Embed Size (px)
Citation preview
Conceptos de Control en Sistemas de Información
Universidad de Buenos Aires
Facultad de Ciencias Económicas
Materia: Sistemas Administrativos
Riesgo
• Cualquier evento que afecte el logro de los objetivos del negocio
• El potencial que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasiones pérdidas o daño a los activos
Ciclo de vida de la administración del riesgo
• Identificación de los objetivos del negocio y los activos críticos para lograr estos objetivos
• Mitigación del riesgo : identificar los controles para mitigar los riesgos
• Análisis costo-beneficio– Costo del control en comparación con el beneficio
– “Apetito” de riesgos de la gerencia
– Métodos preferidos para la detección de riesgos
Clasificación de los controles
Clases
• Preventivos
• De detección
• Correctivos
Clasificación de los controles
Preventivos
• Detectar problemas antes que surjan
• Monitorear tanto las operaciones cuanto el ingreso de datos
• Tratar de predecir los problemas potenciales antes que ocurran y
hacer ajustes
• Impedir que ocurra un error, una omisión o un acto malicioso
Función
• Emplear sólo personal calificado
Preventivos
Ejemplos
• Segregar las funciones (factor disuasivo)
• Controlar acceso a las instalaciones físicas
• Usar documentos bien diseñados (prevenir errores)
• Adecuar procedimientos para autorizar transacciones
• Verificaciones programadas de edición
• Uso de software de control de acceso que permita que sólo el personal autorizado tenga acceso a archivos sensitivos
Clasificación de los controles
• Controles que detectan que ha ocurrido un error, una omisión o acto malicioso
y lo reportan
De detección
Función
Clasificación de los controles
De detección
Clasificación de los controles
• Totales brutos
• Puntos de verificación en los Trabajos de producción
• Controles de eco en las telecomunicaciones
• Verificación doble de los cálculos
• Realización periódica de reportes con variaciones
• Reportes de cuentas vencidas
• Funciones de auditoria interna
Ejemplos
Correctivos
Clasificación de los controles
• Minimizar el impacto de una amenaza
• Remediar problemas descubiertos por controles detección
• Identificar causa de un problema
• Corregir los errores que surjan de un problema
• Modificar el o los sistemas de procesamiento para minimizar el problema en el futuro
Función
Correctivos
Clasificación de los controles
• Planeación de contingencias
• Procedimientos de copias de seguridad
• Procedimientos de nueva ejecución de programas
Ejemplos
Objetivos del Control Interno
Son declaraciones del resultado deseado, o del propósito a ser alcanzado, implementando procedimientos de control en una actividad en particular e incluyen:– Controles internos contables (salvaguarda de activos)
– Controles operativos (objetivos de negocio)
– Controles administrativos (eficiencia operativa)
Los objetivos de control se aplican a todas las áreas, manuales o automatizadas
Funciones de control en ambientes informáticos
• Salvaguarda de los activos de tecnología de la información
• Garantía de integridad de los sistemas operativos (administración de red y operaciones)
• Cumplimiento de políticas corporativas y requisitos legales (objetivos de cumplimientos)
• Desarrollo de planes de continuidad de negocio y recuperación de desastres
• Desarrollo de un plan de manejo y respuesta de incidencias
Funciones de control en ambientes informáticos
• Garantía de integridad de los entornos críticos– Autorización de ingreso
– Exactitud e integridad en el procesamiento de las transacciones
– Confiabilidad en el procesamiento de la információn
– Exactitud, integridad y seguridad de la información de salida
– Integridad de las bases de datos
Etapas de la Auditoría
1. Sujeto de la auditoría
2. Objetivo de la auditoría
3. Alcance de la auditoría
4. Planificación de la auditoría preliminar
5. Procedimientos de auditoría y pasos para la recolección de datos
6. Procedimientos para evaluar la prueba o revisar los resultados
7. Procedimientos para comunicarse con la gerencia
8. Elaboración del informe de auditoría
Etapas de la Auditoría
• Identificar el área que será auditada
1. Sujeto de la Auditoría
Etapas de la Auditoría
• Identificar el propósito de la auditoría.
Por ejemplo, un objetivo podría ser determinar que los cambios de código fuente de programas ocurren en un ambiente bien definido y controlado.
2. Objeto de la Auditoría
Etapas de la Auditoría
•Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión.
Por ejemplo, en el ejemplo de cambios de programa, la declaración del alcance podría limitar la revisión a un solo sistema de aplicación o a un período limitado de tiempo.
3. Alcance de la Auditoría
Etapas de la Auditoría
•Identificar las habilidades y recursos técnicos que se necesitan.
4. Planificación de la auditoría preliminar
•Identificar las fuentes de información para probarlas o revisarlas, tales como cuadros funcionales de flujo, políticas, estándares, procedimientos y documentos de trabajo preliminares de auditoría.
•Identificar las ubicaciones o las instalaciones que serán auditadas.
Etapas de la Auditoría
•Identificar y seleccionar el método de auditoría para verificar y probar los controles.
5. Procedimientos de auditoría y pasos para la recolección de datos
•Identificar una lista de personas para entrevistar.
•Identificar y obtener políticas, estándares y directrices de los departamentos, para su revisión.
•Desarrollar instrumentos y metodología de auditoría para comprobar y verificar el control.
Etapas de la Auditoría
6. Procedimientos para evaluar la prueba o revisar los resultados
• Organización específica
Etapas de la Auditoría
7. Procedimientos para comunicarse con la gerencia
• Organización específica
Etapas de la Auditoría
8. Elaboración del informe de auditoría
•Identificar los procedimientos de revisión del seguimiento.
•Identificar los procedimientos para evaluar/comprobar la eficiencia y la eficacia operacional.
•Identificar los procedimientos para comprobar los controles.
•Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.
Pruebas de cumplimiento vs Pruebas sustantivas
• Pruebas de cumplimiento: Implican la recolección de evidencias con el fin de comprobar el cumplimiento de procedimientos de control por parte de una organización
• Pruebas sustantivas: Implican la recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información
Evidencia
Se trata de cualquier información usada para determinar si la entidad o los datos que están siendo analizados cumplen con los criterios u objetivos establecidos.
Confiabilidad de la evidencia
• Independencia del proveedor de la evidencia
• Calificación de la persona que suministra la información o la evidencia
• Objetividad de la evidencia
• Tiempo de disponibilidad de la evidencia
Segregación de funciones
• Los controles de segregación de funciones mas comunes son
– Autorización de transacción
– Custodia de archivos
– Acceso a los datos
– Formularios de autorización
– Tablas de autorización de datos
Controles compensatorios de la falta de segregación
• Pistas de auditoría
• Conciliación
• Reportes de excepción
• Registros de transacciones
• Revisiones de supervisión
• Revisiones independientes
Indicadores de problemas potenciales
• Actitudes desfavorables del usuario final
• Costos excesivos
• Presupuesto excedido
• Proyectos demorados
• Rotación elevada del personal
• Personal inexperto
• Errores frecuentes de hardware/software
• Lista excesiva de solicitudes en espera
• Tiempo de respuesta de computadora excesivo
Indicadores de problemas potenciales
• Numerosos proyectos cancelados o suspendidos
• Compras de hardware/software sin soporte o autorización
• Frecuentes ampliaciones de capacidad de hardware/software
• Extensos reportes de excepciones
• Reportes de excepciones sin seguimiento
• Poca motivación
• Ausencia de planes de contingencia
• Confianza en uno o dos miembros claves del personal
• Falta de entrenamiento adecuado
