DIFERENCIA ENTRE CONTROL INTERNO INFORMATICO Y AUDITOR INFORMATICO

CONTROL INTERNO Y AUDITORÍA INFORMÁTICA.

1.0 INTRODUCCIÓN

También destacar los sistemas de comercio electrónico, tanto entre organizaciones (B2B), como orientada a clientes finales (B2C).

1.1 LAS FUNCIONES DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA.

   1.1.1 Control Interno Informático.

Control: actividad realizada manual o automáticamente para prevenir, corregir errores o irregulares que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus objetivos.

El Control Interno Informático controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección de Informática, así como los requerimientos legales.

           

La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

El control es diario o muy frecuente cuyos principales objetivos son:

·         Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.

·         Ver que todo se hace según los procedimientos internos y normas legales: se debe controlar que todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

·         Asesorar sobre el conocimiento de las normas al resto de la organización.

·         Colaborar y apoyar al trabajo de la Auditoría Informática, así como de las auditorías externas al Grupo.

Esto se hace con diferentes pruebas y controles (sistemas de control interno informático). Además, se debe realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades operativa sobre:

·         El cumplimiento de procedimientos, normas y controles dictados.

·         Controles:

o    Sobre la producción diaria.

o    Sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.

o    En las redes de comunicaciones

o    Sobre el software de base.

o    En los sistemas microinformáticos.

·         La seguridad informática.

·         Licencias y relaciones contractuales con terceros.

·         Asesor y transmitir cultura sobre el riesgo informático.

La auditoría suele acometerse con personal interno e informa la Dirección del Departamento de Informática.

1.1.2. Auditoria Informática.

Auditoría: opinión profesional, sustentada en determinados procedimientos, sobre si el objeto sometido a análisis (normalmente con datos obtenidos sobre él) refleja y/o cumple las condiciones que le han sido prescritas (fiabilidad).

La Auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva al cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

La Auditoría Informática es puntual, cuyos principales objetivos son:

Objetivos de protección de activos y datos, e integridad de los datos.

Objetivos de gestión sobre la eficacia y eficiencia de los procesos, así como de la utilidad, fiabilidad e integridad de los equipos e información.

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados. Y sobre la fiabilidad de la información suministrada.

Se puede establecer tres grupos de funciones a realizar por un auditor informático:

1.     Participar en las revisiones durante y diseño.

2.     Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, así como requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.

3.     Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos y de la información.

La auditoría suele acometerse con personal externo, además del posible personal interno. E informa la Dirección del Departamento de Informática.

1.1.3. Control Interno y Auditoria Informática.

Similitudes: Lo puede acometer personal interno; conocimientos especializados en TI; verificación del cumplimiento de controles internos, normativas, y procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.

	CONTROL INTERNO INFORMATICO	AUDITOR INFORMÁTICO
DIFERENCIAS	1.- Análisis de los controles en el día a día. 2.- Informa a la Dirección del Departamento de Informática. 3.- Solo persona interno. 4.- El alcance de sus funciones es únicamente sobre el Departamento de Informática.	1.- Análisis en un momento determinado 2.- Informa a la Dirección General de la Organización. 3.- Tanto personal interno como externo. 4.- El alcance de sus funciones tiene cobertura sobre todos los componentes de los sistemas de información de la Organización.

1.2  SISTEMAS DE CONTROL INTERNO INFORMÁTICO. 

            1.2.1. Definición y tipos de controles internos.

Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples, fiables, revisables, adecuados y rentables.

Normalmente, estos controles son automáticos, aunque sus resultados se revisan de forma manual.

Los objetivos de los controles informáticos se han clasificados en las siguientes categorías:

·         Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

·         Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de conocer cuanto antes el evento.

·         Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido incidencias (por ejemplo, copias de seguridad).

Se deben definir objetivos de control y métodos de control interno, por ejemplo; como objetivo tenemos “seguridad de acceso” y el método de control en este caso será “identificación de usuarios”. Las relaciones no siempre son uno a uno.

Y existen diversos objetivos de control como:

Ø  Objetivo de Control de mantenimiento

Ø  Objetivo de Control de seguridad de programas.

1.2.2.  Implantación de un sistema de controles internos informáticos.

Los controles pueden implantarse a varios niveles diferentes.

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar:

·         Entorno de red.

·         Configuración del ordenador/es central/es (hots).

·         Entorno de aplicaciones.

·         Productos y herramientas de desarrollo de software.

·         Seguridad (en especial del ordenador central y bases de datos).

Para la implantación de un sistema de controles internos informáticos habrá que definir objetivos, métodos y política de control para:

·         Gestión de sistemas de información: a través de políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

·         Administración de sistemas.: a través de controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

·         Seguridad: que debe incluir las tres clases de controles fundamentales implantados en el software del sistema, como integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

·         Gestión de cambio: separación de las pruebas y la producción a nivel de software y controles de procedimientos, para la migración de programas software aprobados y probados.

La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por fases, como se puede ver en la siguiente figura, y esté respaldada por la Dirección.

Cada función juega un papel importante en las distintas etapas que son, básicamente, las siguientes:

·         Dirección de Negocio o Dirección de Sistemas de Información (S.I.): han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser internas o externas.

·         Dirección de Informática: ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de informática mediante la creación y publicación de procedimientos, estándares, metodología y normas, aplicables a todas las áreas de informática, así como a los usuarios que establezcan el marco de funcionamiento.

·         Control Interno Informático: ha de definir los diferentes controles periódicos a realizar encada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable (estos se plasmarán en los oportunos procedimientos de control interno y podrán ser preventivos o de detección). Realizará periódicamente la revisión de los controles establecidos de Control Interno Informático, informando de las desviaciones a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles.

·         Auditor interno/externo informático: ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de la normativa interna y externa, de acuerdo al nivel de riesgo y conforme a los objetivos definidos por la Dirección de Negocio y la Dirección de Informática. Informará también a la Alta Dirección, de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que pueden originarse.

d    

               La creación de un sistema de control informático es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informático.

A continuación algunos controles internos,  agrupados por secciones funcionales, y que serían los que el Control Interno Informático y la Auditoría Informática deberían verificar para determinar su cumplimiento y validez:

1.     Control generales organizativos: engloba una serie de elementos, tales como:

a.     Políticas generales.

b.    Planificación (plan estratégico de información, plan informático, plan general de seguridad y plan de emergencia ante desastres).

c.     Estándares de adquisición.

d.    Procedimientos.

e.     Organizar el departamento de informática.

f.      Descripción de las funciones y responsabilidades dentro del departamento.

g.    Políticas de personal.

h.     Asignación de funciones y responsabilidades.

i.      Asegurar que la dirección revisa todos los informes de control y resuelve las excepciones que ocurran.

j.      Asegurar que existe una política de clasificación de la información.

k.     Designar oficialmente la figura del Control Interno Informático y de la Auditoría Informática

2.     Controles sobre desarrollo, adquisición y mantenimiento de sistemas de información: se utilizan para que se puedan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:

a.     Metodología del ciclo de vida del desarrollo de sistemas (como especificaciones, estándares de pruebas, pases a producción, roll-back, etc).

b.    Explotación y mantenimiento.

3.     Controles sobre la explotación de los sistemas de información: consta de

a.     Planificación y gestión de recursos.

b.    Presencia de personal en momentos críticos (calendario personal).

c.     Reparto de costes informáticos a la organización.

d.    Controles propios (por ejemplo, accesos muy restringidos al host).

e.     Revisiones técnicas preceptivas.

f.      Controles para usar de manera efectiva los recursos en ordenadores.

g.    Procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y de control de cambios.

h.     Seguridad física y lógica (como definir un grupo de seguridad de la información, controles físicos, formación y concienciación de procedimientos de seguridad, seguridad contra incendios/inundaciones, control de acceso restringido, normas que regulen el acceso a los recursos informáticos, existencia de un plan de contingencias, etc).

4.     Controles sobre las aplicaciones: cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, y mantenimiento de los datos:

a.     Control de entrada de datos (validaciones, conversiones, formatos, procedencias).

b.    Controles de tratamiento de datos (sobre usos no previstos).

c.     Controles de salida de datos (ídem entrada+seguridad).

5.     Controles específicos de ciertas tecnologías:

a.     Controles en Sistemas de Gestión de Bases de Datos.

b.    Controles en informática distribuida y redes.

c.     Controles sobre ordenadores personales (ofimática) y redes de área local.

d.    Controles conexiones OPEN <-> HOST.

6.     Controles de Calidad.

a.     Existencia de un Plan General de Calidad basado en el Plan de la Entidad a Largo Plazo, y el Plan a Largo Plazo de Tecnología.

b.    Esquema General de Garantía de Calidad: debe abordar todos los ámbitos empresariales, no sólo la Informática y las TI.

c.     Compatibilidad de la revisión de Garantía de Calidad con las normas y procedimientos habituales en las distintas funciones de Informática.

d.    Metodología de Desarrollo de Sistemas.

e.     Actualización de la Metodología de Desarrollo de Sistemas respecto a cambios en la tecnología.

f.      Coordinación y comunicación.

g.    Relaciones con proveedores que desarrollan sistemas.

h.     Normas de documentación de programas.

i.      Normas de pruebas de programas.

j.      Normas respecto a la Prueba de Sistemas,

k.     Pruebas piloto o en paralelo.

l.      Documentación de las pruebas de sistemas.

m.   Evaluación del cumplimiento de garantía de Calidad de las Normas de Desarrollo.

1.3 CONCLUSIÓN.

Es necesaria la existencia de un control interno informático como herramienta de una adecuada gestión de los SI.

El sistema de control interno informático será más eficiente en una organización inmersa en tecnología cuando se le dote de herramientas modernas de supervisión. Esto ayuda a que la organización logre adecuados niveles de excelencia en la custodia y aprovechamiento de su información.

En definitiva, el papel actual del auditor informático dentro de las organizaciones lo podemos resumir en dos grandes tareas principales:

a)     Apoyo al auditor interno, en la definición y aplicación de controles internos sobre los procesos de negocio, estratégicos y de soporte de la Organización, en tanto que gran parte de los mismos se aplican desde sus sistemas de información.

b)    Auditoría de la gestión de los sistemas de información.

AUDITORIA INFORMATICA

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. En si la auditoria informática tiene 2 tipos las cuales son: AUDITORIA INTERNA: es aquella que se hace adentro de la empresa; sin contratar a personas de afuera. AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. Los objetivos de la auditoría Informática son: El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. Sus beneficios son: Mejora la imagen pública. Confianza en los usuarios sobre la seguridad y control de los servicios de TI. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en TI. Realiza un control de la inversión en un entorno de TI, a menudo impredecible. La auditoría informática sirve para mejorar ciertas características en la empresa como: * Desempeño Fiabilidad Eficacia Rentabilidad Seguridad Privacidad Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas: * Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación. Tipos de Auditoría de Sistemas Dentro de la auditoría informática destacan los siguientes tipos (entre otros): Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes. Importancia de la Auditoria Informática La auditoría permite a través de una revisión independiente, la evaluación de actividades, funciones específicas, resultados u operaciones de una organización, con el fin de evaluar su correcta realización. Este autor hace énfasis en la revisión independiente, debido a que el auditor debe mantener independencia mental, profesional y laboral para evitar cualquier tipo de influencia en los resultados de la misma. la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría. Principales pruebas y herramientas para efectuar una auditoría informática En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas: Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente. Las principales herramientas de las que dispone un auditor informático son: Observación Realización de cuestionarios Entrevistas a auditados y no auditados Muestreo estadístico Flujogramas Listas de chequeo Mapas conceptuales