clase3 auditoria de sistemas
TRANSCRIPT
AuditoríaDe
SistemasDesign by Jorge Gálvez23 Febrero 2014
Design by Jorge Gálvez
Donde hay una empresa de éxito, alguien tomó alguna vez una decisión valiente.
Peter Druker. (Abogado Austríaco)
Design by Jorge Gálvez
Controles Internos de las Tecnología de Información
Para José Dagoberto Pinilla el Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.
El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.
Design by Jorge Gálvez
La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. (Misión)
Control interno informático suele ser un equipo de trabajo derivado de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.
El auditor debe asegurarse que los controles internos diseñados por la institución, mitiguen en gran medida los riesgos residuales obtenidos en el análisis de riesgos, siendo factible y con menor inversión la administración de éstos, valor agregado que podrá denotar el auditor de TIC’s.
Design by Jorge Gálvez
La evaluación de Control Interno aporta a la entidad elementos de medición de la gestión informática y de la cultura informática; al área de TIC´s le brinda indicadores de satisfacción de usuarios, tanto por las aplicaciones, como por el nivel de servicio que proporciona de la seguridad lógica y administración de plataformas tecnológicas, que los alerta sobre las posibles fallas de seguridad y le brinda retroalimentación sobre políticas y medidas de control, que podrían mejorar el funcionamiento de los equipos.
Esta revisión permite a la alta gerencia reforzar el área para que cumpla sus objetivos y soporte, las estrategias del negocio, y de igual forma brinda la oportunidad de definir acciones preventivas y adoptar alternativas de mejora continua de sus servicios.
Design by Jorge Gálvez
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:• Controles Manuales: Aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.• Controles Automáticos: Son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
De estos podemos destacar 5 tipos esenciales de controles:1. Controles Directivos2. Controles Preventivos3. Controles Detectores4. Controles Correctivos5. Controles de Recuperación
Design by Jorge Gálvez
Controles Directivos: Son todos aquellos procedimientos, estructuras funcionales, directivas, políticas y normas estratégicas, emanadas desde la gerencia general de la organización a efectos de delimitar la gestión estratégica de la organización y que dicha gestión esté en sintonía de los objetivos de la empresa.
Controles Preventivos: Son procedimientos administrativos ya sea manuales o automatizados destinados a prevenir antes de que ocurran o se materialicen riesgos que pueden afectar la seguridad física y lógica de las áreas; impactando negativamente en la continuidad de las operaciones del negocio.
Design by Jorge Gálvez
Controles Detectores: Son todos aquellos procedimientos administrativos orientados a detectar la ocurrencia o materialización, de los riesgos o acciones indeseadas que pueden afectar la seguridad física o lógica de las áreas, impactando negativamente en el que hacer del negocio.
Controles Correctivos: Son todos aquellos procedimientos administrativos orientados a corregir o restaurar un objeto que haya sufrido la ocurrencia o materialización de algún riesgo, es decir fue vulnerado o violentado, afectando su funcionamiento optimo y en ocasiones inhabilitándolo del los procesos de negocio.
Design by Jorge Gálvez
Controles de Recuperación: Son todos aquellos procedimientos administrativos orientados a recuperar la capacidad de operación, servicio y gestión de negocio como producto de una materialización de alguna vulnerabilidad o caída de sistemas . Por lo cual su foco de atención es minimizar el daño colateral de esa materialización para el negocio.
El auditor debe asegurarse que el control interno haya sido implementado, monitoreando periódicamente esto con el fin de ser una medida preventiva, que permita anticiparse a situaciones que pongan en peligro la información o la continuidad de las operaciones de organización. O identificar a tiempo oportunidades de mejora o desviaciones de las estrategias TIC´s implementadas.
Design by Jorge Gálvez
Preguntas , Respuestas y Comentarios.