2.4 Control interno y Auditoria Informática 1

M. Sc. Miguel Cotaña Mier Lp, Noviembre 2012

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

2

Tradicionalmente en materia de control interno se adoptaba un enfoque limitado a los controles contables internos. Se han experimentado escándalos relacionados con errores en el otorgamiento de créditos con garantía de inmuebles inexistentes o sobrevalorados, la manipulación de información financiera, operaciones bursátiles realizadas con información privilegiada y otros fallos de los controles que han afectado a las empresas.

3

Por ello hay cambios en las empresas que comprometen los controles internos existentes: La reestructuración de los procesos

empresariales (BPR – Bussines Process Re-enginieering).

La gestión de la calidad total (TQM-Total Quality Management).

El redimensionamiento por reducción y/o aumento del tamaño hasta el nivel correcto.

La contratación externa (outsourcing). La descentralización.

4

Un Centro de Procesamiento de Datos (CPD) de una empresa suele tener una importancia crucial por soportar los sistemas de información del negocio, por el volumen de recursos y costos de TI, mantenimiento, ataques. Por lo tanto, aumenta las necesidades de control interno y auditoría.

5

6

Han sido desarrollados para proveer una garantía razonable de que los objetivos del negocio serán alcanzados y que se previenen o detectarán y corregirán los casos de riesgo no deseados. Los controles internos tales como las políticas, procedimientos, prácticas y estructuras organizativas son desarrollados y/o diseñados.

CONTROL INTERNO

7

Es una herramienta enfocada a la adecuada gestión de las Tecnologías de Información. Muchos de los problemas informáticos se originan dentro de la misma empresa. Por ello es cada vez más necesario un completo análisis del tráfico de: Los correos electrónicos corporativos; Las páginas web que se visitan desde

los ordenadores de la empresa.

CONTROL INTERNO INFORMATICO

8

¿Cuántas veces uno se queja en la oficina por lo lenta que está la

conexión a Internet? Es bastante común que este problema tenga que ver con el uso indiscriminado que se hace de la web dentro de la empresa. El uso de Internet para fines personales en horario de oficina es una práctica muy difundida en todo el mundo.

Vigilar……… el acceso a Internet

9

Las empresas tratan de controlarlo cada vez más, porque repercute en sus costos y en el menor tiempo que los empleados trabajan. Y esto sin tener en cuenta los riesgos informáticos que implica la navegación por sitios poco seguros.

Internet no puede ser de libre uso dentro de la empresa!!!

10

Los motivos son diversos, y tienen que ver con el costo que representa: El servicio de banda ancha; La baja en la productividad laboral de

aquellos que navegan varias horas por día; El riesgo de recibir cadenas de e-mails con

virus o navegar por sitios inseguros; El peligro de que un empleado envíe

información confidencial, e incluso con el impacto en la imagen de la compañía si algún empleado envía mensajes racistas o agresivos desde su e-mail corporativo.

11

Las empresas ven que están perdiendo capacidad de trabajo y de producción

porque la gente abusa de Internet, y ése es un costo!!!

“Si una compañía tiene que recibir información de archivos financieros que proveen los clientes para procesar, y el

ancho de banda está estancado porque hay gente descargando, va a tener un impacto

operativo y económico”.

12

Entre las medidas que se debe adoptar es: Limitar el acceso, mediante filtros,

bloqueo de webmails, chats o de algunos sitios en particular.

Limitar visitas a sitios que tengan que ver con palabras relacionadas con deporte o sexo.

Evitar el acceso a páginas pornográficas, adoptando filtros estrictos que impidan realizar búsquedas de sitios con palabras como “sexo”.

13

Un segundo mecanismo que se utiliza es el de no limitar el acceso pero en cambio vigilar quiénes son los que más navegan. “No se puede monitorear a todos, pero lo que sí se hace es establecer un ranking de los 20 o 40 empleados que más están en Internet. Y se monitorea por qué sitios anduvieron”

14

En general, a los empleados no les alegra saber que se les ha restringido el acceso o que están siendo vigilados, si es que logran enterarse. Las empresas instalan programas de control y de vigilancia en las computadoras sin informarles. “La gente que tiene algún tipo de experiencia con regulaciones o que percibe la necesidad de controlar. Entienden la necesidad y el riesgo”.

15

En nuestro País recién empieza a difundirse entre las organizaciones el control del acceso a Internet, existe un problema más grave y es el de aplicar controles que sean ineficientes. “Muchas empresas dicen que adoptan medidas de control, y cuando uno prueba estas normas, se encuentra con que en realidad se trata de un

control mal hecho”

16

C.I.I. controla diariamente que todas las actividades de SI sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o Dirección de Informática, así como los requerimientos legales.

17

La misión de C.I.I. es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

18

Los objetivos del control interno son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control.

OBJETIVOS DEL CONTROL INTERNO

19

Un objetivo de control de TI se define como una declaración del resultado o propósito que se desea alcanzar mediante la implementación de procedimientos de control en una actividad de TI en particular.

OBJETIVOS DE CONTROL EN T.I.

20

Los principales objetivos del proceso de control interno pueden ser categorizados: Salvaguarda de los activos (objetivos de seguridad); Integridad de los entornos operativos; Asegurar la eficiencia y la eficacia de las operaciones; Cumplimiento con los requerimientos de los usuarios y con las políticas y procedimientos; Planes de copias de seguridad;

21

Garantizar la integridad de los entornos sensitivos y críticos de aplicación del sistema, incluyendo información contable/financiera y administrativa a través: Autorización de información entrante; Exactitud e integridad del procesamiento de las transacciones; Fiabilidad de las actividades generales de procesamiento de información; Exactitud, integridad y seguridad de la información saliente (output); Integridad de la Base de Datos.

22

Los controles generales de TI son controles que se aplican a todas las funciones dentro de una organización: Estrategia y dirección; Acceso a datos y programas; Desarrollo de sistemas y control de

cambios; Operaciones de procesamiento de datos; Procedimientos de garantía de calidad; Controles físicos de acceso; Planeación de continuidad/recuperación

de desastre del negocio.

PROCEDIMIENTOS DE CONTROL

23

CLASE FUNCION EJEMPLOS

PREVENTIVOS

Tratar de evitar la producción de errores o hechos fraudulentos;

Descartar problemas antes de que surjan;

Monitorear operaciones.

Tratar de predecir;

Impedir que ocurra un error, omisión o acto malicioso.

software de seguridad que impida los accesos no autorizados al sistema;

Controlar el acceso a las instalaciones fisicas;

Emplear RRHH calificados;

Segregacion de funciones;

Usar documentos bien diseñados;

Establecer procedimientos adecuados para autorizar transacciones;

CLASIFICACION DE CONTROLES

24

CLASE FUNCION EJEMPLOS

DETECTIVOS

Tratar de conocer cuanto antes el evento

Controles que detectan que ha ocurrido un error, una omisión o un acto malicioso y lo reportan.

Registro de intentos de acceso no autorizados;

Puntos de verificación;

Mensajes de error;

Verificacion de los cálculos;

Reportes de cuentas vencidas;

Controles de eco en comunicaciones;

Funciones de auditoria interna

25

CLASE FUNCION EJEMPLOS

CORRECTIVOS

facilitan la vuelta a la normalidad cuando se han producido incidencias;

Minimizar el impacto de una amenaza;

Remediar problemas descubiertos por los controles de deteccion;

Identificar la causa.

Corregir errores que surjan de un problema.

Modificar el SI, para minimizar que el problema ocurra en el futuro.

Recuperación de un fichero dañado a partir de las copias de seguridad;

Planeacion de contingencias;

Procedimientos de nueva ejecución de programa.

26

Para que los controles directos resulten efectivos, las actividades del depto. TI: Los empleados del departamento TI

no realicen funciones incompatibles; Exista supervision de las actividades

del personal de sistemas; Se controle la utilización de Software

sensitivo.

MEDIOS DE CONTROL

27

Una efectiva segregación de funciones, debe ir acompañada de controles de acceso, o de supervisión de los accesos otorgados. Estos controles incluyen: Manuales de operación y controles

operativos diarios; Supervision de usuarios privilegiados; Control sobre software sensitivo; Controles sobre el desarrollo de sistemas.

CONTROLES OPERATIVOS Depto. TI

28

Este riesgo implica que personas no autorizadas (empleados o terceros) puedan tener acceso directo a los archivos de datos o programas de aplicación, con fines que puedan perjudicar a sujetos y en el peor de los casos a la organización.

ACCESO A DATOS Y PROGRAMAS

29

Una forma de restringir el acceso en ambientes computacionales es a través de identificadores de usuarios y contraseñas, utilizando software para: Interactuar con

solicitudes de acceso de los usuarios a programas o datos;

Rechazar o permitir el acceso.

MEDIOS DE CONTROL

30

Se deben tomar en cuenta lo siguiente: Administración de passwords; Proceso de Log-in; Cambio frecuente de password; No divulgar el password por fono; Uso de los sistemas; Control de acceso para uso de datos; Separación de usuarios por

prioridades.

SEGURIDAD LOGICA

31

Control físico de acceso al área de sistemas: Guardia o

recepcionista; Tarjeta de

identificación visible.

SEGURIDAD FISICA

32

El proceso de modificación en el software, considera lo siguiente: Las solicitudes de modificaciones

deben ser documentadas y aprobadas por un nivel gerencial adecuado;

Los cambios, en primera instancia, deben ser introducidos en las versiones de prueba del software y luego, ser introducidas en versiones de producción;

CAMBIOS A PROGRAMAS

33

Los cambios solo deben ser realizados por el personal de sistemas o programadores;

Los cambios deben ser respaldados por documentación;

Las pruebas al software modificado deben ser realizadas por un equipo de prueba independiente;

Llevar un registro de modificaciones; Aprobación por parte de la gerencia.

34

Los negocios de la empresa podrían verse afectados, como consecuencia de interrupciones en los servicios de procesamiento de datos, originadas por desastres u otras contingencias. Los medios de control para la continuidad de procesamiento de datos:

CONTINUIDAD DE PROCESAMIENTO

35

Procedimientos adecuados que describan su aplicación en caso de contigencia.

- Historial de problemas relevantes; - Manejo de interrupciones de proc.; - Modificaciones de emergencia. Mecanismos de seguimiento y control

gerencial; Contar con plan de contingencias para

procesos críticos.

36

Estructura de redes; Voz sobre IP (VoIp); Redes WirelessLAN; Redes WirelessMAN; Redes WirelessWAN; Topologías de red; Cableado estructurado; Dispositivos de Networking; Telecomunicaciones.

AMBIENTES TECNOLOGICOS