Auditoría Informática y Control Interno: Claves para la Seguridad y Eficiencia

Ingeniería del software, , , , ,

Auditoría: Concepto, Tipos y Procedimientos

La auditoría consiste en la emisión de una opinión profesional sobre si el objetivo sometido a análisis presenta las condiciones que han sido prescritas.

  • Contenido: Opinión
  • Condición: Profesional
  • Justificación: Siguientes procedimientos
  • Objeto: Determinar la información obtenida con cierto soporte
  • Finalidad: Fiabilidad

Tipos de Auditoría según Objeto y Finalidad

  • Financiera:
    • Objeto: Cuentas anuales
    • Finalidad: Presentar la realidad
  • Informática:
    • Objeto: Sistemas de aplicación de recursos informáticos, etc.
    • Finalidad: Operatividad, eficiencia y cumplimiento de las normas establecidas.
  • De Gestión:
    • Objeto: Dirección
    • Finalidad: Eficacia, eficiencia, economicidad.
  • De Cumplimiento:
    • Objeto: Normas establecidas
    • Finalidad: Asegurar que las operaciones se adecuen a las normas establecidas.

Procedimientos de Auditoría

  • La opinión profesional proporciona una seguridad razonable de lo que se afirma.
  • Cada auditoría posee sus propios procedimientos para alcanzar el fin previsto, aunque en muchos casos puedan coincidir.
  • El alcance de la auditoría viene dado por los procedimientos, su amplitud y profundidad.

Auditorías Financieras

  • Cualquier limitación que impida la aplicación de lo dispuesto en las normas técnicas debe ser considerada en el informe de auditoría como una reserva al alcance.

Normas y Procedimientos de Auditoría

  • Se obtendrá evidencia suficiente y adecuada.
  • Se estudiará y evaluará el sistema de control interno.
  • El trabajo se planificará y supervisará adecuadamente.

La evidencia obtenida deberá reconocerse en los papeles de trabajo como justificación al trabajo efectuado y la opinión expresada.

Procedimientos de Arriba Abajo

  • Documentos financieros: auditar hacia abajo en dirección a la auditoría subyacente que le verifica en su integridad.

Control Interno: Definición y Relevancia

El control interno, en relación con la información financiera, involucra al personal financiero y al auditor externo.

Los controles internos son necesarios para la propia tranquilidad de las empresas.

El control interno previene los riesgos efectivos y potenciales. La mayoría de las organizaciones han cometido varias iniciativas, como:

  • Reestructuración de los procesos empresariales.
  • Gestión de la calidad total.
  • Redimensionamiento por producción y/o por aumento del tamaño hasta el nivel correcto.
  • Contratación externa.
  • Descentralización.

Tendencias Externas que Influyen en el Control Interno

  • Globalización.
  • Diversificación de actividades.
  • Eliminación de ramas de negocio no rentables o antiguas.
  • Introducción de nuevos productos como respuesta a la competencia.
  • Fusiones y formación de alianzas estratégicas.

Auditores: Controlan la auditoría.

Auditores Informáticos: Aportan conocimiento especializado en tecnología informática.

Funciones de Control Interno y Auditoría Informática

Control interno informativo: órgano staff de la Dirección de Organización e Informática (DOI) que apoya a todos los departamentos.

  • Controla todas las actividades de sistemas de información acorde a los procedimientos de la organización.
  • Su misión es asegurarse de que todas las medidas de los mecanismos implantados por cada responsable sean correctas y válidas.

Principales Objetivos del Control Interno Informático

  • Controlar que todas las actividades se realicen cumpliendo los procedimientos, asegurándose del cumplimiento de las normas legales.
  • Asesorar sobre el conocimiento de las normas.
  • Apoyar al equipo o trabajo de la auditoría informática, así como a las auditorías externas del grupo.
  • Definir, implementar y ejecutar mecanismos y controles para comprobar los logros del servicio de informática (cada responsable se encarga de su «metro cuadrado»).

El Control Interno Informático Opera Sobre:

  • Cumplimiento de procedimientos en cuanto a la actualización de software.
  • Control sobre la producción diaria.
  • Control sobre la calidad y eficiencia del desarrollo y mantenimiento del software (verificar su funcionamiento).
  • Controles de redes de comunicaciones, sobre software de base, sistemas microinformáticos.
  • Seguridad informática (claves).
  • Licencias y relaciones contractuales.
  • Asesorar y transmitir cultura sobre el riesgo informático.

Auditoría Informática

  • Proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos y mantiene la integridad de los datos.

Objetivos Tradicionales de la Auditoría Informática

  • Objetivos de proyección de activos e integridad de los datos.
  • Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia.

El auditor evalúa y comprende los controles y procedimientos más complejos, aplicando técnicas de auditoría, incluyendo el uso de software.

No es posible verificar manualmente, por lo que se emplea software de auditoría.

El auditor es responsable de revisar e informar a la dirección de la organización sobre el diseño y funcionamiento de los controles y la fiabilidad de la información.

Funciones del Auditor Informático

  • Participar en revisiones antes y después de la realización e implantación.
  • Revisar y juzgar los controles implantados en los sistemas de información para verificar su adecuación a las instrucciones de la dirección.
  • Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos de información.

Objetivos de los Controles Informáticos

  • Controles preventivos: Buscan evitar un hecho (ej. software de seguridad que impida accesos no autorizados).
  • Controles detectivos: Se usan cuando falla el preventivo (ej. registros de intentos de acceso no autorizado).
  • Controles correctivos: Corrigen problemas, volviendo todo a la normalidad (ej. recuperación de un archivo dañado a partir de copias de seguridad).

Objetivo del Control de Mantenimiento

  • Asegurar que las modificaciones de los procedimientos programados estén adecuadamente probadas, aprobadas e implementadas.

Implementación de un Sistema de Controles Internos Informáticos

La evaluación de los controles de la tecnología de la información exige analizar:

  • Configuración del sistema.
  • Identificar elementos, productos y herramientas.

Para saber si pueden instalarse en el sistema e identificar posibles riesgos.

Configuración del Sistema

  • Entorno de red: descripción del software y hardware, computadores que soportan aplicaciones críticas.
  • Configuración del computador base: configuración del soporte físico, sistema operativo, bibliotecas de programas y conjunto de datos.
  • Entorno de aplicaciones: proceso de transacción, gestión de base de datos y entorno de procesos distribuidos.
  • Productos y herramientas: software para el desarrollo de programas, de gestión de biblioteca y para operaciones automáticas.
  • Seguridad del computador base: identificar y verificar los usuarios, control de accesos, registros, integridad del sistema.

Para la implantación de un sistema de controles internos informáticos, habrá que definir:

  • Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
  • Administración de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
  • Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema: integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
  • Gestión del cambio: separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas software aprobados y probados.

Controles Generales Organizativos

  • Políticas: base para la determinación, planificación, control y evaluación por la dirección de las actividades del Departamento de Informática (DDI).
  • Planificación:
    1. Plan estratégico de información.
    2. Plan informativo.
    3. Plan general de seguridad (física y lógica).
    4. Plan de emergencia ante desastres.
    5. Estándares.
    6. Procedimiento.
    7. Organizar al DDI.
    8. Descripción de las funciones.
    9. Políticas de personal.

Metodología de Ciclo de Vida del Desarrollo de Sistemas

Podría garantizar a la alta dirección que se alcanzarán los objetivos para el sistema. Debe establecer los papeles y responsabilidades de las distintas áreas del DDI. Las especificaciones deben ser definidas por los usuarios y quedar escritas y aprobadas antes de la puesta en marcha.

Explotación y Mantenimiento

Los controles asegurarán que los datos se traten de forma exacta y su modificación se realice mediante la autorización adecuada.

Implementar:

  • Procedimientos de control de explotación.
  • Procedimientos para realizar un seguimiento y control de cambios de un sistema de información.

Controles de Explotación

Planificación y gestión de recursos: Definir:

  • Presupuesto operativo del departamento.
  • Plan de adquisición de equipos.
  • Gestión de la capacidad de los equipos.

Controles para Usar los Recursos en Computadores

  • Calendario de carga de trabajo.
  • Programación de personal.
  • Mantenimiento preventivo del material.
  • Gestión de problemas y cambios.

Procedimientos de Selección del Software, Instalación, Mantenimiento, Seguridad y Control de Cambios

Seguridad Física y Lógica

  • Definir un grupo de seguridad de la información.
  • Controles físicos para asegurar el acceso a las instalaciones del DDI.
  • Personas externas a la organización deberán ser acompañadas por un miembro de la plantilla cuando tengan que entrar en las instalaciones.
  • Normas que regulen el acceso a los recursos informativos.

Controles en Aplicaciones

Lo más importante en el control de los datos es:

  • Control de entrada de datos: procedimientos de conversión y entrada, validación y corrección de datos.
  • Controles de tratamiento de datos: para asegurar que no se dan de alta, modifican o borran datos no autorizados y para garantizar la integridad de los mismos mediante procesos no autorizados.
  • Controles de salida de datos: procedimientos de distribución de salidas, de gestión de errores en las salidas.

Controles Específicos de Ciertas Tecnologías

Controles en sistemas de gestión de base de datos:

  • El software de gestión de base de datos debe prever el acceso a la estructura y el control solo de datos compartidos, y asegurarse de la integridad del software.
  • Definir las responsabilidades.
  • Establecer procedimientos para el cambio de datos y para el mantenimiento.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.