AUDITORIA

1

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

22

CONTENIDOS: CONTROL INTERNO

CONTROL INTERNO INFORMATICO

CONTROL INTERNO Y LA AUDITORIA

COBIT

23

2



Esta referido fundamentalmente a la adopcin de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparicin del negocio.

24

Carlos Muoz Razzo El control interno es la adopcin de una serie de

medidas que se establecen en las empresas, con el propsito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y as ayudar a la administracin para el cumplimiento correcto de las actividades y operaciones de las empresas.

25

3



Jos Antonio Echenique : El control interno comprende el plan de

organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y proveer la adherencia a las polticas prescritas por la administracin

26

Algo es claro y evidente, la nueva economa ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en: Restructuracin de los procesos empresariales

(BPR: Business Process Re-engineering).

Gestin de la calidad (TQM).

Redimensionamiento por reduccin o crecimiento hasta el nivel correcto.

Outsourcing.

Descentralizacin.

27

4



Los grandes cambios en las empresas, no siempre son voluntarios, estos generalmente responden a fuerzas externas que presionan a la empresa.

Ante esta situacin, las empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopcin de la tecnologa disponible.

28

Empr

esas

Los Sistemas de informacin constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta direccin. Lo que origina tambin un aumento de las necesidades de control y auditoria. Es en este escenario que aparecen dos conceptos fundamentales: El control interno informtico y la Auditoria informtica.

29

Empresa

s

5



30

Alianzas

Estratgicas Globalizacin

Desaparicin

de nichos de

mercados

Empresas

Competencia

Es un proceso realizado por la direccin, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a si estn logrndose los objetivos siguientes:

1. Promover la efectividad, eficiencia y economa en las

operaciones y, la calidad en los servicios. 2.Proteger y conservar los recursos pblicos contra

cualquier prdida, despilfarro, uso indebido, irregularidad o acto legal

3.Cumplir las leyes, reglamentos y otras normas gubernamentales

4.Elaborar informacin financiera vlida y confiable, presentada con oportunidad.

5.Promover una Cultura de Integridad, Transparencia y Responsabilidad den la Funcin Pblica, cautelando el correcto desempeo de los funcionarios y servidores.

31

6



En las entidades gubernamentales realizan la funcin de control interno los funcionarios y servidores de la entidad de acuerdo a sus niveles de responsabilidad.

32

QUIN EVALUA EL CONTROL INTERNO? Los auditores de la entidad (OCI) de la Contralora

General de la Repblica y las SOAs, mediante auditoras o exmenes especiales.

33

7



Se encarga de que el control de las actividades informticas, se realicen cumpliendo los estndares fijados por la organizacin. Este control debe tener carcter preventivo, detectivo y correctivo.

34

Las medidas preventivas son aquellas orientadas a la prevencin de riesgos o situaciones anmalas a las fijadas en la institucin. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones.

35

8



Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estndares fijados. Podramos citar como situacin ilustrativa la revisin de la bitcora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso.

36

Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daos ocasionados por un acceso no deseado.

37

9



El control interno informtico, suele ser un staff de la Direccin del departamento de informtica y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. En nuestro pas la constitucin de este staff va a depender de la magnitud de la organizacin.

38

OBJETIVOS: Control de las actividades orientadas al

cumplimiento de los procedimientos y normas fijados por la organizacin as como el cumplimiento de las normas legales.

Asesorar al personal de la organizacin sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de auditoria Informtica.

Definir, implantar y ejecutar mecanismos y controles as como establecer responsabilidades en la evaluacin y ejecucin de las medidas preventivas.

39

10



TIPOS: Segn los objetivos se clasifica en:

Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

40

TIPOS Controles detectivos: cuando fallan los preventivos

para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.

41

11



TIPOS

Controles correctivos: facilitan la vuelta a la normatividad cuando se han producido incidencias. Por ejemplo, la recuperacin de un archivo daado a partir de las copias de seguridad.

42

El control interno Informtico y la auditora Informtica, tienen similitudes en sus objetivos profesionales. Son campos anlogos que propician una transicin natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.

43

12



44

Poltica de Seguridad

Plan de Seguridad

Normas y Procedimientos

Medidas Tecnolgicas implantadas

FORMACION Y MENTALIZACION

CONTROL INTERNO Y AUDITORIA

45

CONTROL INTERNO

INFORMATICO

AUDITORA

INFORMATICA

SIMILITUDES Conocimientos especializados en Tecnologa de la Informacin. Verificacin del cumplimiento de controles internos, normativa y

procedimientos establecidos por la direccin de informtica y la

Direccin General para los sistemas de informacin.

DIFERENCIAS Anlisis de los controles en el da a da.

Informa a la Direccin del Departamento de

Informtica.

Slo personal interno. El alcance de sus funciones

es nicamente para el

Departamento de

Informtica.

Anlisis de un momento informtico determinado.

Informa a la Direccin General de la Organizacin.

Personal interno y/o externo. Tiene cobertura sobre todos los

componentes de los sistemas de

informacin de la Organizacin.

13



Reconocida como lder mundial

en el gobierno, control y

evaluacin de TI.

ENTIDADES QUE LO REPRESENTAN

14



Control

OBjectives

for Information

and Related Technology (Objetivos de Control para Tecnologa de la

Informacin y Tecnologas relacionadas)

COBIT es un modelo de gestin y control de TI, con el objetivo de consensuar: los riesgos del negocio, las necesidades de control, y los aspectos tecnolgicos, mediante la entrega de buenas prcticas aplicables a una estructura lgica de

procesos y actividades.

15



Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.

Dependencia creciente del negocio frente a la informacin

La Tecnologa soporta la cuasi totalidad de los procesos del negocio

Los desarrollos constantes en TI y en las prcticas de negocio

La responsabilidad por el uso de la tecnologa se extiende en la organizacin

Los cambios ms importantes se realizan pero igual contina la presin hacia el cambio

Nivel de inversiones en tecnologa

16



Constante aumento de vulnerabilidades y un amplio espectro de amenazas.

Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos

Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (corporate governance)

Gerentes decisiones de inversin en TI

equilibrar riesgo y control de las inversiones

benchmarking entre la situacin de TI actual y la deseada

Usuarios obtencin de una seguridad adecuada sobre los

productos y servicios de TI que ellos adquieren, internamente y externamente

Auditores fundamentar las opiniones vertidas a la gerencia en

materia de control interno

aconsejar sobre los controles mnimos necesarios

17



El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Procesos

Actividades

o tareas

Dominios Agrupacin natural de procesos,

normalmente corresponden a un

dominio o una responsabilidad

organizacional

Conjuntos o series de actividades

unidas con delimitacin o cortes de

control.

Acciones requeridas para lograr un

resultado medible. Las actividades

tienen un ciclo de vida mientras

que las tareas son discretas.

18



La Gerencia: para apoyar sus decisiones de

inversin en TI y control sobre el rendimiento de

las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una

garanta sobre la seguridad y el control de los

productos que adquieren interna y externamente.

Los Auditores : para soportar sus opiniones

sobre los controles de los proyectos de TI , su

impacto en la organizacin y determinar el control

mnimo requerido.

Los Responsables de TI: para identificar los

controles que requieren en sus reas

19



Provee un renovado y autorizado Framework de

Administracin y gobierno para la informacin

empresarial y tecnologa relacionada.

Integra las mejores guas y framewoks de ISACA.

Se alinea con otros Frameworks y estndares de

buenas prcticas.

20



La informacin es un recurso clave para toda la empresa.

La informacin es creada, usada, retenida, revelada y destruida.

La tecnologa juega un rol clave en estas acciones.

La tecnologa est penetrando en todos los aspectos de los negocios y la vida personal.

Las empresas y sus ejecutivos, se esfuerzan para: Mantener informacin de calidad para soportar las

decisiones de negocio.

Generar valor para el negocio a partir de las inversiones en TI.

Alcanzar la excelencia operacional a travs de la aplicacin de Tecnologa de manera fiable y eficiente.

Mantener el riesgo asociado a TI en un nivel aceptable.

Optimizar el costo de tecnologa y servicios de TI.

21



AUDITORIA

Documents

Transcript of AUDITORIA