ee Capitulo 1 CONTROL INTERNO Y AUDITORIA DE SISTEMAS DEINFORMACION Gloria Sénchez Vairiberas 1.1 INTRODUCCION La informacién que es tstada en una organizasién es un recurso critico que eberia ser provegido, ya que Ta misma es Ie base dela mayoria de las decisiones ‘que son adopiadss a 1o largo del tiempo. Para tener una seguridad razonable sobre ai la informacién es exacta y ccomplets, estar disponible cuando se necesita y serconfidencia, la implementacién El aumento de Ia complejided de los sistemas de informacién y la Adependencia de tos erganizaciones respecto 3 los mismos, 1.2 LAS FUNCIONES DE CONTROL INTERNO Y AUDITORIA INFORMATICOS 1.2.1 Control Interno Informitico E] Conol Intemo Informético contola diaiamente que todas las ‘actividedes de sistemas de informacién sean reslzadas cuumpliendo los Procedimiontos, estindares y nommas fjados por la Direcciéa de la Organizacién yo la DeceiGn de Informatics asi como los requernaintos legals. La misién det Control Intemo Informitco es asegurarse de que las ‘medidas que se obtienen de los mecanismosimplantados por cal responsable seen correcta y vidas Control Iniemo Informético susle ser un érgano staff de la Diseccién del Departamento de Informatica y esté doiado de las personas y medios materiales proporcionados alos cometos que se le encomiondzn (Como prineipales cbjetives podemos indicar los siguientes: * Controlar que todas Iss actividades se realizan eumplicndo los procedimientos y notmas Ajados, evaluar boadad y asegurarse del ‘camplimiento de les nonmas legates. + Acesorar otro ol onccimiento de las nornes,‘ AUpITOREA D8 TECHOLOGIAS Y SISTEMAS DB INFORMACION, x + Comoreryapyar eine dA Trains como de sats Gram «Det imsay ses asso y cons pa cna Big os gor alsa ets iran, ca 0 Soe eo gu mpatin de n rcmisos wes sp ie raped del ago eos ves se wie SEheeue i te de Cote nny so SSPRSSINE afin y meen reponse cen Grecian tsmeton dome scan Reaizar co ls dies stems (ens, doen, re rocks, Pes ae) y enorme ifomaticos(pedicln,dasevollo © pruebas) e tal ols ditretsstvidades oper sobre +5 campliniono de process, nomes y contols dicta Terenas ta vignncioe ol couse cabs yVesones cassiare J conte sobre nprotiesin daa + Controle sobre la calidad y ciciencia del desarollo y mantenimiento del software y del servicio informético. + Controls en as rode ecomaizncionss. + Contos sobre spore dbase. + Conrls eno sistemas mics. La seguridad ifomitica (urespoambildedpuode estar sgn + ‘Sn interno o Ben puede signs Ia responabidad de contol fate ema comdo co ena 0 60) (© Usuatios, responsables y pecfiles de uso de archivos y bases de datos. © Nommas de seguridad. © Control de informaciéa clasificada. © Control dual de la seguridad informitica. RAMA CAPITULO 1, CONTROL INTERNO Y AUDITORIA DE SISTEMAS DE INFORMACION ‘+ Licencias y relasionss coutractuales ooa ferseros. + Asesorary transmitir cultura sobre el riesgo ‘nformitico, 1.2.2 Auditoria Informatica La Anditoria Informatica es ef proceso de recoger, agrupar y evaluar cvidencias parar doterminar si un sistema informatizado salvaguarda los actives, ‘mantiene la integridad de los datos, leva a cabo eftcazmente los fines de le corganizaciin y utlim eficientemente Ios recursos. De este modo la auditoria informtica sustenta y confirma la consecucién de los objetivos tradicionales de la snidtoria + Objetivos de protecciéa de actives e integridad de datos. + Objetivos de gestién que abarcan, no solamente los de proteccién de actives, sino tambida Ios de eficaciay eficiencia. El auditor evaléa y comprueba en determinados momentos del tiempo los controlesy procedimientes infocmativos més complejoe, desaroliando y splicando ‘enicas mecanizadas de auditors, incluyendo el uso del software. En muchos £8305, ya no es posible vetificar manualmente los procedimients informatizados ‘que resumen, cafculany clasifican datos, por lo que se deberé emplear software de anditocia y ras tSenicas pos ordenador. EB auditor es responsable de revisar informar a la Direccién de la Orgenizacion sobre el disefo y el fincionamiento de los contoles implantades y sobre la fabilad de la informsacion suministrada. Se pueden establecer tes grupos de fineiones 4 realizar por un ex informitico: + Participar ea las revisiones durante y después del diseto, realizacién, implantacién y explotacién de aplicaciones iafarmativas, asi como ex las fases andlogas de realizacién de cambios importantes, + Revisary juzgar ls conirles implantados en os sztemesinformatives para verficar su adecuacion a las érdenes e instrucciones dele Dieccién, requisites legales, provecciéa de “contidencialidad y cobertura ante errores y fades,AvDITORIA De TEENOLOGIAS ¥ SISTEMAS DE DFORVACION e oxen Revisary yuzgar ol nivel Ge efsacta, ullidad, dabiidad y segura de Jos equipos e informaciéa. 1.2.3 Control Interno y auditoria informéticos: campos andlogos La evolucién de ambas funciones ba sido espectacular durante a hima beads, Muchos controesintemos fueron un vez anitores. De hecho, muchos de los actalesresponeables de Commo InteraoTnformitio reibieron formacién en Sequriged informdtica as so paso por Ja formacién en auditoria, Numerosos autores se pan al earapo de Cont Intern Informétco dbido aa smiltud de los objetivos profesionales de contol y etitori, campos snélogos que prepician ‘una wansiién natal Aunque ambes figuras tienen objeives comunes, existen diferencias que ‘conviene matizar (véase figura 1.1) Peron] interno. Conacimieats especializts en Teenologis dela Lnormacisn le Werifeacién del cumplimiento de conotesinternos, nommativa y SIMILIZUDES | procedimientos extbleidos por la Ditezcién de Infornitice y | Dzcecin General par os sistemas de informacién, Aodlisis de los conolesenel dina |Anilisis de un momesto ia infomatico detemninado. Informa a la Dizecolin dal Informa ala Direeién [Deparamento de infrmitica. |General dela Organizacon. S6lo personal stem. Personal into y/o enero. I eloance de sus funclones es |Tiene coberra sobre todos fnicamente sabe el Departimento [Jos compenentes do os fe Inforndtica. | Ssteras de informacién de Te | Organizacion. DIFERENCIAS Figura 1.1 Similiides y diferencias entre control interna y audltortatnformticas sFORUACIONS 1.3 SISTEMA DE CONTROL INTERNO INFORMATICO. 1.3.1 Definicién y tipes de controles internos Se puede defini ct control interno como “cualquier actividad 0 accién ealizads manual y/o autométicamente pare prevenir, comegir encores 0 ‘nregularidades que pasdan afectar al funcionamienta dum sistems para conseguir sus abjetivos™ 1Los controles cuando se disefien, dessrrollen e iemplanten han de ser al ‘menos completes, simples, fables, revsables, adecuadas y rentables. Respecto a esto timo habrd que analiza el coste-iesgo de su implantacion. Los controle intemos que se utlizan en el entre informético contingian evolucionando hoy en aia a medida que los sistemas informétioos se vuelven ‘omplejos. Los progresos que se producon en la tecnologia de soportes sos y de software han medifieado de manera signifcativa los proceditnientos que so ‘empleabgn tredicionalmente para controlar los procesus de aplicaciones ¥ pare gestions los sistemas deinformacién, Pera asegurar Is integridad; disponibilidad y ficacia de los sistemas se equieren complejos mecauismos de coumol, la meyarie de les cuales son ‘utomticos. Resulte interesante observar, in embargo, que hasta en les sistemas Servidov/eliente avanzados, aunque algunos controles son completamente suiomitioos, ots son completamente manuales, y muchos dependen de una ccombinacién de elementos do software y de provediniisntos. Histéricamente, tos objetivos de los contcles informéticos sean clasificados en las siguientes eatogorias: + Controle preventivos: para teatar de evitar hecho, como un software cd seguridad que impida los accesos no wutorizados al sistema. + Conroles detsctvos: cuando fallan los preventivos pare tease de conover cuanto antes el evento. Por ejemplo. el registra de intentos de aceeses no autorizados, el registo de la activided diaria para detnctar ‘erores u omisiones, ete. ‘+ Comroles correctivos: fciitan la vuelta ala normalided cuando se hen producido incidenciss. Por ejemplo, la recuperaciéa de un fichero dlaiedo a partir de ls copins de seguriéad.sa nuprronia DE TECNOLOGIASY SISTEMAS DE INFORMACION enema Como el concepto de controles se origind en Ie profesion de audleorts, resulta importante conocer Ie relacién que existe entre los métodos de contro, los Objetivos de control y los objetives de auditcca. Se tesa de un tema dificil por el beeho de que, histricamente, caéz método de control he-esiade.asociado nivecamente con un objetivo de cautol (po: ejemplo, ls seguridad do Ficheros de Uaios ce conseguia sencillanvente mantoniendo Ia sala de ordenadores cemada com liave). Sin embargo, a medida que los sistemas informiétioos se han vuelto mis complejos, los" eonttoles informéticos Then evolucionado asia convertrse ea ‘procesos fategeados ea los que se steniar Iss diferencias entre las categorias ttadicionsles de controles informiticos. Por ejemplo, en los actuales sistemas informéticas pusde resltar dil ver 1a diferencia entre seguridad de los programas, Ge los datos y objtivos de contro! del software del sistema, porque el mismo grupo de métodos de control satistace ‘asi totalmente lo tes objetivos de contro. La relacién que existe eatte Jos métodos de contol y los objetivos de contro! pusde demosirer mediante o] siguieste ejemplo, en el que un mismo ‘Conjunto de métodos de control se uiliza pea seiisfacer objetivos de control tanto ‘Ge mantenimiento como de seguridad de los programas © Objetivo de Control de mantenimiento: asegurar | que las ‘modificaciones de lot procedimientos programados estén adecusdamente disedids, probadas, aprobadsse implaniadas. + Obferivo de Control de seguridad de programas: gaantizar que no S© pueden efectar cambios no autrizados en los procedimientos programados. 1.3.2 Implantact6n de un sistema de controles internos informéticos J.os controles pueden implaxtarse a varios niveles diferentes. La evaluaciGa, de Jos controles de la Tecnologie de la Informacién exige enalizar diversos tlementos intraspendientes. Por ello ef imporante llegar @ conocer bien la ‘configuacion éel sistema, oon el objeto d>Sdentfcar los elementos, productos y Fferamientas que existen para saber Ande pueden implactarse los controls, asi ‘como para idenificarposibes resgos. [eRAMA_cAPfTULO 1, CONTROL INTERNO'Y ALDITORIA DE SISTEMAS DE INFORMACION IL ‘Pasa llegar a concoct Ia configurasién dol sotomn ee necesaio documentar| Tos detalles de la red, asf como los distints niveles de control y elementos relacionados: + tatoo de reds esque de ard, descipcib de cntguack fardare de euucorones, esa tl softer lin amo neces ¢ io teoomunicactones, Satol dered, sain Geum de lor ovimnres de entoor debt qu spatan icin ony cdc © sil do “+ Configuracién de! ordenador base: configsracién del soporte fico, ftomo del sistems operative, sofware con pattciones, entornos (prashas y rea), bibliotecas de progremas y coajunto de dats, + Entorno de aplicaciones: procesos de tansacciones, sistemas de gestion de bases de datos y entoros de procesos distibuides. 1+ Productos y herramientas: softvare para desarrollo de programas, software de gestidn de biblioteons y para op:raciones autométicas. 1+ Seguridad del ordenador base: identifear y verificar usuario, control 4e acceso, registro e informaciéa, imegridid del sistema, controles d= supervisién, ee Pera te implantacién de un sistema de controlesinternosinformiticos habs ue defini: # Gestion de sistemas de informacion: roliticas, pautas y nomnas téonicas que sirvan de base para el disez> y Ia implantacién de los sistemas de informacion y de los coutroles cozesponstients. +» Administraciin de sistemas: controles sob a actividad de Tos centros de dates ¥ otras funciones de apoyo al sistema, incluyendo la administra de las redes. © Seguridad: ‘aciuye las tes clasés' de controles fimdamentules implantados en el software del sistema: integrided del sistema, confdencialidad (contol de acceso) y disponbilidad,_!2AVDTTORIA DE TECNOLOGEAS ¥SISTENAS D0 RFORMACION exaa + Gescién det cambio: separacton de las probes ¥ la producsiéa 2 nivel de software y oontroles de procedimientos pare Ia migracion de Programas software aprobades 5 probados Normas y Procecimientos Medidas Tecnolégicas implantadas Figural 2. Implantacién de politieay cultura sobre seguridad. La implantacion de une politica y culture sobre ta seguridad requiere que 08 realizada por fases (véase en Ja figura 1.2) y estérespeldaia por Ja Dizescitn, (Cada fisncién juegs un papel importante en las stints eiapas: + Direcctin de Negocio o Direceiin de Sistemas de Informacién (SD: han de definir Ie politica y/o directrices para Tos sistemas de informaciin en base a las exigencias del negocio, que podein scr interns 0 externas, * Direccién de Injormérica: ba de Sefinir las normas de funcionamiento nfomo informitico y de cade una de las fnciones de Informstica ‘mediante Is creacién y publicerién de procedimientos, esténdares, SELMA __ CAPITULO 1. CONTROL IVTERNO ¥ AUDITORIADE SISTEUAS DE IMORMACION 19 meiodologia y norma, splicables a todss las reas dé Jaformatica ast ‘como @ lat ususcios, que establezcan el mareo de funcionamiento, + Control interno Informatica: ha de deinir los diferentes controtes Deriddicos @ realizar en cada uno de ls finciones informdtions de ‘acuerdo a nivel de iesgo de cade tma do las, ydise2arios conforne « los objetivos de negocio y dentro del mar legal epliceble. Estos se plasmarén en los eportunos procedimsientns de control interuo y podcin ser proventivos o de deteccign. Realizaré >eriicamente la revista de los conttoles establevidos de Control Intemo lnformitico informande e las desviaciones a la Direocién de Infomitica y susiriendo cuastos ‘cambios crea convenieates en los contales, asf como tensmitiod onstanfemente toda la ocganizacién de Informética la cultura y politcas del riesgo informticn, (Véase figura 1.3}, ee) ——+| vrecoon| ‘eigenies = | cme estaxoines, | recente, NORNAS Y OOOLDSEAS | (aaa a ae | PROcEDRAENTos BE CONTROL Figura 1.3. Funcionaiento del control interno lnformeético + Auditor internolesterno informétteo:. ba do revisee tos diferentes ‘ontroles internos definidos ex cada una de las funciones informations ¥-el complimiento de normative intema y extema, de acuerdo al nivel fe riesgo, conforme 2 los objetivos dafiidos por Ia Direceiéa de Negocio y la Dieceitn de Informiica. Inormari a la Alta Direcciin e los hechos observados y al detectarse éefiiencias o ausencias de4 quprTonia De TECNOLOGIAS ¥ SISTEMAS DE RFORMACION enema comroles recomendarin accfones que minimicen 10s riesgos que pueden orjginarse La-creacién de un sistema de contol informético es una responsabilidad de Ja Gerencia y un punto desiacable dela politica en el entomo informtico. ‘A continuacién se indicen slgunos controles intemos (no todos Io que Aleberian definirse) para sistemas de informacin, agrupados por secciones fimcionales, y que serian los que Contol Intemo Informitico y Auditor Informitica deberian verificar para determinar su cumplimiento y vaidez: 1. Controles generales organizatives + Pollticas: deberin servis de tuse para la planificaci6n, control ¥ fevaluacign por la Direocién de las actividades del Departamento de Informatica. + Planificecién © Plan Estratégico de Informocién, rslizade por los érganos de Ja Alts Direocin de la Empresa donde se-definen los procesos corporates y se considera el uso de las diversas tecnologias de infermacién asi com las amenszas y oporiunidades de si uso. de su susencia, © Plan Informético, realizado por el Departamento de Informatica, determina los caminos precisos para cubrir las necesidades de la Empresa plasméndolas en proyectos {nformétioas. © Plan General de Seguridad (fisica y Logica), que garantice la cconfidencialidad, intepridad y dispontbilidad de la informacién. © Plan de energencia ante desasires, que garantice la isponibilidad de los sisemas ante eventos. * Extindsres: que regulen 12 sdguisieiéa de reousos, el diseto, esarrolle y modificacién y explotacién de sistemas. Ht 4 3 4 ERAMA _CAPTULO 1. CONTROL DSTERNO Y AUDITORIA 38 SISTEMAS DE INFORUAACION 15 ‘+ Procedimienios: que deseriban ta forms y las responsabilidades de cjecutoria para reyular las elaciones entre cl Departamento” de Tnformatice y los departamentos usuarios, ‘+ Orgmizar el Departamento de Informitin en un nivel sufcientemente superioc de estructure organizativa como para asegurar si ‘ndependeacia e los depertamentos usuatos. ‘© Descripeiéa de las fimciones y responsabilidades dentro det ‘Departamento con una clara separacién de las misma, ‘+ Politicas de personal: seleceida, plan de formacién, plan de vacaciones yy evaluncién y promocién. * Asegurar que la Direecidn revise todos los informes de control y resueive las excepciones que ocurran. + Asegurar gue existe uns politica de clsfcacion de le informacion para saber dentro dela Organizacién qué personas estén sutorizadas y qué informacié. + Designer oficsimente la figura de Contol Intemo Informatica y de Auditoria Informatica (estas dos figuras se nombracéninternamenie en base a tamatio del Departamento de Inforaitica). 2. Controles de desarrollo, adquisicién y manieuimfento de sistemas de informacién ‘Para quo permitan alcanzar Ia eficacia del sistema, coonomia y eficiencia, ‘ntegridad de los datos, protecién de los recursos y surplimiento con las leyes ¥ repulaciones: + Metodologia del ciclo de vida del desarollo de sistemas: su empleo podri garantizar Ta ata DireceiGn que se aleanzarén los objetivos efindos para el sistema. Estos son alguns controles que deben existic en la metogologta: (© Le alts Diroocién debe publicar una normativa sobre el uso de ‘metodologia de ciclo de vida cel desarrollo de sistemas y revisar ésia periédicamente,16 AUDITORIA DE TECNOLOGIAS Y SISTENAS De BeFIDAACKENS exams © Ta metoiologia debe _estblecer los pales y responsbildades de las ditnts eas del Deparment de Informética y de los usuatios,esf como la composisién ¥ rTesponsebilidades del equipo del proyeno. (© Las espocificaciones del auevo sistema deben ser definidas por Jos usuarios y quedar sscritss y aprobadas antes de que ccomience el proceso de desarolo, © Debe establecerse un estidio teenol6gico de viabilidad en el ‘cual se formulen formas eltemativas de alcanzar los objetivos del proyecto acompaiiadas de wn anélisis coste-beneficio ~de cada alternative. (© Cuando se seleccions una altemativa debe reelizarse el plan director del proyecto. 2n dicho plan debec exist wma ‘metodologia de conto! de costes. (© Provedimientos para Ia definiciin y documentacién de especificaciones de: disefio, de entrada, de salida, de Beheros, de procesos, de programas, de controles de seguridad, de pistas de auditor, ete. © Plan de validacion,verficaién y prushas. (© Estindares de pruséa de programas, de prucbe de sistemas. (© Plan de conversién; pructn de aceptacién final (© Les procedimientos de adqusiciém de software debecin seguir as polfticas de adquisicién de la Organizaciéa y dichos productos deberin ser prebados y revisads antes de pagar por ellos y poneslos en uso. © La coniratacion de programas de servicios de programacién a medida ha de estar justficada mediante una petiién esrita de un director de proyecto. (© Deberia prepararse manuales de operacién y mantenimiento ‘como parte de todo proyecto de desarrollo 0 modifioaién de sistemas de informacién, asf como mamuales de usuasio. RAMA CAPITULO. CONTROL INTERNO V AUDITORIA DE SSTEMAS DE SFORMACION 19 * Explotecién y mantenimiento: el estblecimiento de contsles asegurard que los datos se tratan de forma congruete y exacta'y que el conienido de sistemas sélo seri modificado mediante autorizecion adecuada. Estos son algunos de [os controles que se deben implantar: (© Procedimientos de control de exploscién, (© Sistema de contabiidad para asignar a usuarios los costes ssociados con la explotaciin de un sistema de informiacién © Procedimientos para realizar un seguimiento y control de los ‘cambios de un sistema de informaciin. 3. Controles de explotacin de sistemas de informacton ‘+ Planiticaién y Gestién de recursos: deSnr el pesupuesto opertivo del Departamento, Plan de adqusicin de equpos y gestisn de Ta capncidad dels equpos. + Controle pare usar, de manera eltetiva, los cursos en ordenador © Calendario de carga de aby. © Programacién de personal. © Manteniecnt preventive de mai © Gestion de problemas y cambios, © Procodimiaos de facturecifn a usuarios. (© Sisteme de gestin dela biblioteca de soports. ‘+ Procedimientos de seleccién del software del sistema, de instalecién, de mantenimiento, de seguridad y contro de cambios. + Segurids fisica y logica: (©. Definir ua grupo de seguridad de la informacién, siendo una de sus fanciones la adminisacién y gestiin del software de seguridad, revisar peri6dicamente los informes de violacianes 1 actividad de seguridad pare identifica y resolver incidentes.1 AUDITORIA DE TECNOLOGIAS VSISTERAS DS INFORDACEEN nama © Commoles fisioos para asegurar que el acceso alas instalaciones del Departamento de Informitica queda restringide alas personas autorizadas, © Las personas extemas a le Organizacion deberin ser acompatiadas por un mismbro de la planta. eaando tengan {quo cnvar en la insalaciones. © Instalacién de medidas de protec contra el fuego, ‘©. Formacién y conciensiacin en procedimientos de seguridad y evacuaciin de edificio. (© Control de acceso restringido 2 los ordenadores mediante la asignaciéa de tn identificador de usuario con palabra clave personal e intransferible. (© Normas que regulen el acceso # los recursos informéticos. © Existenola de un plan de contingencias para el respaldo de recursos do ordenador criticos y para Ia recuperacidn de los servicios del Departamento Informitioo después de una {nterupetén imprevista de los mismos. 4. Controtes en aplicaciones Cada aplicacién debe levar contoles incorporados pars garatizar 1a entrada, actalizacin, vaidez y mantenimiento complstos y exactos de los datos. Las cusstiones mis importantes en el control de los dst son: Control de entrada de datos: procedimientos de conversion y de entrada, validaciéa y comecciéa de datos. Controles de tstemientos de dates pura ssegurar que no se dan de alta, ‘modifican o borran datos no autcizados para garantizar In integridad de los mismos mediante procesos no autorizados Cones de salicas de datos: sobre el cuadve y zeconcliacion de salldas, procedimientos de disuibucion de salidas, de gestén de emores cen Ins salidas, ete. ORAMA_cAptTUL0 1 CONTROL INTERN AUDITORIA DESISTEMAS D5 INFORDACISN 19 5. Controles especificos de clertas teenologlas ‘+ Controles on Sistemas de Gest de Bases Je Datos: El software de gestin de bases de datos pera prever ef asceso| ‘la esiructuracin de y el control sobre los datos compartidos deberd insslarse y mantenerse de modo tel que asegure la ‘ntegridad del software, las bases de datos y ls instrucciones {de contol que definen el entomn. Que estén definidas las responssbilidades sobre la planificeciin, orgunizacién, dotacién y contral de los actives de datos, es decir, un administrador de dates. ‘Que existen procedimientos para le descrip y Tos cambios dde datos ast como para el mantenimiento del diccionario de datos. ‘Controls sobre el acceso a datos y Le concurrenci. Controles para minimizarfallos, recuperar el eatorno de les ‘bases de datos hasta el punto dela vaida y minimizar el tempo nnecesario para ls reeuperaciéa, CCoatroles pare asegurar la integrided de los datos: programas e utilidad para eomprobar Jos enlaces fisios ~punteros- asociados 2 los datos, registros de contro! para mantener Tos ‘balances transitorios de transacciones para su posterior cuadse| ‘con totales generados por al usuario por otos sistemas. © Controles.en informAtica distribuida y redes: Planes adecuados de implantacién, conversa ¥ prucbas de ‘aceptacign pera Jared. ‘Existencia de un grupo de control de red. ‘Controles para asegurar a compatiilidad del conjunto. de fespecialista ex lo definieiGn de prossses de conte interna en los procesos de negocio y en su epicacin o aniisis sobre los sstenas de informacién que los soportan. En definitive, el pepel actual del auditor informitico dentro de tas organizaciones lo podemos resumir en dos grandes taress principales: ‘+ Apoyo al auditor intemo, en la definicién y eplicacién de controles {nteros sobre fos procesos de Negocio, Esratégicos y de Soporte dele ‘Organizacida, en tanto que gran pare de los mismos se aplican desde sus sistemas de informacién + Auditocia de Ia gestién de los sistemas de informacién, que se plsntes ‘isicamente dos objetivas: © Que los. sistemas de informacién soportan adecuada y cfcientemente los procesos de negocio de las organizaciones. © Que Ie informecién traisda por los sistemas de informacién dispone de ua nivel de seguridad adecuado a su valor y @ los lesgos asociados 2 st 1.5 LECTURAS RECOMENDADAS EDP Auditing. Auerbach Publications. Fitzgerald, Jomy. Controles internos para sistemas de computaciin. Ed. Limusa Wiley. Martin, James. Security, Aecuraey and Privacy in Computer System. Es. Prentice Hall Instituto Autores Inte seguridad informitica 8 de Espasa Control ‘inerno, auittoris28 nuDITORIA DE TECNOLOGAS Y SISTEMAS DE NTORMACION eran 1.6 BIBLIOGRAFIA Miguel Angel Davara Rodger, Rosa Marfa Garcia Ontos, Juan Manuel Femiadez Lézez, Emilio dal Peso Navarre. Actulided Informdtoa Arancadi. N° 34 Enero 2000. Ramos Suirez Fernando. Nuevo reglomento de Seguridad para la Protecciin de Ficheros Automazades con datos de Carteter Personal: {Obstéculo 0 ayuda al desarrollo dela empresa? Derecho org. Sénchez Blanco, Angel. Internet, Sociedad, empresa y Poderes Piblicas. 15dit, Comsares, 2000, SEDISI, Gula de la Seguridad Informética. (Asociaciéa Espaiiola de Empresas de Tecnologias dela Informaci6a). Abril 1997 ‘Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports. SEC. Agosto 2003. PCAOB Release, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an Audit of Financial Statements. N°, 2004-001, ‘marzo 2004, 1.7 CUESTIONES DE REPASO 1. {Qué cambios en las empresas provocan tensién en el contol interno cexistente? 2. {Cues son las funciones del conol interno informitico? 43. uCules son lo objetivos de la Anditoria Infirmsticn? 4 {Cuiles son las semejanzes y diferencias entre Control Interno y ‘Auditors Informdtica? 5. Ponga ejemplos de comoles correctives en diversas reas, nforménicas. : 6. {Cases son los principales conircles en el érea de dessrrollo? 7. (Qué procesos definiria para controlar la informsticedistribuida y Tas redes? exaaa a 9. 10. CART 1. CONTROL INTERNO Y AUDETORiA De SISTEMAS DE INFORMACION 29 Qué comtroles se deberiun establever en las aplicaciones? Cémo justficara ente un drectivo de empress le inversién necesaria en control y anditersinformdtice? Describe In informatica como modo de estrcturacién de Tas empresas,