Académique Documents
Professionnel Documents
Culture Documents
Definiciones
El Control Interno Informtico puede definirse como el sistema
integrado al proceso administrativo, en la planeacin, organizacin,
direccin y control de las operaciones con el objeto de asegurar la
proteccin de todos los recursos informticos y mejorar los ndices de
economa, eficiencia y efectividad de los procesos operativos
automatizados. (Auditora Informtica - Aplicaciones en Produccin - Jos Dagoberto Pinilla)
El Informe COSO define el Control Interno como "Las normas, los
procedimientos, las prcticas y las estructuras organizativas diseadas
para proporcionar seguridad razonable de que los objetivos de la
empresa se alcanzarn y que los eventos no deseados se prevern, se
detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o
accin realizada manual y/o automticamente para prevenir, corregir
errores o irregularidades que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G.
Plattini)
OBJETIVOS PRINCIPALES:
Colaborar y apoyar
interna/externa
el
trabajo
de
Auditora
Informtica
Tipos
En el ambiente informtico, el control interno
fundamentalmente en controles de dos tipos:
se
materializa
CONTROLES EN APLICACIONES
Toda aplicacin debe llevar controles incorporados para garantizar la
entrada, actualizacin, salida, validez y mantenimiento completos y
exactos de los datos.
CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS
Tienen que ver con la administracin de los datos para asegurar su
integridad, disponibilidad y seguridad.
CONTROLES INFORMATICOS SOBRE REDES
Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad
y funcionamiento de las redes instaladas en una organizacin sean
estas centrales y/o distribuidas.
CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL
Se relacionan a las polticas de adquisicin, instalacin y soporte
tcnico, tanto del hardware como del software de usuario, as como la
seguridad de los datos que en ellos se procesan.
CONCEPTOS FUNDAMENTALES
AMENAZA - CAUSA DE RIESGO
Se refiere a factores o circunstancias que al materializarse u ocurrir, generan riesgos o
prdidas a la organizacin. Ejemplo: el incendio puede generar prdida de activos,
sanciones legales, desventaja ante la competencia.
RIESGO
Valor de las prdidas a las que se expone una organizacin por efecto de la ocurrencia de
un evento adverso denominado amenaza o causa del riesgo. El riesgo es el resultado de
las prdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R
= P * C).
RIESGO CRTICO
Riesgos que tienen la mayor calificacin dentro de un conjunto de riesgos que podran
presentarse en una operacin o sistema. Riesgo de prioridad alta, de acuerdo con la
evaluacin de riesgos potenciales. Riesgo ubicado en los estratos Alto y Medio Alto
dentro del principio de Pareto.
RIESGO POTENCIAL
Es el riesgo inherente o asociado con la naturaleza de las operaciones. Este riesgo no
tiene en cuenta los controles establecidos. Por ejemplo: el hecho de tener computador
porttil lo expone a que sea robado, independientemente de los controles que se
establezcan para evitar que sea robado.
RIESGO RESIDUAL
Es el riesgo no cubierto por los controles establecidos.
ADMINISTRACIN DE RIESGO
Es el proceso mediante el cual partiendo de los riesgos potenciales crticos, se establecen
medidas de control y de seguridad para reducirlos a niveles aceptables de riesgo residual.
Es el proceso de establecer y mantener la seguridad en un rea o sistema.
ANLISIS DE RIESGO
Es el medio por el cual los riesgos son identificados y evaluados para justificar las
medidas de seguridad o controles.
RIESGOS FUNDAMENTALES
- Dao o Destruccin de Activos
- Hurto o Fraude
- Desventaja Competitiva
- Sanciones Legales
- Perdida de Negocios y Credibilidad Pblica
- Prdida de dinero por exceso de desembolsos
- Decisiones errneas
- Prdida de Ingresos
EL RIESGO EN LA ENTIDAD SEGN PRICE WATERHOUSE:
Cualquier evento futuro incierto que puede obstaculizar el logro de los objetivos
estratgicos, operativos, de cumplimiento y/o financieros de Municipalidad. Y los
clasifica de la siguiente forma:
RIESGOS ESTRATGICOS: Asociados a la forma como se administra la entidad
RIESGOS OPERACIONALES: Asociados con las condiciones operacionales de los
procesos, controles, sistemas e informaciones.
RIESGOS DE CUMPLIMIENTO: Asociados con la capacidad de la entidad de cumplir
normas, regulaciones y leyes as como seguir las polticas del sector pblico
: Objetivo: minimizar
INCERTIDUMBRE
: Objetivo: administrar
conducta, etc.
- Evaluacin de riesgo : dentro del ambiente de control. La gerencia evala los
riesgos para lograr los objetivos propuestos, y lo hace a nivel organizacional y a
nivel de actividad. Un prerrequisito para evaluar un riesgo es el establecimiento de
los objetivos. El proceso de anlisis incluye: determinar la significatividad del
riesgo, evaluar la probabilidad de que ocurra o la frecuencia con que se produce y
evaluar las acciones que deben ser adoptadas.
- Actividades de control : son las que estn diseadas para responder a los riesgos
en toda la organizacin como por ejemplo: aprobaciones, autorizaciones,
revisiones y segregacin de funciones. Estos procedimientos de control pueden ser:
controles de monitoreo, gerenciales, independientes, de procesamiento de
informacin y controles de salvaguarda de activos.
- Informacin y comunicacin : los canales de comunicacin involucran a los
niveles internos y externos de la organizacin, en muchas oportunidades la
comunicacin de fuentes externas proporciona informacin importante acerca del
funcionamiento del control interno. Medir la calidad de la informacin implica
determinar si: el contenido es adecuado, la informacin es oportuna, la informacin
es actual, la informacin es precisa, la informacin es accesible
- Monitoreo : Todas las actividades de control y procesos operativos deben ser
moni toreados; es decir, revisados por un nivel jerrquico mayor para realizar un
control de calidad sobre la marcha. Este proceso incluye la administracin y
supervisin regular de las actividades
AUDITORIA
Es un proceso sistemtico de obtencin y evaluacin objetiva de evidencias respecto a
afirmaciones o aseveraciones sobre hechos o eventos econmicos, para determinar el
grado de correspondencia entre tales aseveraciones y criterios establecidos, y comunicar
los resultados a los usuarios interesados (Definicin de la American Accounting
Association).
AUDITORIA DE SISTEMAS
Toda auditora que comprenda la revisin y evaluacin de todos los aspectos de los
sistemas automatizados de procesamiento de informacin (o cualquier porcin),
incluyendo los procesos no automatizados relacionados y las interfases entre ellos.
COBIT
Acrnimo de Control OBjectives for Information and related T
echnology. Es un estndar de Control Interno y Auditora de Sistemas de Informacin
producido por ISACA (Information Systems Audit and Control Association, 2001).
COMPONENTES DEL RIESGO
El riesgo tiene dos componentes: Probabilidad de ocurrencia y el costo de las prdidas
que genera cada ocurrencia (R = P * C).
CONTROL
Es la accin que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad
de ocurrencia o el impacto que pueda generar su ocurrencia.
CATEGORAS DEL CONTROL
- EXCESIVO : existen controles excesivos, mas all de su relacin costo-beneficio.
- BUENO : el riesgo se encuentra reducido a un nivel aceptable optimizando la
relacin costo-beneficio de los controles existentes
- RIESGO RESIDUAL ACEPTABLE: el riesgo se encuentra reducido a un nivel
aceptable por los controles vigentes.
- MEDIO : el riesgo esta parcialmente cubierto por los controles vigentes -sin llegar
a un nivel aceptable- pero hay planes de accin para llevarlo a un nivel aceptable
- POBRE: el riesgo no se encuentra reducido a un nivel aceptable por lo que la
Es el proceso que se sigue para establecer los riesgos crticos potenciales sobre los cuales
se deben enfatizar los esfuerzos de control y auditora.
EVALUAR EL CONTROL INTERNO
Proceso de auditora para determinar si los controles establecidos protegen a la
organizacin contra los riesgos potenciales crticos.
MAPA DE RIESGO
Localizacin de los riesgos crticos en los procesos y dependencias que intervienen en el
manejo de una operacin o sistema de informacin computarizado (SIC).
METODO DE CUESTIONARIO DE RIESGO
Un mtodo para categorizar la importancia de cada uno de los riesgos potenciales que
podran presentarse en una operacin automatizada o sistema de informacin
automatizado, de acuerdo con los puntajes obtenidos por los cuestionarios de riesgo y la
ubicacin de esos puntajes en los estratos del principio de Pareto.
OBJETIVOS DE CONTROL
Una declaracin del resultado deseado o propsito a ser alcanzado implementando
procedimientos de control en una actividad particular de tecnologa de informacin o en
cualquier otro proceso de la empresa ISACA (Information Systems Audit and Control
Association, 2001).
PRINCIPIO DE PARETO
Vilfredo Pareto formul el principio que lleva su nombre para expresar que el 20% de las
causas genera el 80% de los efectos. Tambin se conoce como Regla 80 - 20. Concepto
que se aplica en todas las etapas de la metodologa para identificar los riesgos crticos
como aquellos que estn situados en el 20% correspondiente al estrato de mayor puntaje .
PROCESO O ESCENARIO DE RIESGO DE LAS OPERACIONES
Grupo de actividades interrelacionadas dentro del flujo de la informacin que se procesa
en el computador, desde la generacin de los datos en las fuentes hasta que la
informacin de un ciclo producida por el sistema cumpla su objetivo y sea reemplazada
por la del ciclo siguiente.
PRUEBAS DE AUDITORIA
Proceso que realiza la auditora para obtener evidencia de la operacin de los controles y
la exactitud de la informacin.
PRUEBAS DE CUMPLIMIENTO
En auditora informtica se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de la implantacin y operacin continua de los controles claves
en el procesamiento de los datos efectuados por el computador.
PRUEBAS SUSTANTIVAS
En auditora informtica se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de las cifras calculadas o asumidas por el computador
estn evaluando todos estos factores y se plantea un Plan de Seguridad nuevo que mejore
todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan,
no irn mejorando todos por igual. Al finalizar el plan se habr conseguido una situacin
nueva en la que el nivel de control sea superior al anterior.
Para introducirnos en el campo de las metodologas debemos definir adecuadamente los
siguientes conceptos:
AMENAZA: una(s) persona(s) o cosa(s) vista(s) como posible fuente de peligro o
catstrofe. Ejemplo: inundacin, incendio, robo de datos, sabotaje, falta de
procedimientos de emergencia, divulgacin de datos, implicaciones con la ley,
aplicaciones mal diseadas, gastos incontrolados, etc.
VULNERABILIDAD: la situacin creada por la falta de uno o varios controles, con la
que la amenaza pudiera acaecer y as afectar al entorno informtico. Ejemplos: falta de
controles de acceso lgico, falta de control de versiones, inexistencia de un control de
soportes magnticos, falta se separacin de entornos en el sistema, falta de cifrado en las
comunicaciones, etc.
RIESGO: la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
EXPOSICIN AL IMPACTO: la evaluacin del efecto del riesgo. Ejemplo: es frecuente
evaluar el impacto en trminos econmicos, aunque no siempre lo es, como vidas
humanas, imagen de la empresa (... lo que usted deca Alicia), honor, defensa nacional,
etc.
Por definicin, todos los riesgos que se presentan podemos:
EVITARLOS, por ejemplo: no construir un centro de computo donde hay peligro
constante de inundaciones.
TRANSFERIRLOS: por ejemplo el uso de centros de computo contratado.
Cubrir las necesidades de los profesionales que desarrollan cada uno de los
proyectos necesarios de un plan de seguridad.
Las listas de ayuda y los cuestionarios son abiertos, y por tanto es posible
introducir informacin nueva o cambiar la existente. De ah la expresin Abierta
de su nombre.
Anlisis de Riesgo
Clasificacin de la Informacin
Plan de Cifrado
Auditora Informtica
IDENTIFICACIN DE LA INFORMACIN