P. 1
MODELOS DE CONTROL DE AUDITORIA INFORMATICA

MODELOS DE CONTROL DE AUDITORIA INFORMATICA

|Views: 15.076|Likes:
Publicado porsapofeliz007
MODELOS DE CONTROL DE AUDITORIA INFORMATICA
MODELOS DE CONTROL DE AUDITORIA INFORMATICA

More info:

Published by: sapofeliz007 on Sep 28, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

08/15/2013

pdf

text

original

Instituto Tecnológico de Chetumal

³Diferentes modelos de control aplicados a la auditoria informática´

Auditoria Informática
Profesor:

Ing. Miguel Ángel Durán Jacobo
Alumnos:

Miguel Ángel Rodríguez Muñoz Luna León Carlos Antonio López Luna Román

13-Septiembre-2010

El presente documento trata sobre los diferente modelos de control que pueden ser utilizados durante una auditoria informática, cada uno de estos modelos tienen sus características especiales, los cuales nos proporcionaran información necesaria para conocer la eficiencia de los sistemas informáticos, el cumplimiento de las normativas del ámbito y conocer si es eficaz la gestión de los recursos informáticos.

2

Introducción
Auditoria informática La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los objetivos de la auditoría Informática son:  El control de la función informática  El análisis de la eficiencia de los Sistemas Informáticos  La verificación del cumplimiento de la Normativa en este ámbito  La revisión de la eficaz gestión de los recursos informáticos. La auditoría informática sirve para mejorar ciertas características en la empresa como:     Eficiencia Eficacia Rentabilidad Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:      Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO, COCO, AEC y SAC

3

Modelos de Control Utilizados en Auditoria Informática
En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control interno ³informe COSO´ y COBIT son los dos modelos más difundidos en la actualidad, aun que podemos encontrar otros como el COCO, AEC y SAC. COSO está enfocado a toda la organización, contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno. Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT, contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito.

Informe COSO El denominado "Informe COSO" sobre control interno, publicado en EE.UU. en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la Treadway Commission, National Commission On Fraudulent Financial Reporting, se creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por representantes de las siguientes organizaciones: · American Accounting Association (AAA) · American Institute of Certified Public Accountants (AICPA) · Financial Executive Institute (FEI) · Institute of Internal Auditors (IIA) · Institute of Management Accountants (IMA) La redacción del informe fue encomendada a Coopers & Lybrand. Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoria interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados.

4

Componentes El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión: · Ambiente de control · Evaluación de riesgos · Actividades de control · Información y comunicación · Supervisión Ambiente De Control El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales. Los principales factores del ambiente de control son: · La filosofía y estilo de la dirección y la gerencia. · La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento. · La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos. · Las formas de asignación de responsabilidades y de administración y desarrollo del personal. . El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento. El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización. Evaluación De Riesgos El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto al nivel de la organización como de la actividad.

5

El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo. Los objetivos (relacionados con las operaciones, con la información financiera y con el cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores críticos del éxito y determinar los criterios para medir el rendimiento. A este respecto cabe recordar que los objetivos de control deben ser específicos, así como adecuados, completos, razonables e integrados a los globales de la institución. Una vez identificados, el análisis de los riesgos incluirá: · Una estimación de su importancia / trascendencia. · Una evaluación de la probabilidad / frecuencia. · Una definición del modo en que habrán de manejarse. Existen circunstancias que pueden merecer una atención especial en función del impacto potencial que plantean: · Cambios en el entorno. · Redefinición de la política institucional. · Reorganizaciones o reestructuraciones internas. · Ingreso de empleados nuevos, o rotación de los existentes. · Nuevos sistemas, procedimientos y tecnologías. · Aceleración del crecimiento. · Nuevos productos, actividades o funciones. Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones. Actividades De Control Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos. Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo de la entidad con el que estén relacionados: · Las operaciones · La confiabilidad de la información financiera
6

· El cumplimiento de leyes y reglamentos En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar también a otros: los operacionales pueden contribuir a los relacionados con la confiabilidad de la información financiera, éstas al cumplimiento normativo, y así sucesivamente. A su vez en cada categoría existen diversos tipos de control: · Preventivo / Correctivos · Manuales / Automatizados o informáticos · Gerenciales o directivos En todos los niveles de la organización existen responsabilidades de control, y es preciso que los agentes conozcan individualmente cuales son las que les competen, debiéndose para ello explicitar claramente tales funciones. La gama que se expone a continuación muestra la amplitud abarcativa de las actividades de control, pero no constituye la totalidad de las mismas: · Análisis efectuados por la dirección. · Seguimiento y revisión por parte de los responsables de las diversas funciones o actividades. · Comprobación de las transacciones en cuanto a su exactitud, totalidad, y autorización pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consistencia, prenumeraciones. · Controles físicos patrimoniales: arqueos, conciliaciones, recuentos. · Dispositivos de seguridad para restringir el acceso a los activos y registros. · Segregación de funciones. · Aplicación de indicadores de rendimiento. Es necesario remarcar la importancia de contar con buenos controles de las tecnologías de información, pues éstas desempeñan un papel fundamental en la gestión, destacándose al respecto el centro de procesamiento de datos, la adquisición, implantación y mantenimiento del software, la seguridad en el acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las aplicaciones. A su vez los avances tecnológicos requieren una respuesta profesional calificada y anticipativa desde el control. Información Y Comunicación Así como es necesario que todos los agentes conozcan el papel que les corresponde desempeñar en la organización (funciones, responsabilidades), es imprescindible que cuenten con la información periódica y oportuna que deben manejar para orientar sus acciones en consonancia con los demás, hacia el mejor logro de los objetivos.

7

La información relevante debe ser captada, procesada y transmitida de tal modo que llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades individuales. La información operacional, financiera y de cumplimiento conforma un sistema para posibilitar la dirección, ejecución y control de las operaciones. Está conformada no sólo por datos generados internamente sino por aquellos provenientes de actividades y condiciones externas, necesarios para la toma de decisiones. Los sistemas de información permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto. No obstante resulta importante mantener un esquema de información acorde con las necesidades institucionales que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto deben adaptarse, distinguiendo entre indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades estratégicas, a través de la evolución desde sistemas exclusivamente financieros a otros integrados con las operaciones para un mejor seguimiento y control de las mismas. Ya que el sistema de información influye sobre la capacidad de la dirección para tomar decisiones de gestión y control, la calidad de aquél resulta de gran trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad, actualidad, exactitud y accesibilidad. Asimismo el personal tiene que saber cómo están relacionadas sus actividades con el trabajo de los demás, cuáles son los comportamientos esperados, de que manera deben comunicar la información relevante que generen. Los informes deben transferirse adecuadamente a través de una comunicación eficaz. Esto es, en el más amplio sentido, incluyendo una circulación multidireccional de la información: ascendente, descendente y transversal. La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte de los directivos resultan vitales. Además de una buena comunicación interna, es importante una eficaz comunicación externa que favorezca el flujo de toda la información necesaria, y en ambos casos importa contar con medios eficaces, dentro de los cuales tan importantes como los manuales de políticas, memorias, difusión institucional, canales formales e informales, resulta la actitud que asume la dirección en el trato con sus subordinados. Una entidad con una historia basada en la integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción vale más que mil palabras. Supervisión Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente, así como su revisión y actualización periódica para mantenerla en un nivel adecuado. Procede la evaluación de las actividades de control de los sistemas a través del tiempo, pues
8

toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser reforzados o se impone directamente su reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestión que, al variar las circunstancias, generan nuevos riesgos a afrontar. El objetivo es asegurar que el control interno funciona adecuadamente, a través de dos modalidades de supervisión: actividades continuas o evaluaciones puntuales. Las primeras son aquellas incorporadas a las actividades normales y recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las circunstancias sobrevinientes. En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones: a) Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisión continuada. b) Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la auditoría interna (incluida en el planeamiento o solicitada especialmente por la dirección), y los auditores externos. c) Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen, priman una disciplina apropiada y principios insoslayables. La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles existan y estén formalizados, que se apliquen cotidianamente como una rutina incorporada a los hábitos, y que resulten aptos para los fines perseguidos. d) Responden a una determinada metodología, con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos. e) El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad. f) Debe confeccionarse un plan de acción que contemple: · El alcance de la evaluación · Las actividades de supervisión continuadas existentes. · La tarea de los auditores internos y externos. · Areas o asuntos de mayor riesgo. · Programa de evaluaciones. · Evaluadores, metodología y herramientas de control. · Presentación de conclusiones y documentación de soporte · Seguimiento para que se adopten las correcciones pertinentes. Las deficiencias o debilidades del sistema de control interno detectadas a través de los diferentes procedimientos de supervisión deben ser comunicadas a efectos de que se adopten las medidas de ajuste correspondientes. Según el impacto de las deficiencias, los destinatarios de la información pueden ser tanto las personas responsables de la función o actividad implicada como las autoridades superiores.
9

En conclusión; En el marco de control postulado a través del Informe COSO, la interrelación de los cinco componentes (Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, y Supervisión) genera una sinergia conformando un sistema integrado que responde dinámicamente a los cambios del entorno. Atendiendo a necesidades gerenciales fundamentales, los controles se entrelazan a las actividades operativas como un sistema cuya efectividad se acrecienta al incorporarse a la infraestructura y formar parte de la esencia de la institución. Mediante un esquema de controles incorporados como el descripto: · Se fomentan la calidad, las iniciativas y la delegación de poderes. · Se evitan gastos innecesarios. · Se generan respuestas ágiles ante circunstancias cambiantes. COBIT La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado. El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios. ³La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado´, señaló un informe de ETEK.
10

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos. El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro ³dominios´ principales, a saber: - Planificación y organización - Adquisición e implantación - Soporte y Servicios - Monitoreo Principios Requerimientos de la Información del Negocio ‡ Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable ‡ Eficiencia: Empleo óptimo de los recursos. ‡ Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada ‡ Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la organización. ‡ Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades. ‡ Cumplimiento: Leyes, regulaciones y compromisos contractuales. ‡ Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo. Recursos de TI ‡ Datos: Todos los objetos de información interna y externa, estructurada o no, gráficas, sonidos, etc. ‡ Aplicaciones: Sistemas de información, que integran procedimientos manuales y sistematizados.
11

‡ Tecnología: Hardware y software básico, sistemas operativos, de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. ‡ Instalaciones: Recursos necesarios para alojar y dar soporte a los sistemas. ‡ Recurso Humano: Habilidad, actitud y productividad del personal. Básicamente, apoya a la organización al proveer un marco que asegura que: y y y y La Tecnología de Información (TI) esté alineada con la misión y visión. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente.

El modelo COBIT hace un estudio de estos elementos para conocer realmente la importancia de cada uno y conocer el estado y situación general de la organización completa COCO El Instituto Canadiense de Contadores Certificados (CICA por sus siglas en inglés), a través de un consejo encargado de diseñar y emitir criterios o lineamientos generales sobre Control Interno dio a conocer el Modelo COCO (Comisión de Criterios sobre el Control por sus siglas en inglés, en lo adelante COCO). El modelo busca proporcionar un entendimiento del control y dar respuesta a las siguientes tendencias: 1. En el impacto de la tecnología y el recorte a las estructuras organizativas. 2. En la creciente demanda de informar públicamente acerca de la eficacia del control. 3. En el énfasis de las autoridades para establecer controles, como una forma de proteger los intereses de los accionistas. El modelo pretende proporcionar bases consistentes para dichos requerimientos reguladores, de tal manera que permitan a las autoridades cumplir sus objetivos, sin que con ello se establezcan requerimientos excesivos que pudieran atentar contra la eficiencia de la gestión. El propósito del modelo es desarrollar orientaciones o guías generales para el diseño, evaluación y reportes sobre los sistemas de control dentro de las organizaciones, incluyendo asuntos gubernamentales en el sector público y privado. Elementos del Control En la estructura del modelo, los criterios son elementos básicos para entender y, en su caso, aplicar el sistema de control que se comenta. Se requieren adecuados análisis y
12

comparaciones para interpretar los criterios en el contexto de una organización en particular, y para una evaluación efectiva de los controles implantados. El modelo prevé veinte criterios agrupados en cuatro grupos, en cuanto al propósito, compromiso, aptitud, y evaluación y aprendizaje. Los criterios definidos para cada grupo son los siguientes: Propósito El apoyo en su capacidad o aptitud para alcanzarlo (información, herramientas y habilidades). El sentido de compromiso e involucramiento para realizar debida y oportunamente su tarea. Que la misma persona deba vigilar y evaluar su desempeño. Los objetivos deben ser comunicados. Se deben identificar los riesgos internos y externos que pudieran afectar el logro de los objetivos. Las políticas para apoyar el logro de objetivos deben ser comunicadas y practicadas, de manera que el personal identifique el alcance de su libertad de actuación. Se deben establecer planes para guiar los esfuerzos. Los objetivos y planes deben incluir metas, parámetros e indicadores de medición del desempeño. Compromiso 1. Se deben establecer y comunicar los valores éticos de la organización. 2. Las políticas y prácticas sobre recursos humanos deben ser consistentes con los valores éticos de la organización y con el logro de sus objetivos. 3. La autoridad y la responsabilidad deben ser claramente definidos y consistentes con los objetivos de la organización, para que las decisiones se tomen por el personal apropiado. 4. Se debe fomentar una atmósfera de confianza para apoyar el flujo de la información. Es importante reiterar que la misma persona deberá vigilar y evaluar su desempeño, al igual que su entorno, para aprender de la experiencia y poder ejecutar mejor su tarea, así como para introducir los cambios necesarios. En este sentido, si se desea aplicar este modelo en una organización, la unidad a considerar puede ser toda la entidad, una agencia o dependencia de la misma, o subunidades como pueden ser divisiones o departamentos. El control comprende los elementos de una organización que tomados en conjunto, apoyan al personal en el logro de sus objetivos organizacionales, los cuales se ubican en las categorías generales siguientes:

13

y

Efectividad y eficiencia de las operaciones. Incluye objetivos relacionados con metas de La organización, tales como: · Servicios al cliente. · Salvaguarda y uso eficiente de recursos. · Cumplimiento de obligaciones sociales. · Protección de recursos contra pérdida o uso indebido. Confiabilidad de los reportes internos y externos. · Adecuado mantenimiento de registros contables. · Información confiable para uso de la organización y la publicada para información de terceros. · Protección de los registros contra accesos indebidos. Cumplimiento de leyes, disposiciones y políticas internas.

y

y

y

La estructura del modelo canadiense requiere de creatividad para su interpretación y aplicación y es adaptable a cualquier organización una vez que se adecua a las necesidades de sus propios interese Auto Evaluación de Control AEC La ejecución de proyectos de Autoevaluación de Control (AEC) debe realizarse de acuerdo con un método sistemático y estructurado, que asegure en todo tiempo que los esfuerzos llevados a cabo por los distintos participantes, se realicen en un orden y consecuencia apropiados al fin que se persigue. Un método bien diseñado permite, entre otras cosas, precisar cuáles son los diferentes ámbitos de participación, asegurar una ejecución eficaz y eficiente del proceso y que los resultados posean las características de calidad que cumplan con las expectativas de la administración, del personal responsable de las operaciones y de los Auditores Internos. Los elementos constituidos de la estrategia pueden ser establecidos de acuerdo con las etapas que a continuación se proponen: * Proceso de Involucramiento y Preparación de la AEC * Selección y Aplicación de la Metodología * Desarrollo de la AEC * Determinación de Acciones de Mejora * Comunicación de Resultados Con el fin de ilustrar la manera en que el proceso opera, a continuación se describe cada una de las etapas antes mencionadas.
14

Proceso de Involucramiento y la Preparación de la AEC La naturaleza del proceso, como ya se ha mencionado, requiere de la participación de los diferentes niveles de la organización, lo que asegura que los esfuerzos se traduzcan en resultados tangibles. Muy importantes en este sentido, es la actitud entusiasta y propositiva del Auditor Interno. Al inicio del proceso, es necesario que el Auditor Interno tenga un acercamiento con el director general de la organización con el fin de inducirlo al debido entendimiento del objetivo, enfoque, alcance y metodología de la AEC y de cómo este proceso puede favorecer el mejoramiento de los controles que dan apoyo a su responsabilidad principal, que es el cumplimiento de los objetivos de la organización. Con ello se busca lograr un apoyo amplio, de su parte, con el fin de que las acciones derivadas del proceso sean aplicadas oportunamente por todos los responsables de lograr los objetivos. Este mismo proceso debe llevarse a cabo con los mandos directivos dependientes de la dirección general. Para lograr éxito en la implementación de estos procesos, se requiere que el director general y otros miembros prominentes de la alta administración muestren en los hechos una actitud de respaldo a los objetivos, premisas y técnicas de la AEC, adoptándola como una herramienta integrada al proceso administrativo. Esta actitud debe apoyar la filosofía que persigue este proceso, asi como también a los principios en los que se sustentan las distintas etapas. También implica el reconocimiento y respeto al trabajo del Auditor Interno dentro de la organización. Los más altos directivos deben dar una señal clara y contundente a todos los demás niveles sobre la importancia y beneficios que aporta la AEC al cumplimiento de los objetivos fundamentales de la organización. También deben resaltar en su mensaje la importancia de la participación constructiva de quienes específicamente habrán de involucrarse en el proceso. Los facilitadores generalmente son los Auditores Internos, aunque también puede ser personal especialista contratado para estos propósitos; sin embargo, los Auditores Internos son quienes naturalmente pueden llevar a cabo esta tarea, dado que conocen con claridad cuáles son los objetivos de la organización, los objetivos de cada área además cuentan con el conocimiento de los sistemas de control establecidos y una idea muy aproximada a nivel de eficiencia y eficacia con que operan. Preparación de la AEC; En esta etapa debe llevarse a cabo una presentación en la cual se precise detalladamente el objetivo del proceso en los ámbitos de competencia particulares, se acuerde el programa de trabajo correspondiente, se identifique los participantes idóneos por parte del responsable del área a evaluar con la orientación del Auditor Interno, y se obtenga la información relativa de los objetivos y funciones, que es el punto de partida de la AEC. Una vez obtenida la información relativa a los objetivos y funciones, es analizada por los Facilitadores para llevar a cabo el proceso "alineación de objetivos", que tienen como propósito asegurar que todo el personal conoce y entiende la manera en que sus actividades
15

y resultados, sumados a otros, ayudan a cumplir el objetivo del área y ésta a su vez contribuye al objetivo general de la organización. Si entre el personal de una misma área no comparten la misma visión y orientación de los objetivos, es de esperar que sus esfuerzos no se estén canalizando adecuadamente y que los objetivos no sean logrados de forma eficiente y eficaz. Las herramientas básicas para el levantamiento y análisis de la formación, son generalmente las siguientes: matrices de Riesgo/ Control y Encuestas. Parte de la información que se debe incluir en las matrices y/o encuestas se deriva del análisis realizado a la información relativa de los objetivos y funciones. Paralelamente a todo lo, anterior, se realizan las actividades necesarias para la implementación de la etapa del taller de AEC, como son: la selección de un salón adecuado para las reuniones y el aprovisionamiento del equipo y material necesario (pantalla P.C., retroproyector, datashow, acetatos, etc.) Selección y Aplicación de la Metodología Es importante determinar las herramientas que se van a utilizar para la evaluación de cada uno de ellos, es decir, cuáles de los componentes conviene sean autoevaluados por la vía de los talleres de Autoevaluación del Control (TAQ y cuales mediante la aplicación de encuestas. Las Mejores Prácticas relativas a la implantación del proceso de AEC, sugieren que por lo menos el componente evaluación de riesgos sea autoevaluado a través de la realización del TAC, en tanto que los otros cuatro componentes se puedan autoevaluar a través de encuestas. Desarrollo de la AEC El proceso tiene como eje principal la evaluación de la efectividad de los sistemas de control, analiza la forma en que los objetivos particulares están alineados con los objetivos básicos del negocio, las fortalezas y debilidades de los procesos operativos, la identificación de riesgos que pueden afectar los objetivos principales del área, así como los controles para identificarlos, atenuarlos y administrarlos. La realización de los talleres es la esencia del proceso, ya que de ellos se deriva la identificación de las acciones de fortalecimiento para elevar directamente la probabilidad de que los objetivos sean alcanzados. Talleres * Los talleres de Autoevaluación de Control, tienen entre otros propósitos los siguientes: * Fortalecer la propiedad del Control y promover un cambio de parte de los responsables de establecerlos. * Identificar los riesgos que pueden afectar el logro de los objetivos.
16

* Promover la discusión sobre la suficiencia y eficacia sobre los Controles que son aplicados para cumplir con los objetivos. * Apoyar la efectividad del Control Interno de cada área. * Incrementar el interés y la confianza a todos los niveles, en el sentido de que los controles son efectivos y funcionan adecuadamente. Encuesta Por lo que respecta a las encuestas, su diseño y aplicación debe considerar lo, siguiente: * Diseño específico para el área a autoevaluar. * Las preguntas se deben plantear de manera abierta y propositiva. * Solicitar información en forma ordenada y estructurada. * Cuidar que no se emita algún punto importante a fin de asegurar una amplia cobertura del área objeto de la autoevaluación. * Permitir la obtención de la información detallada. * Permitir se pueda incluir información que el personal considere pertinente. Cada uno de las participantes debe documentarlas de manera individual, sin que se requiera que el personal esté reunido en un solo evento. Los talleres de Autoevaluación buscan que todas las áreas sean responsables del establecimiento y mejoramiento de sus propios sistemas de Control, instrumentados para lograr objetivos particulares de su área, los que a su vez están concatenados a los objetivos primarios. Por su naturaleza la AEC favorece la cobertura amplia en la revisión de objetivos y áreas relevantes. Determinación de las Acciones de Mejora La Autoevaluación implica un análisis de la información mencionada; el examen es realizado por el personal del área participantes en los talleres y encuestas, los que determinan en principio si los objetivos del área están orientados en el mismo sentido que los de la empresa y si es que son una parte de los mismos; es decir, determinan en que proporción y forma contribuyen al objetivo general de la empresa. Posteriormente, de acuerdo a su conocimiento del entorno y características de operación, determinan cuales son los riesgos que eventualmente pudieran afectar el logro de los objetivos del área, en la forma y tiempo que fueron planeados. El siguiente paso es confrontar dichos riesgos, con las políticas y procedimientos establecidos en el área; de esta comparación se precisan controles excesivos y riesgos no cubiertos o partes de riesgos contra los cuales no se está suficientemente protegido. No necesariamente se debe tener cobertura del 100% contra todos los riesgos, por lo tanto, se les debe otorgar prioridad a los más significativos. Para evitar subjetividad al asignar importancia a los riesgos no cubiertos, éstos deben ser cuantificados, determinando en términos monetarios cual pudiera ser su efecto si llegaran a concretarse y en su caso, cuantas veces se podrían presentar en un ejercicio.
17

Comunicación de Resultados Un diseño adecuado de encuestas y talleres exitosos originan mucha y diversa información; por lo tanto, una función importante del equipo de Auditores Facilitadores, es recopilar y ordenar los datos que no quedaron plasmados en los matices de Riesgo y Control. Para integrar el informe, el Auditor Facilitador debe considerar diversas fuentes de datos como son: Matrices de Riesgo/Control analizadas en los talleres, puesto que son los documentos que precisan los riesgos no cubiertos. Encuestas en las que se detallan los comentarios sobre los diversos factores integrantes de los componentes evaluados. Registros (minutas, memorias o resúmenes) de los talleres. Aparentemente el informe de los resultados en su forma pudiera guardar cierta semejanza con los informes de Auditoría, pero en realidad es totalmente diferente, ya que en el fondo el informe contiene la esencia de las discusiones efectuadas en el taller. El reporte realmente está integrado con los comentarios de los participantes, el Auditor Facilitador únicamente recopila selecciona y ordena la información y finalmente, redacta de manera legible, comprensible y clara las opiniones del personal. En este proceso el auditor debe procurar no emitir su opinión, sino integrar objetivamente los resultados de la AEC; esta particularidad, es lo que verdaderamente marca la diferencia con un informe de auditoría. Una diferencia adicional a la anterior, es que una copia del informe se entrega a cada uno de los participantes, como constancia de lo acordado y de los compromisos y responsables establecidos, pero sobre todo, como una evidencia de que los resultados fueron vertidos abierta y positivamente y con total apego a las opiniones emitidas. Semantic Access Control Model SAC El Sistema de Control SAC involucra directamente un Modelo de Control de acceso basado en la semántica, considerando para esto el significado de los signos, símbolos y caracteres. La Web semántica es considerada la nueva generación de la Web. El SAC nos proporciona la aplicación de los conceptos de la web semántica junto con sus tecnologías al área del control de acceso. En concreto, se presenta un nuevo modelo de control de acceso al que se ha denominado SAC, Semantic Access Control Model, el cual usa diferentes capas de ingreso de datos para describir la semántica de los diferentes componentes que participan en una decisión de acceso. El diseño de SAC se basa en un modelo de metadatos que permite la integración semántica de una aplicación de control de acceso y una infraestructura de acreditación externa. SAC representa una solución al problema del control de acceso para entornos altamente
18

distribuidos, dinámicos y heterogéneos. El diseño de este modelo se basa en la información semántica para lograr que se tengan en consideración las propiedades particulares de los recursos accedidos (lo que se conoce como ³introspección de contenido´). Junto con el modelo de control de acceso se ha diseñado su correspondiente lenguaje de políticas, Semantic Policy Language (SPL), que se basa en el modelado semántico de la información contextual así como de los distintos recursos a proteger. Igualmente, y con el fin de que la integración de la entidad de autorización externa resulte transparente al resto del sistema de control de acceso, el lenguaje hace uso de las descripciones semánticas (modelado semántico) de las distintas autoridades de certificación que componen la infraestructura de autorización externa o PMI (Privilege Management Infrastructure). El SAC Basado en atributos. Los conceptos sobre los que se basa el modelo de control de acceso son fundamentales en los niveles de interoperabilidad y flexibilidad alcanzados. El modelo de control de acceso basado en roles (RBAC), considerado como una tecnología madura y flexible, se define sobre los tres conceptos predefinidos de ³usuario´, ³rol´ y ³grupo´. La consideración de concepto ³usuario del sistema´ implica el proceso de identificación como base para el control de acceso. Consecuente con esto, la asignación de roles y la pertenencia a grupos toman como base la identificación del usuario. La definición de roles y la agrupación de usuarios puede facilitar la gestión, especialmente en sistemas de información corporativos. Pero en otros entornos donde la heterogeneidad y distribución de los recursos son sus principales características, estos conceptos pierden efectividad y dejan de ser los más adecuados. De hecho, el concepto de grupo es un sustituto artificial de un concepto más general como es el atributo. En la práctica, los grupos se definen según los valores de determinadas condiciones, como puede ser la posición del empleado dentro de la empresa, la función desarrollada, etc. El atributo usuario, por ejemplo, aparece en la mayoría de los modelos de control de acceso y, aunque la identidad constituye uno de los atributos más útiles, existen escenarios donde no es necesario (por ejemplo, si se quiere mantener el anonimato en el acceso) y por lo tanto no debería ser un componente predefinido de un modelo general. Visión general de SAC El modelo SAC contempla la existencia de una serie de sistemas de control de acceso y un conjunto de entidades de acreditación confiables que actúan de manera independiente y dan servicio a los diferentes sistemas de control de acceso. El control de los recursos es independiente de su localización. De esta forma, los recursos controlados por un administrador no han de residir obligatoriamente en su propio sistema de información.

19

Igualmente, algunos de los recursos almacenados por un sistema de control de acceso pueden no estar bajo el control de dicho sistema. Cada sistema de control de acceso mantiene una descripción semántica de los recursos que controla. Asimismo, se tienen en cuenta propiedades acerca del contexto de aplicación. El nivel de diversidad ínfima no se limita a nivel de objeto (fichero, servicio, aplicación, componente software, etc.), pudiéndose especificar a un nivel más fino.

20

Conclusión

La presente recopilación de los modelos de control para la auditoria informática tuvo como finalidad dar a conocer ciertos modelos utilizados, así demostrando que cada uno de ellos tiene características propias, cada modelo en especifico tiene una metodología a seguir o recomendaciones para facilitar la recopilación de información para su posterior análisis y dar con la información requerida, desde conocer su actual control de la función informática, o saber la eficiencia de los sistemas informáticos, o revelar si cumple con su normativa y es eficaz en su gestión de recursos informáticos. Se puede mencionar que el modelo COBIT es de los mas enfocados a la auditoria informática debido a que evalúa el uso de las herramientas informáticas y sus aplicaciones, desde su seguridad y calidad hasta los recursos humanos y infraestructura del lugar.

21

Bibliografías

³Modelo basado en metadatos para la integración semántica en entornos distribuidos. Aplicación al escenario de control de accesos´. Dirigida por D. José Mª Troya. Dpto. Lenguajes y Ciencias de la Computación. 2003.

³Revista Técnica de la Facultad de Ingeniería de la Universidad de Zulia ± ISSN 02540770, v.29 n.3 Maracaibo Diciembre 2006´ (www.scielo.org.ve/scielo.php?pid=so25407702006000300006&script=sci_arttext) ³Auditoria en sistemas computacionales´ Autor Carlos Muños Razo, Editorial Prentice Hall. 2006

Recursos internet

www.amocvies.org.mx/.../1%20MODELOS%20DE%20CONTROL.ppt http://www.monografias.com/trabajos59/analisis-informes-coso-coco/analisis-informes-cosococo.shtml http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm. http://sisbib.unmsm.edu.pe/bibvirtual/public/quikamayoc/2002/Segundo/control_.htm http://www.scribd.com/doc/27987761/1-Modelos-de-Control www.kpmg.com.co/industries/.../Autoevaluacion_de_Control.pdf http://www.rediris.es/difusion/publicaciones/boletin/66-67/ponencia15.pdf http://www.erm.coso.org/Coso/coserm.nsf/frmWebCOSOExecSum?ReadForm. www.kpmg.com.co/industries/.../Autoevaluacion_de_Control.pdf

22

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->