View
215
Download
0
Category
Preview:
DESCRIPTION
auditoria tema
Citation preview
AUDITORÍA Y CONSULTORÍA
TEMA 1
Control interno y auditoría informática
Estos esquemas no son documentación oficial de la asignatura ni de la U.N.E.D.
El contenido oficial es el del libro de la asignatura y, en su caso, los materiales que decidan subir los miembros del equipo docente.
Tan sólo un bosquejo de ideas para que podáis seguir mejor mis presentaciones como profesor intercampus.
No son, ni pretenden ser, completos.
Basarse sólo en ellos para estudiar la asignatura es garantía de tener que releerlos en septiembre…
Juan Carlos Alfaro LópezProfesor-Tutor del Centro Asociado de Tudela
Profesor intercampus de la asignaturahttp://lasultimasaguilasnegras.blogspot.com.es/
Tabla de contenidoI.1 Control interno y auditoría informática......................................................................................3
I.1.1 Control interno informático.................................................................................................3I.1.2 Auditoría informática...........................................................................................................3I.1.3 Tipos de controles informáticos internos.............................................................................3I.1.4 Implantación de un sistema de controles internos automáticos...........................................4
I.1 Control interno y auditoría informática
I.1.1 Control interno informático
Control: actividad realizada manual o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus objetivos.
Control es diario o muy frecuente cuyos principales objetivos: Definir, implantar y ejecutar mecanismos para comprobar el logro de los grados adecuados
del servicio de informática. Ver que todo se hace según los procedimientos internos y normas legales Asesorar sobre el conocimiento de las normas al resto de la organización Colaborar con auditoría informática
Esto se hace con diferentes pruebas y controles (producción diaria, calidad del desarrollo e implantación del nuevo software, comunicaciones, etc.) –ver más en el texto base-
Suele estar formado sólo por personal interno
Informa a la Dirección del Departamento de Informática
I.1.2 Auditoría informática
Auditoría: opinión profesional, sustentada en determinados procedimientos, sobre si el objeto sometido a análisis (normalmente con datos obtenidos sobre él) refleja / cumple las condiciones que le han sido prescritas (fiabilidad)
Auditoría es puntual cuyos principales objetivos: Objetivos Protección de datos y activos. Objetivos de gestión sobre la eficacia y eficiencia de los procesos, amén de la utilidad,
fiabilidad e integridad de los equipos e información
Suele acometerse con personal externo, además del posible interno
Informa a la Dirección del Departamento de Informática
I.1.3 Tipos de controles informáticos internos
Normalmente, estos controles son automáticos, aunque sus resultados se revisan de forma manual.
La tipología clásica es la siguiente: Controles preventivos Controles detectivos (para cuando fallan los preventivos). Controles correctivos (vuelta rápida a la normalidad –p.e. copias seguridad-)
Se deben definir objetivos de control y métodos de control –p.e objetivo: seguridad acceso, método: identificación de usuarios-. Las relaciones no siempre son uno a uno.
I.1.4 Implantación de un sistema de controles internos automáticos
Conocer a fondo y documentar: Entorno red Configuración del ordenador/es central/es Entorno de aplicaciones Productos y herramientas de desarrollo de software Seguridad (en especial del ordenador central y bases de datos)
Definir objetivos, métodos y políticas de control para: Gestión de sistemas de información Administración de dicho sistema (usuarios, perfiles…) Gestión de cambios ….
Ejemplos de controles internos: Controles generales organizativos
o Políticas generaleso Planificacióno Estándares de adquisicióno Políticas de personalo Asignación de funciones y responsabilidades
Controles sobre desarrollo, adquisición(implantación) y mantenimiento de S.I. o Metodología sobre el ciclo de vida del desarrollo de sistemas
Especificaciones Estándares de pruebas Pases a producción Roll-back …
Controles sobre la explotación del S.I: o Presencia de personal en momentos críticos (calendario personal)o Reparto de costes informáticos a la organizacióno Controles propios (p.e. accesos muy restringidos al host)o Seguridad contra incendios / inundacioneso Revisiones técnicas preceptivaso Seguridad física y lógica...o …
Controles sobre las aplicaciones: o Controles de entrada de datos (validaciones, conversiones, formatos, procedencia)o Controles sobre el tratamiento de dichos datos (ojo usos no previstos)o Controles salida datos (ídem entrada + seguridad)
Controles específicos sobre determinadas tecnologías: o Controles sobre sistemas de gestión de bases de datos (SGBD)o Controles sobre la informática distribuida y redeso Controles sobre ordenadores personales (ofimática) y LANo Controles conexiones OPEN HOSTo …
Controles de calidad: o Existencia Plan Calidad basado en otros dos planes: Plan de la Entidad a Largo Plazo
y Plan a Largo Plazo de tecnologías.o Esquema de Garantía de calidad: debe abordar todos los ámbito empresariales, no
sólo la Informática y la TIo Coordinación y Comunicacióno Relaciones con Proveedoreso Normas de documentación de Programaso Normas de Pruebas de Programaso Normas de Pruebas Integradaso Pruebas Piloto o en Paraleloo ….
–ver más en el texto base-
Anexo al tema 1
Peritar,Consultar y Auditar
Recommended