CONTROL INTERNO El Control Interno Informático puede definirse
Anuncio
CONTROL INTERNO El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla) El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G. Plattini) Tipos En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos: • Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales. • Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc. Los controles según su finalidad se clasifican en: • Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. • Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. • Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Objetivos principales: • Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. • Asesorar sobre el conocimiento de las normas • Colaborar y apoyar el trabajo de Auditoría Informática interna/externa • Definir, implantar y ejecutar mecanismos y controles para comprobar el grado de cumplimiento de los servicios informáticos. • Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan. Control interno informático (función) El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones específicas están: • Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores. • Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos: • Desarrollo y mantenimiento del software de aplicación. • Explotación de servidores principales • Software de Base • Redes de Computación • Seguridad Informática • Licencias de software • Relaciones contractuales con terceros • Cultura de riesgo informático en la organización Control interno informático (áreas de aplicación) Controles generales organizativos Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación: • Plan Estratégico de Información realizado por el Comité de Informática. • Plan Informático, realizado por el Departamento de Informática. • Plan General de Seguridad (física y lógica). • Plan de Contingencia ante desastres. Controles de desarrollo y mantenimiento de sistemas de información Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones. Controles de explotación de sistemas de información Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software. Controles en aplicaciones Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestión de base de datos Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informáticos sobre redes Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidos. Controles sobre computadores y redes de área local Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan. METODOLOGÍA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES Llevar a cabo una autoría de sistemas computacionales requiere de una serie organizada de acciones y procedimientos específicos, los cuales deberían ser diseñados previamente de manera secuencial, cronológica y adornada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución misma que serán establecidos conforme a las necesidades especiales de la institución. Auditoria de información: En esta podemos desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizarlas: Inventario físico: Masificación de la información (Infomap). Análisis de las necesidades de información. Gráficos de procesos y flujos de trabajo. Procesos de control y verificación. Inventario físico: Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado. Masificación de la información (Infomap): Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable, etc. Análisis de las necesidades de información: Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos. Gráficos de procesos y flujos de trabajo: Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de la información. Procesos de control y verificación: En una auditoria de la información, se deben establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de información. En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo Planeación de la auditoria de sistemas computacionales: La auditoria de sistemas, permite mostrar las debilidades y las fortalezas de una empresa, con respecto a los controles que se estén empleando, a los sistemas y procedimientos de la informática, los equipos de cómputo que se emplean, su utilización, eficiencia y seguridad. Para ello se realiza una inspección pormenorizada de los sistemas de información, desde sus entradas, procedimientos, comunicación, controles, archivos, seguridad, personal y obtención de la información, cabe recalcar que, la auditoria inicia su actividad cuando los sistemas están operativos y el principal objetivo es el de mantener tal como está la situación para comenzar el levantamiento de información. Posteriormente la auditoria generara un informe, para que las debilidades que son detectadas, sean corregidas y se establecen nuevos métodos de prevención con el fin de mejorar los procesos, aumentar la confiabilidad en los sistemas y reducir los riesgos. La organización como segunda fase del proceso administrativo puede definirse como la agrupación de las actividades necesarias para llevar a cabo los planes asignando la autoridad y responsabilidad a quienes tienen a su cargo la ejecución de dichas actividades. La organización define las relaciones que logran la cohesión entre los esfuerzos tendientes al logro de los objetivos. De la definición anterior derivaremos algunos puntos que el auditor administrativo debe comprender al llevar a cabo una revisión, en toda estructura organiza debe identificar: Definición de las funciones y actividades necesarias para la Integración de ese fiel cumplimiento de los propósitos de la empresa. Funciones y actividades en divisiones o departamentos con fisonomía e Jerarquización de autoridad den importancias propias pero coordinadas entre sí. Por la división del trabajo actúen Definición de cada puesto considerado como la unidad coordinadamente. Este especifica menor que presente el orden mínimo dentro de un grupo de tareas que deben ser desempeñadas por una sola personas. La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo. OBJETIVO DE AUDITORIA Este consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para ello la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas. Los miembros de la organización a quien Auditoria apoya, incluye a Directorio y las Gerencias. ORIGEN DE LA AUDITORIA: Por solicitud expresa de procedencia interna: Es un origen oficial sobre las necesidades de realizar una auditoría al área de sistemas de la empresa. Con esta solicitud se marca el requisito formal para poder llevar a cabo una evaluación en el área de sistema. Esta petición de revisión a los sistemas de la empresa puede obedecer a muchas causas y generalmente se encomienda a un auditor externo. A PETICION DE ACCIONISTAS, SOCIOS Y DUEÑOS: Este es el más común de los orígenes de una auditoria, en el caso de los sistemas, la solicitud de auditoría va enfocada hacia el aprovechamiento de los recursos del área de sistematización de la empresa. Y está en su mayor parte de veces esta revisiones se encargan a auditores externos. POR ORDEN DE LA DIRECCION GENERAL: Esta revisión se realiza por una orden directa de quien ejerce la máxima autoridad en la empresa, pudiendo tener múltiples motivo, tales como una evolución periódica del área del sistema, por desconfianza de la actuación de los dirigentes del área, para verificar el cumplimiento de las actividades, para verificar el aprovechamiento de los sistemas más computacionales de la institución o por algún otro motivo. POR ORDENDE LAS GERENCIAS O DEPARTAMENTOS A NIVEL SUPERIOR: Esta auditoría se origina por una petición de las gerencias y departamento de mando superior de la empresa, según su características, estructura de organización y funciones que desempeñan la misma; en este caso, por alguna razón laboral valida, estos funcionarios demandan la realización de una auditoria al área del sistema computacionales de la empresa. A solicitud de funcionarios y empleados de otros niveles: El origen de esta auditoría es algo irregular y poco usual en la empresa, ya que la solicitudes de auditoría de los niveles más bajos de la jerarquía institucional y, según las políticas y procedimientos de la empresa, para que esta solicitud sea atendida, en muchos de los casos se tiene que seguir los canales formales de comunicación y autorización establecida en la empresa. Por solicitud expresa de procedencia externa: Esta solicitud es hecha por alguien ajeno a la empresa, este tipo de solicitud puede ser obligatoria si es por mandato expreso de alguna autoridad, o bien por voluntad de la empresa si alguien ajeno a ésta solicita la auditoria por tener un vinculo leve o amplio con ella, en este caso la empresa no tiene la obligación de acatar esta solicitudes de auditoría. POR MANDATOS DE AUTORIDADES JUDICIALES: Este origen es el más común y siempre se deriva de un mandato de las autoridades judiciales, quienes por algún motivo solicita (imponen) la realización de una auditoria a la empresa, esta auditoría puede tener varios orígenes específicos: como resultado de alguna auditoria anterior, a petición de algún tercero, por la suposición de un delito o por cualquier otro motivo. POR ORDRNRE DE LAS AUTORIDADES: Este es unos de los orígenes más importantes de una auditoría externa y es cuando las autoridades fiscales solicitan (imponen) la realización de una auditoria; por lo general ésta es de tipo externo, realizada por una empresa, despacho o auditor independiente, casi siempre está enfocada a revisar la información de tipo impositivo que se procesa en los sistemas computacionales de la empresa. PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS COMPUTACIONES Al realizar unaaudi toría el auditor tiene que recopilar los datos obtenidos y registrarlos ormalmente en documentos; estos documentos pueden ser manuscritos, manuales instructivos, graficas, resultados de procesamientos, concentrados de bases de datos, respaldos (backups) o cualquier otro medio escrito o digital, en los cuales recopilará los hechos, pruebas, tabulaciones, interpretaciones, así como el análisis de los datos obtenidos. Los papeles de trabajo proporcionan un orden adecuado al rabajo del auditor y le sirven como soporte documental ara registrar y mostrar las evidencias (entrevistas, uestionarios, pruebas, encuestas, investigaciones, bservaciones y opiniones) de las situaciones relevantes ncontradas durante la evaluación y reportadas en el nforme. CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO •Hoja de identificación •Índice de contenido de los papeles de trabajo •Dictamen preliminar •Resumen de desviaciones detectadas •Situaciones encontradas •Programa de trabajo de auditoría •Guía de auditoría •Inventario de software •Inventario de hardware •Manual de organización •Descripción de puestos CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO •Reportes de pruebas y resultados •Respaldos de datos y programas de aplicación de auditoría •Respaldos de las bases de datos y de los sistemas •Guías de claves para el señalamiento de los papeles de trabajo •Cuadros y estadísticas concentradores de información •Anexos de recopilación de información •Diagramas de flujo, de programación y de desarrollo de sistemas •Testimoniales, actas y documentos legales de comprobación y confirmación •Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema INDICE DEL CONTENIDO Se pagina el contenido total de los papeles de trabajo con el propósito de identificar rápidamente la página donde se encuentran cada una de las partes que integran el legajo de papeles. DICTAMEN PRELIMINAR El dictamen preliminar es un borrador que contiene un resultado preparatorio de la evaluación del área de nformática, del sistema auditado, de la función específica de dicha área o de cualquier otro aspecto relacionado con los temas de la institución. Este documento es un bosquejo en el cual se indican las desviaciones encontradas y el llamado dictamen que hace el auditor de lo que encontró durante su revisión. PROGRAMA DE TRABAJO DE AUDITORÍA Es el documento formal de los planes, programas y presupuestos hechos para el control y desarrollo de la uditoría, donde se registran las etapas y actividades a realizar, los tiempos para llevarla a cabo y los recursos disponibles. Las etapas que conforman el programa de trabajo de la auditoría de sistemas computacionales son: •Planeación. •Ejecución. •Dictamen. PROGRAMA DE RABAJO DE AUDITORÍA ETAPA 1 : PLANEACIÓN DE LA AUDITORÍA •Identificar el origen de la auditoría. •Realizar una visita preliminar al área que será evaluada. •Establecer los objetivos de la auditoría. •Determinar los puntos que será evaluados en la auditoría. •Elaborar planes, programas y presupuestos para realizar la auditoría. •Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría. •Asignar los recursos y sistemas computacionales par la auditoría ETAPA 2 : EJECUCIÓN DE LA AUDITORÍA •Realizar las acciones programadas para la auditoría. •Aplicar los instrumentos y herramientas para la auditoría. •Identificar y elaborar los documentos de desviaciones •Elaborar el dictamen preliminar y presentarlo a discusión. •Integrar el legajo de papeles de trabajo de la auditoría. encontradas. ETAPA 3 : DICTAMEN DE LA AUDITORÍA •Analizar la situación y elaborar un informe de situaciones detectadas. •Elaborar el dictamen final. •Presentar el informe de auditoría.
