Control y Riesgo
CENTROCCIDENTAL
“LISANDRO
ALVARADO”
DECANATO DE
CIENCIAS Y
TECNOLOGÍA
DIPLOMADO
DE AUDITORÍA
INFORMÁTICA
Semana 2.
Ejecución de la Auditoría
Evaluación del Control
Interno y Riesgos
2
SISTEMA DE CONTROL INTERNO
INFORMÁTICO
SE PUEDE DEFINIR EL CONTROL INTERNO COMO “CUALQUIER ACTIVIDAD o ACCIÓN
REALIZADA MANUAL y/o AUTOMÁTICAMENTE PARA PREVENIR, CORREGIR ERRORES o
IRREGULARIDADESQUE PUEDAN AFECTAR AL FUNCIONAMIENTO DE UN SISTEMA PARA
CONSEGUIR SUS OBJETIVOS”.
CATEGORÍAS :
• CONTROLES PREVENTIVOS : INTENTAR EVITAR QUE SE DE CIERTA SITUACIÓN. SIRVA
COMO EJEMPLO CONTAR CON UN SOFTWARE DE SEGURIDAD QUE IMPIDA LOS
ACCESOS NO AUTORIZADOS AL SISTEMA.
• CONTROLES DETECTIVOS : CUANDO FALLAN LOS CONTROLES PREVENTIVOS, HAY
QUE DETECTAR LOS FALLOS. POR EJEMPLO : LOS ARCHIVOS LOG DELSISTEMA
(REGISTROS DE INTENTOS DE ACCESO NO AUTORIZADOS, EL REGISTRO DE LA
ACTIVIDAD DIARIA PARA DETECTAR ERRORES u OMISIONES).
• CONTROLES CORRECTIVOS : FACILITAN LA VUELTA A LA NORMALIDAD ANTE UNA
INCIDENCIA. EN NUESTRO CASO UN SIMPLE BACK UP SUPONDRÍA UN CONTROL
CORRECTIVO.
3
SISTEMA DE CONTROL INTERNO INFORMÁTICO
LA RELACIÓN QUE EXISTE ENTRE LOS MÉTODOS DE CONTROL Y LOS OBJETIVOS DECONTROL PUEDE
DEMOSTRARSE MEDIANTE EL SIGUIENTE EJEMPLO, EN EL QUE UN MISMO CONJUNTO DE MÉTODOS DE
CONTROL SE UTILIZA PARA SATISFACER OBJETIVOS DE CONTROL TANTO DE MANTENIMIENTO COMO DE
SEGURIDAD DE LOS PROGRAMAS:
•
OBJETIVO DE CONTROL DE MANTENIMIENTO: ASEGURAR QUE LAS MODIFICACIONES DE LOS
PROCEDIMIENTOS PROGRAMADOS ESTÁN ADECUADAMENTE DISEÑADAS, PROBADAS, APROBADAS E
IMPLANTADAS.
•
OBJETIVO DECONTROL DE SEGURIDAD DE PROGRAMAS: GARANTIZAR QUE NO SE PUEDEN EFECTUAR
CAMBIOS NO AUTORIZADOS EN LOS PROCEDIMIENTOS PROGRAMADOS.
4
SISTEMA DE CONTROL INTERNO INFORMÁTICO
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS
Los controles pueden implantarse a varios niveles diferentes. La evaluación de
los controles de la Tecnología de la Información exige analizar diversos
elementosinterdependientes. Por ello es importante llegar a conocer bien la
configuración del sistema, con el objeto de identificar los elementos, productos
y herramientas que existen para saber dónde pueden implantarse los controles.
así como para identificar posibles riesgos.
5
SISTEMA DE CONTROL INTERNO
INFORMÁTICO
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS
Para llegar a conocer laconfiguración del sistema es necesario documentar los
detalles de la red, así como los distintos niveles de control y elementos
relacionados:
•Entorno de red: esquema de la red, descripción de la configuración hardware
de comunicaciones, descripción del software que se utiliza como acceso a las
telecomunicaciones, control de red, situación general de los computadores de
entornos de base quesoportan aplicaciones críticas y consideraciones relativas
a la seguridad de la red.
6
SISTEMA DE CONTROL INTERNO
INFORMÁTICO
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS
•Configuración del computador base: configuración del soporte físico, entorno
del sistema operativo, software con particiones, entornos (pruebas y real),
bibliotecas de programas y conjunto de datos.
•Entorno deaplicaciones: procesos de transacciones, sistemas de gestión de
bases de datos y entornos de procesos distribuidos.
•Productos y herramientas: software para desarrollo de programas, software de
gestión de bibliotecas y para operaciones automáticas.
7
SISTEMA DE CONTROL INTERNO
INFORMÁTICO
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS
•Seguridad del computador base: identificary verificar usuarios,
control de acceso, registro e información, integridad del sistema,
controles de supervisión, etc.
•Gestión de sistemas de información: políticas, pautas y normas
técnicas que sirvan de base para el diseño y la implantación de los
sistemas de información y de los controles correspondientes,
•Administración de sistemas: controles sobre la actividad de los
centros de datos...
Regístrate para leer el documento completo.