ASI-S06-Control Interno Informático

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

C A P Í T U L O 2 : C O N T R O L

I N T E R N O Y A U D I T O R Í A

I N F O R M Á T I C A

I S T P - K H I P U

W I L B E R T D A L G U E R R E

O R D Ó Ñ E Z

2 0 1 3 - I

SESIÓN NÚMERO 06

SISTEMAS DE CONTROL

INTERNO INFORMÁTICO Conocer el Control Interno dentro del área de Informática.

Sistemas de Control Interno Informático

1

Contenido

SISTEMAS DE CONTROL INTERNO INFORMÁTICO .................................. 2

CONTROL INTERNO INFORMÁTICO. ......................................................................... 2

OBJETIVOS DEL CONTROL INTERNO INFORMÁTICO. ......................................... 2

ELEMENTOS DEL CONTROL INTERNO INFORMÁTICO. ....................................... 3

SIMILITUDES Y DIFERENCIAS ENTRE CONTROL INTERNO Y AUDITOR. ....... 4

DIVISIÓN DE TRABAJO. ................................................................................................. 5

CONTROLES INTERNOS SOBRE EL ANÁLISIS, DESARROLLO E

IMPLEMENTACIÓN DE SISTEMAS. ............................................................................. 5

Estandarización de metodologías para el desarrollo de proyectos ........................... 6

Asegurar que el beneficio del sistema sea óptimo ....................................................... 7

Elaborar estudios de factibilidad del sistema ................................................................ 7

Garantizar la eficiencia y eficacia en el análisis y diseño del sistema. ..................... 8

Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del

sistema. ............................................................................................................................... 9

Lograr un uso eficiente del sistema por medio de su documentación ...................... 9

CONTROLES INTERNOS PARA LA OPERACIÓN DEL SISTEMA. ...................... 10

CONTROLES INTERNOS PARA LOS PROCEDIMIENTOS DE ENTRADA DE

DATOS, PROCESAMIENTO DE INFORMACIÓN Y EMISIÓN DE RESULTADOS.

............................................................................................................................................ 11

CONTROLES INTERNOS PARA LA SEGURIDAD DEL ÁREA DE SISTEMAS. . 11

BIBLIOGRAFÍA ................................................................................................................ 13


2

SISTEMAS DE CONTROL INTERNO INFORMÁTICO

CONTROL INTERNO INFORMÁTICO.

El Control Interno Informático

puede definirse como el sistema

integrado al proceso

administrativo, en la planeación,

organización, dirección y control

de las operaciones con el objeto de

asegurar la protección de todos los

recursos informáticos y mejorar los

índices de economía, eficiencia y

efectividad de los procesos operativos

automatizados.

Muchos de los problemas informáticos se

originan dentro de la misma empresa. Por ello

es cada vez más necesario un completo análisis del tráfico de:

Los correos electrónicos corporativos.

Las páginas web que se visitan desde los ordenadores de la empresa

El control interno informático controla diariamente que todas las

actividades de sistemas de información sean realizadas cumpliendo

los procedimientos, estándares y normas fijados por la dirección de la

organización y/o la dirección informática, así como los requerimientos

legales.

La función del control interno informático es asegurarse que las

medidas que se obtienen de los mecanismos implantados por cada

responsable sean correctas y válidas.

OBJETIVOS DEL CONTROL INTERNO INFORMÁTICO.

Los objetivos más importantes que se pueden considerar al realizar

un control interno informático, son los siguientes:


3

1. Establecer como prioridad la seguridad y protección de la

información del sistema computacional y de los recursos

informáticos de la empresa.

2. Promover la confiabilidad, oportunidad y

veracidad de la captación de datos, su

procesamiento en el sistema y la emisión

de informes en la empresa.

3. Implementar los métodos, técnicas y

procedimientos necesarios para

coadyuvar al eficiente desarrollo de las

funciones, actividades y tareas de los

servicios computacionales, para

satisfacer los requerimientos de sistemas

en la empresa.

4. Instaurar y hacer cumplir las normas,

políticas y procedimientos que regulen

las actividades de sistematización de la

empresa.

5. Establecer las acciones necesarias para

el adecuado diseño e implementación de

sistemas computarizados, a fin de que permitan proporcionar

eficientemente los servicios de procesamiento de información

en la empresa.

ELEMENTOS DEL CONTROL INTERNO INFORMÁTICO.

El control interno informático como actividad, necesita de ciertos

elementos de los cuales hará uso al momento de ejecutarse. Estos

son los siguientes:

1. Controles internos sobre la organización del área de

informática

2. Controles internos sobre el análisis, desarrollo e

implementación de sistemas

3. Controles internos sobre operación del sistema

El control interno

informático suele ser un

staff de profesionales

que pertenecen a la

dirección del

departamento de

informática.


4

4. Controles internos

sobre los procedimientos de

entrada de datos, el

procesamiento de

información y la emisión de

resultados.

5. Controles internos

sobre la seguridad del área de

sistemas.

SIMILITUDES Y DIFERENCIAS ENTRE CONTROL INTERNO Y AUDITOR.

CONTROL INTERNO INFORMATICO

AUDITOR INFORMATICO

SIMILITUDES PERSONAL INTERNO

Conocimientos especializados en tecnologías de

información verificación del cumplimiento de controles

internos, normativa y procedimientos establecidos por

la dirección informática y la dirección general para los

sistemas de información.

DIFERENCIAS Análisis de los controles en

el día a día

Informa a la dirección del

departamento de informática

sólo personal interno el

enlace de sus funciones es

únicamente sobre el

departamento de informática

Análisis de un momento

informático determinado

Informa a la dirección

general de la

organización

Personal interno y/o

externo tiene cobertura

sobre todos los

componentes de los

sistemas de información

de la organización


5

DIVISIÓN DE TRABAJO.

Para el buen desarrollo de las actividades de cualquier empresa es

necesario que las actividades se realicen de acuerdo a como hayan

sido diseñadas en la estructura de la organización y de acuerdo con lo

delimitado por el perfil de puestos. (Se deben distribuir de manera

correcta las cargas de trabajo).

La división del trabajo incrementa la eficacia y eficiencia de las

actividades de cualquier empresa. Se requiere una división más

especializada del trabajo para el cumplimiento de las actividades y

operaciones y tareas que se desarrollan en los centros de cómputo.

Funciones básicas de Centros de Cómputo:

1. Dirección general del área de informática

2. Área de análisis y diseño

3. Área de Programación

4. Área de Sistemas de redes

5. Área de operación

6. Área de telecomunicación

7. Área de administración

CONTROLES INTERNOS SOBRE EL ANÁLISIS, DESARROLLO E

IMPLEMENTACIÓN DE SISTEMAS.

1. Estandarización de metodologías para el desarrollo de

proyectos

2. Asegurar que el beneficio del sistema sea optimo

3. Elaborar estudios de factibilidad del sistema


6

4. Garantizar la eficiencia y eficacia en el análisis y diseño del

sistema.

5. Vigilar la efectividad y eficacia en la implementación y en el

mantenimiento del sistema.

6. Lograr un uso eficiente del sistema por medio de su

documentación.

Estandarización de metodologías para el desarrollo de proyectos

La empresa debe adoptar alguna

metodología que sea

acorde al desarrollo de

sus proyectos de

sistemas, la aplicación

de una metodología

estandarizada para el

desarrollo de un proyecto

informático garantiza la

uniformidad en la aplicación de

cualquier sistema y contribuye

en gran medida a la máxima eficiencia en

el uso de los recursos informáticos del área de

sistemas. Por lo que es de suma importancia estandarizar el

desarrollo de los proyectos de sistemas en una empresa, existen

empresas que jamás aplican una metodología uniforme y que utilizan

diferentes métodos para desarrollar sus proyectos por lo que sus

sistemas no son similares y sus aplicaciones y utilidad para la

empresa frecuentemente difieren debido a que no tienen los mismos

estándares, ni las mismas normas, políticas ni lineamientos.

1. Estandarización de métodos para el diseño de sistemas

2. Lineamientos en la realización de sistemas

3. Uniformidad de funciones para desarrollar sistemas

4. Políticas para el desarrollo de sistemas

5. Normas para regular el desarrollo de proyectos


7

Asegurar que el beneficio del sistema sea óptimo

Se busca la optimización de las tareas, operaciones y funciones que

resultaran con la implementación de los

sistemas, contando para ello con el

seguimiento de una metodología uniforme

para el desarrollo de nuevos sistemas, con

lo cual se pretende garantizar la eficacia y

eficiencia de acciones después de que se

implemente el nuevo sistema. Al

implementar un nuevo sistema se busca

optimizar el desarrollo de las actividades

que normalmente se llevan a cabo en la

empresa o en cualquiera de sus áreas, con

ello se pretende mejorar las operaciones

normales de computo que se realizan en la empresa, a fin de

incrementar la eficiencia de sus sistemas actuales.

Elaborar estudios de factibilidad del sistema

Todo proyecto de informática tiene que evaluar desde dos puntos de

vista específicos: la viabilidad y la factibilidad, es decir se deben

analizar la viabilidad de realizar el proyecto y la factibilidad de llevarlo

a cabo.

Viable: se dice del asunto con posibilidad de salir adelante. (Valorar

la posibilidad de hacerlo).

Factible: que se puede llevar a cabo lo que es posible realizar.

(Valorar, si se puede realizar).

El resultado final de estas certificaciones será la certificación y

confianza de que el proyecto será aplicable a las necesidades de la

empresa para así poder satisfacer sus requerimientos de control

interno de informática.

1. Viabilidad y factibilidad operativa.- aspectos que se refieren

a la posible operación del proyecto, se estudian todos los

La optimización del

sistema no se refiere

exclusivamente a las

aplicaciones informáticas,

sino también a la

optimización del equipo

con el cual se desarrolla su

función informática.


8

aspectos relacionados con la futura operación del sistema que

será implementado con el fin de lograr la adecuada

operatividad del sistema.

2. Viabilidad y factibilidad económica.- Aquellos aspectos que

se refieren a la parte económica del proyecto, aspectos

relacionados con costo.

3. Viabilidad y factibilidad técnica.- Aquellos que serán útiles

para valorar la calidad y cualidad de los sistemas desde el

punto de vista técnico.

4. Viabilidad y factibilidad administrativa.- Aspectos que

repercuten en la cuestión administrativa del sistema los cuales

permitirán evaluar las facilidades para la futura administración

del mismo.

Garantizar la eficiencia y eficacia en el análisis y diseño del sistema.

La premisa fundamental del análisis y diseño de sistemas es la

realización de proyectos que optimicen las actividades que se

desarrollaran con la implementación de un nuevo sistema

computacional, además un nuevo proyecto solo se justifica si con él

se busca satisfacer la eficiencia y eficacia de las actividades de la

empresa lo cual se logra mediante la adopción de una metodología

estándar en la realización de los sistemas. Esto es lo que se debe

contemplar para poder garantizar un buen resultado final con su

implementación. Si estas condiciones no se cumplen o solo satisfacen

de manera parcial, entonces no tiene caso la existencia de un nuevo

proyecto ya que su consecuencia será muy pobre y deficiente en

cuanto a los resultados esperados.

1. Adopción y seguimiento de una metodología institucional.- Es

necesario que en la empresa se establezca y se lleve a cabo

una metodología única para el desarrollo de proyectos, a fin de

que esta sea de aplicación uniforme en toda la institución, esto

se hace con el fin de uniformar las actividades de análisis y

diseño de los sistemas.

2. Adoptar una adecuada planeación, programación y

presupuestación para el desarrollo del sistema.


9

3. Contar con la participación activa de los usuarios finales o

solicitantes del nuevo sistema para garantizar su buen

desarrollo.

4. Contar con el personal que tenga la disposición, experiencia,

capacitación y conocimientos para el desarrollo de sistemas.

5. Utilizar los requerimientos técnicos necesarios para el

desarrollo del sistema, como son el hardware, software y

personal informático.

6. Diseñar y aplicar las pruebas previas a la implementación del

sistema.

7. Supervisar permanentemente el avance de las actividades del

proyecto.

Vigilar la efectividad y eficacia en la implementación y en el mantenimiento

del sistema.

Es necesario vigilar la efectividad en la implementación del sistema y,

una vez liberado, también se debe procurar su eficiencia a través del

mantenimiento. No basta con elaborar el sistema, también se tiene

que implementar totalmente, se tiene que liberar a cargo del propio

usuario y se le tiene que dar un mantenimiento permanente para

garantizar su efectividad.

Lograr un uso eficiente del sistema por medio de su documentación

Después de terminado el desarrollo del sistema o durante su

elaboración es requisito indispensable elaborar documentos relativos

al buen funcionamiento, en relación con su operación, con las

características técnicas operativas, administrativas y económicas que

lo fundamentaron, con los manuales que apoyaran al usuario y con

todos los demás manuales que apoyaran al usuario y con todos los

demás manuales e instructivos que servirán de apoyo al propio

desarrollador del sistema, es de suma importancia que antes o

durante la implementación del sistema se proporcione la capacitación

a sus usuarios finales, debido a que solo aso se pueden garantizar la


10

eficiencia y eficacia en la implementación del proyecto. También se

debe contar con la completa documentación de respaldo y apoyo que

sirva de consulta a los usuarios para el buen uso del sistema.

1. Manuales e instructivos del usuario.

2. Manual e instructivo de operación del sistema

3. Manual técnico del sistema

4. Manual para el seguimiento del desarrollo del proyecto del

sistema.

5. Manual e instructivo de mantenimiento del sistema.

6. Otros manuales e instructivos del sistema (otros documentos

que sirven de apoyo para conocer el funcionamiento del nuevo

sistema como manuales de organización, manuales de

métodos y procedimientos, cursos de capacitación y

adiestramiento, libros de consulta, diccionarios especializados,

otros documentos técnicos, otros documentos administrativos,

etc.,).

CONTROLES INTERNOS PARA LA OPERACIÓN DEL SISTEMA.

Permite evaluar la adecuada operación de los sistemas, se requiere

de un elemento que se encargue de vigilar y verificar la eficiencia y

eficacia en la operación de dichos sistemas, su existencia ayuda a

garantizar el cumplimiento de los objetivos básicos del control interno.

Permite:

1. Prevenir y corregir errores de operación

2. Prevenir y evitar la manipulación fraudulenta de la información

3. Implementar y mantener la seguridad en la operación

4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia

en el procesamiento de la información en la institución


11

CONTROLES INTERNOS PARA LOS PROCEDIMIENTOS DE ENTRADA

DE DATOS, PROCESAMIENTO DE INFORMACIÓN Y EMISIÓN DE

RESULTADOS.

Son de gran ayuda por la

confiabilidad que brindan en

el procesamiento de

información, permiten verificar

que el procedimiento de

entrada-proceso-salida se lleve a

cabo correctamente.

1. Verificar la existencia y

funcionamiento de los procedimientos

de captura de datos. Es evidente que se

requiere un adecuado control en la entrada delos datos que

han de ser procesados en cualquier sistema computacional ya

que de esto depende que se obtengan buenos resultados.

2. Comprobar que los datos sean debidamente procesados.

3. Verificar la confiabilidad, veracidad y exactitud del

procesamiento de datos

4. Comprobar la suficiencia de la emisión de información.- La

información debe ser adecuada a los requerimientos de la

empresa para ofrecer solo la información requerida, sin dar ni

más ni menos datos que los necesarios, a esto se le llama

proporcionar información suficiente.

CONTROLES INTERNOS PARA LA SEGURIDAD DEL ÁREA DE

SISTEMAS.

Seguridad de los recursos informáticos, del personal, de la

información, de sus programas, etc., lo cual se puede lograr a través

de medidas preventivas o correctivas, o mediante el diseño de

programas de prevención de contingencias para la disminución de

riesgos.

Controles para prevenir y evitar amenazas, riesgos y contingencias en

las áreas de sistematización:


12

1. Control de accesos físicos del personal del área de computo

2. Control de accesos al sistema, a las bases de datos, a los

programas y a la información

3. Uso de niveles de privilegios para acceso, de palabras clave y

de control de usuarios

4. Monitoreo de accesos de usuarios, información y programas de

uso

5. Existencia de manuales e instructivos, así como difusión y

vigilancia del cumplimiento de los reglamentos del sistema

6. Identificación de los riesgos y amenazas para el sistema, con el

fin de adoptar las medidas preventivas necesarias

7. Elaboración de planes de contingencia, simulacros y bitácoras

de seguimiento


13

BIBLIOGRAFÍA

http://www.monografias.com/trabajos14/auditoria/auditoria.shtml

http://es.wikipedia.org/wiki/Auditor%C3%ADa

http://www.proyectosfindecarrera.com/que-es-una-auditoria.htm

http://www.wordreference.com/definicion/auditor%C3%ADa

http://www.buenastareas.com/ensayos/Definicion-De-Auditoria/373238.html

http://www.galeon.com/aabbccddee/winpy.htm

Todos son links o enlaces a diferentes páginas web que se

consultaron para el desarrollo de esta sesión de clases.

http://www.wordreference.com/definicion/auditor%C3%ADa

http://www.buenastareas.com/ensayos/Definicion-De-Auditoria/373238.html

ASI-S06-Control Interno Informático

Documents

Transcript of ASI-S06-Control Interno Informático