Ing. En Sist. Héctor Samuel Recinos Agustín. Libro Texto: Auditoría en Informática, Autor: Echenique García, José Antonio. U.M.G, Segundo Semestre 2013

Ing. En Sist. Héctor Samuel Recinos Agustín.Libro Texto: Auditoría en Informática,

Autor: Echenique García, José Antonio.U.M.G, Segundo Semestre 2013

El Control como sistema:

Entrada

Retroalimentación

Proceso Salida

Se determinan objetivos y planes.Se establecen los estándares de medición

Se analiza y se compara lo realmente alcanzado con lo esperado

Se establecen las desviaciones de lo inicialmente esperado

Se informa y se establecen las acciones correctivas

El Control Interno:Definición: El control interno es el establecimiento

de mecanismos y estándares de control que se adoptan en las empresas a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los recursos institucionales, en la ejecución adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de sus resultados financieros, todo ello para el mejor cumplimiento del objetivo institucional.

Objetivos del Control Interno:Establecer la seguridad y protección de los activos

de la empresa.Promover la confiabilidad, oportunidad y veracidad

de los registros contables, así como de la emisión de información financiera de la empresa.

Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa.

Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las actividades de la empresa.

Implantar los métodos, técnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa.

Objetivos del Control Interno:Establecer la seguridad y protección de los

activos de la empresa:Se trata de establecer las pautas necesarias

para proteger y manejar adecuadamente los recursos financieros, bienes muebles e inmuebles, equipos y demás recursos que se les hayan asignado a la empresa o a sus áreas de trabajo.

Se quiere “vigilar el cumplimiento”.También se quiere “evaluar el óptimo

aprovechamiento de los bienes de la empresa”, desde los procesos de compra hasta su retiro y custodia final.

Objetivos del Control Interno:Promover la confiabilidad, oportunidad y veracidad

de los registros contables, así como de la emisión de información financiera de la empresa.

“No podemos proteger lo que no conocemos y controlamos”, por ello es importantísimo verificar que todos los activos estén debidamente registrados, cuantificados y ubicados. Esto se logra a partir de la inscripción adecuada de las transacciones comerciales de la empresa y del registro oportuno de sus movimientos financieros.

A través de este objetivo se quiere verificar el registro correcto de todas las transacciones contables, para evaluar la emisión de los resultados financieros, así como valorar las utilidades o el déficit que se obtenga durante un periodo determinado de tiempo.

Objetivos del Control Interno:Incrementar la eficiencia y eficacia en el

desarrollo de las operaciones y actividades de la empresa.

Eficiencia: Relación entre los recursos utilizados en un proyecto y los logros conseguidos en el mismo. Se da cuando se utilizan menos recursos para obtener un mismo objetivo. O al contrario, cuando se logran más objetivos con los mismos o menos recursos.

Eficacia: Es el nivel de consecución de las metas y objetivos. Hace referencia a nuestra capacidad para lograr lo que nos proponemos.

Por ejemplo si se propone construir una carretera en 1 mes, y se logra construirla en 1 mes, somos eficaces. Hemos alcanzado la meta.

Por el contrario, si se logra construir dicha carretera, usando 10% menos de los recursos, somos eficientes.

La meta está en lograr ser eficientes y eficaces.

Objetivos del Control Interno:Establecer y hacer cumplir las normas,

políticas y procedimientos que regulan las actividades de la empresa.

Esto es necesario para que se realicen fielmente las actividades de la empresa. Cuando se detecten variaciones, verificar la viabilidad de dichas variaciones e integrar las posibles mejoras a los diferentes procesos.

Implantar los métodos, técnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa.

Beneficios del Control Interno:Salvaguardar los activos de la empresa.Determinar los métodos y procedimientos necesarios

para el buen desarrollo de sus funciones y actividades.Establecer la elaboración correcta de los registros

contables y de los resultados financieros.Contribuir con la dirección de la empresa en la

implantación y cumplimiento de las normas, políticas y lineamientos que regularán su actuación.

OBJETIVOS ESPECÍFICOS:Establecer como prioridad la seguridad y

protección de la información.Promover la confiabilidad, oportunidad y

veracidad de la captación de datos, su procesamiento en el sistema y la emisión de reportes de la empresa.

Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas de la empresa.

Control Interno Informático:

OBJETIVOS ESPECÍFICOS, continuación:Instaurar y hacer cumplir las normas,

políticas y procedimientos que regulen las actividades de sistematización de la empresa.

Establecer las acciones necesarias para el adecuado diseño e implementación de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información en la empresa.

Control Interno Informático:

Elementos fundamentales del control interno informático:

Controles internos sobre la organización del área de informática.

Controles internos sobre el análisis, desarrollo e implementación de sistemas.

Controles internos sobre la operación del sistema.

Controles internos sobre los procedimientos de entrada de datos, el procesamiento de la información y la emisión de resultados.

Controles internos sobre la seguridad del área de sistemas.


Controles internos sobre la organización del área de informática: Al instalar este elemento, se busca determinar si la estructura de la organización del área de sistemas es la más apropiada para que éstos funcionen con eficacia y eficiencia en la empresa.

Sus principales subelementos son:1. Dirección.2. División del trabajo.3. Asignación de responsabilidad y autoridad.4. Establecimiento de estándares y métodos.5. Perfiles de puestos.

Controles internos sobre la organización del área de informática.:

Dirección: es la actividad primordial de la persona que tiene la misión de dirigir las actividades en un área específica, así como la de coordinar el uso de los recursos disponibles en el área para cumplir con el objetivo institucional. Se apoya en los siguientes subelementos:

1. La coordinación de recursos.2. La supervisión de actividades.3. La delegación de autoridad y responsabilidad.4. La Asignación de actividades.5. La distribución de recursos.


División del trabajo: Para el buen desarrollo de las actividades, es necesario que éstas se realicen de acuerdo a como hayan sido diseñadas en la estructura de organización, y esto se logra con la delimitación de puestos. Esto incrementa la eficacia y la eficiencia de las actividades. Se propone la siguiente estructura mínima:

1. Dirección general del área de informática.2. Área de análisis y diseño.3. Área de programación.4. Área de sistemas de redes.5. Área de operación.6. Área de telecomunicación.7. Área de administración.


Asignación de responsabilidad y autoridad: Consiste en la asignación de las líneas de autoridad por puesto y el establecimiento de los límites de responsabilidad que tendrá cada uno de éstos, incluyendo los canales formales de comunicación. De hecho, así se previene un vicio muy común de los informáticos, sentir que deben realizar todo tipo de actividades relacionadas con sistemas, aunque éstas no les correspondan.

Controles internos sobre la organización del área de informática.: Establecimiento de estándares y métodos: Es de suma

importancia estandarizar el desarrollo de todas las actividades y funciones, para garantizar que se realicen de manera uniforme, conforme a las necesidades concretas de las unidades que forman la empresa. En particular, se necesita:

1. Estandarización del diseño e instalación del hardware.2. Estandarización del diseño, adquisición y uso del

software.3. Estandarización del diseño, implementación y

administración de las bases de datos.4. Estandarización del diseño, instalación y

aprovechamiento de los sistemas de redes y sistemas multiusuarios.

5. Estandarización del mantenimiento y modificación parcial o total de los sistemas.

6. Estandarización de los sistemas de seguridad y protección al personal y usuarios de sistemas, información, bases de datos, hardware, software, mobiliario y equipo, así como de todos los aspectos relacionados con el sistema de cómputo de la empresa.

Controles internos sobre la organización del área de informática.: Perfiles de puestos: Nos ayuda a identificar

y establecer los requisitos, habilidades, experiencia y conocimientos específicos que necesita tener el personal que ocupa el puesto en el área de sistemas. Es necesario que esto se haga en la forma más apegada posible a las necesidades de servicios. Se necesita considerar los siguientes aspectos:

1. La forma de operación establecida para cada puesto.

2. Las necesidades de procesamiento de datos.3. La configuración de los equipos,

instalaciones y componentes del área.4. La manera como influye esta delineación en

el uso de los recursos tanto de hardware como de software.

Controles internos sobre la organización del área de informática.: Contenido de un perfil de puestos:

1. Nombre genérico del puesto.2. Objetivo del puesto.3. Líneas de autoridad, dependencia de… y

responsabilidad sobre…4. Funciones del Puesto: sustantivas, básicas

o fundamentales. Específicas, concretas o cotidianas.

5. Requisitos del puesto: Conocimientos en sistemas y en áreas similares. Otros conocimientos del puesto.

6. Experiencia: En el puesto. En el área.7. Características de personalidad.8. Otros requerimientos.9. Otros conocimientos.


Controles internos sobre el análisis, desarrollo e implementación de sistemas

Estandarización de metodologías para el desarrollo de proyectos:

Estandarización de métodos para el diseño de sistemas. Lineamientos en la realización de sistemas. Uniformidad de funciones para desarrollar sistemas. Políticas para el desarrollo de sistemas. Normas para regular el desarrollo de proyectos.

1. Asegurar que el beneficio de los sistemas sea el óptimo.2. Beneficios Tangibles.3. Beneficios intangibles.

A nivel informático. A nivel económico. A nivel social. A nivel de servicios. A nivel administrativo. A nivel operacional


Controles internos sobre el análisis, desarrollo e implementación de sistemasElaborar estudios de factibilidad del sistema.1. Viable y factible:

A nivel operativo. A nivel económico. A nivel técnico. A nivel administrativo. A niveles legales, laborales, de comunicaciones,

de localización de planta, de estudios de mercado, de instalaciones y equipamiento, de comercialización.


Controles internos sobre el análisis, desarrollo e implementación de sistemasGarantizar la eficiencia y la eficacia en el análisis y diseño de

sistemas.1. Adoptar y seguir una metodología institucional.2. Adoptar una adecuada planeación, programación y el

adecuado presupuesto para el desarrollo del sistema.3. Contar con la participación activa de los usuarios finales o

solicitantes del nuevo sistema para garantizar su buen desarrollo.

4. Contar con personal que tenga la disposición, experiencia, capacitación y conocimientos para el desarrollo de sistemas.

5. Utilizar los requerimientos técnicos para el desarrollo del sistema.

6. Diseñar y aplicar pruebas previas a la implementación del sistema.

7. Supervisar permanentemente el avance de las actividades del proyecto.


Controles internos sobre el análisis, desarrollo e implementación de sistemas

Vigilar la efectividad y eficiencia en la implementación y mantenimiento del sistema.

Optimizar el uso del sistema por medio de su documentación:

Manuales e instructivos del usuario.Manual e instructivo de operación del sistema.Manual técnico del sistema.Manual para el seguimiento del desarrollo del

proyecto de sistema.Manual e instructivo de mantenimiento del

sistema.Otros.


Controles internos sobre la operación del sistema1. Prevenir y corregir los

errores de operación.2. Prevenir y evitar la

manipulación fraudulenta de la información.

3. Implementar y mantener la seguridad en la operación.

4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución.


Controles internos sobre la seguridad del área de sistemas.1. Controles internos para prevenir y evitar las amenazas,

riesgos y contingencias que inciden en las áreas de automatización.

2. Controles sobre la seguridad física del área de sistemas.3. Controles sobre la seguridad lógica del área de

sistemas.4. Controles sobre la seguridad de las bases de datos.5. Controles sobre la seguridad en la operación de los

sistemas computacionales.6. Controles sobre la seguridad del personal de

informática.7. Controles sobre la seguridad de la telecomunicación de

datos.8. Controles sobre la seguridad de redes y sistemas

multiusuarios.


Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados.1. Verificar la existencia y funcionamiento de los

procedimientos de captura de datos.2. Comprobar que todos los datos sean

debidamente procesados.3. Verificar la confiabilidad, veracidad y

exactitud del procesamiento de datos.4. Comprobar la suficiencia de la emisión de

información.5. Comprobar la oportunidad, confiabilidad y

veracidad en la emisión de los resultados del procesamiento de información.

Controles internos para la seguridad del área de sistemas:

Controles internos para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las áreas de automatización.

Control de accesos físicos del personal al área de cómputo.

Control de accesos al sistema, a las bases de datos, a los programas y a la información.

Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios.

Monitoreo de usuarios, información y programas de uso. Existencia de manuales e instructivos, así como difusión y

vigilancia del cumplimiento de los reglamentos del sistema.

Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas necesarias.

Elaboración de planes de contingencia, simulacros y bitácoras de seguimiento.


1. Controles sobre la seguridad física del área de sistemas.

Inventario del hardware, mobiliario y equipo. Resguardo del equipo de cómputo. Bitácoras de mantenimiento y correcciones. Controles de acceso del personal al área de

sistemas. Controles del mantenimiento a instalaciones y

construcciones. Seguros y fianzas para el personal, equipos y

sistemas. Contratos de actualización, asesoría y

mantenimiento del hardware.

Controles internos para la seguridad del área de sistemas::

Controles sobre la seguridad lógica del área de sistemas.

Control para el acceso al sistema, a los programas y a la información.

Establecimiento de niveles de acceso. Dígitos verificadores y cifras de control. Palabras clave de acceso. Controles para el seguimiento de las

secuencias y rutinas lógicas del sistema.

1. Controles sobre la seguridad de las bases de datos.

Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo.

Respaldos periódicos de información. Planes y programas para prevenir

contingencias y recuperar información. Control de accesos a la base de datos. Rutinas de monitoreo y evaluación de

operaciones relacionadas con las bases de datos.


Controles sobre la seguridad en la operación de los sistemas computacionales.

Controles para los procedimientos de operación.

Controles para el procesamiento de información.

Controles para la emisión de resultados. Controles específicos para la operación de la

computadora. Controles para el almacenamiento de la

información. Controles para el mantenimiento del sistema.


Controles sobre la seguridad del personal de informática Controles administrativos de personal Seguros y fianzas para el personal de

sistemas. Planes y programas de capacitación.

Controles para la seguridad en la telecomunicación de datos.

Controles para la seguridad en sistemas de redes y multiusuario.


Al realizar un inventario de rutina, se detectó una Computadora sin número de inventario, ubicada en el área de finanzas. Tenía instalado un sistema operativo pirata, y se utilizaba como “depósito multimedia” para el personal de dicha área. Al revisar más detenidamente, se detectó que era parte de un proyecto pendiente de liquidación, por lo que aún no era propiedad de la empresa, y serviría para el acceso seguro a un sistema de base de datos que aun se está implementando. Se argumentó que el departamento de TI, en respuesta a una solicitud, procedió a violentar las medidas de seguridad del mismo “para satisfacer de mejor manera las necesidades de los usuarios”.

Indique:1. Qué elementos del control interno han sido

ignorados en este caso?2. Qué documentación requiere para registrar este

hallazgo3. Cómo puede demostrar negligencia por parte del

usuario? Por parte de TI? Por parte del proveedor?

CASO A DISCUTIR:

Documents

Ing. En Sist. Héctor Samuel Recinos Agustín. Libro Texto: Auditoría en Informática, Autor: Echenique García, José Antonio. U.M.G, Segundo Semestre 2013