AUDITORÍA DE SISTEMAS

Universidad Don Bosco Universidad Don Bosco Facultad de Ingeniería Facultad de Ingeniería

Escuela de Ingeniería en Computación (EIC) Escuela de Ingeniería en Computación (EIC)

AUDITORÍA DE SISTEMAS

Milton Narváez (milton.narvaez@udb.edu.sv) Universidad Don Bosco

19 de febrero de 2015

UNIDAD II.

UNIDAD II.

CONTROL INFORMÁTICO

CONTROL INFORMÁTICO

UNIDAD II. CONTROL INFORMÁTICO

UNIDAD II. CONTROL INFORMÁTICO

CONTENIDO

2.1. Definición de Control

2.2. Elemento del control

2.3. Estándares de Control

2.4. Los controles internos

2.5. Diseño de instrumentos

2.5. Diseño de instrumentos

COMPETENCIAS DESEABLES

Planeación estratégica

Ejecución de procesos

Comunicación efectiva

Mejora continua

Aula virtual UDB:

2.1. Definición de control

2.1. Definición de control

⁻

El control interno nace por la necesidad de evaluar y satisfacer

la

eficiencia,

eficacia,

razonabilidad,

oportunidad

y

confiabilidad

en la protección, salvaguarda y seguridad de los

bienes de una empresa, así como para ayudar a controlar el

desarrollo de sus actividades, operaciones y resultados

financieros que se espera obtener en el desempeño de las

funciones y operaciones de toda la empresa (Muñoz, 2002).

funciones y operaciones de toda la empresa (Muñoz, 2002).

Definición de control:

es una de las fases del proceso

administrativo y se encarga de evaluar que los resultados

obtenidos durante el ejercicio se hayan cumplido de acuerdo

con los planes y programas previamente determinados, a fin de

retroalimentar sobre el cumplimiento adecuado de las funciones

y actividades que se reportan como las desviaciones

encontradas; todo ello para incrementar la eficiencia y eficacia

de una institución (Muñoz, 2002).

2.1. Definición de control

2.1. Definición de control

⁻

Control

se define como las políticas, procedimientos, prácticas

y estructuras organizacionales diseñadas para brindar una

seguridad razonable que los objetivos de negocio se

alcanzarán, y los eventos no deseados serán prevenidos o

detectados y corregidos (COBIT 4.0, 2006).

Tipos de Controles

a) Control Preventivo

: instrucciones de cómo completar un

formulario.

Nota: las instrucciones no son el control.

a) Control Detectivo

: un programa que valida datos de input,

rechazando los erróneos.

b) Control Correctivo

: un programa que detecta el ruido en

comunicaciones y permite corregir datos corruptos.

2.1. Definición de control

2.1. Definición de control

2.1.1. Objetivos del control

2.1.1. Objetivos del control

a) Establecer estándares, medir su

cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado.

b) Proteger y salvaguardar los bienes y activos de las empresas.

c) Planear y evaluar correctamente el

c) Planear y evaluar correctamente el

cumplimiento de las funciones, actividades y operaciones de las empresas.

d) Ayudar permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma.

2.2. Elementos del control

2.2. Elementos del control

Elementos básicos del control:

a)Una característica medible y controlable para la que se

conocen estándares.

b)Un medio (instrumento censor) para medir las características.

c)Un medio para comparar los resultados reales con los

estándares y evaluar las diferencias.

estándares y evaluar las diferencias.

d)Un medio para efectuar cambios en el sistema a fin de

ajustarlos a las necesidades.

Factores fundamentales del control:

a)El plan.

b)La comparación entre los hechos reales y el plan.

c)La acción para rectificar las divergencias.

2.2. Elementos del control

2.2. Elementos del control

2.3. Estándares de control

2.3. Estándares de control

No. ESTÁNDARES DE CONTROL CLASIFICACIÓN

1 Estándares físicos De mediciónDe comparación

De acumulación

2 Estándares de costo De costo fijo

2 Estándares de costo De costo fijo_{De costo variable}

3 Estándares de capital

Económicos Financieras

De rendimiento de capital Inventarios

4 Estándares de ingreso y egreso De ingresos

De egresos

5 Estándares no tangibles

---2.3. Estándares de control

2.3. Estándares de control

No. ESTÁNDARES DE CONTROL CLASIFICACIÓN

7 Estándares de auditoría

---8 Estándares del IEEE

---9 Estándares de educación

---2.4. Los controles internos

2.4. Los controles internos

CONTROL COMPONENTE SUBCOMPONENTE

1.1. Dirección 1.1.1. La coordinación de recursos 1.1.2. La supervisión de actividades 1.1.3. La delegación de autoridad y responsabilidad 1.1.4. La asignación de actividades 1. Controles internos sobre la organización del área de informática actividades 1.1.5. La distribución de recursos 1.2. División del trabajo

1.2.1. Dirección general del área de informática

1.2.2. Área de análisis y diseño 1.2.3. Área de programación

1.2.4. Área de sistemas de redes 1.2.5. Área de operación 1.2.6. Área de telecomunicación 1.2.7. Área de administración 1.3. Asignación de responsabilidad y autoridad

---2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 1. Controles internos sobre la organización del 1.4. Establecimiento de estándares y métodos ---organización del área de informática _{1.5 Perfiles de} puestos ----2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.1. Estandarización de metodologías para el desarrollo de proyectos 2.1.1. Estandarización de métodos para el diseño de sistemas

2.1.2. Lineamientos en la realización de sistemas

2.1.3. Uniformidad de funciones para el desarrollo de sistemas 2.1.4. Políticas para el desarrollo de sistemas

2.1.5. Normas para regular el desarrollo de proyectos

2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 2.2. Asegurar que el beneficio del

sistema sea óptimo

---2. Controles internos para el análisis,

desarrollo e

implementación

de sistemas 2.3. Elaborar estudios de factibilidad del sistema 2.3.1. Viabilidad y factibilidad operativa 2.3.2. Viabilidad y factibilidad económica 2.3.3. Viabilidad y factibilidad técnica 2.3.4. Viabilidad y factibilidad administrativa 2.3.5. Otros estudios de viabilidad y factibilidad

2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 2.4.1. La adopción y seguimiento de una metodología institucional 2.4.2. Adoptar una adecuada planeación, programación y 2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema planeación, programación y

presupuestación para el desarrollo de sistema

2.4.3. Contar con la participación activa de los usuarios finales o solicitantes del nuevo sistema para garantizar su buen desarrollo 2.4.4. Contar con personal que tenga la disposición, experiencia, capacitación y conocimientos para el desarrollo de sistemas

2.4.5. Utilizar los requerimientos técnicos necesarios para el

desarrollo del sistema, como son el hardware, software y personal informático

CONTROL COMPONENTE SUBCOMPONENTE 2. Controles 2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema

2.4.6. Diseñar y aplicar las pruebas previas a la

implementación del sistema 2.4.7. Supervisar

permanentemente el avance de actividades del proyecto

2.4. Los controles internos

2.4. Los controles internos

2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.5. Vigilar la efectividad y eficiencia de la implementación y mantenimiento del sistema ---2.6. Lograr el uso eficiente del sistema por medio de su documentación

2.6.1. Manuales e instructivos del usuario

2.6.2. Manual e instructivo de operación del sistema

2.4. Los controles internos

2.4. Los controles internos

CONTROL COMPONENTE SUBCOMPONENTE

2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.6. Lograr el uso eficiente del sistema por medio de su

documentación

2.6.4. Manual para el

seguimiento del desarrollo del proyecto del sistema 2.6.5. Manual e instructivo de mantenimiento del

sistema

2.6.6. Otros manuales e instructivos del sistema instructivos del sistema

3. Controles internos para la operación del sistema 3.1. Prevenir y corregir errores de operación ---3.2. Prevenir y evitar la manipulación fraudulenta de la información ---3.3. Implementar y mantener la seguridad en la operación

CONTROL

(DOMINIO) (OBJETIVOS DE CONTROL)COMPONENTE SUBCOMPONENTE

3. Controles internos para la operación del sistema 3.4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución

---2.4. Los controles internos

2.4. Los controles internos

sistema _{información de la institución}

4. Controles internos para los procedimientos de entrada de datos, procesamiento de información y emisión de resultados 4.1. Verificar la existencia y funcionamiento de los procedimientos de captura de datos

4.2. Comprobar que todos los datos sean debidamente

procesados

4.3. Verificar la confiabilidad, veracidad y exactitud del

procesamiento de datos

4.4. Comprobar la suficiencia de la emisión de información

---2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.1.1. Control de accesos

físicos del personal al área de cómputo 5.1.2. Control de accesos al 5. Controles internos para la seguridad del área de sistemas 5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de

sistematización

5.1.2. Control de accesos al

sistema, a las bases de datos, a los programas y a la

información

5.1.3. Usos de niveles de

privilegio para acceso, palabras clave y control de usuario

5.1.4. Monitoreo de accesos de usuarios, información y

programas de uso

5.1.5. Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema

2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en

5.1.6. Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas

necesarias 5. Controles internos para la seguridad del área de sistemas amenazas, riesgos y contingencias en las áreas de sistematización

las medidas preventivas necesarias

5.1.7. Elaboración de planes de contingencia, simulacros y

bitácoras de seguimiento

5.2. Controles para la seguridad física del área de sistemas

5.2.1. Inventario de hardware, mobiliario y equipo

5.2.2. Resguardo del equipo de cómputo

5.2.3. Bitácora de mantenimientos y correcciones

5.2.4. Controles de acceso del personal al área de sistemas

5.2.5. Control de mantenimiento a instalaciones y construcciones

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.2. Controles para la seguridad física del área de sistemas

5.2.6. Seguros y fianzas para el personal, equipos y sistemas

5.2.7. Contrato de actualización, asesoría y mantenimiento del

2.4. Los controles internos

2.4. Los controles internos

5. Controles internos para la seguridad del área de

sistemas

sistemas asesoría y mantenimiento del _hardware

5.3. Controles para la seguridad lógica de los sistemas

5.3.1. Control para el acceso al sistema, a los programas y a la información

5.3.2. Establecimiento de niveles de acceso

5.3.3. Dígitos verificadores y cifras de control

5.3.4. Palabras claves de acceso 5.3.5. Controles para el

seguimiento de las secuencias y rutinas lógicas del sistema

2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.4.1. Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo 5. Controles internos para la seguridad del área de sistemas 5.4. Controles para la seguridad de las bases de datos exclusivo 5.4.2. Respaldo periódico de información

5.4.3. Planes y programas para prevenir contingencias y

recuperar información

5.4.4. Control de accesos a las bases de datos

5.4.5. Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos

2.4. Los controles internos

2.4. Los controles internos

CONTROL (DOMINIO)

COMPONENTE (OBJETIVOS DE

CONTROL) SUBCOMPONENTE

5.5.1. Controles para los procedimientos de operación 5.5.2. Controles para el procesamiento de información 5. Controles internos para la seguridad del área de sistemas 5.5. Controles para la seguridad en la operación de los sistemas computacionales procesamiento de información

5.5.3. Controles para la emisión de resultados

5.5.4. Controles específicos para la operación de la computadora 5.5.5. Controles para el

almacenamiento de la información 5.5.6. Controles para el

mantenimiento del sistema 5.6. Controles para

la seguridad del personal de

informática

5.6.1. Controles administrativos del personal

5.6.2. Seguros y fianzas para el personal de sistemas

5.6.3. Planes y programas de capacitación

2.4. Los controles internos

2.4. Los controles internos

CONTROL

(DOMINIO) (OBJETIVOS DE CONTROL)COMPONENTE SUBCOMPONENTE

5. Controles internos para la seguridad del 5.7. Controles para la seguridad en la telecomunicación de datos ---internos para la seguridad del área de

sistemas _{5.8. Controles para la}

seguridad en sistemas de

---2.5. Diseño de instrumentos

2.5. Diseño de instrumentos

Los instrumentos de control son las herramientas

(formatos, fichas o formularios) que se utilizan para

la valoración de los controles, su nivel de

cumplimiento y las acciones correctivas a considerar,

en caso sean pertinentes.

Los instrumentos de control deben ser diseñados ad

hoc al contexto de la auditoría que se vaya a

realizar.

• Macro grupo al que pertenece uno o más controles.

• Macro grupo al que pertenece uno o más controles.

Dominio

Un control está estructurado por:

2.5. Diseño de instrumentos

2.5. Diseño de instrumentos

• Sub grupo al que pertenece uno o más controles. • Sub grupo al que pertenece uno o más controles.

Objetivos de

control

• Compuesto por: • Nombre del control • Descripción

• Criterios de evaluación del control (ítems) • Niveles de expectativas (ponderación) • Compuesto por:

• Nombre del control • Descripción

• Criterios de evaluación del control (ítems) • Niveles de expectativas (ponderación)

2.5. Diseño de instrumentos

2.5. Diseño de instrumentos

Dominio: Controles internos para la seguridad del área de sistemas. Objetivos de

control: Controles para la seguridad lógica de los sistemas. Nombre del

Control: Palabras claves de acceso

Descripción: Verifica la autenticación del usuario para acceder a los sistemas.

Tabla. Ejemplo de un control.

Descripción:

sistemas.

No Criterios de evaluación del control (Ítems)

Niveles de expectativas Comentarios Si No N/ A 1

Hay un usuario y una contraseña para acceder al sistema

2 La contraseña tiene una construcción segura

3 Existen políticas de autenticación

Fuentes de consulta

Fuentes de consulta

Muñoz Razo, Carlos (2002). Auditoría en Sistemas Computacionales,

Primera Edición, Editorial Pearson Prentice Hall, México.

IT Governance Institute (2006). COBIT 4.0. Objetivos de Control,

Milton Narváez (milton.narvaez@udb.edu.sv) Universidad Don Bosco

19 de febrero de 2015

“Realiza cada una de tus acciones como si fuera la

última de tu vida”