Este documento describe los controles internos y la auditoría de sistemas de información. Explica que la información es un recurso crítico que debe protegerse para garantizar su exactitud, completitud, disponibilidad y confidencialidad. También describe los objetivos y funciones del control interno informático y la auditoría informática, así como ejemplos de controles que pueden implementarse a nivel organizativo, de desarrollo de sistemas, de explotación y a nivel de aplicaciones.
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Auditoría Contable (LADE). Tema 1: Definición y clases de auditoría; referencia histórica y evolución del concepto de auditoría.
Este documento es un recurso docente, es una versión antigua de las transparencias del curso 2011/12, por lo tanto sujetas a la oportuna actualización.
COSO :Organización voluntaria del sector privado, establecida en los EEUU formada el año 1985 , dedicada a proporcionar orientación a la gestión ejecutiva y las entidades de gobierno sobre los aspectos fundamentales de organización de este, la ética empresarial, control interno, gestión del riesgo empresarial, el fraude, y la presentación de informes financieros. COSO ha establecido un modelo común de control interno contra el cual las empresas y organizaciones pueden evaluar sus sistemas de control.
El informe COSO se define como un proceso efectuado por el consejo de administración, la dirección y el resto del personal de una organización, diseñado con el objetivo de proporcionar un grado de seguridad razonable en cuanto a la persecución de los objetivos.
El informe C.O.S.O. de 1992, definió cinco componentes interrelacionados entre sí, los cuales eran: El ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación; y Supervisión.
La Comisión Treadway plantea en su segundo informe (COSO ERM), que la administración de riesgos, se aplica desde la puesta en marcha de las estrategias y objetivos operacionales hasta el resultado final y en la retroalimentación pertinente de todos los procesos.
Los 8 componentes del COSO ERM están interrelacionados entre si: Ambiente interno, establecimiento de objetivos, identificación de eventos, evaluación de riesgos, respuesta al riesgo, actividades de control, información y comunicación, monitoreo.
Conceptos claves en COSO ERM:
Administración del riesgo en la determinación de la estrategia.
Eventos y riesgo.
Apetito de riesgo.
Tolerancia al riesgo.
Visión de portafolio de riesgo.
Como se puede observar desde el COSO I, el componente que tiene una profundización mayor en COSO ERM, es la Evaluación de Riesgos, la cual pasa a transformarse en el centro del análisis de un control interno moderno.
COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por ejemplo:
1)El establecimiento de objetivos
2)Identificación de riesgo
3)Respuesta a los riesgos
-Se puede decir que estos componentes son claves para definir las metas de la empresa .
-Si los objetivos son claros se puede decidir que riegos tomar para hacer realidad las metas de la organización.
-Amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación y gestión integral de riesgo.
-De esta manera se puede hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.
COSO en la Organización:
Gobiernos Corporativos: Es el conjunto de relaciones, de mejores prácticas, que debe establecer una empresa entre su Junta de Accionistas , su Directorio y su Administración Superior para acrecentar el valor para sus accionistas y responder a los objetivos de todos sus stakeholder.
Informe COSO es una herramienta utilizada por la
ACERTIJO DE CARRERA OLÍMPICA DE SUMA DE LABERINTOS. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA, crea y desarrolla ACERTIJO: «CARRERA OLÍMPICA DE SUMA DE LABERINTOS». Esta actividad de aprendizaje lúdico que implica de cálculo aritmético y motricidad fina, promueve los pensamientos lógico y creativo; ya que contempla procesos mentales de: PERCEPCIÓN, ATENCIÓN, MEMORIA, IMAGINACIÓN, PERSPICACIA, LÓGICA LINGUISTICA, VISO-ESPACIAL, INFERENCIA, ETCÉTERA. Didácticamente, es una actividad de aprendizaje transversal que integra áreas de: Matemáticas, Neurociencias, Arte, Lenguaje y comunicación, etcétera.
Instrucciones del procedimiento para la oferta y la gestión conjunta del proceso de admisión a los centros públicos de primer ciclo de educación infantil de Pamplona para el curso 2024-2025.
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
2. Introducción
Información:
Es un recurso crítico
Debe ser protegida
Es la base de la toma de decisiones
Para tener una seguridad razonable sobre su:
Exactitud
Completitud
Disponibilidad
Confidencial
Controles internos
2
3. Introducción
Los controles informáticos ayudan a asegurar que los
sistemas automáticos de procesamiento de
información funcionan de acuerdo a lo que se espera
de ellos
La eficiencia y el control de las actividades de las
organizaciones son necesidades básicas
3
4. Razones para el control interno
1. Creciente dependencia de las organizaciones y sus
procesos (internos y externos) respecto a los SI
2. Aumento de la complejidad de los SI con entornos
heterogéneos, abiertos y a la vez integrados
3. Éxito de las estrategias de externalización de la
gestión de los SI, con los que la dependencia de
ellos se refuerza con la dependencia de uno o varios
proveedores de servicio
4. Globalización
5. La gestión de calidad total
TQM – Total Quality
Management
4
5. Razones para la Auditoría Informática
Inicialmente era el apoyo de la auditoría financiera y
posteriormente surgen nuevas funciones cuyos
principales impulsores son:
Los reguladores empezaron a generar normativa específica
aplicable sobre los SI de las organizaciones y sus procesos de
gestión
Los sistemas de comercio electrónico (B2B, B2C) han abierto
la puerta a nuevos riesgos derivados de la necesidad de abrir
los SI de la organización a terceros
Aumento de la complejidad de los SI y la dependencia de las
organizaciones respecto a los mismos
5
6. Control Interno Informático: De que se encarga?
Controla diariamente que todas las actividades de los SI
sean realizadas cumpliendo:
Procedimientos
Estándares
Normas fijadas por la dirección de informática o la organización
Requerimientos legales
Misión asegurarse de que las medidas que se obtienen de
los mecanismos implantados por c/responsable sean
correctas y válidas
Suele ser un órganos staff de la Dirección de Informática
6
7. Control Interno Informático : Objetivos
Controlar que todas las actividades se realizan
cumpliendo los procedimientos y normas
fijados, evaluar su benignidad y asegurarse del
cumplimiento de las normas legales
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditoría
Informática, así como las auditorías externas
Definir, implantar y ejecutar mecanismos y controles
para comprobar el logro de los grados adecuados del
servicio informático en cuanto a controles se refiere
7
8. Control Interno Informático : Objetivos
Realizar en los diferentes sistemas
(centrales, departamentales, redes locales, etc.) y
entornos informáticos (producción, desarrollo o
pruebas) el control de las diferentes actividades
operativas sobre:
Cumplimiento de procedimientos, normas y controles
dictados. Especialmente el control de cambios y versiones
de software
Controles sobre la producción diaria
Controles sobre la calidad y eficiencia del desarrollo y
mantenimiento del software y del servicio informático
8
9. Control Interno Informático : Objetivos
Controles en las redes de comunicaciones
Controles sobre el software de base
Controles sobre la seguridad informática:
Usuarios, responsables y perfiles de uso de archivos y
bases de datos
Normas de seguridad
Control de acceso a información clasificada
Licencias y relaciones contractuales con terceros
Asesorar y transmitir cultura sobre el riesgo
informático
9
10. Auditoría Informática
Es el proceso de recoger, agrupar y evaluar
evidencias para determinar si un sistema
informatizado:
Salvaguarda los activos
Mantiene la integridad de los datos
Lleva a cabo eficazmente los fines de la organización
Utiliza eficientemente los recursos
Sustenta y confirma los objetivos tradicionales de la
auditoría:
Objetivos de protección de activos e integridad de datos
Objetivos de gestión que abarcan, no solamente los de
protección de activos, sino también los de eficiencia y eficacia
10
11. Qué hace el auditor?
Evalúa y comprueba en determinados momentos del
tiempo los controles y procedimientos desarrollando
y aplicando técnicas mecanizadas de
auditoría, incluyendo el uso de software
Es responsable de revisar e informar a la Dirección
de la organización sobre el diseño y funcionamiento
de los controles implantados y sobre la fiabilidad de
la información suministrada
11
12. Funciones del auditor
Participar en revisiones durante y después del
diseño, realización, implantación y explotación de
aplicaciones informáticas
Revisar y juzgar los controles implantados en los
sistemas para verificar su adecuación a :
Las órdenes e instrucciones de la Dirección
Requisitos legales
Protección de confidencialidad
Cobertura ante errores y fraudes
Revisar y juzgar el nivel de
eficiencia, utilidad, fiabilidad y seguridad de los
equipos e información
12
13. Analogías Control y Auditoría Informátic@
Control Interno Auditoría Informática
Similitudes • Personal Interno
• Conocimiento especializado en TI
• Verificación de cumplimiento de:
• Controles internos
• Normativas
• Procedimientos de la Dir. De Informática
• Procedimientos de la Dir. General para los SI
Diferencias • Análisis de los controles
en el día a día
• Informa a la Dir. De
Informática
• Solo personal interno
• El alcance de sus
funciones es
únicamente sobre el
Dpto. de Informática
• Análisis de un
momento informático
determinado
• Informa a la Dir. Gral.
Organización
• Personal interno y/o
externo
• Tiene cobertura sobre
todos los componentes
de los SI de la organiz.
13
14. Control Interno Informático (CII)
Es cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir
errores, irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus
objetivos
Los controles deben ser:
Completos
Simples
Fiables
Revisables
Adecuados
Rentables (implica analizar coste-riesgo de su implantación)
14
15. Control Interno Informático (CII)
Para asegurar la integridad, disponibilidad y eficacia
de los sistemas se requieren complejos mecanismos
de control, la mayoría de los cuales son automáticos
Los objetivos de los controles informáticos se han
clasificado en las siguientes categorías:
Controles preventivos
Controles detectivos
Controles correctivos
15
16. CII: Controles
Preventivos > se implementan para tratar de evitar
el hecho. Por ej.: Software de seguridad que impida
los accesos no autorizados al sistema
Detectivos > cuando fallan los preventivos, estos
permiten conocer cuanto antes del evento. Ej.: el
registro de intentos no autorizados
Correctivos > facilitan la vuelta a la normalidad
cuando se han producido incidencias. Ej.: la
recuperación de un archivo dañado a partir de copias
de seguridad
16
17. Implantación de un sistema de CII
Los controles pueden implementarse a varios
niveles, por ello es importante llegar a conocer bien
la configuración del sistema para identificar los
elementos, productos y herramientas que existen
para saber donde pueden implantarse los
controles, así como para identificar posibles riesgos
Para llegar a conocer la configuración del sistema es
necesario documentar los detalles de la red, así como
los distintos niveles de control y elementos
relacionados:
17
18. Implantación de un sistema de CII
Entorno de red: esquema de red, HW/SW de comunicaciones,
control de red, ordenadores que soportan aplicaciones
críticas, seguridad de red
Configuración del ordenador: soporte físico, entorno del SO,
entornos (prueba y real), bibliotecas de programas y
conjuntos de datos
Entorno de aplicaciones: procesos de transacciones, SGBD,
entornos de procesos distribuidos
Productos y herramientas: SW para el desarrollo de
programas y gestión de bibliotecas y operaciones automáticas
Seguridad de ordenador: identificar y verificar usuarios,
control de acceso, registro, integridad del sistema, controles
de supervisión
18
19. Implantación de un sistema de CII
Para implementar un sistema de CII hay que definir:
Gestión de los SI > políticas pautas y normas técnicas que
sirvan de base para el diseño y la implantación de los SI y de
los controles correspondientes
Administración de sistemas > controles de actividades sobre
los centros de datos y otras funciones de apoyo al
sistema, incluyendo la administración de redes
Seguridad > incluye 3 clases de controles implantados en el
SW del sistema: integridad, confidencialidad (control de
acceso) y disponibilidad
Gestión de cambio > separación de los ambientes de prueba y
producción a nivel de SW y controles de procedimientos para
la migración de SW probado y aprobado
19
20. Implementación de política y cultura sobre
seguridad
La implementación de una política sobre la seguridad debe
ser realizada por fases:
20
21. Dirección del negocio o Dirección de SI >
Debe definir la política y/o directrices para los SI
en base a las exigencias del negocio, que podrán ser
internas o externas
Dirección de informática >
Debe definir las normas de funcionamiento del
entorno informático y de c/u de las funciones de
informática mediante la creación y publicación de
procedimientos, estándares, metodología y
normas aplicables
Implementación de política y cultura sobre
seguridad: Agentes implicados
21
22. Control Interno Informático >
Definir los diferentes controles periódicos a realizar en
c/u de las funciones informáticas, de acuerdo al nivel
de riesgo de c/u de ellas y diseñarlos conforme a los
objetivos del negocio dentro del marco legal aplicable
=> procedimientos de control interno.
Realizará la revisión de los controles informando las
desviaciones a la Dir. De Informática, sugiriendo
cambios
Transmitirá la cultura y políticas del riesgo informático
Implementación de política y cultura sobre
seguridad: Agentes implicados
22
23. Funcionamiento de CII
DIRECCION
Exigencias
internas y
externas
Políticas y
directrices
Estándares, Proc
edimientos, Nor
mas y
Metodologías
Implantar
procedimientos
de control
Comprobación y
seguimiento de
controles
Política
Cultura
23
24. Auditor informático interno/externo >
Revisará los controles internos definidos en c/u de
las funciones informáticas y el cumplimiento de la
normativa interna y externa, de acuerdo a nivel de
riesgo, definido conforme a la Dir. Del Negocio y la
Dir. De Informática.
Informará a la alta dirección los hechos observados
y al detectarse deficiencias o ausencias de controles
recomendará acciones que minimicen los riesgos
que puedan originarse.
Implementación de política y cultura sobre
seguridad: Agentes implicados
24
25. Algunos controles internos: Controles generales
organizativos
Políticas : base para la planificación, control y
evaluación (Dir. De Informática)
Planificación:
Plan Estratégico de Información: definición de procesos
corporativos y se considera el uso de TI, así como las amenazas
y oportunidades de su uso o de su ausencia (Alta dirección)
Plan Informático, determina los caminos precisos plasmados
en proyectos informáticos (Dir. De Informática)
Plan General de Seguridad (física y lógica), que garantice la
confidencialidad, integridad y disponibilidad de la información
Plan de emergencia ante desastres, que garantice la
disponibilidad de los sistemas ante eventos fortuitos
25
26. Estándares, que regulen la adquisición de
recursos, diseño, desarrollo, modificación y
explotación de los sistemas
Procedimientos, que describan la forma y las
responsabilidades de ejecutoria para regular las
relaciones DI <=>Deptos. Usuarios
Organizar el DI para asegurar su independencia de
los Dptos. Usuarios
Descripción de las funciones y responsabilidades
dentro del DI con una clara separación de las
mismas
Algunos controles internos: Controles generales
organizativos
26
27. Políticas de personal: selección, plan de
formación, vacaciones y evaluación/promoción.
Asegurar que la DI revisa todos los informes de
control y resuelve las excepciones que ocurran
Asegurar que existe una política de clasificación de la
información, para establecer los niveles de acceso
Designar oficialmente la figura de CII y de Auditoría
Informática
Algunos controles internos: Controles generales
organizativos
27
28. Estos deben permitir alcanzar la eficiencia del
sistema, economía e integridad de datos, protección de los
recursos y cumplimiento con las leyes y regulaciones:
Metodología del ciclo de vida del desarrollo de sistemas >
su empleo podrá garantizar a la alta dirección que se
realizará los objetivos definidos para el sistema
Explotación y mantenimiento > el establecimiento de
controles asegurará que los datos se tratan de forma
congruente y exacta, y que el contenido de sistemas sólo
será modificado mediante autorización adecuada
Algunos controles internos: Controles de
desarrollo, adquisición y mantenimiento de SI
28
29. Planificación y gestión de recursos
Controles para usar de manera efectiva, los recursos
en ordenadores
Procedimientos de selección de SW de sistema, de
instalación, mantenimiento, seguridad y control de
cambios
Seguridad física y lógica
Algunos controles internos:
Controles de Explotación de SI
29
30. C/Aplicación debe llevar controles para garantizar la
entrada, actualización, validez y mantenimiento completo y
exacto a los datos/información:
Control de entrada de datos
Procedimientos de entrada, validación y corrección de datos
Controles de tratamiento de los datos para garantizar la
integridad de los mismos
Para asegurar que no se dan de alta, modifican o borran datos de
manera no autorizada
Controles de salida
Procedimientos de distribución de salidas, de gestión de errores en
las salidas
Algunos controles internos:
Controles en aplicaciones
30
31. Controles de SGBD, ej.:
controles sobre acceso a datos y concurrencia,
existencia de procedimientos para la descripción y los
cambios de datos así como el mantenimiento de
diccionario de datos
Controles en informática distribuida y redes, ej.:
existencia de un grupo de control de red,
existencia de inventario de todos los activos de la red
Controles sobre ordenadores personales y redes
de área local, ej.:
políticas de adquisición y utilización,
revisiones periódicas del uso de ordenadores
Algunos controles internos:
Controles específicos de ciertas tecnologías
31
32. Plan general de calidad basado en el plan de la
Entidad a largo plazo y el plan a largo plazo de
tecnología > debe promover la filosofía de mejora
continua y debe responder: “qué”, “quién” y “cómo”
Esquema de garantía de calidad
Compatibilidad de la revisión de garantía de calidad
con las normas y procedimientos habituales en las
distintas funciones de informática
Metodología de desarrollo de sistemas y su
actualización
Coordinación y Comunicación
Algunos controles internos:
Controles de calidad
32
33. Relaciones con proveedores que desarrollan sistemas
Normas de documentación de programas
Normas de pruebas de programas
Normas respecto a las pruebas de sistemas
Pruebas en piloto o en paralelo
Documentación de las pruebas de sistemas
Evaluación del cumplimiento de Garantía de Calidad
de las normas de desarrollo
Algunos controles internos:
Controles de calidad
33
35. Conclusiones
Actualmente toda organización moderna es
informático-dependiente es por ello que debemos
estar conscientes de los riesgos implícitos en el uso
de la tecnología para poder
neutralizarlos, minimizando su impacto en la
organización
El sistema de políticas y procedimientos
organizacionales para custodia y salvaguarda de sus
activos se ve influido y modificado por el proceso
informático
La existencia del CII es una herramienta para la
adecuada gestión del entorno de tecnología
35
36. Conclusiones
Las potencialidades del proceso informático:
Todos los procesos del negocio se encuentran
automatizados
La tecnología C-S, el uso de BD, el uso de Internet e
Intranets llevan a que la información corporativa esté
distribuida geográficamente (descentralizada)
Posibilidades para modificar información mediante
accesos no controlados en los sistemas
Implican la necesidad de implementar controles
informáticos
36
37. Conclusiones
El papel del auditor puede resumirse en 2 tareas
principales:
Apoyo a la auditoría interna en la definición y aplicación de
controles internos sobre los procesos de negocio, estratégicos y
de soporte de la organización
Auditoría de las gestión de los SI que se plantea básicamente
en 2 objetivos:
Que los sistemas de información soportan adecuada y
eficientemente los procesos de negocio de las organizaciones
Que la información tratada por los SI dispone de un nivel de
seguridad adecuado a su valor y a los riesgos asociados a su
uso
37