Universidad Don Bosco Universidad Don Bosco Facultad de Ingeniería Facultad de Ingeniería
Escuela de Ingeniería en Computación (EIC) Escuela de Ingeniería en Computación (EIC)
AUDITORÍA DE SISTEMAS
Milton Narváez (milton.narvaez@udb.edu.sv) Universidad Don Bosco
19 de febrero de 2015
UNIDAD II.
UNIDAD II.
CONTROL INFORMÁTICO
CONTROL INFORMÁTICO
UNIDAD II. CONTROL INFORMÁTICO
UNIDAD II. CONTROL INFORMÁTICO
CONTENIDO
2.1. Definición de Control
2.2. Elemento del control
2.3. Estándares de Control
2.4. Los controles internos
2.5. Diseño de instrumentos
2.5. Diseño de instrumentos
COMPETENCIAS DESEABLES
Planeación estratégica
Ejecución de procesos
Comunicación efectiva
Mejora continua
Aula virtual UDB:
2.1. Definición de control
2.1. Definición de control
⁻
El control interno nace por la necesidad de evaluar y satisfacer
la
eficiencia,
eficacia,
razonabilidad,
oportunidad
y
confiabilidad
en la protección, salvaguarda y seguridad de los
bienes de una empresa, así como para ayudar a controlar el
desarrollo de sus actividades, operaciones y resultados
financieros que se espera obtener en el desempeño de las
funciones y operaciones de toda la empresa (Muñoz, 2002).
funciones y operaciones de toda la empresa (Muñoz, 2002).
Definición de control:
es una de las fases del proceso
administrativo y se encarga de evaluar que los resultados
obtenidos durante el ejercicio se hayan cumplido de acuerdo
con los planes y programas previamente determinados, a fin de
retroalimentar sobre el cumplimiento adecuado de las funciones
y actividades que se reportan como las desviaciones
encontradas; todo ello para incrementar la eficiencia y eficacia
de una institución (Muñoz, 2002).
2.1. Definición de control
2.1. Definición de control
⁻
Control
se define como las políticas, procedimientos, prácticas
y estructuras organizacionales diseñadas para brindar una
seguridad razonable que los objetivos de negocio se
alcanzarán, y los eventos no deseados serán prevenidos o
detectados y corregidos (COBIT 4.0, 2006).
Tipos de Controles
a) Control Preventivo
: instrucciones de cómo completar un
formulario.
Nota: las instrucciones no son el control.
a) Control Detectivo
: un programa que valida datos de input,
rechazando los erróneos.
b) Control Correctivo
: un programa que detecta el ruido en
comunicaciones y permite corregir datos corruptos.
2.1. Definición de control
2.1. Definición de control
2.1.1. Objetivos del control
2.1.1. Objetivos del control
a) Establecer estándares, medir su
cumplimiento y evaluar el alcance real de los planes y programas, comparado con lo realmente alcanzado.
b) Proteger y salvaguardar los bienes y activos de las empresas.
c) Planear y evaluar correctamente el
c) Planear y evaluar correctamente el
cumplimiento de las funciones, actividades y operaciones de las empresas.
d) Ayudar permanentemente a la buena marcha de la empresa, pues retroalimenta la trayectoria de la misma.
2.2. Elementos del control
2.2. Elementos del control
Elementos básicos del control:
a)Una característica medible y controlable para la que se
conocen estándares.
b)Un medio (instrumento censor) para medir las características.
c)Un medio para comparar los resultados reales con los
estándares y evaluar las diferencias.
estándares y evaluar las diferencias.
d)Un medio para efectuar cambios en el sistema a fin de
ajustarlos a las necesidades.
Factores fundamentales del control:
a)El plan.
b)La comparación entre los hechos reales y el plan.
c)La acción para rectificar las divergencias.
2.2. Elementos del control
2.2. Elementos del control
2.3. Estándares de control
2.3. Estándares de control
No. ESTÁNDARES DE CONTROL CLASIFICACIÓN
1 Estándares físicos De mediciónDe comparación
De acumulación
2 Estándares de costo De costo fijo
2 Estándares de costo De costo fijoDe costo variable
3 Estándares de capital
Económicos Financieras
De rendimiento de capital Inventarios
4 Estándares de ingreso y egreso De ingresos
De egresos
5 Estándares no tangibles
---2.3. Estándares de control
2.3. Estándares de control
No. ESTÁNDARES DE CONTROL CLASIFICACIÓN
7 Estándares de auditoría
---8 Estándares del IEEE
---9 Estándares de educación
---2.4. Los controles internos
2.4. Los controles internos
CONTROL COMPONENTE SUBCOMPONENTE
1.1. Dirección 1.1.1. La coordinación de recursos 1.1.2. La supervisión de actividades 1.1.3. La delegación de autoridad y responsabilidad 1.1.4. La asignación de actividades 1. Controles internos sobre la organización del área de informática actividades 1.1.5. La distribución de recursos 1.2. División del trabajo
1.2.1. Dirección general del área de informática
1.2.2. Área de análisis y diseño 1.2.3. Área de programación
1.2.4. Área de sistemas de redes 1.2.5. Área de operación 1.2.6. Área de telecomunicación 1.2.7. Área de administración 1.3. Asignación de responsabilidad y autoridad
---2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 1. Controles internos sobre la organización del 1.4. Establecimiento de estándares y métodos ---organización del área de informática 1.5 Perfiles de puestos ----2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.1. Estandarización de metodologías para el desarrollo de proyectos 2.1.1. Estandarización de métodos para el diseño de sistemas
2.1.2. Lineamientos en la realización de sistemas
2.1.3. Uniformidad de funciones para el desarrollo de sistemas 2.1.4. Políticas para el desarrollo de sistemas
2.1.5. Normas para regular el desarrollo de proyectos
2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 2.2. Asegurar que el beneficio del
sistema sea óptimo
---2. Controles internos para el análisis,
desarrollo e
implementación
de sistemas 2.3. Elaborar estudios de factibilidad del sistema 2.3.1. Viabilidad y factibilidad operativa 2.3.2. Viabilidad y factibilidad económica 2.3.3. Viabilidad y factibilidad técnica 2.3.4. Viabilidad y factibilidad administrativa 2.3.5. Otros estudios de viabilidad y factibilidad
2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 2.4.1. La adopción y seguimiento de una metodología institucional 2.4.2. Adoptar una adecuada planeación, programación y 2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema planeación, programación y
presupuestación para el desarrollo de sistema
2.4.3. Contar con la participación activa de los usuarios finales o solicitantes del nuevo sistema para garantizar su buen desarrollo 2.4.4. Contar con personal que tenga la disposición, experiencia, capacitación y conocimientos para el desarrollo de sistemas
2.4.5. Utilizar los requerimientos técnicos necesarios para el
desarrollo del sistema, como son el hardware, software y personal informático
CONTROL COMPONENTE SUBCOMPONENTE 2. Controles 2.4. Garantizar la eficiencia y eficacia en el análisis y diseño de sistema
2.4.6. Diseñar y aplicar las pruebas previas a la
implementación del sistema 2.4.7. Supervisar
permanentemente el avance de actividades del proyecto
2.4. Los controles internos
2.4. Los controles internos
2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.5. Vigilar la efectividad y eficiencia de la implementación y mantenimiento del sistema ---2.6. Lograr el uso eficiente del sistema por medio de su documentación
2.6.1. Manuales e instructivos del usuario
2.6.2. Manual e instructivo de operación del sistema
2.4. Los controles internos
2.4. Los controles internos
CONTROL COMPONENTE SUBCOMPONENTE
2. Controles internos para el análisis, desarrollo e implementación de sistemas 2.6. Lograr el uso eficiente del sistema por medio de su
documentación
2.6.4. Manual para el
seguimiento del desarrollo del proyecto del sistema 2.6.5. Manual e instructivo de mantenimiento del
sistema
2.6.6. Otros manuales e instructivos del sistema instructivos del sistema
3. Controles internos para la operación del sistema 3.1. Prevenir y corregir errores de operación ---3.2. Prevenir y evitar la manipulación fraudulenta de la información ---3.3. Implementar y mantener la seguridad en la operación
CONTROL
(DOMINIO) (OBJETIVOS DE CONTROL)COMPONENTE SUBCOMPONENTE
3. Controles internos para la operación del sistema 3.4. Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución
---2.4. Los controles internos
2.4. Los controles internos
sistema información de la institución
4. Controles internos para los procedimientos de entrada de datos, procesamiento de información y emisión de resultados 4.1. Verificar la existencia y funcionamiento de los procedimientos de captura de datos
4.2. Comprobar que todos los datos sean debidamente
procesados
4.3. Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos
4.4. Comprobar la suficiencia de la emisión de información
---2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.1.1. Control de accesos
físicos del personal al área de cómputo 5.1.2. Control de accesos al 5. Controles internos para la seguridad del área de sistemas 5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas de
sistematización
5.1.2. Control de accesos al
sistema, a las bases de datos, a los programas y a la
información
5.1.3. Usos de niveles de
privilegio para acceso, palabras clave y control de usuario
5.1.4. Monitoreo de accesos de usuarios, información y
programas de uso
5.1.5. Existencia de manuales e instructivos, así como difusión y vigilancia del cumplimiento de los reglamentos del sistema
2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.1. Controles para prevenir y evitar las amenazas, riesgos y contingencias en
5.1.6. Identificación de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas
necesarias 5. Controles internos para la seguridad del área de sistemas amenazas, riesgos y contingencias en las áreas de sistematización
las medidas preventivas necesarias
5.1.7. Elaboración de planes de contingencia, simulacros y
bitácoras de seguimiento
5.2. Controles para la seguridad física del área de sistemas
5.2.1. Inventario de hardware, mobiliario y equipo
5.2.2. Resguardo del equipo de cómputo
5.2.3. Bitácora de mantenimientos y correcciones
5.2.4. Controles de acceso del personal al área de sistemas
5.2.5. Control de mantenimiento a instalaciones y construcciones
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.2. Controles para la seguridad física del área de sistemas
5.2.6. Seguros y fianzas para el personal, equipos y sistemas
5.2.7. Contrato de actualización, asesoría y mantenimiento del
2.4. Los controles internos
2.4. Los controles internos
5. Controles internos para la seguridad del área de
sistemas
sistemas asesoría y mantenimiento del hardware
5.3. Controles para la seguridad lógica de los sistemas
5.3.1. Control para el acceso al sistema, a los programas y a la información
5.3.2. Establecimiento de niveles de acceso
5.3.3. Dígitos verificadores y cifras de control
5.3.4. Palabras claves de acceso 5.3.5. Controles para el
seguimiento de las secuencias y rutinas lógicas del sistema
2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO) COMPONENTE (OBJETIVOS DE CONTROL) SUBCOMPONENTE 5.4.1. Programas de protección para impedir el uso inadecuado y la alteración de datos de uso exclusivo 5. Controles internos para la seguridad del área de sistemas 5.4. Controles para la seguridad de las bases de datos exclusivo 5.4.2. Respaldo periódico de información
5.4.3. Planes y programas para prevenir contingencias y
recuperar información
5.4.4. Control de accesos a las bases de datos
5.4.5. Rutinas de monitoreo y evaluación de operaciones relacionadas con las bases de datos
2.4. Los controles internos
2.4. Los controles internos
CONTROL (DOMINIO)
COMPONENTE (OBJETIVOS DE
CONTROL) SUBCOMPONENTE
5.5.1. Controles para los procedimientos de operación 5.5.2. Controles para el procesamiento de información 5. Controles internos para la seguridad del área de sistemas 5.5. Controles para la seguridad en la operación de los sistemas computacionales procesamiento de información
5.5.3. Controles para la emisión de resultados
5.5.4. Controles específicos para la operación de la computadora 5.5.5. Controles para el
almacenamiento de la información 5.5.6. Controles para el
mantenimiento del sistema 5.6. Controles para
la seguridad del personal de
informática
5.6.1. Controles administrativos del personal
5.6.2. Seguros y fianzas para el personal de sistemas
5.6.3. Planes y programas de capacitación
2.4. Los controles internos
2.4. Los controles internos
CONTROL
(DOMINIO) (OBJETIVOS DE CONTROL)COMPONENTE SUBCOMPONENTE
5. Controles internos para la seguridad del 5.7. Controles para la seguridad en la telecomunicación de datos ---internos para la seguridad del área de
sistemas 5.8. Controles para la
seguridad en sistemas de
---2.5. Diseño de instrumentos
2.5. Diseño de instrumentos
Los instrumentos de control son las herramientas
(formatos, fichas o formularios) que se utilizan para
la valoración de los controles, su nivel de
cumplimiento y las acciones correctivas a considerar,
en caso sean pertinentes.
Los instrumentos de control deben ser diseñados ad
hoc al contexto de la auditoría que se vaya a
realizar.
• Macro grupo al que pertenece uno o más controles.
• Macro grupo al que pertenece uno o más controles.
Dominio
Un control está estructurado por:
2.5. Diseño de instrumentos
2.5. Diseño de instrumentos
• Sub grupo al que pertenece uno o más controles. • Sub grupo al que pertenece uno o más controles.
Objetivos de
control
• Compuesto por: • Nombre del control • Descripción
• Criterios de evaluación del control (ítems) • Niveles de expectativas (ponderación) • Compuesto por:
• Nombre del control • Descripción
• Criterios de evaluación del control (ítems) • Niveles de expectativas (ponderación)
2.5. Diseño de instrumentos
2.5. Diseño de instrumentos
Dominio: Controles internos para la seguridad del área de sistemas. Objetivos de
control: Controles para la seguridad lógica de los sistemas. Nombre del
Control: Palabras claves de acceso
Descripción: Verifica la autenticación del usuario para acceder a los sistemas.
Tabla. Ejemplo de un control.
Descripción:
sistemas.
No Criterios de evaluación del control (Ítems)
Niveles de expectativas Comentarios Si No N/ A 1
Hay un usuario y una contraseña para acceder al sistema
2 La contraseña tiene una construcción segura
3 Existen políticas de autenticación
Fuentes de consulta
Fuentes de consulta
Muñoz Razo, Carlos (2002). Auditoría en Sistemas Computacionales,
Primera Edición, Editorial Pearson Prentice Hall, México.
IT Governance Institute (2006). COBIT 4.0. Objetivos de Control,
Milton Narváez (milton.narvaez@udb.edu.sv) Universidad Don Bosco
19 de febrero de 2015