministrar un nivel razonable de seguridad
sobre el logro de los objetivos globales del control interno: efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.
30
Controles Generales
Controles de organización y administración:
Se refiere a las políticas, procedimientos y estructura organizacional establecidos para
organizar las responsabilidades de todos los involucrados en las actividades relacionadas al
área de informática.
Controles de software:
Estos controles permiten restringir y supervisar el acceso a personal autorizado a los
programas y archivos críticos para el sistema y que el software (sistema operativo) se adquiere
o desarrolla de manera autorizada y eficiente
Controles de acceso:
Los controles de acceso limitan o detectan el acceso a recursos, tales como datos, programas,
equipamientos e instalaciones, protegiéndolos contra modificaciones no autorizadas, pérdida y
divulgación de información confidencial.
Mesa de Control
Passwords
Depuración de
programas
Nota: Los controles Plan de contingencia