CONTROLES DE AUDITORIA

Introducción.- La naturaleza especializada de la auditoría de los sistemas de información y las

habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la

promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la

revisión y evaluación de todos los aspectos de procesamiento de la información.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla

desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Consta de:

1. Evaluación de los Sistemas

Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos,

documentación, redundancia, organización de archivos, estándares de programación,

controles, utilización de los sistemas).

Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

Seguridad física y lógica de los sistemas, su confidencialidad y respaldos

2. Evaluación de los equipos

Capacidades

Utilización

Nuevos Proyectos

Seguridad física y lógica

Evaluación física y lógica

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los

siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalación

2.- Controles de Organización y Planificación

3.- Controles de Sistemas en Desarrollo y Producción

4.- Controles de Procesamiento

5.- Controles de Operación

6.- Controles de uso de Microcomputadores

1) Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de

computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de

que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra

alternativa.

Garantizar la selección adecuada de equipos y sistemas de computación

Asegurar la elaboración de un plan de actividades previo a la instalación

Acciones a seguir:

Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software

y servicios de computación, incluyendo un estudio costo-beneficio.

Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e

instalación

Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el

mismo que debe contar con la aprobación de los proveedores del equipo.

Elaborar un instructivo con procedimientos a seguir para la selección y adquisición de

equipos, programas y servicios computacionales. Este proceso debe enmarcarse en normas y

disposiciones legales.

Efectuar las acciones necesarias para una mayor participación de proveedores.

Asegurar respaldo de mantenimiento y asistencia técnica.

EL PROCESO DE AUDITORIA EN LOS SISTEMAS DE LA INFORMACIÓN

El proceso de auditoria en cualquier área siempre corresponderá a un tipo de proceso y actividad

altamente especializado y para cuyo desempeño serán necesarias la adquisición de un amplio

conjunto de conocimientos además del desarrollo de habilidades obligatorias y aptitudes

personales para el trato directo con profesionales de diferentes ámbitos.

Por definición, La auditoria de los sistemas de información será aquella auditoria que abarca la

revisión y evaluación de todos los aspectos de procesamiento de la información

A partir de la información recolectada mediante el contacto con los usuarios, administradores,

propietarios y custodios de la información, se especificará un programa de trabajo, incluyendo

planificación de tareas, definición de presupuestos, asignación de tareas e información adicional

o nuevas rondas de entrevistas que se solicitarán al cliente, en caso de ser necesaria una mayor

cantidad de información

Otro grupo de controles o tareas a llevar a cabo serán los orientados a supervisar la organización

y la planificación de actividades, estudiando para esto las funciones, líneas de autoridad y

responsabilidades de los diferentes elementos integrados en el área sometida a estudio.

CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN

CONTROL

Introducción

El control ha sido definido bajo dos grandes perspectivas, una perspectiva limitada

y una perspectiva amplia. Desde la perspectiva limitada, el control se concibe como

la verificación a posteriori de los resultados conseguidos en el seguimiento de los

objetivos planteados y el control de gastos invertido en el proceso realizado por los

niveles directivos donde la estandarización en términos cuantitativos, forma parte

central de la acción de control.

Bajo la perspectiva amplia, el control es concebido como una actividad no sólo a

nivel directivo, sino de todos los niveles y miembros de la entidad, orientando a la

organización hacia el cumplimiento de los objetivos propuestos bajo mecanismos de

medición cualitativos y cuantitativos.

2. Definición de control

El concepto de control es muy general y puede ser utilizado en el contexto

organizacional para evaluar el desempeño general frente a un plan estratégico.

La palabra control tiene muchas connotaciones y su significado depende de la

función o del área en que se aplique; puede ser entendida:

Como la función restrictiva de un sistema para mantener a los participantes dentro

de los patrones deseados y evitar cualquier desvío. Es el caso del control de

frecuencia y expediente del personal para evitar posibles abusos. Hay una imagen

popular según la cual la palabra control está asociada a un aspecto negativo,

principalmente cuando en las organizaciones y en la sociedad es interpretada en el

sentido de restricción, coerción, limitación, dirección, refuerzo, manipulación e

inhibición.

También hay otras connotaciones para la palabra control:

Comprobar o verificar;

Regular;

Comparar con un patrón;

Ejercer autoridad sobre alguien (dirigir o mandar);

Frenar o impedir.

Evidentemente todas esas definiciones representan concepciones incompletas del

control, quizás definidas en un modo subjetivo y de aplicación; en definitiva, debe

entenderse el control como:

CONTROLES DE ORGANIZACIÓN Y PLANIFICACIÓN

Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de

las diferentes unidades del área PAD, en labores tales como:

1. Diseñar un sistema

2. Elaborar los programas

3. Operar el sistema

4. Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Es importante la utilización óptima de recursos en el PAD mediante la preparación

de planes a ser evaluados continuamente

Acciones a seguir

La unidad informática debe estar al mas alto nivel de la pirámide

administrativa de manera que cumpla con sus objetivos, cuente con el

apoyo necesario y la dirección efectiva.

Las funciones de operación, programación y diseño de sistemas deben

estar claramente delimitadas.

Deben existir mecanismos necesarios a fin de asegurar que los

programadores y analistas no tengan acceso a la operación del computador

y los operadores a su vez no conozcan la documentación de programas y

sistemas.

Debe existir una unidad de control de calidad, tanto de datos de entrada

como de los resultados del procesamiento.

El manejo y custodia de dispositivos y archivos magnéticos deben estar

expresamente definidos por escrito.

Las actividades del PAD deben obedecer a planificaciones a corto, mediano

y largo plazo sujetos a evaluación y ajustes periódicos "Plan Maestro de

Informática"

Debe existir una participación efectiva de directivos, usuarios y personal

del PAD en la planificación y evaluación del cumplimiento del plan.

Las instrucciones deben impartirse por escrito.

La planificación proporciona estándares (indicadores) de control contra los cuales

puede medirse el desempeño. Si existe una desviación significativa entre el

desempeño real y el planeado, puede tomarse una acción correctiva. Un ejemplo

claro de los planes empleados como estándares de control se pueden encontrar en los

presupuestos.

Fase de control. Monitorización del trabajo realizado analizando cómo el

progreso difiere de lo planificado e iniciando las acciones correctivas que sean

necesarias. Incluye también el liderazgo, proporcionando directrices a los

recursos humanos, subordinados (incluso subcontratados) para que hagan su

trabajo de forma efectiva y a tiempo.

Los periodos generales de duración los podemos ver a continuación:

Estas etapas citadas presentan, sin embargo, características bastante diferentes

según se trate de proyectos internos o de proyectos externos. Las principales

diferencias aparecen en la etapa de planificación. En el proyecto externo existen un

conjunto de acciones que se relacionan con la necesidad de presentar una oferta al

cliente y lograr la adjudicación del contrato en competencia con otras empresas o

personas.

Acciones a seguir mediante el Control.-

La unidad informática debe estar al mas alto nivel de la pirámide administrativa

de manera que cumpla con sus objetivos, cuente con el apoyo necesario y la

dirección efectiva.

Las funciones de operación, programación y diseño de sistemas deben estar

claramente delimitadas.

Deben existir mecanismos necesarios a fin de asegurar que los programadores y

analistas no tengan acceso a la operación del computador y los operadores a su

vez no conozcan la documentación de programas y sistemas.

Debe existir una unidad de control de calidad, tanto de datos de entrada como de

los resultado del procesamiento.

El manejo y custodia de dispositivos y archivos magnéticos deben estar

expresamente definidos por escrito.

Las actividades del PAD deben obedecer a planificaciones a corto, mediano y

largo plazo sujetos a evaluación y ajustes periódicos “Plan Maestro de

Informática”

Debe existir una participación efectiva de directivos, usuarios y personal del

PAD en la planificación y evaluación del cumplimiento del plan.

Las instrucciones deben impartirse por escrito.

Control de la Organización y Planificación

Una vez determinado el alcance de la ITSCM, analizados los riesgos y

vulnerabilidades y definidas unas estrategias de prevención y recuperación es

necesario asignar y organizar los recursos necesarios. Con ese objetivo la Gestión de

la Continuidad del Servicio debe elaborar una serie de documentos entre los que se

incluyen:

Plan de prevención de riesgos.

Plan de gestión de emergencias.

Plan de recuperación.

Plan de prevención de riesgos

Cuyo objetivo principal es el de evitar o minimizar el impacto de un desastre en la

infraestructura TI.

Entre las medidas habituales se encuentran:

Almacenamiento de datos distribuidos.

Sistemas de alimentación eléctrica de soporte.

Políticas de back-ups.

Duplicación de sistemas críticos.

Sistemas de seguridad pasivos.

Plan de gestión de emergencias

Las crisis suelen provocar "reacciones de pánico" que pueden ser contraproducentes

y a veces incluso más dañinas que las provocadas por el incidente que las causo. Por

ello es imprescindible que en caso de situación de emergencia estén claramente

determinadas las responsabilidades y funciones del personal así como los protocolos

de acción correspondientes.

En principio los planes de gestión de emergencias deben tomar en cuenta aspectos

tales como:

Evaluación del impacto de la contingencia en la infraestructura TI.

Asignación de funciones de emergencia al personal de servicio TI.

Comunicación a los usuarios y clientes de una grave interrupción o

degradación del servicio.

Procedimientos de contacto y colaboración con los proveedores involucrados.

Protocolos para la puesta en marcha del plan de recuperación

correspondiente.

Plan de recuperación

Cuando la interrupción del servicio es inevitable llego el momento de poner en

marcha los procedimientos de recuperación.

El plan de recuperación debe incluir todo lo necesario para:

Reorganizar al personal involucrado.

Reestablecer los sistemas de hardware y software necesarios.

Recuperar los datos y reiniciar el servicio TI.

Los procedimientos de recuperación pueden depender de la importancia de la

contingencia y de la opción de recuperación asociada ("cold o hot stand-by"), pero en

general involucran:

Asignación de personal y recursos.

Instalaciones y hardware alternativos.

Planes de seguridad que garanticen la integridad de los datos.

Procedimientos de recuperación de datos.

Contratos de colaboración con otras organizaciones.

Protocolos de comunicación con los clientes.

Cuando se pone en marcha un plan de recuperación no hay espacio para la

improvisación, cualquier decisión puede tener graves consecuencias tanto en la

percepción que de nosotros tengan nuestros clientes como en los costes asociados al

proceso.