SlideShare ist ein Scribd-Unternehmen logo

Clase 1 control interno y auditoría de sistemas de información

Als PPSX, PDF herunterladen
E
edithua
Bildung
1 von 37
Control Interno y Auditoría de Sistemas de Información 1
Introducción  Información:  Es un recurso crítico  Debe ser protegida  Es la base de la toma de decisiones  Para tener una seguridad razonable sobre su:  Exactitud  Completitud  Disponibilidad  Confidencial Controles internos 2
Introducción  Los controles informáticos ayudan a asegurar que los sistemas automáticos de procesamiento de información funcionan de acuerdo a lo que se espera de ellos  La eficiencia y el control de las actividades de las organizaciones son necesidades básicas 3
Razones para el control interno 1. Creciente dependencia de las organizaciones y sus procesos (internos y externos) respecto a los SI 2. Aumento de la complejidad de los SI con entornos heterogéneos, abiertos y a la vez integrados 3. Éxito de las estrategias de externalización de la gestión de los SI, con los que la dependencia de ellos se refuerza con la dependencia de uno o varios proveedores de servicio 4. Globalización 5. La gestión de calidad total TQM – Total Quality Management 4
Razones para la Auditoría Informática  Inicialmente era el apoyo de la auditoría financiera y posteriormente surgen nuevas funciones cuyos principales impulsores son:  Los reguladores empezaron a generar normativa específica aplicable sobre los SI de las organizaciones y sus procesos de gestión  Los sistemas de comercio electrónico (B2B, B2C) han abierto la puerta a nuevos riesgos derivados de la necesidad de abrir los SI de la organización a terceros  Aumento de la complejidad de los SI y la dependencia de las organizaciones respecto a los mismos 5
Control Interno Informático: De que se encarga?  Controla diariamente que todas las actividades de los SI sean realizadas cumpliendo:  Procedimientos  Estándares  Normas fijadas por la dirección de informática o la organización  Requerimientos legales  Misión  asegurarse de que las medidas que se obtienen de los mecanismos implantados por c/responsable sean correctas y válidas  Suele ser un órganos staff de la Dirección de Informática 6
Control Interno Informático : Objetivos  Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su benignidad y asegurarse del cumplimiento de las normas legales  Asesorar sobre el conocimiento de las normas  Colaborar y apoyar el trabajo de Auditoría Informática, así como las auditorías externas  Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático en cuanto a controles se refiere 7
Control Interno Informático : Objetivos  Realizar en los diferentes sistemas (centrales, departamentales, redes locales, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:  Cumplimiento de procedimientos, normas y controles dictados. Especialmente el control de cambios y versiones de software  Controles sobre la producción diaria  Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático 8
Control Interno Informático : Objetivos  Controles en las redes de comunicaciones  Controles sobre el software de base  Controles sobre la seguridad informática: Usuarios, responsables y perfiles de uso de archivos y bases de datos Normas de seguridad Control de acceso a información clasificada Licencias y relaciones contractuales con terceros Asesorar y transmitir cultura sobre el riesgo informático 9
Auditoría Informática  Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado:  Salvaguarda los activos  Mantiene la integridad de los datos  Lleva a cabo eficazmente los fines de la organización  Utiliza eficientemente los recursos  Sustenta y confirma los objetivos tradicionales de la auditoría:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficiencia y eficacia 10
Qué hace el auditor?  Evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software  Es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada 11
Funciones del auditor  Participar en revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas  Revisar y juzgar los controles implantados en los sistemas para verificar su adecuación a :  Las órdenes e instrucciones de la Dirección  Requisitos legales  Protección de confidencialidad  Cobertura ante errores y fraudes  Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información 12
Analogías Control y Auditoría Informátic@ Control Interno Auditoría Informática Similitudes • Personal Interno • Conocimiento especializado en TI • Verificación de cumplimiento de: • Controles internos • Normativas • Procedimientos de la Dir. De Informática • Procedimientos de la Dir. General para los SI Diferencias • Análisis de los controles en el día a día • Informa a la Dir. De Informática • Solo personal interno • El alcance de sus funciones es únicamente sobre el Dpto. de Informática • Análisis de un momento informático determinado • Informa a la Dir. Gral. Organización • Personal interno y/o externo • Tiene cobertura sobre todos los componentes de los SI de la organiz. 13
Control Interno Informático (CII)  Es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores, irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos  Los controles deben ser:  Completos  Simples  Fiables  Revisables  Adecuados  Rentables (implica analizar coste-riesgo de su implantación) 14
Control Interno Informático (CII)  Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos  Los objetivos de los controles informáticos se han clasificado en las siguientes categorías:  Controles preventivos  Controles detectivos  Controles correctivos 15
CII: Controles  Preventivos > se implementan para tratar de evitar el hecho. Por ej.: Software de seguridad que impida los accesos no autorizados al sistema  Detectivos > cuando fallan los preventivos, estos permiten conocer cuanto antes del evento. Ej.: el registro de intentos no autorizados  Correctivos > facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej.: la recuperación de un archivo dañado a partir de copias de seguridad 16
Implantación de un sistema de CII  Los controles pueden implementarse a varios niveles, por ello es importante llegar a conocer bien la configuración del sistema para identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, así como para identificar posibles riesgos  Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados: 17
Implantación de un sistema de CII  Entorno de red: esquema de red, HW/SW de comunicaciones, control de red, ordenadores que soportan aplicaciones críticas, seguridad de red  Configuración del ordenador: soporte físico, entorno del SO, entornos (prueba y real), bibliotecas de programas y conjuntos de datos  Entorno de aplicaciones: procesos de transacciones, SGBD, entornos de procesos distribuidos  Productos y herramientas: SW para el desarrollo de programas y gestión de bibliotecas y operaciones automáticas  Seguridad de ordenador: identificar y verificar usuarios, control de acceso, registro, integridad del sistema, controles de supervisión 18
Implantación de un sistema de CII  Para implementar un sistema de CII hay que definir:  Gestión de los SI > políticas pautas y normas técnicas que sirvan de base para el diseño y la implantación de los SI y de los controles correspondientes  Administración de sistemas > controles de actividades sobre los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de redes  Seguridad > incluye 3 clases de controles implantados en el SW del sistema: integridad, confidencialidad (control de acceso) y disponibilidad  Gestión de cambio > separación de los ambientes de prueba y producción a nivel de SW y controles de procedimientos para la migración de SW probado y aprobado 19
Implementación de política y cultura sobre seguridad La implementación de una política sobre la seguridad debe ser realizada por fases: 20
 Dirección del negocio o Dirección de SI >  Debe definir la política y/o directrices para los SI en base a las exigencias del negocio, que podrán ser internas o externas  Dirección de informática >  Debe definir las normas de funcionamiento del entorno informático y de c/u de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas aplicables Implementación de política y cultura sobre seguridad: Agentes implicados 21
 Control Interno Informático >  Definir los diferentes controles periódicos a realizar en c/u de las funciones informáticas, de acuerdo al nivel de riesgo de c/u de ellas y diseñarlos conforme a los objetivos del negocio dentro del marco legal aplicable => procedimientos de control interno.  Realizará la revisión de los controles informando las desviaciones a la Dir. De Informática, sugiriendo cambios  Transmitirá la cultura y políticas del riesgo informático Implementación de política y cultura sobre seguridad: Agentes implicados 22
Funcionamiento de CII DIRECCION Exigencias internas y externas Políticas y directrices Estándares, Proc edimientos, Nor mas y Metodologías Implantar procedimientos de control Comprobación y seguimiento de controles Política Cultura 23
 Auditor informático interno/externo >  Revisará los controles internos definidos en c/u de las funciones informáticas y el cumplimiento de la normativa interna y externa, de acuerdo a nivel de riesgo, definido conforme a la Dir. Del Negocio y la Dir. De Informática.  Informará a la alta dirección los hechos observados y al detectarse deficiencias o ausencias de controles recomendará acciones que minimicen los riesgos que puedan originarse. Implementación de política y cultura sobre seguridad: Agentes implicados 24
Algunos controles internos: Controles generales organizativos  Políticas : base para la planificación, control y evaluación (Dir. De Informática)  Planificación:  Plan Estratégico de Información: definición de procesos corporativos y se considera el uso de TI, así como las amenazas y oportunidades de su uso o de su ausencia (Alta dirección)  Plan Informático, determina los caminos precisos plasmados en proyectos informáticos (Dir. De Informática)  Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y disponibilidad de la información  Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos fortuitos 25
 Estándares, que regulen la adquisición de recursos, diseño, desarrollo, modificación y explotación de los sistemas  Procedimientos, que describan la forma y las responsabilidades de ejecutoria para regular las relaciones DI <=>Deptos. Usuarios  Organizar el DI para asegurar su independencia de los Dptos. Usuarios  Descripción de las funciones y responsabilidades dentro del DI con una clara separación de las mismas Algunos controles internos: Controles generales organizativos 26
 Políticas de personal: selección, plan de formación, vacaciones y evaluación/promoción.  Asegurar que la DI revisa todos los informes de control y resuelve las excepciones que ocurran  Asegurar que existe una política de clasificación de la información, para establecer los niveles de acceso  Designar oficialmente la figura de CII y de Auditoría Informática Algunos controles internos: Controles generales organizativos 27
Estos deben permitir alcanzar la eficiencia del sistema, economía e integridad de datos, protección de los recursos y cumplimiento con las leyes y regulaciones:  Metodología del ciclo de vida del desarrollo de sistemas > su empleo podrá garantizar a la alta dirección que se realizará los objetivos definidos para el sistema  Explotación y mantenimiento > el establecimiento de controles asegurará que los datos se tratan de forma congruente y exacta, y que el contenido de sistemas sólo será modificado mediante autorización adecuada Algunos controles internos: Controles de desarrollo, adquisición y mantenimiento de SI 28
 Planificación y gestión de recursos  Controles para usar de manera efectiva, los recursos en ordenadores  Procedimientos de selección de SW de sistema, de instalación, mantenimiento, seguridad y control de cambios  Seguridad física y lógica Algunos controles internos: Controles de Explotación de SI 29
C/Aplicación debe llevar controles para garantizar la entrada, actualización, validez y mantenimiento completo y exacto a los datos/información:  Control de entrada de datos  Procedimientos de entrada, validación y corrección de datos  Controles de tratamiento de los datos para garantizar la integridad de los mismos  Para asegurar que no se dan de alta, modifican o borran datos de manera no autorizada  Controles de salida  Procedimientos de distribución de salidas, de gestión de errores en las salidas Algunos controles internos: Controles en aplicaciones 30
 Controles de SGBD, ej.:  controles sobre acceso a datos y concurrencia,  existencia de procedimientos para la descripción y los cambios de datos así como el mantenimiento de diccionario de datos  Controles en informática distribuida y redes, ej.:  existencia de un grupo de control de red,  existencia de inventario de todos los activos de la red  Controles sobre ordenadores personales y redes de área local, ej.:  políticas de adquisición y utilización,  revisiones periódicas del uso de ordenadores Algunos controles internos: Controles específicos de ciertas tecnologías 31
 Plan general de calidad basado en el plan de la Entidad a largo plazo y el plan a largo plazo de tecnología > debe promover la filosofía de mejora continua y debe responder: “qué”, “quién” y “cómo”  Esquema de garantía de calidad  Compatibilidad de la revisión de garantía de calidad con las normas y procedimientos habituales en las distintas funciones de informática  Metodología de desarrollo de sistemas y su actualización  Coordinación y Comunicación Algunos controles internos: Controles de calidad 32
 Relaciones con proveedores que desarrollan sistemas  Normas de documentación de programas  Normas de pruebas de programas  Normas respecto a las pruebas de sistemas  Pruebas en piloto o en paralelo  Documentación de las pruebas de sistemas  Evaluación del cumplimiento de Garantía de Calidad de las normas de desarrollo Algunos controles internos: Controles de calidad 33
Algunos controles informáticos 34
Conclusiones  Actualmente toda organización moderna es informático-dependiente es por ello que debemos estar conscientes de los riesgos implícitos en el uso de la tecnología para poder neutralizarlos, minimizando su impacto en la organización  El sistema de políticas y procedimientos organizacionales para custodia y salvaguarda de sus activos se ve influido y modificado por el proceso informático  La existencia del CII es una herramienta para la adecuada gestión del entorno de tecnología 35
Conclusiones  Las potencialidades del proceso informático:  Todos los procesos del negocio se encuentran automatizados  La tecnología C-S, el uso de BD, el uso de Internet e Intranets llevan a que la información corporativa esté distribuida geográficamente (descentralizada)  Posibilidades para modificar información mediante accesos no controlados en los sistemas Implican la necesidad de implementar controles informáticos 36
Conclusiones  El papel del auditor puede resumirse en 2 tareas principales:  Apoyo a la auditoría interna en la definición y aplicación de controles internos sobre los procesos de negocio, estratégicos y de soporte de la organización  Auditoría de las gestión de los SI que se plantea básicamente en 2 objetivos:  Que los sistemas de información soportan adecuada y eficientemente los procesos de negocio de las organizaciones  Que la información tratada por los SI dispone de un nivel de seguridad adecuado a su valor y a los riesgos asociados a su uso 37

Empfohlen

Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
Carlos Jara
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Gabriela Mariangel Valderrama Hernandez
 
Planificación de sistemas de información
Planificación de sistemas de informaciónPlanificación de sistemas de información
Planificación de sistemas de información
MARCO POLO SILVA SEGOVIA
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Paola Yèpez
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
Nancy Gamba Porras
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
Javier Moreno
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019
Ciro Bonilla
 

Empfohlen

Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
Carlos Jara
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Gabriela Mariangel Valderrama Hernandez
 
Planificación de sistemas de información
Planificación de sistemas de informaciónPlanificación de sistemas de información
Planificación de sistemas de información
MARCO POLO SILVA SEGOVIA
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Paola Yèpez
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
Nancy Gamba Porras
 
Auditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de InformacionAuditoria Informatica y de Sistemas de Informacion
Auditoria Informatica y de Sistemas de Informacion
Javier Moreno
 
Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019Resume Ejecutivo COBIT 2019
Resume Ejecutivo COBIT 2019
Ciro Bonilla
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
Nanet Martinez
 
Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015
Primala Sistema de Gestion
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
oamz
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
galactico_87
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
Juan Carlos Gonzalez
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
Luis Eduardo Aponte
 
Importancia y Clasificación de las auditorias
Importancia y Clasificación de las auditoriasImportancia y Clasificación de las auditorias
Importancia y Clasificación de las auditorias
Jessica Castaneda
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018
Edgar Garcia
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Ubaldin Gómez Carderón
 
Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo
Alfredo Hernandez
 
ciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacionciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacion
davinson garcia
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
IsaacDaniel20
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
Rocio Saenz
 
Ejemplo informe auditoria-interna
Ejemplo informe auditoria-internaEjemplo informe auditoria-interna
Ejemplo informe auditoria-interna
Jonathan Levy
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
pabloreyes154
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power point
Meinzul ND
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
Giovani Roberto Gómez Millán
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Roberto Porozo
 
Control interno
Control internoControl interno
Control interno
Nombre Apellidos
 

Weitere ähnliche Inhalte

Was ist angesagt?

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
galactico_87
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
Wil Vin
 
Importancia y Clasificación de las auditorias
Importancia y Clasificación de las auditoriasImportancia y Clasificación de las auditorias
Importancia y Clasificación de las auditorias
Jessica Castaneda
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
vmtorrealba
 

Was ist angesagt? (20)

Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015Introduccion a la norma iso 9001 2015
Introduccion a la norma iso 9001 2015
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
Importancia y Clasificación de las auditorias
Importancia y Clasificación de las auditoriasImportancia y Clasificación de las auditorias
Importancia y Clasificación de las auditorias
 
Presentacion coso 21102018
Presentacion coso 21102018Presentacion coso 21102018
Presentacion coso 21102018
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo
 
ciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacionciclo de vida de los Sistemas de informacion
ciclo de vida de los Sistemas de informacion
 
Metodología COBIT
Metodología COBITMetodología COBIT
Metodología COBIT
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
 
Ejemplo informe auditoria-interna
Ejemplo informe auditoria-internaEjemplo informe auditoria-interna
Ejemplo informe auditoria-interna
 
Mapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de SistemasMapa conceptual - Auditoría de Sistemas
Mapa conceptual - Auditoría de Sistemas
 
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQAASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
ASEGURAMIENTO DE LA CALIDAD EN LOS SISTEMAS DE INFORMACION SQA
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power point
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 

Andere mochten auch

Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
Roberto Porozo
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS
 
Planificacion de la auditoria en sistema
Planificacion de la auditoria en sistemaPlanificacion de la auditoria en sistema
Planificacion de la auditoria en sistema
Calavera Cx
 
Técnicas y procedimientos de Auditoria
Técnicas y procedimientos de AuditoriaTécnicas y procedimientos de Auditoria
Técnicas y procedimientos de Auditoria
Anayenci Ramos
 
COSO Y COSO ERM
COSO Y COSO ERMCOSO Y COSO ERM
COSO Y COSO ERM
Yelba Cuarezma
 
Desastre de Bhopal, India 1984
Desastre de Bhopal, India 1984Desastre de Bhopal, India 1984
Desastre de Bhopal, India 1984
m_itzel_20
 

Andere mochten auch (20)

Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Control interno
Control internoControl interno
Control interno
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
02 tipos de auditoria
02 tipos de auditoria02 tipos de auditoria
02 tipos de auditoria
 
Segunda parte
Segunda parteSegunda parte
Segunda parte
 
Control interno-informatico
Control interno-informaticoControl interno-informatico
Control interno-informatico
 
Procedimientos y técnicas de auditoria, control interno pub
Procedimientos y técnicas de auditoria, control interno pubProcedimientos y técnicas de auditoria, control interno pub
Procedimientos y técnicas de auditoria, control interno pub
 
Planificación de auditoría informática
Planificación de auditoría informáticaPlanificación de auditoría informática
Planificación de auditoría informática
 
Pseint Variables Y Comentarios
Pseint Variables Y ComentariosPseint Variables Y Comentarios
Pseint Variables Y Comentarios
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
Control Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de SistemasControl Interno en la Auditoría de Sistemas
Control Interno en la Auditoría de Sistemas
 
Planificacion de la auditoria en sistema
Planificacion de la auditoria en sistemaPlanificacion de la auditoria en sistema
Planificacion de la auditoria en sistema
 
PROCESO DE AUDITORÍA DE SISTEMAS
PROCESO DE AUDITORÍA DE SISTEMASPROCESO DE AUDITORÍA DE SISTEMAS
PROCESO DE AUDITORÍA DE SISTEMAS
 
Tema 1: Definición y clases de Auditoría
Tema 1: Definición y clases de AuditoríaTema 1: Definición y clases de Auditoría
Tema 1: Definición y clases de Auditoría
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas Informaticos
 
Técnicas y procedimientos de Auditoria
Técnicas y procedimientos de AuditoriaTécnicas y procedimientos de Auditoria
Técnicas y procedimientos de Auditoria
 
COSO Y COSO ERM
COSO Y COSO ERMCOSO Y COSO ERM
COSO Y COSO ERM
 
11+problemas+resueltos+de+tecnología+mecánica
11+problemas+resueltos+de+tecnología+mecánica11+problemas+resueltos+de+tecnología+mecánica
11+problemas+resueltos+de+tecnología+mecánica
 
Desastre de Bhopal, India 1984
Desastre de Bhopal, India 1984Desastre de Bhopal, India 1984
Desastre de Bhopal, India 1984
 
Auditoria - Control interno
Auditoria - Control internoAuditoria - Control interno
Auditoria - Control interno
 

Ähnlich wie Clase 1 control interno y auditoría de sistemas de información

Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemas
Szarguz
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)
joselynf
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
Liliana Nieto
 

Ähnlich wie Clase 1 control interno y auditoría de sistemas de información (20)

control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
Control interno
Control internoControl interno
Control interno
 
Control interno informatico (1)
Control interno informatico (1)Control interno informatico (1)
Control interno informatico (1)
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamiento
 
Unidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemasUnidad 5 auditoria de sistemas
Unidad 5 auditoria de sistemas
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdf
 
Auditoria f€  ísica
Auditoria f€  ísicaAuditoria f€  ísica
Auditoria f€  ísica
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 
Mag parte viii auditoria informatica
Mag parte viii auditoria informaticaMag parte viii auditoria informatica
Mag parte viii auditoria informatica
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)
 
Unidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamientoUnidad iii control interno en los sistemas de procesamiento
Unidad iii control interno en los sistemas de procesamiento
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 

Mehr von edithua

Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
edithua
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
edithua
 

Mehr von edithua (7)

Administración de redes
Administración de redesAdministración de redes
Administración de redes
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 
Semana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisionesSemana 10 sistema de apoyo a decisiones
Semana 10 sistema de apoyo a decisiones
 
Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)Semana 9 sistemas de información gerencial (sig)
Semana 9 sistemas de información gerencial (sig)
 
Semana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de swSemana 8 técnicas y herramientas para el desarrollo de sw
Semana 8 técnicas y herramientas para el desarrollo de sw
 
Semana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de informaciónSemana 9 auditoría de sistemas de información
Semana 9 auditoría de sistemas de información
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 

Kürzlich hochgeladen

TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
jlorentemartos
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
deimerhdz21
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
pvtablets2023
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 

Kürzlich hochgeladen (20)

Diapositivas de animales reptiles secundaria
Diapositivas de animales reptiles secundariaDiapositivas de animales reptiles secundaria
Diapositivas de animales reptiles secundaria
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
INSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptxINSTRUCCION PREPARATORIA DE TIRO .pptx
INSTRUCCION PREPARATORIA DE TIRO .pptx
 
Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.Análisis de los Factores Externos de la Organización.
Análisis de los Factores Externos de la Organización.
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptxRESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
RESULTADOS DE LA EVALUACIÓN DIAGNÓSTICA 2024 - ACTUALIZADA.pptx
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIASISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
SISTEMA RESPIRATORIO PARA NIÑOS PRIMARIA
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADOTIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
TIENDAS MASS MINIMARKET ESTUDIO DE MERCADO
 

Clase 1 control interno y auditoría de sistemas de información

  • 1. Control Interno y Auditoría de Sistemas de Información 1
  • 2. Introducción  Información:  Es un recurso crítico  Debe ser protegida  Es la base de la toma de decisiones  Para tener una seguridad razonable sobre su:  Exactitud  Completitud  Disponibilidad  Confidencial Controles internos 2
  • 3. Introducción  Los controles informáticos ayudan a asegurar que los sistemas automáticos de procesamiento de información funcionan de acuerdo a lo que se espera de ellos  La eficiencia y el control de las actividades de las organizaciones son necesidades básicas 3
  • 4. Razones para el control interno 1. Creciente dependencia de las organizaciones y sus procesos (internos y externos) respecto a los SI 2. Aumento de la complejidad de los SI con entornos heterogéneos, abiertos y a la vez integrados 3. Éxito de las estrategias de externalización de la gestión de los SI, con los que la dependencia de ellos se refuerza con la dependencia de uno o varios proveedores de servicio 4. Globalización 5. La gestión de calidad total TQM – Total Quality Management 4
  • 5. Razones para la Auditoría Informática  Inicialmente era el apoyo de la auditoría financiera y posteriormente surgen nuevas funciones cuyos principales impulsores son:  Los reguladores empezaron a generar normativa específica aplicable sobre los SI de las organizaciones y sus procesos de gestión  Los sistemas de comercio electrónico (B2B, B2C) han abierto la puerta a nuevos riesgos derivados de la necesidad de abrir los SI de la organización a terceros  Aumento de la complejidad de los SI y la dependencia de las organizaciones respecto a los mismos 5
  • 6. Control Interno Informático: De que se encarga?  Controla diariamente que todas las actividades de los SI sean realizadas cumpliendo:  Procedimientos  Estándares  Normas fijadas por la dirección de informática o la organización  Requerimientos legales  Misión  asegurarse de que las medidas que se obtienen de los mecanismos implantados por c/responsable sean correctas y válidas  Suele ser un órganos staff de la Dirección de Informática 6
  • 7. Control Interno Informático : Objetivos  Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su benignidad y asegurarse del cumplimiento de las normas legales  Asesorar sobre el conocimiento de las normas  Colaborar y apoyar el trabajo de Auditoría Informática, así como las auditorías externas  Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático en cuanto a controles se refiere 7
  • 8. Control Interno Informático : Objetivos  Realizar en los diferentes sistemas (centrales, departamentales, redes locales, etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las diferentes actividades operativas sobre:  Cumplimiento de procedimientos, normas y controles dictados. Especialmente el control de cambios y versiones de software  Controles sobre la producción diaria  Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático 8
  • 9. Control Interno Informático : Objetivos  Controles en las redes de comunicaciones  Controles sobre el software de base  Controles sobre la seguridad informática: Usuarios, responsables y perfiles de uso de archivos y bases de datos Normas de seguridad Control de acceso a información clasificada Licencias y relaciones contractuales con terceros Asesorar y transmitir cultura sobre el riesgo informático 9
  • 10. Auditoría Informática  Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado:  Salvaguarda los activos  Mantiene la integridad de los datos  Lleva a cabo eficazmente los fines de la organización  Utiliza eficientemente los recursos  Sustenta y confirma los objetivos tradicionales de la auditoría:  Objetivos de protección de activos e integridad de datos  Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficiencia y eficacia 10
  • 11. Qué hace el auditor?  Evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software  Es responsable de revisar e informar a la Dirección de la organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada 11
  • 12. Funciones del auditor  Participar en revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas  Revisar y juzgar los controles implantados en los sistemas para verificar su adecuación a :  Las órdenes e instrucciones de la Dirección  Requisitos legales  Protección de confidencialidad  Cobertura ante errores y fraudes  Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información 12
  • 13. Analogías Control y Auditoría Informátic@ Control Interno Auditoría Informática Similitudes • Personal Interno • Conocimiento especializado en TI • Verificación de cumplimiento de: • Controles internos • Normativas • Procedimientos de la Dir. De Informática • Procedimientos de la Dir. General para los SI Diferencias • Análisis de los controles en el día a día • Informa a la Dir. De Informática • Solo personal interno • El alcance de sus funciones es únicamente sobre el Dpto. de Informática • Análisis de un momento informático determinado • Informa a la Dir. Gral. Organización • Personal interno y/o externo • Tiene cobertura sobre todos los componentes de los SI de la organiz. 13
  • 14. Control Interno Informático (CII)  Es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores, irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos  Los controles deben ser:  Completos  Simples  Fiables  Revisables  Adecuados  Rentables (implica analizar coste-riesgo de su implantación) 14
  • 15. Control Interno Informático (CII)  Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos  Los objetivos de los controles informáticos se han clasificado en las siguientes categorías:  Controles preventivos  Controles detectivos  Controles correctivos 15
  • 16. CII: Controles  Preventivos > se implementan para tratar de evitar el hecho. Por ej.: Software de seguridad que impida los accesos no autorizados al sistema  Detectivos > cuando fallan los preventivos, estos permiten conocer cuanto antes del evento. Ej.: el registro de intentos no autorizados  Correctivos > facilitan la vuelta a la normalidad cuando se han producido incidencias. Ej.: la recuperación de un archivo dañado a partir de copias de seguridad 16
  • 17. Implantación de un sistema de CII  Los controles pueden implementarse a varios niveles, por ello es importante llegar a conocer bien la configuración del sistema para identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, así como para identificar posibles riesgos  Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados: 17
  • 18. Implantación de un sistema de CII  Entorno de red: esquema de red, HW/SW de comunicaciones, control de red, ordenadores que soportan aplicaciones críticas, seguridad de red  Configuración del ordenador: soporte físico, entorno del SO, entornos (prueba y real), bibliotecas de programas y conjuntos de datos  Entorno de aplicaciones: procesos de transacciones, SGBD, entornos de procesos distribuidos  Productos y herramientas: SW para el desarrollo de programas y gestión de bibliotecas y operaciones automáticas  Seguridad de ordenador: identificar y verificar usuarios, control de acceso, registro, integridad del sistema, controles de supervisión 18
  • 19. Implantación de un sistema de CII  Para implementar un sistema de CII hay que definir:  Gestión de los SI > políticas pautas y normas técnicas que sirvan de base para el diseño y la implantación de los SI y de los controles correspondientes  Administración de sistemas > controles de actividades sobre los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de redes  Seguridad > incluye 3 clases de controles implantados en el SW del sistema: integridad, confidencialidad (control de acceso) y disponibilidad  Gestión de cambio > separación de los ambientes de prueba y producción a nivel de SW y controles de procedimientos para la migración de SW probado y aprobado 19
  • 20. Implementación de política y cultura sobre seguridad La implementación de una política sobre la seguridad debe ser realizada por fases: 20
  • 21.  Dirección del negocio o Dirección de SI >  Debe definir la política y/o directrices para los SI en base a las exigencias del negocio, que podrán ser internas o externas  Dirección de informática >  Debe definir las normas de funcionamiento del entorno informático y de c/u de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas aplicables Implementación de política y cultura sobre seguridad: Agentes implicados 21
  • 22.  Control Interno Informático >  Definir los diferentes controles periódicos a realizar en c/u de las funciones informáticas, de acuerdo al nivel de riesgo de c/u de ellas y diseñarlos conforme a los objetivos del negocio dentro del marco legal aplicable => procedimientos de control interno.  Realizará la revisión de los controles informando las desviaciones a la Dir. De Informática, sugiriendo cambios  Transmitirá la cultura y políticas del riesgo informático Implementación de política y cultura sobre seguridad: Agentes implicados 22
  • 23. Funcionamiento de CII DIRECCION Exigencias internas y externas Políticas y directrices Estándares, Proc edimientos, Nor mas y Metodologías Implantar procedimientos de control Comprobación y seguimiento de controles Política Cultura 23
  • 24.  Auditor informático interno/externo >  Revisará los controles internos definidos en c/u de las funciones informáticas y el cumplimiento de la normativa interna y externa, de acuerdo a nivel de riesgo, definido conforme a la Dir. Del Negocio y la Dir. De Informática.  Informará a la alta dirección los hechos observados y al detectarse deficiencias o ausencias de controles recomendará acciones que minimicen los riesgos que puedan originarse. Implementación de política y cultura sobre seguridad: Agentes implicados 24
  • 25. Algunos controles internos: Controles generales organizativos  Políticas : base para la planificación, control y evaluación (Dir. De Informática)  Planificación:  Plan Estratégico de Información: definición de procesos corporativos y se considera el uso de TI, así como las amenazas y oportunidades de su uso o de su ausencia (Alta dirección)  Plan Informático, determina los caminos precisos plasmados en proyectos informáticos (Dir. De Informática)  Plan General de Seguridad (física y lógica), que garantice la confidencialidad, integridad y disponibilidad de la información  Plan de emergencia ante desastres, que garantice la disponibilidad de los sistemas ante eventos fortuitos 25
  • 26.  Estándares, que regulen la adquisición de recursos, diseño, desarrollo, modificación y explotación de los sistemas  Procedimientos, que describan la forma y las responsabilidades de ejecutoria para regular las relaciones DI <=>Deptos. Usuarios  Organizar el DI para asegurar su independencia de los Dptos. Usuarios  Descripción de las funciones y responsabilidades dentro del DI con una clara separación de las mismas Algunos controles internos: Controles generales organizativos 26
  • 27.  Políticas de personal: selección, plan de formación, vacaciones y evaluación/promoción.  Asegurar que la DI revisa todos los informes de control y resuelve las excepciones que ocurran  Asegurar que existe una política de clasificación de la información, para establecer los niveles de acceso  Designar oficialmente la figura de CII y de Auditoría Informática Algunos controles internos: Controles generales organizativos 27
  • 28. Estos deben permitir alcanzar la eficiencia del sistema, economía e integridad de datos, protección de los recursos y cumplimiento con las leyes y regulaciones:  Metodología del ciclo de vida del desarrollo de sistemas > su empleo podrá garantizar a la alta dirección que se realizará los objetivos definidos para el sistema  Explotación y mantenimiento > el establecimiento de controles asegurará que los datos se tratan de forma congruente y exacta, y que el contenido de sistemas sólo será modificado mediante autorización adecuada Algunos controles internos: Controles de desarrollo, adquisición y mantenimiento de SI 28
  • 29.  Planificación y gestión de recursos  Controles para usar de manera efectiva, los recursos en ordenadores  Procedimientos de selección de SW de sistema, de instalación, mantenimiento, seguridad y control de cambios  Seguridad física y lógica Algunos controles internos: Controles de Explotación de SI 29
  • 30. C/Aplicación debe llevar controles para garantizar la entrada, actualización, validez y mantenimiento completo y exacto a los datos/información:  Control de entrada de datos  Procedimientos de entrada, validación y corrección de datos  Controles de tratamiento de los datos para garantizar la integridad de los mismos  Para asegurar que no se dan de alta, modifican o borran datos de manera no autorizada  Controles de salida  Procedimientos de distribución de salidas, de gestión de errores en las salidas Algunos controles internos: Controles en aplicaciones 30
  • 31.  Controles de SGBD, ej.:  controles sobre acceso a datos y concurrencia,  existencia de procedimientos para la descripción y los cambios de datos así como el mantenimiento de diccionario de datos  Controles en informática distribuida y redes, ej.:  existencia de un grupo de control de red,  existencia de inventario de todos los activos de la red  Controles sobre ordenadores personales y redes de área local, ej.:  políticas de adquisición y utilización,  revisiones periódicas del uso de ordenadores Algunos controles internos: Controles específicos de ciertas tecnologías 31
  • 32.  Plan general de calidad basado en el plan de la Entidad a largo plazo y el plan a largo plazo de tecnología > debe promover la filosofía de mejora continua y debe responder: “qué”, “quién” y “cómo”  Esquema de garantía de calidad  Compatibilidad de la revisión de garantía de calidad con las normas y procedimientos habituales en las distintas funciones de informática  Metodología de desarrollo de sistemas y su actualización  Coordinación y Comunicación Algunos controles internos: Controles de calidad 32
  • 33.  Relaciones con proveedores que desarrollan sistemas  Normas de documentación de programas  Normas de pruebas de programas  Normas respecto a las pruebas de sistemas  Pruebas en piloto o en paralelo  Documentación de las pruebas de sistemas  Evaluación del cumplimiento de Garantía de Calidad de las normas de desarrollo Algunos controles internos: Controles de calidad 33
  • 35. Conclusiones  Actualmente toda organización moderna es informático-dependiente es por ello que debemos estar conscientes de los riesgos implícitos en el uso de la tecnología para poder neutralizarlos, minimizando su impacto en la organización  El sistema de políticas y procedimientos organizacionales para custodia y salvaguarda de sus activos se ve influido y modificado por el proceso informático  La existencia del CII es una herramienta para la adecuada gestión del entorno de tecnología 35
  • 36. Conclusiones  Las potencialidades del proceso informático:  Todos los procesos del negocio se encuentran automatizados  La tecnología C-S, el uso de BD, el uso de Internet e Intranets llevan a que la información corporativa esté distribuida geográficamente (descentralizada)  Posibilidades para modificar información mediante accesos no controlados en los sistemas Implican la necesidad de implementar controles informáticos 36
  • 37. Conclusiones  El papel del auditor puede resumirse en 2 tareas principales:  Apoyo a la auditoría interna en la definición y aplicación de controles internos sobre los procesos de negocio, estratégicos y de soporte de la organización  Auditoría de las gestión de los SI que se plantea básicamente en 2 objetivos:  Que los sistemas de información soportan adecuada y eficientemente los procesos de negocio de las organizaciones  Que la información tratada por los SI dispone de un nivel de seguridad adecuado a su valor y a los riesgos asociados a su uso 37