CONTROL INTERNO

Y
AUDITORIA INFORMATICA
Cap. 2 Piattini
CONTROL INTERNO Y AUDITORIA INFORMATICA
El concepto de control interno de mucha gente no inclua las
actividades operativas claves destinadas a prevenir los riesgos
efectivos y potenciales a los que se enfrentan las
organizaciones.
QUIEBRAS DE BANCOS Y
CAJAS DE AHORROS
Resultado evidente
de la falta de
conciencia de la
necesidad de
controles
Errores en el otorgamiento de
CREDITOS
Garantas de inmuebles inexistentes.
Inmuebles extremadamente valorados.
Manipulacin de informacin financiera.
Operaciones burstiles con informacin privilegiada.
Cap. 2 Piattini
MCIEF
CONTROL INTERNO Y AUDITORIA INFORMATICA
CAUSA EFECTO
REESTRUCTURACION DE PROCESOS EMPRESARIALES.
GESTION DE CALIDAD TOTAL. (TQM).
REDIMENSIONAMIENTO POR REDUCCION.
OUTSOURCING.
DESCENTRALIZACION.
GLOBALIZACION
DIVERSIFICACION DE ACTIVIDADES.
ELIMINACION DE RAMAS DE NEGOCIOS O NO RENTABLES.
INTRODUCCION DE NUEVOS PRODUCTOS EN RESPUESTA A LA
COMPETENCIA.
FUSIONES O FORMACION DE ALIANZAS ESTRATEGICAS.
Cap. 2 Piattini
LAS FUNCIONES DE CONTROL INTERNO Y AUDITORIA
INFORMATICOS
CONTROL INTERNO INFORMATICO
Controla diariamente que todas las actividades de
SISTEMAS DE INFORMACION sean realizadas
cumpliendo los procedimientos, estndares y normas
fijados por la Direccin de la organizacin y/o Direccin de
Informtica, as como los requerimientos legales.
GERENCIA o DIRECCION DE TI

DPTO. DE SISTEMAS

DPTO. DE MANTENIMIENTO Y
REDES

DPTO. DE
PRODUCCION y ATENCION A
USUARIOS
CONTROL INTERNO
INFORMATICO
STAFF
Cap. 2 Piattini
LAS FUNCIONES DE CONTROL INTERNO Y AUDITORIA
INFORMATICOS
OBJETIVOS
controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar
su bondad y asegurarse del cumplimiento de normas legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria Informtica, as como de las auditorias externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del
servicio informtica.

Control de cambios y versiones de software.

Control en la produccin diaria.

Control sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio de
informtica.

Controles en las redes de Comunicaciones. - Controles sobre el software de base.

Seguridad Informtica. Usuarios, perfiles de usos de archivos y BD. - Normas de seguridad

Licencias y relaciones con terceros. -

Asesorar y trasmitir cultura sobre riesgo informtico.
CONTROL INTERNO
INFORMATICO
Cap. 2 Piattini
AUDITORIA INFORMATICA
Es el PROCESO de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene la integridad de los
datos, lleva a cabo eficazmente los fines de la organizacin y utiliza
eficientemente los recursos.
AUDITORIA
INFORMATICA
Proteccin de activos e integridad
de los datos
Eficacia y eficiencia
AUDITORIA
Cap. 2 Piattini
FUNCIONES
Participar en las revisiones durante y
despus del diseo, realizacin,
implantacin y explotacin de aplicaciones y
en la etapa de mantenimiento.
Revisar y juzgar los controles implantados
verificando la adecuacin a las ordenes,
requisitos legales, confidencialidad,
cobertura de errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad,
fiabilidad y seguridad de los equipos e
informacin..
Cap. 2 Piattini
CONTROL INTERNO Y AUDITORIA INFORMATICA
DEFINICION Y TIPOS DE CONTROLES INTERNOS (1)
Actividad o accin realizada
manual y/o automticamente
para prevenir, corregir errores o
irregularidades que puedan
afectar al funcionamiento de un
sistema para conseguir sus
objetivos
Cap. 2 Piattini
CONTROL INTERNO Y AUDITORIA INFORMATICA
DEFINICION Y TIPOS DE CONTROLES INTERNOS (2)
CONTROLES
PREVENTIVOS. Evitar el Hecho
CONTROLES
CORRECTIVOS
Recuperacin de Archivos
CONTROLES DETECTIVOS
Intentos fallidos - Deteccin de errores.
Cap. 2 Piattini
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS

Conocer la configuracin del
sistema.

Entorno de RED
Configuracin del
computador BASE

Entorno de
APLICACIONES
PRODUCTOS Y
HERRAMIENTAS
SEGURIDAD DEL
COMPUTADOR
Cap. 2 Piattini
1
IMPLANTACION DE UN SISTEMA DE
CONTROLES INTERNOS INFORMATICOS
ADMINISTRACION
DE
SISTEMAS
SEGURIDAD
GESTION DEL
CAMBIO
GESTION DE SISTEMAS DE
INFORMACION
Cap. 2 Piattini
2
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS
IMPLANTAR
DIRECCION DE NEGOCIO
O DIRECCION DE
SISTEMAS DE INFORMACION
DIRECCION DE
INFORMATICA
CONTROL
INTERNO
INFORMATICO
POLITICAS Y CULTURA DE
SEGURIDAD
AUDITOR
INTERNO
EXTERNO
INFORMATICO
Cap. 2 Piattini
3
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS

FORMACION Y MENTALIZACION


MEDIDAS TECNOLOGICAS IMPLANTADAS

NORMAS Y PROCEDIMIENTOS


PLAN DE
SEGURIDAD

POLITICA
DE
SEGURIDAD
Cap. 2 Piattini
CONTROL INTERNO Y AUDITORIA
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS
P
O
L
I
T
I
C
A

POLITICAS
Y
DIRECTRICES
DIRECCION
Exigencias
Internas y
externas
ESTANDARES
PROCEDIMIENTOS
NORMAS
Y
METODOLOGIAS
IMPLANTAR
PROCEDIMIENTOS
DE CONTROL
COMPROBACION
Y
SEGUIMIENTO DE
CONTROLES
C
U
L
T
U
R
A

Cap. 2 Piattini
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS
CONTROLES GENERALES ORGANIZATIVOS
Base para la planificacin, control y
evaluacin por la Direccin de las
actividades del Dpto. de Informtica
1. PLAN ESTRATEGICO DE LA INFORMACION.
2. PLAN INFORMATICO.
3. PLAN GENERAL DE SEGURIDAD. (Fsica y Lgica).
4. PLAN DE EMERGENCIA ANTE DESASTRES.
Regular la Adquisicin de recurso, diseo, desarrollo y modificacin y
explotacin de sistemas.
Cap. 2 Piattini
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS
CONTROLES GENERALES ORGANIZATIVOS
Describir la forma y responsabilidades de ejecutar y las relaciones con
usuarios.
Organizar el DI en un nivel suficientemente alto para asegurar la independencia
operativa lineal
Describir las funciones y responsabilidades con clara separacin
(SEGREGACION).
SELECCION. PLAN DE FORMACION. PLAN DE VACACIONES.
EVALUACION y PROMOCION
Cap. 2 Piattini
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS
CONTROLES GENERALES ORGANIZATIVOS
Asegurar que la DIRECCION revisa todos los informes de control y resuelve las
excepciones que ocurran
Asegurar que existe una poltica de clasificacin de la informacin para saber
QUIEN ESTA AUTORIZADA A QUE INFORMACION.
Oficialmente del CONTROL INTERNO INFORMATICO y AUDITORIA
INFORMATICA.
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

METODOLOGIA DEL CICLO DE VIDA DEL DESARROLLO
DE SISTEMAS
1.
ALTA GERENCIA.
Publicar NORMATIVA de la METODOLOGIA DEL CICLO DE VIDA.
2.
ESTABLECER ROLES
De AREAS y participantes de los proyectos.
3.
ESPECIFICACIONES. Definidas por usuarios deben estar escritas y
aprobadas antes del inicio
4.
ALTERNATIVAS DE SOLUCION
Con relacin costo beneficio.
5
PLAN DE ACCION.
Plan director con metodologa para el control de costos.
6.
Definir DOCUMENTACION.
Diseo de entrada, salida, archivos, procesos, programas, control de
seguridad y pistas de auditoria.
7.
PLAN DE VALIDACION
Verificacin y pruebas.
8.
PRUEBA DE PROGRAMA Y SISTEMA
9.
PLAN DE CONVERSION.
Prueba de aceptacin
10.
MANUALES DE OPERACIN y MANTENIMIENTO.
11. ADQUISICION DE SOFTWARE.
De acuerdo a la poltica de ADQUICISIONES.
CONTRATACION DE PROGRAMAS DE SERVICIOS DE PROGRAMACION A MEDIDA DEBERA
ESTAR JUSTIFICADA POR EL DP.
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

EXPLOTACION y MANTENIMIENTO

PROCEDIMIENTO DE CONTROL DE
EXPLOTACION

SISTEMA DE CONTABILIDAD PARA
LA ASIGNACION POR USUARIO DEL
COSTO DE EXPLOTACION DEL
SISTEMA DE INFORMACION


PROCEDIMIENTO PARA REALIZAR
SEGUIMIENTO Y CONTROL DE LOS
CAMBIOS DEL SISTEMA DE
INFORMACION.

CONTROLES DE EXPLOTACION DE
SISTEMAS DE INFORMACION
PLANIFICACION Y GESTION DE RECURSOS
Cap. 2 Piattini
DEFINIR
PRESUPUESTO
OPERATIVO
PLAN DE
ADQUISICION
DE EQUIPOS
GESTION DE LA
CAPACIDAD DE
EQUIPOS
CONTROLES DE EXPLOTACION DE
SISTEMAS DE INFORMACION
CONTROL DE RECURSOS
Cap. 2 Piattini
CALENDARIO DE CARGA DE TRABAJ O
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

PROCEDIMIENTO DE SELECCIN DEL SOFTWARE


SISTEMA

INSTALACION


MANTENIMIENTO



SEGURIDAD

CONTROL DE CAMBIOS
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y
MANTENIMIENTO DE SISTEMAS DE INFORMACION

SEGURIDAD FISICA y LOGICA
Grupo de seguridad de
la informacin
Acceso a las
instalaciones
Acompaamiento
de Terceros
Proteccin contra
fuegos
Conciencia de seguridad
y evacuacin del edificio
Control de acceso a
PC con PSW
Normas de uso de
recursos informticos
Plan de contingencia
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES EN APLICACIONES
Control de entrada de
datos

Integridad de datos

Control en la salida de
datos
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES EN TECNOLOGIAS ESPECIFICAS
El DBM debe instalarse para asegurar la
integridad del SW y la DB y Funciones de
control del entorno
Controles sobre el acceso de
datos y concurrencia
Definir el administrador de
DATOS
Procedimientos para la descripcin y
los cambios de DATOS y el
mantenimiento del DICCIONARIO DE
DATOS
Controles para minimizar fallos, recuperar el
entorno de la BD hasta el punto de cada y
minimizar el tiempo de recuperacin
Controles para asegurar la integridad de los datos:
Utilitarios para comprobar enlaces fsicos, registros de
control para mantener balances de transacciones.
CONTROLES EN SISTEMAS DE GESTION DE BASE DE
DATOS
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES EN INFORMATICA DISTRIBUIDA Y REDES
Planes de implantacin, conversin y pruebas de
aceptacin de RED
Crear GRUPO DE CONTROL DE RED
Control para asegurar la compatibilidad de conjunto
de datos entre aplicaciones cuando la red es distribuida
Procedimientos que definan las medidas y controles de
seguridad a ser usados en la red en conexin con la
distribucin del contenido de la BD entre departamentos
que usan la RED.
Que se identifican todos los conjuntos de datos sensibles
de la red y que se han determinado las especificaciones
para seguridad.
Existencia de INVENTARIO de los activos de la RED.
Procedimiento de respaldo del HARDWARE y
SOFTWARE de RED.
Existencia de mantenimiento preventivo de todos los
activos.
Que existen controles que verifican que todos los
mensajes de salida se validan de forma rutinaria para
asegurar que contienen direcciones de destino validas.
Controles de seguridad lgica.
Control de acceso a la red.
Establecimiento de perfiles de usuarios.
Procedimientos de cifrado de la informacin sensible que
se trasmite a travs de la RED.
Procedimientos automticos para resolver cierres del
sistema.
Monitorizacin para medir la eficiencia de la red. Disear el trazado fsico y las medidas de seguridad de
las lneas de comunicacin local dentro de la
organizacin
1
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES EN INFORMATICA DISTRIBUIDA Y REDES
Detectar la correcta o mala recepcin de mensajes Identificar los mensajes por una clave individual de
usuario, por Terminal y por el nro. de secuencia del
mensaje.

Revisar los contratos de mantenimiento y el tiempo
medio de servicio acordado con el proveedor con el
objeto de obtener una cifra de control constante


Determinar si el equipo multiplexor, concentrador,
procesador frontal remoto tiene lgica redundante y
poder de respaldo con realimentacin automtica
para el caso de fallos.

Asegurarse de que haya procedimientos de
recuperacin y reinicio.

Asegurar de que existan pistas de auditoria que
puedan usarse en la reconstruccin de los archivos
de datos y de las transacciones de los diversos
puestos de trabajo.
Debe existir la capacidad de rastrear los datos
entre la Terminal y el usuario.


Considerar circuitos de CONMUTACION que usen
rutas alternativas para diferentes paquetes de
informacin provenientes del mismo mensaje.

2
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES SOBRE COMPUTADORAS PERSONALES (PC`S) y
REDES DE AREA LOCAL
Polticas de adquisicin y utilizacin Normativas y procedimientos de desarrollo y
adquisicin de software de aplicaciones.
Procedimientos de control de software contratado bajo
licencia
Controles de acceso a redes mediante palabras claves.
Revisiones peridicas del uso de los computadores
personales
Polticas que contemplen la seleccin adquisicin e
instalacin de redes locales.
Procedimientos de seguridad fsica y lgica. Existencia del AREA TECNICA que realice la gestin de
soporte tcnico de la red.
Recoger informacin detallada sobre los equipos
existentes. ARQUITECTURA CPU, DISCOS,
MEMORIA, TERMINALES,
CONECTIVIDAD- LAN, MINI HOST.
SISTEMAS OPERATIVOS, UTILITARIOS. Servicios
soportados.
Inventario actualizado de todas las aplicaciones de la
organizacin.
Poltica referente a la organizacin y utilizacin de los
discos duros de los equipos. Nomenclatura de los
archivos que lo contienen;
-Etiqueta con nro. De serie.
- Sub. Directorios por usuario para archivos privados.
-Sub. Directorio PUBLICO con aplicaciones de uso
comn.

1
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES SOBRE COMPUTADORAS PERSONALES (PC`S) y
REDES DE AREA LOCAL
Implantar herramientas de gestin de la red con el fin de
valorar su rendimiento , planificacin y control.
Procedimientos de control de file transfer que se realizan
y de controles de acceso para los equipos con
posibilidades de comunicacin.
Polticas de desconexin cuando no se estn haciendo uso
de las mismas.
Adoptar los procedimientos de control y gestin adecuados
para la integridad, privacidad , confidencialidad y seguridad
de la informacin contenida en redes de rea local.

Cuando exista PC HOST comprobar que opera bajo los
controles necesarios para evitar la carga/extraccin de
datos de forma no autorizada.
Contrato de mantenimientos.
PREVENTIVO, CORRECTIVO y DETECTIVO
Se deben establecer procedimientos para evitar la
divulgacin de informacin confidencial o sensible cuando
se requiera salida de equipos por asistencia tcnica o
mantenimiento fuera de la compaa.
Mantener un registro documental de las acciones de
mantenimiento realizadas incluyendo la descripcin del
problema y la solucin dada al mismo.
Los computadores debern estar conectada a la UPS.
Proteccin contra incendios inundaciones o esttica
elctrica.
-Control de acceso fsico a los recursos microinformticos.
-Llaves de PCS. reas restringidas. Ubicacin de
Impresoras.
-Prevencin de robos de dispositivos. Autorizacin para
desplazamiento de equipos.
-Acceso fsico fuera del horario normal.
2
Cap. 2 Piattini
CONTROLES DE DESARROLLO . ADQUISICION y MANTENIMIENTO DE
SISTEMAS DE INFORMACION

CONTROLES SOBRE COMPUTADORAS PERSONALES (PC`S) y
REDES DE AREA LOCAL
Control de acceso fsico a los datos y aplicaciones.
Almacenamiento de discos con copias de backup .
Procedimientos de destruccin de datos e informes
confidenciales.
Identificacin de cintas. CD. DVD.
Inventario completo de dispositivos de almacenamiento
secundario o documentacin.
En los computadores que procesen datos sensibles
instalar protectores de oscilacin de lnea elctrica y
sistemas UPS.
Implantar en la RED local productos de seguridad y
herramientas de seguridad.
Adecuada identificacin de usuarios en cuanto a las
siguientes operaciones. ALTA BAJAS y
MODIFICACIONES. CAMBIO DE PASW.
EXPLOTACION DEL LOG DEL SISTEMA.
Controlar las conexiones remotas. MODEMS,
GATEWAYS, ROUTERS.
Procedimientos para la instalacin o modificacin de
software y establecer que la Direccin es consiente del
riesgo de VIRUS INFORMATICO y otros software
maliciosos, as como fraudes por modificaciones no
autorizadas.
Controles para evitar la introduccin de un sistema
operativo a travs de diskettes u otro dispositivo externo
que pudiera vulnerar el sistema de seguridad.
3
Cap. 2 Piattini