Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Teman°03 Controlinternoyauditoriainformatica

    Cargado por

    Chapita
    14 vistas17 páginas

    Título original

    TEMAN°03_CONTROLINTERNOYAUDITORIAINFORMATICA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    14 vistas17 páginas

    Teman°03 Controlinternoyauditoriainformatica

    Cargado por

    Chapita

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 17

    UNIDAD DIDACTICA: AUDITORIA INFORMATICA

    TEMA N°03:
    CONTROL INTERNO Y AUDITORIA
    INFORMATICA

    Ing. Leticia Isabel Davalos Valle

    APSTI
    CONTROL INTERNO Y
    AUDITORIA
    INFORMATICA
    ES EL PROCESO DE RECOGER,
    AGRUPAR Y
    EVALUAR EVIDENCIAS PARA
    SI UN SISTEMA INFORMATIZADO
    DETERMINAR
    SALVAGUARDA LOS ACTIVOS,
    MANTIENE LA INTEGRIDAD DE
    LOS DATOS, LLEVA A CABO
    EFICAZMENTE LOS FINES DE LA ESTUDIA LOS MECANISMOS DE
    ORGANIZACIÓN, UTILIZA CONTROL QUE ESTÁN IMPLANTADOS EN
    EFICIENTEMENTE LOS UNA EMPRESA U ORGANIZACIÓN,
    RECURSOS, Y CUMPLE CON LAS DETERMINANDO SI LOS MISMOS SON
    LEYES Y REGULACIONES ADECUADOS Y CUMPLEN CON
    ESTABLECIDAS. DETERMINADOS OBJETIVOS O
    ESTRATEGIAS, ESTABLECIENDO LOS
    CAMBIOS QUE SE DEBERÍAN REALIZAR
    PARA LA CONSECUCIÓN DE LOS
    MISMOS.
    LAS FUNCIONES DEL
    CONTROL INTERNO Y AUDITORIA
    INFORMÁTICA
    El Control Interno Informático o CII controla diariamente que todas las actividades de
    sistemas de información sean realizadas cumpliendo los procedimientos, estándares y
    normas fijados por la dirección de la organización y/o la dirección informática, así
    como los requerimientos legales.

    La función del CII es asegurarse de que las medidas que se obtienen de los
    mecanismos implantados por cada responsable sean correctas y válidas.

    El CII suele ser un órgano staff de la dirección del departamento de informática y está
    dotado de las personas y recursos materiales proporcionados a los objetivos que se le
    encomienden.
    Principales objetivos del Control Interno:
    Controlar que todas las actividades se realicen cumpliendo los procedimientos y
    normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
    legales.
    Asesorar sobre el conocimiento de las normas.
    Colaborar y apoyar el trabajo de auditoria informática, así como de las auditorias
    externas al grupo.
    Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
    grados adecuados del servicio informático.

    La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para


    determinar si un sistema informático salvaguarda los activos, mantiene la integridad
    de los datos, lleva a cabo eficazmente los objetivos de la organización y utiliza
    eficientemente los recursos.
    CONTROL INTERNO Y AUDITORÍA
    INFORMÁTICA: CAMPOS ANÁLOGOS

    La evolución de ambas funciones ha crecido a grandes pasos en la última


    década. Muchos de los funcionarios de controles internos informáticos,
    fueron auditores. Han recibido formación en seguridad informática tras su
    paso por la formación en auditoría.

    Hay una similitud de los objetivos profesionales de control y auditoría,


    campos análogos que propician una transición natural.
    Control Interno Informático Auditoria Informática
    Conocimientos especializados en tecnologías de información.

    SIMILITUDES Verificación del cumplimiento de controles internos, normativa y procedimientos establecidos


    por la dirección informática y la dirección general para los sistemas de información.

    Análisis de los controles en el día a día Análisis de un momento informático


    determinado
    Informa a la dirección del Informa a la dirección general de la
    departamento de informática organización
    DIFERENCIAS Sólo personal interno Personal interno y/o externo
    El enlace de sus funciones Tiene cobertura sobre todos los
    únicamente sobre el departamento componentes de los sistemas de
    de informática información de la organización
    EL AUDITOR INFORMÁTICO (AI)
    Evalúa y comprueba en determinados momentos, los controles y procedimientos
    informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de
    auditoría, incluyendo el uso de software.

    En muchos casos ya no es posible verificar manualmente los procedimientos


    informáticos que resumen, calculan y clasifican datos, por lo que deberá emplear
    software de auditoría y otras técnicas asistidas por ordenador.

    Es responsable de revisar e informar a la Dirección de la Empresa, sobre el diseño y


    funcionamiento de los controles implantados y sobre la fiabilidad de la información
    suministrada.
    FUNCIONES PRINCIPALES DEL AI
    1. Participar en las revisiones durante y después del diseño, realización,
    implantación y explotación de aplicaciones informáticas, así como en
    las fases análogas de realización de cambios importantes.
    2. Revisar y juzgar controles implantados en los sistemas informáticos
    para verificar su adecuación a las órdenes e instrucciones de la
    Dirección, requisitos legales, protección de confidencialidad y
    cobertura ante errores y fraudes.
    3. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de
    los equipos e información.
    SISTEMA DE CONTROL INTERNO
    INFORMÁTICO
    Definición:

    Se puede definir el control interno como “cualquier actividad o acción


    realizada” manual y/o automáticamente para prevenir, corregir errores o
    irregularidades que puedan afectar al funcionamiento de un sistema para
    conseguir sus objetivos.
    Los controles cuando se diseñen, desarrollen e implanten han de ser al
    menos completos, simples, fiable, revisables, adecuados y rentables.
    Los controles internos que se utilizan en el entorno informático continúan
    evolucionando hoy en día a medida que los sistemas informáticos se vuelven
    complejos.
    Clasificación:
    Controles Preventivos.- Para tratar de evitar el hecho, como un
    software de seguridad que impida los accesos no autorizados al sistema.
    Controles de Detección.- Cuando fallan los preventivos, para tratar de
    conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
    acceso no autorizados, el registro de la actividad diaria para detectar
    errores u omisiones, etc.
    Controles Correctivos.- Facilitan la vuelta a la normalidad cuando se
    han producido incidencias. Por ejemplo, la recuperación de un fichero
    dañado a partir de las copias de seguridad.
    IMPLANTACIÓN DE UN SISTEMA
    DE CONTROLES INTERNOS
    INFORMÁTICOS
    Criterio Básico:

    • Los controles pueden implantarse a varios niveles.

    • La evaluación de controles de tecnología de la Información exige analizar


    diversos elementos interdependientes. Por ello es importante conocer bien la
    configuración del sistema, para poder identificar los elementos, productos y
    herramientas que existen para saber donde pueden implantarse los controles,
    así como para identificar los posibles riesgos.
    Conocer la Configuración del Sistema

    Para llegar a conocer la configuración del sistema es necesario documentar los detalles
    de la red, así como los distintos niveles de control y elementos relacionados:

    • Entorno de Red.- Debemos tener una descripción de la configuración de hardware de


    comunicaciones, descripción del software que se utiliza como acceso a las
    telecomunicaciones, control de red, situación general de los ordenadores de entornos de
    base que soportan las aplicaciones críticas y consideraciones relativas a la seguridad de
    la red.
    • Configuración del Ordenador Base.- Configuración del soporte físico, entorno del
    sistema operativo, software con particiones, entornos (pruebas y real), bibliotecas de
    programas y conjunto datos.
    • Entorno de Aplicaciones.- Procesos de transacciones, sistemas de
    gestión de base de datos y entornos de procesos distribuidos.
    • Productos y Herramientas.- Software para desarrollo de programas,
    software de gestión de bibliotecas y para operaciones automáticas.

    • Seguridad del Ordenador Base.- Identificar y verificar usuarios,


    control de acceso, registro e información, integridad del sistema,
    controles de supervisión, etc.
    PARA LA IMPLANTACIÓN DE UN SISTEMA
    DE CONTROL INTERNO INFORMÁTICO DEBE
    DEFINIRSE

    • Gestión de sistemas de Información.- Política, pautas y normas técnicas que sirvan para el
    diseño y la implantación de los sistemas de información y de los controles correspondiente.
    • Administración de Sistemas.- Controles sobre la actividad de los centros de datos y otras
    funciones de apoyo al sistema, incluyendo la administración de las redes.
    • Seguridad.- Incluye las tres clases de controles fundamentales implantados en el software
    del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
    • Gestión de Cambio.- Separación de las pruebas y la producción a nivel de software y
    controles de procedimientos para la migración de programas software aprobados y probados.

    También podría gustarte