domingo, 31 de marzo de 2013

Control interno - Auditoría de Sistemas

  • Control interno :
Esta referido fundamentalmente a la adopción de medidas preventivas, que tienen como finalidad salvaguardar los bienes de la empresa. Busca evitar acciones nefastas como sabotajes, fraudes y otro tipo de situaciones que lleven a inestabilidad o desaparición del negocio.
Carlos Muñoz Razzo :
“El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a salvaguardar la integridad de los bienes institucionales y así ayudar a la administración para el cumplimiento correcto de las actividades y operaciones de las empresas”.
José Antonio Echenique :
“El control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y proveer la adherencia a las políticas prescritas por la administración”
  •  Control interno y la nueva economía
Algo es claro y evidente, la nueva economía ha obligado a las empresas a realizar cambios. Algunos de estos cambios, se pueden resumir en:
- Restructuración de los procesos empresariales (BPR: Business Process - Re-engineering).
- Gestión de la calidad (TQM).
- Redimensionamiento por reducción o crecimiento hasta el nivel correcto.
- Outsourcing.
- Descentralización.
  • Control interno y las fuerzas externas
- Los grandes cambios en las empresas, no siempre son voluntarios, estos generalmente responden a fuerzas externas que presionan a la empresa.
 

- Ante esta situación, las empresas deben evaluar sus sistemas de control interno de manera permanente. Para enfrentar y manejar estas fuerzas, se hace necesaria la adopción de la tecnología disponible.
 

- Los Sistemas de información constituyen un soporte fundamental para poner en marcha las estrategias planteadas por la alta dirección. Lo que origina también un aumento de las necesidades de control y auditoria. Es en este escenario que aparecen dos conceptos fundamentales: El control interno informático y la Auditoria informática.


  • Control interno gubernamental
Es un proceso realizado por la dirección, gerencia y otros empleados de la entidad, para proporcionar seguridad razonable, respecto a si están lográndose los objetivos siguientes:

1. Promover la efectividad, eficiencia y economía en las operaciones y, la calidad en los servicios.
2. Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto legal
3. Cumplir las leyes, reglamentos y otras normas gubernamentales
4. Elaborar información financiera válida y confiable, presentada con oportunidad.
5. Promover una Cultura de Integridad, Transparencia y Responsabilidad den la Función Pública, cautelando el correcto desempeño de los funcionarios y servidores.

En las entidades gubernamentales realizan la función de control interno los funcionarios y servidores de la entidad de acuerdo a sus niveles de responsabilidad.





  • ¿QUIÉN EVALUA EL CONTROL INTERNO?
Los auditores de la entidad (OCI) de la Contraloría General de la República y las SOAs, mediante auditorías o exámenes especiales.

PRINCIPIOS :

 
1. Delimitación de responsabilidades.
2. Separación de funciones incompatibles.
3. Ninguna persona debe tener responsabilidad
completa.
4. Selección de servidores hábiles y capacitados.
5. Aplicación de pruebas continuas de exactitud.
6. Rotación de personal.
7. Fianzas.
8. Instrucciones por escrito.
9. Uso de formularios pre - numerados.
10. Evitar uso de dinero en efectivo.
11. Depósito inmediato o intactos fondo.
12. Uso mínimo de cuentas bancarias.





  • Control interno informático
Se encarga de que el control de las actividades informáticas, se realicen cumpliendo los estándares fijados por la organización. Este control debe tener carácter preventivo, detectivo y correctivo.




  1. Las medidas preventivas son aquellas orientadas a la prevención de riesgos o situaciones anómalas a las fijadas en la institución. Un ejemplo de esto es prevenir accesos no deseados a las aplicaciones.
  2. Las medidas detectivas son aquellas que muestran evidencia de incumplimiento o intentos de quebrantar los estándares fijados. Podríamos citar como situación ilustrativa la revisión de la bitácora de accesos fallidos a las aplicaciones con el fin de detectar horas y equipos desde donde se hace los intentos fallidos de acceso.
  3. Las medidas correctivas se orientan a recuperarnos ante la vulnerabilidad de las medidas preventivas. Van a ser evaluadas por su efectividad y tiempos de respuesta. Ejemplo de esto es las medidas orientadas a recuperase de los daños ocasionados por un acceso no deseado.
El control interno informático, suele ser un staff de la Dirección del departamento de informática y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. En nuestro país la constitución de este staff va a depender de la magnitud de la organización.
  • OBJETIVOS (control interno informático):
  • Control de las actividades orientadas al cumplimiento de los procedimientos y normas fijados por la organización así como el cumplimiento de las normas legales.
  • Asesorar al personal de la organización sobre el conocimiento de las normas.
  • Colaborar y apoyar el trabajo de auditoria Informática.
  • Definir, implantar y ejecutar mecanismos y controles así como establecer responsabilidades en la evaluación y ejecución de las medidas preventivas.

TIPOS:
Según los objetivos se clasifica en:

  1. Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
  2. Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
  3. Controles correctivos: facilitan la vuelta a la normatividad cuando se han producido incidencias. Por ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.



  • Control interno y auditoría informática :
Campos análogos

El control interno Informático y la auditoría Informática, tienen similitudes en sus objetivos profesionales. Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo existen diferencias que conviene resaltar.







COBIT
 


Definición :

Control OBjectives for Information and Related Technology (Objetivos de Control para Tecnología de la Información y Tecnologías relacionadas)

COBIT es un modelo de gestión y control de TI, con el objetivo de consensuar: los riesgos del negocio, las necesidades de control, y los aspectos tecnológicos, mediante la entrega de buenas prácticas aplicables a una estructura lógica de procesos y actividades.



Misión :  “Investigar, desarrollar, publicitar y promover un actualizado, confiable e internacionalmente aceptado conjunto de Objetivos para el control de TI, a ser utilizados en el desarrollo habitual de las operaciones tanto por gerentes del negocio, como por auditores.”

  • Razones que llevan a considerar implantar un modelo de gestión de TI
- Dependencia creciente del negocio frente a la información
- La Tecnología soporta la cuasi totalidad de los procesos del negocio

- Los desarrollos constantes en TI y en las prácticas de negocio
- La responsabilidad por el uso de la tecnología se extiende en la organización

- Los cambios más importantes se realizan pero igual continúa la presión hacia el cambio
- Nivel de inversiones en tecnología
- Constante aumento de vulnerabilidades y un amplio espectro de amenazas.
- Potencial de TI para efectuar cambios profundos en las organizaciones, crear nuevas oportunidades de negocios y reducir los costos
- Incremento de la necesidad de contar con un modelo adecuado de gobernabilidad corporativa (“corporate governance”)


  • ¿Quién necesita un modelo de gestión y control de TI?
Gerentes
- decisiones de inversión en TI
- equilibrar riesgo y control de las inversiones
- benchmark entre la situación de TI actual y la deseada
Usuarios
- obtención de una seguridad adecuada sobre los productos y servicios de TI que ellos adquieren, internamente y externamente
Auditores
- fundamentar las opiniones vertidas a la gerencia en materia de control interno
- aconsejar sobre los controles mínimos necesarios

  • PRINCIPIOS
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.



  • Requerimientos de la información para el negocios
Requerimientos de Calidad
- Calidad.
- Costo.
- Oportunidad.
Requerimientos Financieros (COSO)
- Efectividad y eficiencia operacional.
- Confiabilidad de los reportes financieros.
- Cumplimiento de leyes y regulaciones.
Requerimientos de Seguridad
- Confidencialidad.
- Integridad.
- Disponibilidad.

  • Procesos de TI
Dominios : Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional
Procesos : Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades o tareas : Acciones requeridas para lograr un resultado medible. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.



  • Beneficios del COBIT

La Gerencia : para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales : quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
Los Auditores : para soportar sus opiniones sobre los controles de los proyectos de TI , su impacto en la organización y determinar el control mínimo requerido.
Los Responsables de TI : para identificar los controles que requieren en sus áreas



Espero haber ayudado en algo. Hasta la próxima oportunidad! 

2 comentarios:

  1. Las auditorías de software y asesoría, son temas sumamente delicados que hemos visto en Lufai, y por eso siempre buscamos ofrecer a nuestros usuarios la mejor atención posible sobre el tema.

    ResponderEliminar

       
free counters

Páginas vistas en total según Google