2. Introducción
Información:
Es un recurso crítico
Debe ser protegida
Es la base de la toma de decisiones
Para tener una seguridad razonable sobre su:
Exactitud
Completitud
Disponibilidad
Confidencial
Controles internos
2
3. Introducción
Los controles informáticos ayudan a asegurar que los
sistemas automáticos de procesamiento de
información funcionan de acuerdo a lo que se espera
de ellos
La eficiencia y el control de las actividades de las
organizaciones son necesidades básicas
3
4. Razones para el control interno
1. Creciente dependencia de las organizaciones y sus
procesos (internos y externos) respecto a los SI
2. Aumento de la complejidad de los SI con entornos
heterogéneos, abiertos y a la vez integrados
3. Éxito de las estrategias de externalización de la
gestión de los SI, con los que la dependencia de
ellos se refuerza con la dependencia de uno o varios
proveedores de servicio
4. Globalización
5. La gestión de calidad total
TQM – Total Quality
Management
4
5. Razones para la Auditoría Informática
Inicialmente era el apoyo de la auditoría financiera y
posteriormente surgen nuevas funciones cuyos
principales impulsores son:
Los reguladores empezaron a generar normativa específica
aplicable sobre los SI de las organizaciones y sus procesos de
gestión
Los sistemas de comercio electrónico (B2B, B2C) han abierto
la puerta a nuevos riesgos derivados de la necesidad de abrir
los SI de la organización a terceros
Aumento de la complejidad de los SI y la dependencia de las
organizaciones respecto a los mismos
5
6. Control Interno Informático: De que se encarga?
Controla diariamente que todas las actividades de los SI
sean realizadas cumpliendo:
Procedimientos
Estándares
Normas fijadas por la dirección de informática o la organización
Requerimientos legales
Misión asegurarse de que las medidas que se obtienen de
los mecanismos implantados por c/responsable sean
correctas y válidas
Suele ser un órganos staff de la Dirección de Informática
6
7. Control Interno Informático : Objetivos
Controlar que todas las actividades se realizan
cumpliendo los procedimientos y normas
fijados, evaluar su benignidad y asegurarse del
cumplimiento de las normas legales
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditoría
Informática, así como las auditorías externas
Definir, implantar y ejecutar mecanismos y controles
para comprobar el logro de los grados adecuados del
servicio informático en cuanto a controles se refiere
7
8. Control Interno Informático : Objetivos
Realizar en los diferentes sistemas
(centrales, departamentales, redes locales, etc.) y
entornos informáticos (producción, desarrollo o
pruebas) el control de las diferentes actividades
operativas sobre:
Cumplimiento de procedimientos, normas y controles
dictados. Especialmente el control de cambios y versiones
de software
Controles sobre la producción diaria
Controles sobre la calidad y eficiencia del desarrollo y
mantenimiento del software y del servicio informático
8
9. Control Interno Informático : Objetivos
Controles en las redes de comunicaciones
Controles sobre el software de base
Controles sobre la seguridad informática:
Usuarios, responsables y perfiles de uso de archivos y
bases de datos
Normas de seguridad
Control de acceso a información clasificada
Licencias y relaciones contractuales con terceros
Asesorar y transmitir cultura sobre el riesgo
informático
9
10. Auditoría Informática
Es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informatizado:
Salvaguarda los activos
Mantiene la integridad de los datos
Lleva a cabo eficazmente los fines de la organización
Utiliza eficientemente los recursos
Sustenta y confirma los objetivos tradicionales de la
auditoría:
Objetivos de protección de activos e integridad de datos
Objetivos de gestión que abarcan, no solamente los de
protección de activos, sino también los de eficiencia y eficacia
10
11. Qué hace el auditor?
Evalúa y comprueba en determinados momentos del
tiempo los controles y procedimientos desarrollando
y aplicando técnicas mecanizadas de
auditoría, incluyendo el uso de software
Es responsable de revisar e informar a la Dirección
de la organización sobre el diseño y funcionamiento
de los controles implantados y sobre la fiabilidad de
la información suministrada
11
12. Funciones del auditor
Participar en revisiones durante y después del
diseño, realización, implantación y explotación de
aplicaciones informáticas
Revisar y juzgar los controles implantados en los
sistemas para verificar su adecuación a :
Las órdenes e instrucciones de la Dirección
Requisitos legales
Protección de confidencialidad
Cobertura ante errores y fraudes
Revisar y juzgar el nivel de
eficiencia, utilidad, fiabilidad y seguridad de los
equipos e información
12
13. Analogías Control y Auditoría Informátic@
Control Interno Auditoría Informática
Similitudes • Personal Interno
• Conocimiento especializado en TI
• Verificación de cumplimiento de:
• Controles internos
• Normativas
• Procedimientos de la Dir. De Informática
• Procedimientos de la Dir. General para los SI
Diferencias • Análisis de los controles
en el día a día
• Informa a la Dir. De
Informática
• Solo personal interno
• El alcance de sus
funciones es
únicamente sobre el
Dpto. de Informática
• Análisis de un
momento informático
determinado
• Informa a la Dir. Gral.
Organización
• Personal interno y/o
externo
• Tiene cobertura sobre
todos los componentes
de los SI de la organiz.
13
14. Control Interno Informático (CII)
Es cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir
errores, irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus
objetivos
Los controles deben ser:
Completos
Simples
Fiables
Revisables
Adecuados
Rentables (implica analizar coste-riesgo de su implantación)
14
15. Control Interno Informático (CII)
Para asegurar la integridad, disponibilidad y eficacia
de los sistemas se requieren complejos mecanismos
de control, la mayoría de los cuales son automáticos
Los objetivos de los controles informáticos se han
clasificado en las siguientes categorías:
Controles preventivos
Controles detectivos
Controles correctivos
15
16. CII: Controles
Preventivos > se implementan para tratar de evitar
el hecho. Por ej.: Software de seguridad que impida
los accesos no autorizados al sistema
Detectivos > cuando fallan los preventivos, estos
permiten conocer cuanto antes del evento. Ej.: el
registro de intentos no autorizados
Correctivos > facilitan la vuelta a la normalidad
cuando se han producido incidencias. Ej.: la
recuperación de un archivo dañado a partir de copias
de seguridad
16
17. Implantación de un sistema de CII
Los controles pueden implementarse a varios
niveles, por ello es importante llegar a conocer bien
la configuración del sistema para identificar los
elementos, productos y herramientas que existen
para saber donde pueden implantarse los
controles, así como para identificar posibles riesgos
Para llegar a conocer la configuración del sistema es
necesario documentar los detalles de la red, así como
los distintos niveles de control y elementos
relacionados:
17
18. Implantación de un sistema de CII
Entorno de red: esquema de red, HW/SW de comunicaciones,
control de red, ordenadores que soportan aplicaciones
críticas, seguridad de red
Configuración del ordenador: soporte físico, entorno del SO,
entornos (prueba y real), bibliotecas de programas y
conjuntos de datos
Entorno de aplicaciones: procesos de transacciones, SGBD,
entornos de procesos distribuidos
Productos y herramientas: SW para el desarrollo de
programas y gestión de bibliotecas y operaciones automáticas
Seguridad de ordenador: identificar y verificar usuarios,
control de acceso, registro, integridad del sistema, controles
de supervisión
18
19. Implantación de un sistema de CII
Para implementar un sistema de CII hay que definir:
Gestión de los SI > políticas pautas y normas técnicas que
sirvan de base para el diseño y la implantación de los SI y de
los controles correspondientes
Administración de sistemas > controles de actividades sobre
los centros de datos y otras funciones de apoyo al
sistema, incluyendo la administración de redes
Seguridad > incluye 3 clases de controles implantados en el
SW del sistema: integridad, confidencialidad (control de
acceso) y disponibilidad
Gestión de cambio > separación de los ambientes de prueba y
producción a nivel de SW y controles de procedimientos para
la migración de SW probado y aprobado
19
20. Implementación de política y cultura sobre
seguridad
La implementación de una política sobre la seguridad debe
ser realizada por fases:
20
21. Dirección del negocio o Dirección de SI >
Debe definir la política y/o directrices para los SI
en base a las exigencias del negocio, que podrán ser
internas o externas
Dirección de informática >
Debe definir las normas de funcionamiento del
entorno informático y de c/u de las funciones de
informática mediante la creación y publicación de
procedimientos, estándares, metodología y
normas aplicables
Implementación de política y cultura sobre
seguridad: Agentes implicados
21
22. Control Interno Informático >
Definir los diferentes controles periódicos a realizar en
c/u de las funciones informáticas, de acuerdo al nivel
de riesgo de c/u de ellas y diseñarlos conforme a los
objetivos del negocio dentro del marco legal aplicable
=> procedimientos de control interno.
Realizará la revisión de los controles informando las
desviaciones a la Dir. De Informática, sugiriendo
cambios
Transmitirá la cultura y políticas del riesgo informático
Implementación de política y cultura sobre
seguridad: Agentes implicados
22
23. Funcionamiento de CII
DIRECCION
Exigencias
internas y
externas
Políticas y
directrices
Estándares, Proc
edimientos, Nor
mas y
Metodologías
Implantar
procedimientos
de control
Comprobación y
seguimiento de
controles
Política
Cultura
23
24. Auditor informático interno/externo >
Revisará los controles internos definidos en c/u de
las funciones informáticas y el cumplimiento de la
normativa interna y externa, de acuerdo a nivel de
riesgo, definido conforme a la Dir. Del Negocio y la
Dir. De Informática.
Informará a la alta dirección los hechos observados
y al detectarse deficiencias o ausencias de controles
recomendará acciones que minimicen los riesgos
que puedan originarse.
Implementación de política y cultura sobre
seguridad: Agentes implicados
24
25. Algunos controles internos: Controles generales
organizativos
Políticas : base para la planificación, control y
evaluación (Dir. De Informática)
Planificación:
Plan Estratégico de Información: definición de procesos
corporativos y se considera el uso de TI, así como las amenazas
y oportunidades de su uso o de su ausencia (Alta dirección)
Plan Informático, determina los caminos precisos plasmados
en proyectos informáticos (Dir. De Informática)
Plan General de Seguridad (física y lógica), que garantice la
confidencialidad, integridad y disponibilidad de la información
Plan de emergencia ante desastres, que garantice la
disponibilidad de los sistemas ante eventos fortuitos
25
26. Estándares, que regulen la adquisición de
recursos, diseño, desarrollo, modificación y
explotación de los sistemas
Procedimientos, que describan la forma y las
responsabilidades de ejecutoria para regular las
relaciones DI <=>Deptos. Usuarios
Organizar el DI para asegurar su independencia de
los Dptos. Usuarios
Descripción de las funciones y responsabilidades
dentro del DI con una clara separación de las
mismas
Algunos controles internos: Controles generales
organizativos
26
27. Políticas de personal: selección, plan de
formación, vacaciones y evaluación/promoción.
Asegurar que la DI revisa todos los informes de
control y resuelve las excepciones que ocurran
Asegurar que existe una política de clasificación de la
información, para establecer los niveles de acceso
Designar oficialmente la figura de CII y de Auditoría
Informática
Algunos controles internos: Controles generales
organizativos
27
28. Estos deben permitir alcanzar la eficiencia del
sistema, economía e integridad de datos, protección de los
recursos y cumplimiento con las leyes y regulaciones:
Metodología del ciclo de vida del desarrollo de sistemas >
su empleo podrá garantizar a la alta dirección que se
realizará los objetivos definidos para el sistema
Explotación y mantenimiento > el establecimiento de
controles asegurará que los datos se tratan de forma
congruente y exacta, y que el contenido de sistemas sólo
será modificado mediante autorización adecuada
Algunos controles internos: Controles de
desarrollo, adquisición y mantenimiento de SI
28
29. Planificación y gestión de recursos
Controles para usar de manera efectiva, los recursos
en ordenadores
Procedimientos de selección de SW de sistema, de
instalación, mantenimiento, seguridad y control de
cambios
Seguridad física y lógica
Algunos controles internos:
Controles de Explotación de SI
29
30. C/Aplicación debe llevar controles para garantizar la
entrada, actualización, validez y mantenimiento completo y
exacto a los datos/información:
Control de entrada de datos
Procedimientos de entrada, validación y corrección de datos
Controles de tratamiento de los datos para garantizar la
integridad de los mismos
Para asegurar que no se dan de alta, modifican o borran datos de
manera no autorizada
Controles de salida
Procedimientos de distribución de salidas, de gestión de errores en
las salidas
Algunos controles internos:
Controles en aplicaciones
30
31. Controles de SGBD, ej.:
controles sobre acceso a datos y concurrencia,
existencia de procedimientos para la descripción y los
cambios de datos así como el mantenimiento de
diccionario de datos
Controles en informática distribuida y redes, ej.:
existencia de un grupo de control de red,
existencia de inventario de todos los activos de la red
Controles sobre ordenadores personales y redes
de área local, ej.:
políticas de adquisición y utilización,
revisiones periódicas del uso de ordenadores
Algunos controles internos:
Controles específicos de ciertas tecnologías
31
32. Plan general de calidad basado en el plan de la
Entidad a largo plazo y el plan a largo plazo de
tecnología > debe promover la filosofía de mejora
continua y debe responder: “qué”, “quién” y “cómo”
Esquema de garantía de calidad
Compatibilidad de la revisión de garantía de calidad
con las normas y procedimientos habituales en las
distintas funciones de informática
Metodología de desarrollo de sistemas y su
actualización
Coordinación y Comunicación
Algunos controles internos:
Controles de calidad
32
33. Relaciones con proveedores que desarrollan sistemas
Normas de documentación de programas
Normas de pruebas de programas
Normas respecto a las pruebas de sistemas
Pruebas en piloto o en paralelo
Documentación de las pruebas de sistemas
Evaluación del cumplimiento de Garantía de Calidad
de las normas de desarrollo
Algunos controles internos:
Controles de calidad
33
35. Conclusiones
Actualmente toda organización moderna es
informático-dependiente es por ello que debemos
estar conscientes de los riesgos implícitos en el uso
de la tecnología para poder
neutralizarlos, minimizando su impacto en la
organización
El sistema de políticas y procedimientos
organizacionales para custodia y salvaguarda de sus
activos se ve influido y modificado por el proceso
informático
La existencia del CII es una herramienta para la
adecuada gestión del entorno de tecnología
35
36. Conclusiones
Las potencialidades del proceso informático:
Todos los procesos del negocio se encuentran
automatizados
La tecnología C-S, el uso de BD, el uso de Internet e
Intranets llevan a que la información corporativa esté
distribuida geográficamente (descentralizada)
Posibilidades para modificar información mediante
accesos no controlados en los sistemas
Implican la necesidad de implementar controles
informáticos
36
37. Conclusiones
El papel del auditor puede resumirse en 2 tareas
principales:
Apoyo a la auditoría interna en la definición y aplicación de
controles internos sobre los procesos de negocio, estratégicos y
de soporte de la organización
Auditoría de las gestión de los SI que se plantea básicamente
en 2 objetivos:
Que los sistemas de información soportan adecuada y
eficientemente los procesos de negocio de las organizaciones
Que la información tratada por los SI dispone de un nivel de
seguridad adecuado a su valor y a los riesgos asociados a su
uso
37