unidad 2: presentación

Universidad Don BoscoUniversidad Don BoscoFacultad de IngenieríaFacultad de IngenieríaEscuela de Ingeniería en Computación (EIC)Escuela de Ingeniería en Computación (EIC)

AUDITORÍA DE SISTEMAS

Milton Narváez ([email protected])Universidad Don Bosco07 de marzo de 2013

UNIDAD II.UNIDAD II.CONTROL INFORMÁTICOCONTROL INFORMÁTICO

UNIDAD II. CONTROL INFORMÁTICOUNIDAD II. CONTROL INFORMÁTICO

CONTENIDO

2.1. Definición de Control

2.2. Elemento del control

2.3. Estándares de Control

2.4. Los controles internos

2.5. Diseño de instrumentos2.5. Diseño de instrumentos

COMPETENCIAS DESEABLESPlaneación estratégicaEjecución de procesosComunicación efectivaMejora continua

Aula virtual UDB:http://moodle.udb.edu.sv/ead/sistema/

2.1. Definición de control2.1. Definición de control

⁻ El control interno nace por la necesidad de evaluar y satisfacerla eficiencia, eficacia, razonabilidad, oportunidad yconfiabilidad en la protección, salvaguarda y seguridad de losbienes de una empresa, así como para ayudar a controlar eldesarrollo de sus actividades, operaciones y resultadosfinancieros que se espera obtener en el desempeño de lasfunciones y operaciones de toda la empresa (Muñoz, 2002).funciones y operaciones de toda la empresa (Muñoz, 2002).

Definición de control: es una de las fases del procesoadministrativo y se encarga de evaluar que los resultadosobtenidos durante el ejercicio se hayan cumplido de acuerdocon los planes y programas previamente determinados, a fin deretroalimentar sobre el cumplimiento adecuado de las funcionesy actividades que se reportan como las desviacionesencontradas; todo ello para incrementar la eficiencia y eficaciade una institución (Muñoz, 2002).

2.1. Definición de control2.1. Definición de control

⁻ Control se define como las políticas, procedimientos, prácticasy estructuras organizacionales diseñadas para brindar unaseguridad razonable que los objetivos de negocio sealcanzarán, y los eventos no deseados serán prevenidos odetectados y corregidos (COBIT 4.0, 2006).

Tipos de Controles

a) Control Preventivo : instrucciones de cómo completar unformulario.

Nota: las instrucciones no son el control.

a) Control Detectivo : un programa que valida datos de input,rechazando los erróneos.

b) Control Correctivo : un programa que detecta el ruido encomunicaciones y permite corregir datos corruptos.

2.1. Definición de control2.1. Definición de control2.1.1. Objetivos del control2.1.1. Objetivos del control

a) Establecer estándares, medir sucumplimiento y evaluar el alcance real delos planes y programas, comparado con lorealmente alcanzado.

b) Proteger y salvaguardar los bienes y activosde las empresas.

c) Planear y evaluar correctamente elc) Planear y evaluar correctamente elcumplimiento de las funciones, actividades yoperaciones de las empresas.

d) Ayudar permanentemente a la buenamarcha de la empresa, pues retroalimentala trayectoria de la misma.

2.2. Elementos del control2.2. Elementos del control

Elementos básicos del control:a) Una característica medible y controlable para la que se conocen

estándares.b) Un medio (instrumento censor) para medir las características.c) Un medio para comparar los resultados reales con los estándares y

evaluar las diferencias.d) Un medio para efectuar cambios en el sistema a fin de ajustarlos ad) Un medio para efectuar cambios en el sistema a fin de ajustarlos a

las necesidades.

Factores fundamentales del control:a) El plan.b) La comparación entre los hechos reales y el plan.c) La acción para rectificar las divergencias.

2.2. Elementos del control2.2. Elementos del control

2.3. Estándares de control2.3. Estándares de control

No. ESTÁNDARES DE CONTROL CLASIFICACIÓN

1 Estándares físicosDe mediciónDe comparaciónDe acumulación

2 Estándares de costo De costo fijo2 Estándares de costo De costo fijoDe costo variable

3 Estándares de capital

EconómicosFinancierasDe rendimiento de capitalInventarios

4 Estándares de ingreso y egreso De ingresosDe egresos

5 Estándares no tangibles ---

6 Estándares de control estadístico ---

2.3. Estándares de control2.3. Estándares de control

No. ESTÁNDARES DE CONTROL CLASIFICACIÓN

7 Estándares de auditoría ---

8 Estándares del IEEE ---

9 Estándares de educación ---9 Estándares de educación ---

2.4. Los controles internos2.4. Los controles internos

CONTROL COMPONENTE SUBCOMPONENTE

1.1. Dirección

1.1.1. La coordinación de recursos1.1.2. La supervisión de actividades1.1.3. La delegación de autoridad y responsabilidad1.1.4. La asignación de actividades

1. Controles internos sobre la organización del área de informática

actividades1.1.5. La distribución de recursos

1.2. División del trabajo

1.2.1. Dirección general del área de informática1.2.2. Área de análisis y diseño1.2.3. Área de programación1.2.4. Área de sistemas de redes1.2.5. Área de operación1.2.6. Área de telecomunicación1.2.7. Área de administración

1.3. Asignación de responsabilidad y autoridad

---



1. Controles internos sobre la organización del área de informática

1.4. Establecimiento de estándares y métodos

---

1.5 Perfiles de informática 1.5 Perfiles de puestos ----

2. Controles internos para el análisis, desarrollo e implementación de sistemas

2.1. Estandarización de metodologías para el desarrollo de proyectos

2.1.1. Estandarización de métodos para el diseño de sistemas2.1.2. Lineamientos en la realización de sistemas2.1.3. Uniformidad de funciones para el desarrollo de sistemas2.1.4. Políticas para el desarrollo de sistemas2.1.5. Normas para regular el desarrollo de proyectos



2. Controles

2.2. Asegurar que el beneficio del sistema sea óptimo

---


2.3. Elaborar estudios de factibilidad del sistema

2.3.1. Viabilidad y factibilidad operativa2.3.2. Viabilidad y factibilidad económica2.3.3. Viabilidad y factibilidad técnica2.3.4. Viabilidad y factibilidad administrativa2.3.5. Otros estudios de viabilidad y factibilidad



2.4.1. La adopción y seguimiento de una metodología institucional2.4.2. Adoptar una adecuada planeación, programación y presupuestación para el desarrollo de sistema


2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema

de sistema2.4.3. Contar con la participación activa de los usuarios finales o solicitantes del nuevo sistema para garantizar su buen desarrollo2.4.4. Contar con personal que tenga la disposición, experiencia, capacitación y conocimientos para el desarrollo de sistemas2.4.5. Utilizar los requerimientos técnicos necesarios para el desarrollo del sistema, como son el hardware, software y personal informático


2. Controles

2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema

2.4.6. Diseñar y aplicar las pruebas previas a la implementación del sistema2.4.7. Supervisar permanentemente el avance de actividades del proyecto



2.5. Vigilar la efectividad y eficiencia de la implementación y mantenimiento del sistema

---

2.6. Lograr el uso eficiente del sistema por medio de su documentación

2.6.1. Manuales e instructivos del usuario2.6.2. Manual e instructivo de operación del sistema2.6.3. Manual técnico del sistema




2.6. Lograr el uso eficiente del sistema por medio de su documentación

2.6.4. Manual para el seguimiento del desarrollo del proyecto del sistema2.6.5. Manual e instructivo de mantenimiento del sistema2.6.6. Otros manuales e instructivos del sistemainstructivos del sistema

3. Controles internos para la operación del sistema

3.1. Prevenir y corregir errores de operación ---

3.2. Prevenir y evitar la manipulación fraudulenta de la información

---

3.3. Implementar y mantener la seguridad en la operación


3. Controles internos para la operación del sistema

3.4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución

---


información de la institución

4. Controles internos para los procedimientos de entrada de datos, procesamiento de información y emisión de resultados

4.1. Verificar la existencia y funcionamiento de los procedimientos de captura de datos4.2. Comprobar que todos los datos sean debidamente procesados4.3. Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos4.4. Comprobar la suficiencia de la emisión de información

---



5.1.1. Control de accesos físicos del personal al área de cómputo5.1.2. Control de accesos al sistema, a las bases de datos, a los programas y a la

5. Controles internos para la seguridad del área de sistemas

5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de sistematización

los programas y a la información5.1.3. Usos de niveles de privilegio para acceso, palabras clave y control de usuario5.1.4. Monitoreo de accesos de usuarios, información y programas de uso5.1.5. Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema



5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de

5.1.6. Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas necesarias5.1.7. Elaboración de planes de


las áreas de sistematización

5.1.7. Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento

5.2. Controles para la seguridad física del área de sistemas

5.2.1. Inventario de hardware, mobiliario y equipo5.2.2. Resguardo del equipo de cómputo5.2.3. Bitácora de mantenimientos y correcciones5.2.4. Controles de acceso del personal al área de sistemas5.2.5. Control de mantenimiento a instalaciones y construcciones


5.2. Controles para la seguridad física del área de sistemas

5.2.6. Seguros y fianzas para el personal, equipos y sistemas5.2.7. Contrato de actualización, asesoría y mantenimiento del hardware



hardware

5.3. Controles para la seguridad lógica de los sistemas

5.3.1. Control para el acceso al sistema, a los programas y a la información5.3.2. Establecimiento de niveles de acceso5.3.3. Dígitos verificadores y cifras de control5.3.4. Palabras claves de acceso5.3.5. Controles para el seguimiento de las secuencias y rutinas lógicas del sistema



5.4.1. Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo5.4.2. Respaldo periódico de


5.4. Controles para la seguridad de las bases de datos

5.4.2. Respaldo periódico de información5.4.3. Planes y programas para prevenir contingencias y recuperar información5.4.4. Control de accesos a las bases de datos5.4.5. Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos



5.5. Controles para la seguridad

5.5.1. Controles para los procedimientos de operación5.5.2. Controles para el procesamiento de información5.5.3. Controles para la emisión de resultados


para la seguridad en la operación de los sistemas computacionales

resultados5.5.4. Controles específicos para la operación de la computadora5.5.5. Controles para el almacenamiento de la información5.5.6. Controles para el mantenimiento del sistema

5.6. Controles para la seguridad del personal de informática

5.6.1. Controles administrativos del personal5.6.2. Seguros y fianzas para el personal de sistemas5.6.3. Planes y programas de capacitación



5. Controles internos para la seguridad del área de

5.7. Controles para la seguridad en la telecomunicación de datos

---

seguridad del área de sistemas 5.8. Controles para la

seguridad en sistemas de redes y multiusuarios

---

2.5. Diseño de instrumentos2.5. Diseño de instrumentos

Los instrumentos de control son las herramientas (formatos,fichas o formularios) que se utilizan para la valoración de loscontroles, su nivel de cumplimiento y las acciones correctivas aconsiderar, en caso sean pertinentes.

Los instrumentos de control deben ser diseñados ad hoc alLos instrumentos de control deben ser diseñados ad hoc alcontexto de la auditoría que se vaya a realizar.

Fuentes de consultaFuentes de consulta

Muñoz Razo, Carlos (2002). Auditoría en Sistemas Computacionales ,Primera Edición, Editorial Pearson Prentice Hall, México.

IT Governance Institute (2006). COBIT 4.0. Objetivos de Control,Directrices Gerenciales, Modelos de Madurez.

Milton Narváez ([email protected])Universidad Don Bosco

07 de marzo de 2013

“Realiza cada una de tus acciones como si fuera la última de tu vida”

(Marco Aurelio)

unidad 2: presentación

Documents