UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS ADMINISTRATIVAS

INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS

Tema:

Control Interno y
Auditoria Informtica
Integrantes Grupo N 2:
Sr. Roberto F. Porozo
Ulloa
Srta. Lourdes A. Beltrn
Castillo
Srta. Lidia D. Chele
Piguave
Sr. Wilson L. Solrzano
Chele
Sr. Francisco X. Andrade
Snchez
Sr. Jos A. Murillo Holgun

Ctedra:

Auditora De Sistemas
Catedrtico:

Ing. Cesar Barrionuevo

Ao Lectivo
2013 - 2014

UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS
ADMINISTRATIVAS
Ingenieria en Sistemas
Administrativos Computarizados
TEMA DE EXPOSICION:

Satlites

Artificiales
1.-

Sr. Roberto F. Porozo Ulloa

_________________________________________________________

2.-

Srta. Lourdes A. Beltrn Castillo

__________________________________________________________

3.-

Srta. Lidia D. Chele Piguave

_________________________________________________________

4.-

Sr. Wilson L. Solrzano Chele

__________________________________________________________

5.-

Sr. Francisco X. Andrade Snchez

__________________________________________________________

6.-

Sr. Jos A. Murillo Holgun

__________________________________________________________

Observaciones:

Control
Interno y
Auditoria
Informtica

INTRODUCCION.-

Tradicionalmente en materia de control interno se adoptaba un

enfoque bastante restringido limitado a los controles contables
internos. Durante el ltimo decenio la prensa ha informado sobre
escndalos relacionados con errores en el otorgamiento de crditos
con garanta de inmuebles inexistentes o sobrevalorados, la
manipulacin de informacin financiera, operaciones burstiles
realizadas con informacin privilegiada y otros fallos de los controles
que han afectado a las empresas de diferentes sectores.
Por ellos hay cambios en las empresas que comprometen los
controles internos existentes:
La reestructuracin de los procesos empresariales (BPR
Bussines Process Re-engineering).
La gestin de la calidad total (TQM-Total Quality Management).
El redimensionamiento por reduccin y/o aumento del tamao
hasta el nivel correcto.
La contratacin externa (outsourcing).
La descentralizacin.
El mundo en general est cambiando y somete a las empresas a la
accin de muchas fuerzas externas tales como la creciente necesidad
de acceder a los mercados mundiales la consolidacin industrial, la
intensificacin de la competencia y las nuevas tecnologas.
Tendencias externas que influyen en las empresas:
La globalizacin.
La diversificacin de actividades.
La eliminacin de ramas de negocio no rentable o antiguas.
La introduccin de nuevos productos como respuesta a la
competencia.
Las fusiones y la formacin de alianzas estratgicas
Ante la rapidez de los cambios los directivos toman conciencia
que para evitar fallos de control significativos deben reevaluar y
reestructurar sus sistemas de controles internos. Deben evaluar
de manera PROACTIVA antes de que surjan los problemas,
tomando medidas audaces para su tranquilidad, as como para
garantizar al consejo de administracin, accionistas, comits y
pblico, que los controles internos de la empresa estn
adecuadamente diseados para hacer frente a los retos del
futuro y asegurar la integridad en el momento actual.

Un centro de informtica de una empresa suele tener una

importancia crucial por soportar los sistemas de informacin del
negocio, por el volumen de recursos y presupuestos que maneja, etc.
Por lo tanto aumenta las necesidades de control y auditora,
surgiendo en las organizaciones, como medidas organizativas, las
figuras de:

Control Interno y
Auditoria
Informtica
La auditora ha cambiado notablemente en los ltimos aos con el
enorme impacto que ha venido obrando las tcnicas informticas en
la forma de procesar la informacin para la gerencia. La necesidad de
adquirir y mantener conocimientos actualizados de los sistemas
informticos devuelve cada vez ms acuciante.
Los auditores informticos aportan conocimientos especializados, as
como su familiaridad con la tecnologa informtica. Se siguen
tratando las mismas cuestiones de control de auditora, pero los
especialistas en auditora informtica de sistemas basados en
ordenadores prestan ayuda valiosa a la organizacin y a los otros
auditores en todo lo relativo a los controles sobre dichos temas.
En muchas organizaciones el auditor ha dejado de centrarse en la
evaluacin y la comprobacin de resultados de procesos,
desplazando su atencin a la evaluacin de riesgos y comprobacin
de controles.
Muchos de los controles se incorporan en programas de sistemas o se
realizan por parte de la funcin informtica de la organizacin,
representado por el control interno informtico.
El enfoque centrado en controles normalmente exige conocimientos
informticos a nivel de la tecnologa utilizada en el rea o la
organizacin que se examina.

Funciones de Control
Interno y Auditora
Informtica.
Control Interno Informtico C.I.I., controla diariamente que todas
las actividades de sistemas de informacin sean realizadas
cumpliendo los procedimientos, estndares y normas fijados por la
Direccin de la Organizacin y/o Direccin de Informtica, as
como los requerimientos legales.
La misin de C.I.I. es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable
sean correctas y vlidas.
La funcin se le asigna a una unidad orgnica perteneciente al
staff de la Gerencia de Informtica y debe estar dotada de las
personas y medios materiales requeridos para el cumplimiento de
su misin.

 En los tratados de auditora se le denomina CONTROL INTERNO

INFORMATICO (CII), definicin que a nuestro concepto debe ser
reemplazado por el ttulo de ADMINISTRACION DE LA SEGURIDAD Y
CONTROL DE SISTEMAS (ASYCS), en concordancia a los criterios y
conceptos actualizados de las funciones especializadas de control
y administracin de riesgos.

Principales Objetivos. Controlar que todas las actividades se realicen cumpliendo los
procedimientos y normas fijados, evaluar su
bondad y asegurarse del cumplimiento de
las normas legales.
Asesorar sobre el conocimiento de las
normas.
Colaborar y apoyar el trabajo de Auditoria
Informtica, as como de las auditoras
externas.
Definir, implantar y ejecutar mecanismos y
controles para comprobar el logro de los
grados adecuados del servicio informtico.

Principales Funciones. Realizar en los diferentes sistemas (centrales, departamentales,

redes locales, Peces, etc.) y entornos informticos (produccin,
desarrollo o pruebas) el control de las diferentes actividades
operativas sobre:
Cumplimiento de diferentes procedimientos, normas y
controles dictados. Ejemplo. Control de cambios y versiones
de software.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y
mantenimiento del software y del servicio informtico.
Controles en las redes de comunicaciones.
Controles sobre el software de base.
Controles en los sistemas microinformticos.

 La seguridad informtica:
Usuarios, responsables y perfiles de uso de archivos y
bases de datos.
Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Licencias.
Contratos con terceros.
Asesorar y transmitir cultura sobre el riesgo informtico.

El Auditor
Informtico (AI)
Evala y comprueba en determinados
momentos del tiempo, los controles y
procedimientos
informticos
ms
complejos, desarrollando y aplicando
tcnicas mecaniza das de auditora,
incluyendo el uso de software.
En muchos casos ya no es posible verificar
manualmente
los
procedimientos
informatizados que resumen, calculan y
clasifican datos, por lo que deber emplear
software de auditora y otras tcnicas asistidas por ordenador.
Es responsable de revisar e informar a la Direccin de la Empresa,
sobre el diseo y funcionamiento de los controles implantados y
sobre la fiabilidad de la informacin suministrada.

Funciones Principales. Se pueden establecer tres grupos de funciones principales:

Participar en las revisiones durante y despus del diseo,
realizacin, implantacin y explotacin de aplicaciones
informticas, as como en las fases anlogas de realizacin de
cambios importantes.

 Revisar y juzgar controles implantados en los sistemas

informticos para verificar su adecuacin a las rdenes e
instrucciones de la Direccin, requisitos legales, proteccin de
confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y
seguridad de los equipos e informacin.

Control Interno y Auditora

Informtica Campos
Anlogos.La evolucin de ambas funciones ha sido espectacular en la ltima
dcada. Muchos de los funcionarios de controles internos informticos,
fueron auditores. Han recibido formacin en seguridad informtica tras
su paso por la formacin en auditora.
Hay una similitud de los objetivos profesionales de control y auditora,
campos anlogos que propician una transicin natural.

DASYCS AI:

Sistema de Control
Informtico
Definicin y Tipos de
Controles Internos.Se puede definir el control interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir
errores o irregularidades que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos.
Los controles cuando se diseen, desarrollen e implanten han de ser
al menos, completos, simples, fiable, revisables, adecuados y
rentables.
Los controles internos que se utilizan en el entorno informtico
continan evolucionando hoy en da a medida que los sistemas
informticos se vuelven complejos.

Los progresos que se producen en la tecnologa de soportes fsicos y

de software han modificado de manera significativa los
procedimientos que se empleaban tradicionalmente para controlar los
procesos de aplicaciones y para gestionar los sistemas de
informacin.

Clasificacin.Controles Preventivos.-

Para tratar de evitar el hecho,

como un software de seguridad que impida los accesos no
autorizados al sistema.
Controles de Deteccin.- Cuando fallan los preventivos,
para tratar de conocer cuanto antes el evento. Por ejemplo, el
registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, etc.
Controles Correctivos.- Facilitan la vuelta a la normalidad
cuando se han producido incidencias. Por ejemplo, la recuperacin
de un fichero daado a partir de las copias de seguridad.

Relacin existente entre

los mtodos de control,
los objetivos de control y
los objetivos de auditora.
A medida que los sistemas se han vuelto ms complejos, los controles
informticos han evolucionado hasta convertirse en procesos
integrados en los que se atenan las diferencias entre las categoras
tradicionales de controles informticos.
Por ejemplo, en los actuales sistemas informticos puede resultar
difcil ver la diferencia entre seguridad de los programas, de los datos
y objetivos de control del software del sistema, porque el mismo
grupo de mtodos de control satisface casi totalmente los tres
objetivos de control.

La relacin entre los mtodos de control y los objetivos de control

puede demostrarse en el siguiente. Ejemplo, en el que un mismo
conjunto de mtodos de control se utiliza para satisfacer objetivos de
control tanto de mantenimiento como de seguridad de programas:

Objetivo de Control de Mantenimiento:

Asegurar que las

modificaciones
de
los
procedimientos
programados
estn
adecuadamente diseadas, probadas, aprobadas e implantadas.

Objetivo de Control de Seguridad de Programas:

Garantizar que no se puedan efectuar cambios no autorizados en los
procedimientos programados.

Implantacin de un
Sistema de Control
Interno Informtico
Criterio Bsico.Los controles pueden implantarse a varios niveles.
La evaluacin de controles de tecnologa de la Informacin exige
analizar diversos elementos interdependientes. Por ello es importante
conocer bien la configuracin del sistema, para poder identificar los
elementos, productos, herramientas que existen para saber donde
pueden implantarse los controles, as como para identificar los
posibles riesgos.

Conocer la Configuracin
del Sistema

Para llegar a conocer la configuracin del sistema es necesario

documentar los detalles de la red, as como los distintos niveles de
control y elementos relacionados:

Entorno de Red.-

esquema de la red, descripcin de la

configuracin de hardware de comunicaciones, descripcin del
software que se utiliza como acceso a las telecomunicaciones,
control de red, situacin general de los ordenadores de entornos
de base que soportan las aplicaciones crticas y consideraciones
relativas a la seguridad de la red.
Configuracin del Ordenador Base.- Configuracin del
soporte fsico, entorno del sistema operativo, software con
particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto datos.
Entorno de Aplicaciones.- Procesos de transacciones,
sistemas de gestin de base de datos y entornos de procesos
distribuidos.
Productos y Herramientas.- Software para desarrollo de
programas, software de gestin de bibliotecas y para operaciones
automticas.
Seguridad del Ordenador Base.- Identificar y verificar
usuarios, control de acceso, registro e informacin, integridad del
sistema, controles de supervisin, etc.

Para la implantacin de un
sistema de control interno
informtico debe definirse

Gestin de sistemas de Informacin.- Poltica, pautas y

normas tcnicas que sirvan para el diseo y la implantacin de los

sistemas de informacin y de los controles correspondiente.
Administracin de Sistemas.- Controles sobre la actividad
de los centros de datos y otras funciones de apoyo al sistema,
incluyendo la administracin de las redes.

Seguridad.-

Incluye las tres clases de controles fundamentales

implantados en el software del sistema, integridad del sistema,
confidencialidad (control de acceso) y disponibilidad.
Gestin de Cambio.- Separacin de las pruebas y la
produccin a nivel de software y controles de procedimientos para
la migracin de programas software aprobados y probados.

Respaldo para la
implantacin de una
poltica y cultura de
seguridad

Direccin de Negocio o Direccin de Sistemas de

Informacin (S.I).- Define la poltica y/o directrices para los

sistemas de informacin en base a las exigencias del negocio, que

podrn ser internas o externas.
Direccin de Informtica.- Ha de definir las normas de
funcionamiento del entorno informtico y de cada una de las
funciones de informtica mediante la creacin y publicacin de
procedimientos, estndares, metodologa y normas, aplicables a
todas las reas de informtica as como a los usuarios, que
establezcan el marco de funcionamiento.
Control Interno Informtico.- Ha de definir los diferentes
controles peridicos a realizar en cada una de las funciones
informticas, de acuerdo al nivel de riesgo de cada una de ellas, y
ser diseados conforme a los objetivos de negocio y dentro del
marco legal aplicable. Estos se plasmarn en los oportunos
procedimientos de control interno y podrn ser preventivos o de

deteccin. Peridicamente realizar la revisin de controles

establecidos de Control Interno Informtico informando las
desviaciones a la Direccin de Informtica y sugiriendo cuantos
cambios crea convenientes en los controles, as como trasmitir
constantemente a toda la organizacin de Informtica la cultura y
polticas de riesgo informtico.
Auditor interno/externo Informtico.- Ha de revisar los
diferentes controles internos definidos en cada una de las
funciones informticas y el cumplimiento de normativa interna y
externa, de acuerdo al nivel de riesgo, conforme a os objetivos
definidos por la Direccin de Negocio y la Direccin de Informtica.
Informar a la Alta Direccin de los hechos observados y al
detectarse deficiencias o ausencias de controles recomendarn
acciones que minimicen los riesgos que puedan originarse.
La creacin de un sistema de control informtico es una
responsabilidad de la Gerencia y un punto destacable de la poltica
en el entorno informtico.

Control Interno y
Auditora

Controles Internos para

Sistemas de Informacin

Agrupados por secciones funcionales y que seran los que control

interno informtico y auditora informtica deberan verificar para
determinar su cumplimiento y validez controles de desarrollo,
adquisicin y mantenimiento de sistemas de informacin.
Para que permitan alcanzar la eficacia del sistema, economa y
eficiencia, integridad de los datos, proteccin de los recursos y
cumplimiento con las leyes y regulaciones.
Metodologa del ciclo de vida del desarrollo de sistemas. Principales
controles:
La Alta Direccin debe publicar una normativa sobre el uso de
metodologa de ciclo de vida de desarrollo de sistemas y revisar sta
peridicamente.

La metodologa debe establecer los papeles y responsabilidades de

las distintas reas del Departamento de Informtica y de los Usuarios,
as como la composicin y responsabilidades del equipo del proyecto.
Las especificaciones del nuevo sistema deben ser definidas por los
usuarios y quedar escritas y aprobadas antes e que comience el
proceso de desarrollo.
Debe establecerse un estudio tecnolgico de viabilidad en el cual se
formulen formas alternativas de alcanzar los objetivos acompaadas
de un anlisis costo-beneficio de cada alternativa.
Cuando se seleccione una alternativa debe formularse el plan director
del proyecto. En dicho plan deber existir una metodologa de control
de costos.

Controles en la
Metodologa de
Desarrollo de
Sistemas
Procedimientos para la definicin y documentacin de
especificaciones de: diseo, de entrada, de salida, de ficheros, de
procesos, de programas, de controles de seguridad, de pistas de
auditora, etc.
Plan de validacin, verificacin y pruebas.
Estndares de prueba de programas, de pruebas de sistemas.
Plan de conversin: prueba de aceptacin final.
Los procedimientos de adquisicin de software debern seguir las
polticas de adquisicin de la organizacin y dichos productos
debern ser probados y revisados antes de pagar por ellos y
ponerlos en uso.
La contratacin de outsourcing debe estar justificada mediante
una peticin escrita de un director del proyecto.

 Debern prepararse manuales de operacin y mantenimiento

como parte de todo proyecto de desarrollo o modificacin de
sistemas de informacin, as como manuales de usuario.

Explotacin y
Mantenimiento. El establecimiento de controles asegurar que los datos se traten
de forma congruente y exacta y que el contenido de sistemas slo
ser modificado mediante autorizacin adecuada.
Algunos controles que deben implantarse:
Procedimiento de control de explotacin.
Sistema de contabilidad para asignar usuarios de costos
asociados con la explotacin de un sistema de informacin.
Procedimientos para realizar un seguimiento y control de los
cambios de un sistema de informacin.

Controles de Explotacin
de Sistemas de Informacin
Planificacin y Gestin de recurso: definir el presupuesto operativo
del Departamento, Plan de adquisicin de equipos y gestin de la
capacidad de los equipos.
Controles para usar de manera efectiva los recursos en
ordenadores:
Calendario de carga de trabajo.
Programacin de personal.
Mantenimiento preventivo del material.
Gestin de problemas y cambios.
Procedimientos de facturacin a usuarios.
Sistemas de gestin de la biblioteca de soportes.
Procedimientos de seleccin del software del sistema, de
instalacin, de mantenimiento, de seguridad y control de cambios.

Seguridad Fsica y Lgica

Definir un grupo de
seguridad
de
la
informacin, siendo una
de
sus
funciones
la
administracin y gestin
del
software
de
seguridad,
revisar
peridicamente
los
informes de violaciones y
actividad de seguridad
para identificar y resolver
incidentes.
Controles fsicos para asegurar que el acceso a las instalaciones del
Dpto. de Informtica quede restringido a las personas autorizadas.
Control de V isitas: personas externas a la organizacin.
Instalacin de medidas de proteccin contra el fuego.
Formacin y concientizacin en procedimientos de seguridad y
evacuacin del edificio. Control de acceso restringido a los
ordenadores. Normas que regulen el acceso a los recursos
informticos.
Existencia de un plan de contingencias para el respaldo de recursos
de ordenador crticos y para la recuperacin de los servicios del Dpto.
Informtico despus de una interrupcin imprevista de los mismos.

Controles de Aplicaciones
Cada aplicacin debe llevar controles incorporados para garantizar
la entrada, actualizacin, validez y mantenimiento completos y
exactos de los datos.
Aspectos ms importantes en el control de datos:
Control de entrada de datos: procedimientos de conversin y de
entrada, validacin y correccin de datos.
Control de tratamientos de datos para asegurar que no se dan
de alta, modifican o borran datos no autorizados para
garantizar la integridad de los mismos mediante procesos no
autorizados.

 Controles de salidas de datos: sobre el cuadre y reconciliacin

de salidas, procedimientos de distribucin de salidas, de
gestin de errores en las salidas, etc.

Controles Especficos de
Ciertas Tecnologas
Controles en sistemas de Gestin de Base de datos.
Sobre el software de gestin de BD para prever el acceso a la
estructuracin de y el control sobre los datos compartidos, deber
instalarse y mantenerse de modo tal que asegure la integridad del
software, las bases de datos y las instrucciones de control que
definen el entorno.
Que estn definidas las responsabilidades sobre la planificacin,
organizacin, dotacin y control de los activos de datos, es decir,
un administrador de datos.
Que existen procedimientos para la descripcin y los cambios de
datos as como para el mantenimiento del diccionario de datos.
Sobre el acceso de datos y la concurrencia.
Para minimizar fallos, recuperar el entorno de las bases de datos
hasta el punto de la cada y minimizar el tiempo necesario para la
recuperacin
Controles para asegurar la integridad de los datos: programas de
utilidad para comprobar los enlaces fsicos <<punteros>>
asociados a los datos, registros de control para mantener los
balances transitorios de transacciones para su posterior cuadre
con totales generados por el usuario o por otros sistemas.

Controles Especficos de
Ciertas Tecnologas
Planes adecuados de implantacin, conversin y pruebas de
aceptacin para la red.
Existencia de un grupo de control de red.
Controles para asegurar la compatibilidad de conjunto de datos
entre aplicaciones cuando la red es distribuida.

 Procedimientos que definan las medidas y controles de seguridad

a ser usados en la red de informtica en conexin con la
distribucin del contenido de bases de datos entre los
departamentos que usan la red.
Que se identifiquen todos los conjuntos de datos sensibles de la
red y que se han determinado las especificaciones para su
seguridad.
Existencia de inventario de todos los activos de la red.
Existencia de mantenimiento preventivo de todos los activos.
Que existen controles que verifican que todos los mensajes de
salida se validan de forma rutinaria para asegurar que contienen
direcciones de destino vlidas.
Controles de seguridad lgica: control de acceso a la red,
establecimiento de perfiles de usuario.
Procedimientos de cifrado de informacin sensible que se
transmite a travs de la red.
Procedimientos de cifrado de informacin sensible que se
transmite a travs de la red.
Procedimientos automticos para resolver cierres del sistema.
Monitorizacin para medir la eficiencia de la red.
Disear el trazado fsico y las medidas de seguridad de las lneas
de comunicacin local dentro de la organizacin.
Detectar la correcta o mala recepcin de mensajes.
Identificar los mensajes por una clave individual de usuario, por
terminal y por el nmero de secuencia del mensaje.
Revisar los contratos de mantenimiento y el tiempo medio de
servicio acordados con el proveedor.
Determinar si el equipo multiplexor/concentrador/procesador
frontal remoto tiene lgica redundante y poder de respaldo con
realimentacin automtica para casos de fallas.
Asegurarse de que haya procedimientos de recuperacin y
reinicio.
Asegurarse de que existan pistas de auditora que puedan usarse
en la reconstruccin de los archivos de datos y de las
transacciones de los diversos terminales. Debe existir la capacidad
de rastrear los datos entre el terminal y el usuario.
Considerar circuitos de conmutacin que usen rutas alternativas
para diferentes paquetes de informacin provenientes del mismo
mensaje; esto ofrece una forma de seguridad en caso alguien
intercepte los mensajes.

Funcin Control en los

Sistemas
Funcin
control
esparcida
en
la
empresa.
Consecuencia
del
desarrollo
empresarial.
Especializacin de sus reas con
infraestructura tecnolgica.
Decisiones basadas en informacin
confiable, adecuado en tiempo y forma.
Administracin de empresas apoyada en
tecnologa.
Persona encargadas de control: cmo
hacer para obtener efectividad en sus
funciones, si no participan en el desarrollo de los sistemas.
Tendencia se invierte con activa participacin de la funcin de
control en el desarrollo, implementacin y seguimiento de los
sistemas de informtica.