Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria Informática
Profesor:
Ing. Miguel Ángel Durán Jacobo
Alumnos:
13-Septiembre-2010
El presente documento trata sobre los diferente modelos de control que pueden ser
utilizados durante una auditoria informática, cada uno de estos modelos tienen sus
características especiales, los cuales nos proporcionaran información necesaria para
conocer la eficiencia de los sistemas informáticos, el cumplimiento de las normativas del
ámbito y conocer si es eficaz la gestión de los recursos informáticos.
2
Introducción
Auditoria informática
Eficiencia
Eficacia
Rentabilidad
Seguridad
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protección y Seguridad
Planes de continuidad y Recuperación de desastres.
3
Modelos de Control Utilizados en Auditoria Informática
En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de
control interno “informe COSO” y COBIT son los dos modelos más difundidos en la
actualidad, aun que podemos encontrar otros como el COCO, AEC y SAC.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra
en el entorno IT, contempla de forma específica la seguridad de la información como uno
de sus objetivos, cosa que COSO no hace. Además el modelo de control interno que
presenta COBIT es más completo, dentro de su ámbito.
Informe COSO
Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de
trabajo que la Treadway Commission, National Commission On Fraudulent Financial
Reporting, se creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF
SPONSORING ORGANIZATIONS).
4
Componentes
El marco integrado de control que plantea el informe COSO consta de cinco componentes
interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión:
· Ambiente de control
· Evaluación de riesgos
· Actividades de control
· Información y comunicación
· Supervisión
Ambiente De Control
El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores
que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese
mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al
tono de la organización.
Evaluación De Riesgos
El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las
actividades de las organizaciones. A través de la investigación y análisis de los riesgos
relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la
vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad
y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto
al nivel de la organización como de la actividad.
5
El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no
son un componente del control interno, constituyen un requisito previo para el
funcionamiento del mismo.
Los objetivos (relacionados con las operaciones, con la información financiera y con el
cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo
objetivos globales y por actividad, una entidad puede identificar los factores críticos del
éxito y determinar los criterios para medir el rendimiento.
A este respecto cabe recordar que los objetivos de control deben ser específicos, así como
adecuados, completos, razonables e integrados a los globales de la institución.
Existen circunstancias que pueden merecer una atención especial en función del impacto
potencial que plantean:
· Cambios en el entorno.
· Redefinición de la política institucional.
· Reorganizaciones o reestructuraciones internas.
· Ingreso de empleados nuevos, o rotación de los existentes.
· Nuevos sistemas, procedimientos y tecnologías.
· Aceleración del crecimiento.
· Nuevos productos, actividades o funciones.
Los mecanismos para prever, identificar y administrar los cambios deben estar orientados
hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma
complementados con planes para un abordaje adecuado de las variaciones.
Actividades De Control
Están constituidas por los procedimientos específicos establecidos como un reaseguro para
el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y
neutralización de los riesgos.
Las actividades de control se ejecutan en todos los niveles de la organización y en cada una
de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo
expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados
a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo
de la entidad con el que estén relacionados:
· Las operaciones
· La confiabilidad de la información financiera
6
· El cumplimiento de leyes y reglamentos
En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar
también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad
de la información financiera, éstas al cumplimiento normativo, y así sucesivamente.
· Preventivo / Correctivos
· Manuales / Automatizados o informáticos
· Gerenciales o directivos
Información Y Comunicación
Así como es necesario que todos los agentes conozcan el papel que les corresponde
desempeñar en la organización (funciones, responsabilidades), es imprescindible que
cuenten con la información periódica y oportuna que deben manejar para orientar sus
acciones en consonancia con los demás, hacia el mejor logro de los objetivos.
7
La información relevante debe ser captada, procesada y transmitida de tal modo que llegue
oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales.
Está conformada no sólo por datos generados internamente sino por aquellos provenientes
de actividades y condiciones externas, necesarios para la toma de decisiones.
Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el
trabajo de los demás, cuáles son los comportamientos esperados, de que manera deben
comunicar la información relevante que generen.
Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto
es, en el más amplio sentido, incluyendo una circulación multidireccional de la
información: ascendente, descendente y transversal.
La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte
de los directivos resultan vitales.
Supervisión
Las primeras son aquellas incorporadas a las actividades normales y recurrentes que,
ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las
circunstancias sobrevinientes.
Las deficiencias o debilidades del sistema de control interno detectadas a través de los
diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se
adopten las medidas de ajuste correspondientes.
Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto
las personas responsables de la función o actividad implicada como las autoridades
superiores.
9
En conclusión; En el marco de control postulado a través del Informe COSO, la
interrelación de los cinco componentes (Ambiente de control, Evaluación de riesgos,
Actividades de control, Información y comunicación, y Supervisión) genera una sinergia
conformando un sistema integrado que responde dinámicamente a los cambios del entorno.
COBIT
La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento
de su supervivencia en el mercado.
La estructura del modelo COBIT propone un marco de acción donde se evalúan los
criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnología de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los
procesos involucrados en la organización.
10
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma
en que trabajan los profesionales de tecnología. Vinculando tecnología informática y
prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales
prominentes en un recurso crítico para la gerencia, los profesionales de control y los
auditores.
- Planificación y organización
- Adquisición e implantación
- Soporte y Servicios
- Monitoreo
Principios
Recursos de TI
• Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas,
sonidos, etc.
• Aplicaciones: Sistemas de información, que integran procedimientos manuales y
sistematizados.
11
• Tecnología: Hardware y software básico, sistemas operativos, de administración de
bases de datos, de redes, telecomunicaciones, multimedia, etc.
• Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas.
• Recurso Humano: Habilidad, actitud y productividad del personal.
COCO
El Instituto Canadiense de Contadores Certificados (CICA por sus siglas en inglés), a través
de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre
Control Interno dio a conocer el Modelo COCO (Comisión de Criterios sobre el Control
por sus siglas en inglés, en lo adelante COCO).
El modelo busca proporcionar un entendimiento del control y dar respuesta a las siguientes
tendencias:
En la estructura del modelo, los criterios son elementos básicos para entender y, en su caso,
aplicar el sistema de control que se comenta. Se requieren adecuados análisis y
12
comparaciones para interpretar los criterios en el contexto de una organización en
particular, y para una evaluación efectiva de los controles implantados.
Propósito
Compromiso
Es importante reiterar que la misma persona deberá vigilar y evaluar su desempeño, al igual
que su entorno, para aprender de la experiencia y poder ejecutar mejor su tarea, así como
para introducir los cambios necesarios.
En este sentido, si se desea aplicar este modelo en una organización, la unidad a considerar
puede ser toda la entidad, una agencia o dependencia de la misma, o subunidades como
pueden ser divisiones o departamentos.
El control comprende los elementos de una organización que tomados en conjunto, apoyan
al personal en el logro de sus objetivos organizacionales, los cuales se ubican en las
categorías generales siguientes:
13
Efectividad y eficiencia de las operaciones. Incluye objetivos relacionados con
metas de
Un método bien diseñado permite, entre otras cosas, precisar cuáles son los diferentes
ámbitos de participación, asegurar una ejecución eficaz y eficiente del proceso y que los
resultados posean las características de calidad que cumplan con las expectativas de la
administración, del personal responsable de las operaciones y de los Auditores Internos.
Los elementos constituidos de la estrategia pueden ser establecidos de acuerdo con las
etapas que a continuación se proponen:
Con el fin de ilustrar la manera en que el proceso opera, a continuación se describe cada
una de las etapas antes mencionadas.
14
Proceso de Involucramiento y la Preparación de la AEC
Al inicio del proceso, es necesario que el Auditor Interno tenga un acercamiento con el
director general de la organización con el fin de inducirlo al debido entendimiento del
objetivo, enfoque, alcance y metodología de la AEC y de cómo este proceso puede
favorecer el mejoramiento de los controles que dan apoyo a su responsabilidad principal,
que es el cumplimiento de los objetivos de la organización. Con ello se busca lograr un
apoyo amplio, de su parte, con el fin de que las acciones derivadas del proceso sean
aplicadas oportunamente por todos los responsables de lograr los objetivos. Este mismo
proceso debe llevarse a cabo con los mandos directivos dependientes de la dirección
general.
Para lograr éxito en la implementación de estos procesos, se requiere que el director general
y otros miembros prominentes de la alta administración muestren en los hechos una actitud
de respaldo a los objetivos, premisas y técnicas de la AEC, adoptándola como una
herramienta integrada al proceso administrativo. Esta actitud debe apoyar la filosofía que
persigue este proceso, asi como también a los principios en los que se sustentan las distintas
etapas. También implica el reconocimiento y respeto al trabajo del Auditor Interno dentro
de la organización. Los más altos directivos deben dar una señal clara y contundente a
todos los demás niveles sobre la importancia y beneficios que aporta la AEC al
cumplimiento de los objetivos fundamentales de la organización. También deben resaltar en
su mensaje la importancia de la participación constructiva de quienes específicamente
habrán de involucrarse en el proceso.
Los facilitadores generalmente son los Auditores Internos, aunque también puede ser
personal especialista contratado para estos propósitos; sin embargo, los Auditores Internos
son quienes naturalmente pueden llevar a cabo esta tarea, dado que conocen con claridad
cuáles son los objetivos de la organización, los objetivos de cada área además cuentan con
el conocimiento de los sistemas de control establecidos y una idea muy aproximada a nivel
de eficiencia y eficacia con que operan.
Preparación de la AEC; En esta etapa debe llevarse a cabo una presentación en la cual se
precise detalladamente el objetivo del proceso en los ámbitos de competencia particulares,
se acuerde el programa de trabajo correspondiente, se identifique los participantes idóneos
por parte del responsable del área a evaluar con la orientación del Auditor Interno, y se
obtenga la información relativa de los objetivos y funciones, que es el punto de partida de
la AEC.
Una vez obtenida la información relativa a los objetivos y funciones, es analizada por los
Facilitadores para llevar a cabo el proceso "alineación de objetivos", que tienen como
propósito asegurar que todo el personal conoce y entiende la manera en que sus actividades
15
y resultados, sumados a otros, ayudan a cumplir el objetivo del área y ésta a su vez
contribuye al objetivo general de la organización. Si entre el personal de una misma área no
comparten la misma visión y orientación de los objetivos, es de esperar que sus esfuerzos
no se estén canalizando adecuadamente y que los objetivos no sean logrados de forma
eficiente y eficaz.
Es importante determinar las herramientas que se van a utilizar para la evaluación de cada
uno de ellos, es decir, cuáles de los componentes conviene sean autoevaluados por la vía de
los talleres de Autoevaluación del Control (TAQ y cuales mediante la aplicación de
encuestas.
Las Mejores Prácticas relativas a la implantación del proceso de AEC, sugieren que por lo
menos el componente evaluación de riesgos sea autoevaluado a través de la realización del
TAC, en tanto que los otros cuatro componentes se puedan autoevaluar a través de
encuestas.
Desarrollo de la AEC
Talleres
* Los talleres de Autoevaluación de Control, tienen entre otros propósitos los siguientes:
* Fortalecer la propiedad del Control y promover un cambio de parte de los responsables
de establecerlos.
* Identificar los riesgos que pueden afectar el logro de los objetivos.
16
* Promover la discusión sobre la suficiencia y eficacia sobre los Controles que son
aplicados para cumplir con los objetivos.
* Apoyar la efectividad del Control Interno de cada área.
* Incrementar el interés y la confianza a todos los niveles, en el sentido de que los
controles son efectivos y funcionan adecuadamente.
Encuesta
Por lo que respecta a las encuestas, su diseño y aplicación debe considerar lo, siguiente:
* Diseño específico para el área a autoevaluar.
* Las preguntas se deben plantear de manera abierta y propositiva.
* Solicitar información en forma ordenada y estructurada.
* Cuidar que no se emita algún punto importante a fin de asegurar una amplia cobertura
del área objeto de la autoevaluación.
* Permitir la obtención de la información detallada.
* Permitir se pueda incluir información que el personal considere pertinente.
Cada uno de las participantes debe documentarlas de manera individual, sin que se requiera
que el personal esté reunido en un solo evento.
Los talleres de Autoevaluación buscan que todas las áreas sean responsables del
establecimiento y mejoramiento de sus propios sistemas de Control, instrumentados para
lograr objetivos particulares de su área, los que a su vez están concatenados a los objetivos
primarios.
No necesariamente se debe tener cobertura del 100% contra todos los riesgos, por lo tanto,
se les debe otorgar prioridad a los más significativos. Para evitar subjetividad al asignar
importancia a los riesgos no cubiertos, éstos deben ser cuantificados, determinando en
términos monetarios cual pudiera ser su efecto si llegaran a concretarse y en su caso,
cuantas veces se podrían presentar en un ejercicio.
17
Comunicación de Resultados
En este proceso el auditor debe procurar no emitir su opinión, sino integrar objetivamente
los resultados de la AEC; esta particularidad, es lo que verdaderamente marca la diferencia
con un informe de auditoría.
Una diferencia adicional a la anterior, es que una copia del informe se entrega a cada uno
de los participantes, como constancia de lo acordado y de los compromisos y responsables
establecidos, pero sobre todo, como una evidencia de que los resultados fueron vertidos
abierta y positivamente y con total apego a las opiniones emitidas.
El SAC nos proporciona la aplicación de los conceptos de la web semántica junto con sus
tecnologías al área del control de acceso. En concreto, se presenta un nuevo modelo de
control de acceso al que se ha denominado SAC, Semantic Access Control Model, el cual
usa diferentes capas de ingreso de datos para describir la semántica de los diferentes
componentes que participan en una decisión de acceso.
El diseño de SAC se basa en un modelo de metadatos que permite la integración semántica
de una aplicación de control de acceso y una infraestructura de acreditación externa. SAC
representa una solución al problema del control de acceso para entornos altamente
18
distribuidos, dinámicos y heterogéneos. El diseño de este modelo se basa en la información
semántica para lograr que se tengan en consideración las propiedades particulares de los
recursos accedidos (lo que se conoce como “introspección de contenido”).
Los conceptos sobre los que se basa el modelo de control de acceso son fundamentales en
los niveles de interoperabilidad y flexibilidad alcanzados. El modelo de control de acceso
basado en roles (RBAC), considerado como una tecnología madura y flexible, se define
sobre los tres conceptos predefinidos de “usuario”, “rol” y “grupo”.
En la práctica, los grupos se definen según los valores de determinadas condiciones, como
puede ser la posición del empleado dentro de la empresa, la función desarrollada, etc. El
atributo usuario, por ejemplo, aparece en la mayoría de los modelos de control de acceso y,
aunque la identidad constituye uno de los atributos más útiles, existen escenarios donde no
es necesario (por ejemplo, si se quiere mantener el anonimato en el acceso) y por lo tanto
no debería ser un componente predefinido de un modelo general.
19
Igualmente, algunos de los recursos almacenados por un sistema de control de acceso
pueden no estar bajo el control de dicho sistema. Cada sistema de control de acceso
mantiene una descripción semántica de los recursos que controla.
20
Conclusión
La presente recopilación de los modelos de control para la auditoria informática tuvo como
finalidad dar a conocer ciertos modelos utilizados, así demostrando que cada uno de ellos tiene
recomendaciones para facilitar la recopilación de información para su posterior análisis y dar con la
informática debido a que evalúa el uso de las herramientas informáticas y sus aplicaciones, desde su
21
Bibliografías
Recursos internet
www.amocvies.org.mx/.../1%20MODELOS%20DE%20CONTROL.ppt
http://www.monografias.com/trabajos59/analisis-informes-coso-coco/analisis-informes-coso-
coco.shtml
http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm.
http://sisbib.unmsm.edu.pe/bibvirtual/public/quikamayoc/2002/Segundo/control_.htm
http://www.scribd.com/doc/27987761/1-Modelos-de-Control
www.kpmg.com.co/industries/.../Autoevaluacion_de_Control.pdf
http://www.rediris.es/difusion/publicaciones/boletin/66-67/ponencia15.pdf
http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm.
www.kpmg.com.co/industries/.../Autoevaluacion_de_Control.pdf
22