Modelos de control utilizados en la auditora y el rol del auditor informtico

Auditora Computacional Geraldo Valenzuela Polanco Primavera 2011

Criterios de evaluacin
Reconocer los controles de auditoras de acuerdo a estructuras y formatos de realizacin. Establecer los tipos de controles utilizados en una auditora de acuerdo a estructuras y formatos de realizacin. Identificar los principios deontolgicos de los auditores informticos en relacin al rol que desempea.

El control interno informtico

Es cualquier actividad (manual o automtica) realizada para prevenir o corregir errores e irregulares que puedan evitar que un sistema consiga sus objetivos. Controla a diario las actividades de los sistemas.
Que cumplan los procedimientos estndares, y normas fijados por la direccin general o informtica. Que cumplan los requerimientos legales.

Es un rgano permanente del departamento de informtica.

Objetivos del control interno informtico

Controlar que las actividades cumplan con los procedimientos y normas, y con los requerimientos legales. Asesorar sobre el conocimiento de normas. Apoyar el trabajo de auditora informtica. Definir, implantar y ejecutar mecanismos y controles sobre el servicio del departamento de informtica. Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades operativas.

Objetivos del control interno informtico

Auditora informtica
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado:
Salvaguarda los activos. Mantiene la integridad de los datos. Lleva acabo los fines de la organizacin. Utiliza eficazmente los recursos.

Se efecta en determinados momentos y abarca un periodo de tiempo acotado. El auditor debe revisar e informar a la direccin de la organizacin sobre el funcionamiento de los controles implantados.

Funciones del auditor informtico

Participar en las revisiones de los sistemas de informacin durante todo su ciclo de vida. Revisar y juzgar los controles implantados sobre los sistemas para verificar su adecuacin a:
Las instrucciones de la direccin. Los requisitos legales. Proteccin de la confidencialidad. Cobertura ante errores y fraudes.

Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos y de la informacin.

Control interno y auditora informticos son anlogas

Sistema de control interno informtico

Los controles cuando se disean, desarrollan he implantan deben ser:

Histricamente, los objetivos de los controles informticos se han clasificado en:

Implantacin de un sistema de control interno

Se implantan en varios niveles. Es necesario conocer la configuracin del sistema:
Para identificar riesgos. Para saber dnde implantar los controles.

Para conocer la configuracin del sistema es necesario documentar los siguientes niveles:
Entorno de red. Configuracin del computador base. Entorno de aplicaciones. Productos y herramientas. Seguridad del computador base.

Implantacin de un sistema de control interno

Etapas en la implantacin
La direccin de la organizacin define la poltica para los SI en base a las exigencias del negocio. La direccin informtica define el funcionamiento del entorno informtico y sus funciones mediante publicacin de estndares y procedimientos. El control interno informtico define (y revisa peridicamente) los controles de las funciones informticas de acuerdo a su riesgo conforme a los objetivos del negocio y a la legislacin vigente. El auditor informtico revisa a peticin los controles y notifica a la alta direccin.

Etapas en la implantacin

Controles generales organizativos

Polticas: base de la planificacin, control y evaluacin por la direccin de actividades del Dpto. de Informtica. Planificacin:
Plan estratgico de informacin. Plan informtico. Plan general de seguridad (fsica y lgica). Plan de emergencia ante desastres.

Estndares: regulan la adquisicin de recursos y el diseo, el desarrollo, modificacin y explotacin de sistemas.

Controles generales organizativos

Procedimientos: regulan la relacin entre el Dpto. de Informtica y los departamentos usuarios. Organigrama: ubicacin del Dpto. de Informtica en la estructura organizativa. Funciones y responsabilidades dentro del Dpto. de Informtica. Polticas de personal: planes de formacin, de evaluacin y promocin. Asegurar que la direccin revisa los informes de control y resuelve las excepciones.

Controles generales organizativos

Polticas de clasificacin de informacin dentro de la organizacin. Definicin de la figura de control interno informtico y de auditora informtica.

Controles de desarrollo de sistemas de informacin

Metodologa de ciclo de vida:
Normativa sobre el uso de la metodologa de ciclo de vida. Funciones y responsabilidades de las reas del Dpto. de informtica y de los equipos de trabajo. Especificaciones de usuario aprobadas. Estudios de viabilidad o factibilidad. Plan del proyecto. Procedimientos para la definicin y documentacin de especificaciones de diseo y codificacin. Plan y estndares de pruebas. Plan de conversin. Manuales de operacin, mantenimiento y de usuario.

Controles de desarrollo de sistemas de informacin

Otros controles de metodologa de ciclo de vida asociados a la adquisicin de sistemas:
Procedimientos de adquisicin de software. Justificacin de contratacin de servicios.

Explotacin y mantenimiento:
Procedimientos de control de explotacin. Sistemas de contabilidad y costos asociados a la explotacin. Procedimientos de seguimiento y control de cambio.

Controles de explotacin de sistemas de informacin

Planificacin y gestin de recursos: presupuesto operativo, plan de adquisicin de equipos y gestin de capacidad de equipos. Algunos controles de uso de recursos:
Calendario de carga de trabajo. Programacin del personal. Mantenimiento preventivo. Gestin de problemas y cambios.

Procedimientos de seleccin, instalacin, mantenimiento y seguridad, y control de cambios de software de sistema.

Controles de explotacin de sistemas de informacin

Seguridad fsica y lgica:
Definicin del grupo de seguridad de la informacin. Controles fsicos y polticas de ingreso a las instalaciones. Medidas de proteccin contra siniestros. Plan de evacuacin. Control de acceso lgico. Plan de contingencia y respaldos.

Controles en aplicaciones
Buscan asegurar y garantizar la entrada, actualizacin, validez y mantenimientos completos y exactos de los datos. Los ms importantes son:
Controles de entrada de datos: validacin, correccin y conversin de datos. Controles de tratamiento de datos: evitar modificaciones no autorizadas. Controles de salida de datos: cuadre y conciliacin de salidas.

Controles especficos de ciertas tecnologas

Sistemas de Gestin de Bases de Datos (DBMS):
Aseguracin de la integridad del software, las bases de datos y las instrucciones de control. Definicin de responsabilidades de DBA. Procedimientos de mantenimiento del diccionario de datos. Controles sobre el acceso a datos y concurrencia. Controles sobre la disponibilidad y recuperabilidad.

Computacin distribuida y redes:

Planes de implantacin, conversin y pruebas de aceptacin. Existencia de un grupo de control de red. Controles de compatibilidad de datos y seguridad entre departamentos.

Controles especficos de ciertas tecnologas

Computacin distribuida y redes:
Inventario y mantenimiento preventivo de los activos de red. Procedimientos de respaldo del hardware y software de red. Controles de verificacin de mensajes de red. Controles de seguridad lgica y cifrado de los datos sensibles. Monitoreo de la eficacia y la eficiencia de la red, y administracin de mensajera. Revisin de los contratos de mantenimiento y tiempo medio de servicio con el proveedor. Revisin de los equipos de energa suplementaria y procedimientos de recuperacin y reinicio.

Controles especficos de ciertas tecnologas

Controles sobre computadores personales y redes LAN:
Polticas de adquisicin y utilizacin de equipos y software. Revisiones peridicas de los computadores personales. Controles de gestin y soporte tcnico de red. Inventario de aplicaciones. Polticas de administracin de disco. Procedimientos de control de transferencias de archivos y de gestin de datos. Controles asociados al mantenimiento de equipos: contrato de servicio, condiciones de retiro y reemplazo. Control de acceso fsico a datos y a respaldos. Herramientas y software de seguridad, y de sistema operativo.

Resumen
Las funciones de control interno informtico y de auditora informtica prestan un servicio de valor agregado a las organizaciones, con el fin de:
Recoger evidencias. Clasificar y agrupar las evidencias. Evaluar las evidencias para determinar si la organizacin est haciendo un buen uso a los activos de datos e informacin.

Tambin permiten determinar si un sistema de informacin est logrando:

Salvaguardar los activos. Mantiene eficiente y eficazmente los datos. Lleva a cabo los objetivos de la informacin.