Download - Auditoría Informática y Control Interno
![Page 1: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/1.jpg)
Grupo N° 2
![Page 2: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/2.jpg)
Auditoría Informática
ES EL PROCESO DE RECOGER,AGRUPAR Y EVALUAREVIDENCIAS PARA DETERMINARSI UN SISTEMA INFORMATIZADOSALVAGUARDA LOS ACTIVOS,MANTIENE LA INTEGRIDAD DELOS DATOS, LLEVA A CABOEFICAZMENTE LOS FINES DE LAORGANIZACIÓN, UTILIZAEFICIENTEMENTE LOSRECURSOS, Y CUMPLE CON LASLEYES Y REGULACIONESESTABLECIDAS.
ESTUDIA LOS MECANISMOS DECONTROL QUE ESTÁN IMPLANTADOS ENUNA EMPRESA U ORGANIZACIÓN,DETERMINANDO SI LOS MISMOS SONADECUADOS Y CUMPLEN CONDETERMINADOS OBJETIVOS OESTRATEGIAS, ESTABLECIENDO LOSCAMBIOS QUE SE DEBERÍAN REALIZARPARA LA CONSECUCIÓN DE LOSMISMOS.
![Page 3: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/3.jpg)
Objetivos de la auditoría Informática
![Page 4: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/4.jpg)
Evalúa y comprueba, loscontroles yprocedimientosinformáticos máscomplejos, desarrollando yaplicando técnicasmecanizadas de auditoría,incluyendo el uso desoftware.
En muchos casos ya no esposible verificarmanualmente losprocedimientos informáticosque resumen, calculan yclasifican datos, por lo quedeberá emplear software deauditoría y otras técnicasasistidas por ordenador.
Es responsable de revisare informar a la dirección dela empresa, sobre eldiseño y funcionamientode los controlesimplantados y sobre lafiabilidad de la informaciónsuministrada.
Funciones Principales de un Auditor Informático
![Page 5: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/5.jpg)
Funciones Principales de un Auditor Informático
Revisar y juzgar el nivel de eficacia, utilidad,
fiabilidad y seguridad de los equipos e información.
Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e
instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante
errores y fraudes.
Participar en las revisiones durante y después del diseño,
realización, implantación, explotación y cambios
importantes de aplicaciones informáticas.
![Page 6: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/6.jpg)
Auditoria Interna
![Page 7: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/7.jpg)
Es el examen crítico, sistemático ydetallado de un sistema de información,realizado por un auditor sin vínculoslaborales con la misma, utilizando técnicasdeterminadas y con el objeto de emitir unaopinión independiente sobre la formacomo opera el sistema, el control internodel mismo y formular sugerencias para sumejoramiento.
La Auditoría Externa o Independiente tienepor objeto averiguar la razonabilidad,integridad y autenticidad de los estados,expedientes y documentos y toda aquellainformación producida por los sistemas dela organización.
Auditoria Externa
![Page 8: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/8.jpg)
EN LA AUDITORÍA INTERNAEXISTE UN VÍNCULO LABORALENTRE EL AUDITOR Y LAEMPRESA, MIENTRAS QUE ENLA AUDITORÍA EXTERNA LARELACIÓN ES DE TIPO CIVIL.
EN LA AUDITORÍAINTERNA ELDIAGNÓSTICO DELAUDITOR, ESTADESTINADO PARA LAEMPRESA; EN EL CASODE LA AUDITORÍAEXTERNA ESTEDICTAMEN SE DESTINAGENERALMENTE PARATERCERAS PERSONAS OSEA AJENA A LAEMPRESA.
LA AUDITORÍA INTERNAESTÁ INHABILITADAPARA DAR FE PÚBLICA,DEBIDO A SUVINCULACIÓNCONTRACTUALLABORAL, MIENTRAS LAAUDITORÍA EXTERNATIENE LA FACULTADLEGAL DE DAR FEPÚBLICA.
Diferencias entre Auditoría Interna y Externa
![Page 9: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/9.jpg)
Controla diariamente que todas las actividadesde los sistemas de información sean realizadascumpliendo los procedimientos, estándares ynormas fijados por la dirección de laorganización y/o la dirección informática, asícomo los requerimientos legales.
La misión de C.I.I. es asegurarse de que lasmedidas que se obtienen de los mecanismosimplantados por cada responsable seancorrectas y válidas.
La función se le asigna a una unidad orgánicaperteneciente al staff de la Gerencia deInformática y debe estar dotada de las personasy medios materiales requeridos para elcumplimiento de su misión.
Control Interno Informático
![Page 10: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/10.jpg)
Principales Funciones delControl Interno
CUMPLIMIENTO DE DIFERENTES PROCEDIMIENTOS, NORMAS Y CONTROLES DICTADOS.
CONTROLES SOBRE LA CALIDAD Y EFICIENCIA DEL DESARROLLO Y MANTENIMIENTO DEL SOFTWARE Y DEL SERVICIO INFORMÁTICO.
CONTROLES EN LAS REDES DE COMUNICACIONES.
CONTROLES SOBRE EL SOFTWARE DE BASE.
ASESORAR Y TRANSMITIR CULTURA SOBRE EL RIESGO INFORMÁTICO.
LICENCIAS.
CONTRATOS CON TERCEROS.
CONTROLES SOBRE LA PRODUCCIÓN DIARIA.
![Page 11: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/11.jpg)
Objetivos Principales
![Page 12: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/12.jpg)
• Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
Controles Preventivos.-
• Cuando fallan lospreventivos, paratratar de conocercuanto antes elevento. Por ejemplo,el registro de intentosde acceso noautorizados, elregistro de laactividad diaria paradetectar errores uomisiones, etc.
Controles de Detección.-
• Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Controles Correctivos.-
Categorías de Controles
![Page 13: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/13.jpg)
Métodos de Control y Objetivos de Control
La relación entre los métodos decontrol y los objetivos de controlpuede demostrarse en el siguienteejemplo.
En el que un mismo conjunto de métodosde control se utiliza para satisfacerobjetivos de control tanto demantenimiento como de seguridad deprogramas.
• Asegurar que las modificaciones de losprocedimientos programados esténadecuadamente diseñadas, probadas,aprobadas e implantadas.
Objetivo de Control de Mantenimiento
• Garantizar que no se puedan efectuarcambios no autorizados en losprocedimientos programados.
Objetivo de Control de Seguridad de
Programas
![Page 14: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/14.jpg)
Auditoría y Control InternoInformático
Política de Seguridad
Plan de Seguridad
Normas y Procedimientos
Medidas Tecnológicas Implementadas
![Page 15: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/15.jpg)
Control Interno para un Sistema de Información
AGRUPADOS POR SECCIONES FUNCIONALES Y QUE SERÍAN LOS QUE CONTROL
INTERNO INFORMÁTICO Y AUDITORÍA INFORMÁTICA DEBERÍAN VERIFICAR PARA
DETERMINAR SU CUMPLIMIENTO Y VALIDEZ.
PARA QUE PERMITAN ALCANZAR LA EFICACIA DEL SISTEMA, ECONOMÍA Y
EFICIENCIA, INTEGRIDAD DE LOS DATOS, PROTECCIÓN DE LOS RECURSOS Y
CUMPLIMIENTO CON LAS LEYES Y REGULACIONES.
![Page 16: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/16.jpg)
Metodología del Ciclo de Vida del Desarrollo de Sistemas
LA ALTA DIRECCIÓN DEBEPUBLICAR UNA NORMATIVASOBRE EL USO DEMETODOLOGÍA DE CICLODE VIDA DE DESARROLLODE SISTEMAS Y REVISARÉSTA PERIÓDICAMENTE.
LA METODOLOGÍA DEBEESTABLECER LOS PAPELES YRESPONSABILIDADES DE LASDISTINTAS ÁREAS DELDEPARTAMENTO DE INFORMÁTICA YDE LOS USUARIOS, ASÍ COMO LACOMPOSICIÓN YRESPONSABILIDADES DEL EQUIPODEL PROYECTO.
LAS ESPECIFICACIONES DELNUEVO SISTEMA DEBEN SERDEFINIDAS POR LOS USUARIOS YQUEDAR ESCRITAS YAPROBADAS ANTES DE QUECOMIENCE EL PROCESO DEDESARROLLO.
DEBE ESTABLECERSE UNESTUDIO TECNOLÓGICO DEVIABILIDAD EN EL CUAL SEFORMULEN FORMASALTERNATIVAS DE ALCANZARLOS OBJETIVOS ACOMPAÑADASDE UN ANÁLISIS COSTO-BENEFICIO DE CADAALTERNATIVA.
CUANDO SE SELECCIONE UNAALTERNATIVA DEBEFORMULARSE EL PLANDIRECTOR DEL PROYECTO. ENDICHO PLAN DEBERÁ EXISTIRUNA METODOLOGÍA DECONTROL DE COSTOS.
![Page 17: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/17.jpg)
Controles en la Metodología del Desarrollo de Sistemas
1. Procedimientos para la definición y documentación de especificaciones de:
diseño, de entrada, de salida, de ficheros, de procesos, de programas, de
controles de seguridad, de pistas de auditoría, etc.
2. Plan de validación, verificación y pruebas.
3. Estándares de prueba de programas, de pruebas de sistemas.
4. Plan de conversión: prueba de aceptación final.
5. Los procedimientos de adquisición de software deberán seguir las políticas de
adquisición de la organización y dichos productos deberán ser probados y
revisados antes de pagar por ellos y ponerlos en uso.
6. La contratación de outsourcing debe estar justificada mediante una petición
escrita de un director del proyecto.
7. Deberán prepararse manuales de operación y mantenimiento como parte de
todo proyecto de desarrollo o modificación de sistemas de información, así
como manuales de usuario.
![Page 18: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/18.jpg)
Controles Seguridad Física y Lógica 1. Revisar periódicamente los informes de
violaciones y actividad de seguridad para
identificar y resolver incidentes.
2. Control de Visitas: personas externas a la
organización. Instalación de medidas de
protección contra el fuego.
3. Formación y concientización en
procedimientos de seguridad y evacuación del
edificio. Control de acceso restringido a los
ordenadores. Normas que regulen el acceso a
los recursos informáticos.
4. Existencia de un plan de contingencias para el respaldo de recursos de
ordenador críticos y para la recuperación de los servicios del Dpto. Informático
después de una interrupción imprevista de los mismos.
![Page 19: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/19.jpg)
CONTROL DE ENTRADA DE DATOS:
PROCEDIMIENTOS DE CONVERSIÓN Y DE
ENTRADA, VALIDACIÓN Y CORRECCIÓN DE
DATOS.
CONTROLES DE SALIDAS DE DATOS:
SOBRE EL CUADRE Y RECONCILIACIÓN DE
SALIDAS, PROCEDIMIENTOS DE
DISTRIBUCIÓN
CONTROL DE TRATAMIENTOS DE
DATOS PARA ASEGURAR QUE NO
SE DAN DE ALTA, MODIFICAN O
BORRAN DATOS NO AUTORIZADOS PARA
GARANTIZAR LA INTEGRIDAD DE LOS
MISMOS MEDIANTE PROCESOS NO AUTORIZADOS.
Controles de AplicacionesCada aplicación debe llevar controles incorporados para garantizar la entrada, actualización,
validez y mantenimiento completo y exactos de los datos.
Aspectos más importantes en el control de datos:
![Page 20: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/20.jpg)
Controles en Sistemas de GestiónDe Bases de Datos
1. Sobre el software de gestión de BD para prever el acceso a la estructuración de
y el control sobre los datos compartidos, deberá instalarse y mantenerse de
modo tal que asegure la integridad del software, las bases de datos y las
instrucciones de control que definen el entorno.
2. Que están definidas las responsabilidades sobre la planificación, organización,
dotación y control de los activos de datos, es decir, un administrador de datos.
3. Que existen procedimientos para la descripción y los cambios de datos así
como para el mantenimiento del diccionario de datos.
4. Sobre el acceso de datos y la concurrencia.
5. Para minimizar fallos, recuperar el entorno de las bases de datos hasta el punto
de la caída y minimizar el tiempo necesario para la recuperación
6. Controles para asegurar la integridad de los datos: programas de utilidad para
comprobar los enlaces físicos <<punteros>> asociados a los datos, registros de
control para mantener los balances transitorios de transacciones para su
posterior cuadre con totales generados por el usuario o por otros sistemas.
![Page 21: Auditoría Informática y Control Interno](https://reader034.vdocuments.co/reader034/viewer/2022052214/55a036b21a28ab5f5a8b4669/html5/thumbnails/21.jpg)