Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Controles Preventivos Planificación y gestión de recursos: definición del presupuesto operativo, plan
Implica el software de seguridad que impide los accesos no autorizados al sistema. de adquisición de equipos, y gestión de la capacidad de equipos.
Controles para uso de los recursos: Calendario de carga de trabajo,
Controles Detectivos programación de personal, mantenimiento preventivo, gestión de problemas y
En caso de que los controles preventivos no funcionen correctamente, los controles cambios, procedimiento de facturación a usuarios, soportes.
detectivos deben estar atentos para reconocer cualquier eventualidad. Procedimientos de selección del software del sistema: de instalación, de
mantenimiento, de seguridad y control de cambios.
Controles Correctivos Seguridad física y lógica
Son la corrección de ñas fallas que se han producido, permitiendo que el sistema vuelva a
su normalidad. Controles específicos de ciertas tecnologías:
Para determinar la implementación de controles es importante conocer el sistema, sus Controles en sistemas de gestión de bases de datos
elementos, productos y herramientas: lo que permite identificar los posibles riesgos. Controles en informática distribuida y redes
Controles sobre computadores personales y redes de área local
Este conocimiento envuelve el entorno de red, configuración del computador base, entorno
de aplicaciones, productos y herramientas, y seguridad del computador base.
ETAPAS DE UNA AUDITORÍA INFORMÁTICA
La responsabilidad de este sistema de control interno informático es de la gerencia o
dirección de la empresa, quienes deben definir las normas de funcionamiento del entorno
informático mediante el establecimiento de: procedimientos, estándares, metodologías y Para que la auditoria informática se desarrolle apropiadamente, esta se debe llevar a cabo
normas a seguir en tres etapas bien definidas:
Políticas: Son base para la planificación, control y evaluación de las actividades del Planeación
departamento de informática.
Planificación: Realización del plan estratégico de información, plan informático, La Planeación de la auditoría debe hacerse cuidadosa y objetivamente, esta función de
1
2
plan general de seguridad física y lógica, y plan de emergencia ante desastres. planear la auditoria se desarrolla en tres procesos:
Página
Página
1. Conocimiento general de la entidad Dirección, coordinar las actividades y procesos dentro del área como liderazgo, guía
2. Definición del ámbito y alcance de la auditoría y motivando al personal.
3. Definición del programa de auditoria Control, comparar lo real con lo planeado, de tal manera que se identifique
problemas o anomalías para realizar los ajustes necesarios.
Procesos que nos permiten llevar acabo la auditoria de una manera eficaz y eficiente, el
proceso de planeación comprende en: Por ende, el auditor debe tener en cuenta los siguientes aspectos:
Todos los proyectos desarrollados en la empresa están bajo el PLAN ESTRATÉGICO y deben
obedecer a las necesidades de información de cada área de la empresa, la satisfacción de
estas necesidades origina un plan estratégico informático y de sistemas que une todos los
recursos tanto de personal como tecnológicos para la creación de estrategias informáticas
orientadas a la integralidad eficiente para la producción y gestión inteligente de información
para la administración, operación y control de la empresa, así como la atención oportuna,
eficaz y segura de clientes y proveedores.
En este sentido el auditor debe evaluar las funciones que la alta gerencia debe realizar:
Planeación, determinar los objetivos del área y la forma en que se van a lograr
Organización, proveer las facilidades, estructura, división del trabajo,
responsabilidades, actividades de grupo y personal necesarios para realizar las EVALUACIÓN DEL CONTROL INTERNO
metas.
3
4
Al evaluar el área de control interno de la empresa, e auditor debe verificar las actividades,
Recursos humanos, selección, capacitación y entrenamiento del personal requerido
Página
Página
operaciones y actuaciones, administración de recursos en relación a las normas y políticas
para realizar las metas.
legales y definidas por la dirección de la empresa.
Parea esto debe tener en cuenta aspectos como: o Disponibilidad de medios para comunicar irregularidades y resultados de alta
gerencia de la organización
Estructura de la auditoria interna
Funciones de control Monitoreo
Plan anual de revisión o Monitoreo continuo del sistema de control para asegurar que opera
Plan de contingencias efectivamente, a través de actividades de:
Políticas y normatividad de control y protección o Supervisión
Valoración de riesgos o Auditoria interna
Evaluaciones anteriores o Monitoreo permanente de los indicadores de riesgos operacionales y
Estructura funcional situaciones criticas
Objetivos y metas del control interno o Efectividad de los controles implantados
Tipos de control o Disponibilidad de herramientas
El marco de control interno sugerido para cumplir con los lineamientos establecidos por la ÁREA INFORMÁTICA
LEY SOX, es el diseñado por el Comité de organizaciones patrocinadoras de la Comisión
Treadway, COSO. El diagnostico comprende la revisión y evaluación de:
El cual fue diseñado con el fin de estudiar los factores que llevaran a acciones fraudulentas Organización, administración, operación, seguridad, infraestructura de computo.
en las operaciones de una organización y permiten evaluar el sistema interno implementado Procesamiento de datos, y herramientas de tecnología de información.
en la organización.
El auditor debe tener encienta los siguientes aspectos:
El modelo COSO comprende cinco componentes de control, que permiten lograr los
objetivos de control para alcanzar los objetivos del negocio y cumplir con las normas y Estructura de funciones del área de sistemas
regulaciones pertinentes, estos son: Estudio de viabilidad, análisis de costo – beneficios sobre el uso de los computadores
a largo plazo, defiendo tipo de: Hardware, Software, periféricos y Equipos de
Ambiente de control, factores que inciden en el ambiente de control tales como: comunicaciones necesarios para lograr los objetivos de la organización y el
o Integridad y valores morales del personal departamento de informática.
o Contratación de personal de calidad
o Capacidad de identificación de riesgos operacionales De la misma manera este estudio permite evaluar si un procedimiento puede ser
o Entrenamiento especializado sobre la aplicación de controles internos, roles llevado a cabo por el computador y cuáles son las alternativas para un mejor
y responsabilidades de la junta y comité de auditoría. resultado.
Evaluación de riesgos Los resultados del estudio de viabilidad deben ser distribuidos al personal de
o Procedimientos para identificar cambios externos que puedan afectar a la informática como base y soporte para:
organización
o Herramientas y metodologías o Compra
o Evaluación y medición de riesgos operacionales o Contratación
o Evaluación periódica de riesgos en las diferentes áreas de la organización o Elaboración de un proyecto
o
Actividades de control Plan estratégico de sistema e informático
o Acciones tomadas para implementar políticas y estándares dentro de la o Definición de objetivos a largo plazo y las metas necesarias para lograrlos,
organización, estas actividades incluyen: este plan envuelve:
o Administración de los riesgos operacionales Plan estratégico de organización
o Control de acceso a los sistemas y recursos informáticos Plan estratégico de sistemas de información
o Controles para mitigar errores operacionales Plan de requerimientos
o Evaluación de controles generales de cómputo asociados al área de TI Plan de aplicaciones de sistemas de información
6
o Comunicación apropiada entre los diferentes departamentos de la organización.
Página
Página
organización
Plan estratégico de instalaciones
Plan de seguridad
o Debido a que las instalaciones de información están expuestas a desastres
por varias razones: Huracanes, inundaciones, fuego, terremotos entre otros.
Debe existir un plan que permita reducir los riesgos a un nivel aceptable,
planeando los seguros que se deban obtener, y el plan de recuperación de
caso de desastre que permitan garantizar el funcionamiento de las
operaciones en el menor tiempo posible y con el menor impacto para la
organización.
REFERENCIA BIBLIOGRÁFICA:
7
Página