ASI-S06-Control Interno Informático
-
Upload
wilbert-dalguerre -
Category
Documents
-
view
241 -
download
0
description
Transcript of ASI-S06-Control Interno Informático
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
C A P Í T U L O 2 : C O N T R O L
I N T E R N O Y A U D I T O R Í A
I N F O R M Á T I C A
I S T P - K H I P U
W I L B E R T D A L G U E R R E
O R D Ó Ñ E Z
2 0 1 3 - I
SESIÓN NÚMERO 06
SISTEMAS DE CONTROL
INTERNO INFORMÁTICO Conocer el Control Interno dentro del área de Informática.
Sistemas de Control Interno Informático
1
Contenido
SISTEMAS DE CONTROL INTERNO INFORMÁTICO .................................. 2
CONTROL INTERNO INFORMÁTICO. ......................................................................... 2
OBJETIVOS DEL CONTROL INTERNO INFORMÁTICO. ......................................... 2
ELEMENTOS DEL CONTROL INTERNO INFORMÁTICO. ....................................... 3
SIMILITUDES Y DIFERENCIAS ENTRE CONTROL INTERNO Y AUDITOR. ....... 4
DIVISIÓN DE TRABAJO. ................................................................................................. 5
CONTROLES INTERNOS SOBRE EL ANÁLISIS, DESARROLLO E
IMPLEMENTACIÓN DE SISTEMAS. ............................................................................. 5
Estandarización de metodologías para el desarrollo de proyectos ........................... 6
Asegurar que el beneficio del sistema sea óptimo ....................................................... 7
Elaborar estudios de factibilidad del sistema ................................................................ 7
Garantizar la eficiencia y eficacia en el análisis y diseño del sistema. ..................... 8
Vigilar la efectividad y eficacia en la implementación y en el mantenimiento del
sistema. ............................................................................................................................... 9
Lograr un uso eficiente del sistema por medio de su documentación ...................... 9
CONTROLES INTERNOS PARA LA OPERACIÓN DEL SISTEMA. ...................... 10
CONTROLES INTERNOS PARA LOS PROCEDIMIENTOS DE ENTRADA DE
DATOS, PROCESAMIENTO DE INFORMACIÓN Y EMISIÓN DE RESULTADOS.
............................................................................................................................................ 11
CONTROLES INTERNOS PARA LA SEGURIDAD DEL ÁREA DE SISTEMAS. . 11
BIBLIOGRAFÍA ................................................................................................................ 13
Sistemas de Control Interno Informático
2
SISTEMAS DE CONTROL INTERNO INFORMÁTICO
CONTROL INTERNO INFORMÁTICO.
El Control Interno Informático
puede definirse como el sistema
integrado al proceso
administrativo, en la planeación,
organización, dirección y control
de las operaciones con el objeto de
asegurar la protección de todos los
recursos informáticos y mejorar los
índices de economía, eficiencia y
efectividad de los procesos operativos
automatizados.
Muchos de los problemas informáticos se
originan dentro de la misma empresa. Por ello
es cada vez más necesario un completo análisis del tráfico de:
Los correos electrónicos corporativos.
Las páginas web que se visitan desde los ordenadores de la empresa
El control interno informático controla diariamente que todas las
actividades de sistemas de información sean realizadas cumpliendo
los procedimientos, estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como los requerimientos
legales.
La función del control interno informático es asegurarse que las
medidas que se obtienen de los mecanismos implantados por cada
responsable sean correctas y válidas.
OBJETIVOS DEL CONTROL INTERNO INFORMÁTICO.
Los objetivos más importantes que se pueden considerar al realizar
un control interno informático, son los siguientes:
Sistemas de Control Interno Informático
3
1. Establecer como prioridad la seguridad y protección de la
información del sistema computacional y de los recursos
informáticos de la empresa.
2. Promover la confiabilidad, oportunidad y
veracidad de la captación de datos, su
procesamiento en el sistema y la emisión
de informes en la empresa.
3. Implementar los métodos, técnicas y
procedimientos necesarios para
coadyuvar al eficiente desarrollo de las
funciones, actividades y tareas de los
servicios computacionales, para
satisfacer los requerimientos de sistemas
en la empresa.
4. Instaurar y hacer cumplir las normas,
políticas y procedimientos que regulen
las actividades de sistematización de la
empresa.
5. Establecer las acciones necesarias para
el adecuado diseño e implementación de
sistemas computarizados, a fin de que permitan proporcionar
eficientemente los servicios de procesamiento de información
en la empresa.
ELEMENTOS DEL CONTROL INTERNO INFORMÁTICO.
El control interno informático como actividad, necesita de ciertos
elementos de los cuales hará uso al momento de ejecutarse. Estos
son los siguientes:
1. Controles internos sobre la organización del área de
informática
2. Controles internos sobre el análisis, desarrollo e
implementación de sistemas
3. Controles internos sobre operación del sistema
El control interno
informático suele ser un
staff de profesionales
que pertenecen a la
dirección del
departamento de
informática.
Sistemas de Control Interno Informático
4
4. Controles internos
sobre los procedimientos de
entrada de datos, el
procesamiento de
información y la emisión de
resultados.
5. Controles internos
sobre la seguridad del área de
sistemas.
SIMILITUDES Y DIFERENCIAS ENTRE CONTROL INTERNO Y AUDITOR.
CONTROL INTERNO INFORMATICO
AUDITOR INFORMATICO
SIMILITUDES PERSONAL INTERNO
Conocimientos especializados en tecnologías de
información verificación del cumplimiento de controles
internos, normativa y procedimientos establecidos por
la dirección informática y la dirección general para los
sistemas de información.
DIFERENCIAS Análisis de los controles en
el día a día
Informa a la dirección del
departamento de informática
sólo personal interno el
enlace de sus funciones es
únicamente sobre el
departamento de informática
Análisis de un momento
informático determinado
Informa a la dirección
general de la
organización
Personal interno y/o
externo tiene cobertura
sobre todos los
componentes de los
sistemas de información
de la organización
Sistemas de Control Interno Informático
5
DIVISIÓN DE TRABAJO.
Para el buen desarrollo de las actividades de cualquier empresa es
necesario que las actividades se realicen de acuerdo a como hayan
sido diseñadas en la estructura de la organización y de acuerdo con lo
delimitado por el perfil de puestos. (Se deben distribuir de manera
correcta las cargas de trabajo).
La división del trabajo incrementa la eficacia y eficiencia de las
actividades de cualquier empresa. Se requiere una división más
especializada del trabajo para el cumplimiento de las actividades y
operaciones y tareas que se desarrollan en los centros de cómputo.
Funciones básicas de Centros de Cómputo:
1. Dirección general del área de informática
2. Área de análisis y diseño
3. Área de Programación
4. Área de Sistemas de redes
5. Área de operación
6. Área de telecomunicación
7. Área de administración
CONTROLES INTERNOS SOBRE EL ANÁLISIS, DESARROLLO E
IMPLEMENTACIÓN DE SISTEMAS.
1. Estandarización de metodologías para el desarrollo de
proyectos
2. Asegurar que el beneficio del sistema sea optimo
3. Elaborar estudios de factibilidad del sistema
Sistemas de Control Interno Informático
6
4. Garantizar la eficiencia y eficacia en el análisis y diseño del
sistema.
5. Vigilar la efectividad y eficacia en la implementación y en el
mantenimiento del sistema.
6. Lograr un uso eficiente del sistema por medio de su
documentación.
Estandarización de metodologías para el desarrollo de proyectos
La empresa debe adoptar alguna
metodología que sea
acorde al desarrollo de
sus proyectos de
sistemas, la aplicación
de una metodología
estandarizada para el
desarrollo de un proyecto
informático garantiza la
uniformidad en la aplicación de
cualquier sistema y contribuye
en gran medida a la máxima eficiencia en
el uso de los recursos informáticos del área de
sistemas. Por lo que es de suma importancia estandarizar el
desarrollo de los proyectos de sistemas en una empresa, existen
empresas que jamás aplican una metodología uniforme y que utilizan
diferentes métodos para desarrollar sus proyectos por lo que sus
sistemas no son similares y sus aplicaciones y utilidad para la
empresa frecuentemente difieren debido a que no tienen los mismos
estándares, ni las mismas normas, políticas ni lineamientos.
1. Estandarización de métodos para el diseño de sistemas
2. Lineamientos en la realización de sistemas
3. Uniformidad de funciones para desarrollar sistemas
4. Políticas para el desarrollo de sistemas
5. Normas para regular el desarrollo de proyectos
Sistemas de Control Interno Informático
7
Asegurar que el beneficio del sistema sea óptimo
Se busca la optimización de las tareas, operaciones y funciones que
resultaran con la implementación de los
sistemas, contando para ello con el
seguimiento de una metodología uniforme
para el desarrollo de nuevos sistemas, con
lo cual se pretende garantizar la eficacia y
eficiencia de acciones después de que se
implemente el nuevo sistema. Al
implementar un nuevo sistema se busca
optimizar el desarrollo de las actividades
que normalmente se llevan a cabo en la
empresa o en cualquiera de sus áreas, con
ello se pretende mejorar las operaciones
normales de computo que se realizan en la empresa, a fin de
incrementar la eficiencia de sus sistemas actuales.
Elaborar estudios de factibilidad del sistema
Todo proyecto de informática tiene que evaluar desde dos puntos de
vista específicos: la viabilidad y la factibilidad, es decir se deben
analizar la viabilidad de realizar el proyecto y la factibilidad de llevarlo
a cabo.
Viable: se dice del asunto con posibilidad de salir adelante. (Valorar
la posibilidad de hacerlo).
Factible: que se puede llevar a cabo lo que es posible realizar.
(Valorar, si se puede realizar).
El resultado final de estas certificaciones será la certificación y
confianza de que el proyecto será aplicable a las necesidades de la
empresa para así poder satisfacer sus requerimientos de control
interno de informática.
1. Viabilidad y factibilidad operativa.- aspectos que se refieren
a la posible operación del proyecto, se estudian todos los
La optimización del
sistema no se refiere
exclusivamente a las
aplicaciones informáticas,
sino también a la
optimización del equipo
con el cual se desarrolla su
función informática.
Sistemas de Control Interno Informático
8
aspectos relacionados con la futura operación del sistema que
será implementado con el fin de lograr la adecuada
operatividad del sistema.
2. Viabilidad y factibilidad económica.- Aquellos aspectos que
se refieren a la parte económica del proyecto, aspectos
relacionados con costo.
3. Viabilidad y factibilidad técnica.- Aquellos que serán útiles
para valorar la calidad y cualidad de los sistemas desde el
punto de vista técnico.
4. Viabilidad y factibilidad administrativa.- Aspectos que
repercuten en la cuestión administrativa del sistema los cuales
permitirán evaluar las facilidades para la futura administración
del mismo.
Garantizar la eficiencia y eficacia en el análisis y diseño del sistema.
La premisa fundamental del análisis y diseño de sistemas es la
realización de proyectos que optimicen las actividades que se
desarrollaran con la implementación de un nuevo sistema
computacional, además un nuevo proyecto solo se justifica si con él
se busca satisfacer la eficiencia y eficacia de las actividades de la
empresa lo cual se logra mediante la adopción de una metodología
estándar en la realización de los sistemas. Esto es lo que se debe
contemplar para poder garantizar un buen resultado final con su
implementación. Si estas condiciones no se cumplen o solo satisfacen
de manera parcial, entonces no tiene caso la existencia de un nuevo
proyecto ya que su consecuencia será muy pobre y deficiente en
cuanto a los resultados esperados.
1. Adopción y seguimiento de una metodología institucional.- Es
necesario que en la empresa se establezca y se lleve a cabo
una metodología única para el desarrollo de proyectos, a fin de
que esta sea de aplicación uniforme en toda la institución, esto
se hace con el fin de uniformar las actividades de análisis y
diseño de los sistemas.
2. Adoptar una adecuada planeación, programación y
presupuestación para el desarrollo del sistema.
Sistemas de Control Interno Informático
9
3. Contar con la participación activa de los usuarios finales o
solicitantes del nuevo sistema para garantizar su buen
desarrollo.
4. Contar con el personal que tenga la disposición, experiencia,
capacitación y conocimientos para el desarrollo de sistemas.
5. Utilizar los requerimientos técnicos necesarios para el
desarrollo del sistema, como son el hardware, software y
personal informático.
6. Diseñar y aplicar las pruebas previas a la implementación del
sistema.
7. Supervisar permanentemente el avance de las actividades del
proyecto.
Vigilar la efectividad y eficacia en la implementación y en el mantenimiento
del sistema.
Es necesario vigilar la efectividad en la implementación del sistema y,
una vez liberado, también se debe procurar su eficiencia a través del
mantenimiento. No basta con elaborar el sistema, también se tiene
que implementar totalmente, se tiene que liberar a cargo del propio
usuario y se le tiene que dar un mantenimiento permanente para
garantizar su efectividad.
Lograr un uso eficiente del sistema por medio de su documentación
Después de terminado el desarrollo del sistema o durante su
elaboración es requisito indispensable elaborar documentos relativos
al buen funcionamiento, en relación con su operación, con las
características técnicas operativas, administrativas y económicas que
lo fundamentaron, con los manuales que apoyaran al usuario y con
todos los demás manuales que apoyaran al usuario y con todos los
demás manuales e instructivos que servirán de apoyo al propio
desarrollador del sistema, es de suma importancia que antes o
durante la implementación del sistema se proporcione la capacitación
a sus usuarios finales, debido a que solo aso se pueden garantizar la
Sistemas de Control Interno Informático
10
eficiencia y eficacia en la implementación del proyecto. También se
debe contar con la completa documentación de respaldo y apoyo que
sirva de consulta a los usuarios para el buen uso del sistema.
1. Manuales e instructivos del usuario.
2. Manual e instructivo de operación del sistema
3. Manual técnico del sistema
4. Manual para el seguimiento del desarrollo del proyecto del
sistema.
5. Manual e instructivo de mantenimiento del sistema.
6. Otros manuales e instructivos del sistema (otros documentos
que sirven de apoyo para conocer el funcionamiento del nuevo
sistema como manuales de organización, manuales de
métodos y procedimientos, cursos de capacitación y
adiestramiento, libros de consulta, diccionarios especializados,
otros documentos técnicos, otros documentos administrativos,
etc.,).
CONTROLES INTERNOS PARA LA OPERACIÓN DEL SISTEMA.
Permite evaluar la adecuada operación de los sistemas, se requiere
de un elemento que se encargue de vigilar y verificar la eficiencia y
eficacia en la operación de dichos sistemas, su existencia ayuda a
garantizar el cumplimiento de los objetivos básicos del control interno.
Permite:
1. Prevenir y corregir errores de operación
2. Prevenir y evitar la manipulación fraudulenta de la información
3. Implementar y mantener la seguridad en la operación
4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia
en el procesamiento de la información en la institución
Sistemas de Control Interno Informático
11
CONTROLES INTERNOS PARA LOS PROCEDIMIENTOS DE ENTRADA
DE DATOS, PROCESAMIENTO DE INFORMACIÓN Y EMISIÓN DE
RESULTADOS.
Son de gran ayuda por la
confiabilidad que brindan en
el procesamiento de
información, permiten verificar
que el procedimiento de
entrada-proceso-salida se lleve a
cabo correctamente.
1. Verificar la existencia y
funcionamiento de los procedimientos
de captura de datos. Es evidente que se
requiere un adecuado control en la entrada delos datos que
han de ser procesados en cualquier sistema computacional ya
que de esto depende que se obtengan buenos resultados.
2. Comprobar que los datos sean debidamente procesados.
3. Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos
4. Comprobar la suficiencia de la emisión de información.- La
información debe ser adecuada a los requerimientos de la
empresa para ofrecer solo la información requerida, sin dar ni
más ni menos datos que los necesarios, a esto se le llama
proporcionar información suficiente.
CONTROLES INTERNOS PARA LA SEGURIDAD DEL ÁREA DE
SISTEMAS.
Seguridad de los recursos informáticos, del personal, de la
información, de sus programas, etc., lo cual se puede lograr a través
de medidas preventivas o correctivas, o mediante el diseño de
programas de prevención de contingencias para la disminución de
riesgos.
Controles para prevenir y evitar amenazas, riesgos y contingencias en
las áreas de sistematización:
Sistemas de Control Interno Informático
12
1. Control de accesos físicos del personal del área de computo
2. Control de accesos al sistema, a las bases de datos, a los
programas y a la información
3. Uso de niveles de privilegios para acceso, de palabras clave y
de control de usuarios
4. Monitoreo de accesos de usuarios, información y programas de
uso
5. Existencia de manuales e instructivos, así como difusión y
vigilancia del cumplimiento de los reglamentos del sistema
6. Identificación de los riesgos y amenazas para el sistema, con el
fin de adoptar las medidas preventivas necesarias
7. Elaboración de planes de contingencia, simulacros y bitácoras
de seguimiento
Sistemas de Control Interno Informático
13
BIBLIOGRAFÍA
http://www.monografias.com/trabajos14/auditoria/auditoria.shtml
http://es.wikipedia.org/wiki/Auditor%C3%ADa
http://www.proyectosfindecarrera.com/que-es-una-auditoria.htm
http://www.wordreference.com/definicion/auditor%C3%ADa
http://www.buenastareas.com/ensayos/Definicion-De-Auditoria/373238.html
http://www.galeon.com/aabbccddee/winpy.htm
Todos son links o enlaces a diferentes páginas web que se
consultaron para el desarrollo de esta sesión de clases.