I.1 Control interno y auditoría informática

Anuncio
AUDITORÍA Y CONSULTORÍA
TEMA 1
Control interno y auditoría informática

Estos esquemas no son documentación oficial de la asignatura ni de la U.N.E.D.

El contenido oficial es el del libro de la asignatura y, en su caso, los materiales que decidan subir los
miembros del equipo docente.

Tan sólo un bosquejo de ideas para que podáis seguir mejor mis presentaciones como profesor
intercampus.

No son, ni pretenden ser, completos.

Basarse sólo en ellos para estudiar la asignatura es garantía de tener que releerlos en septiembre…
Juan Carlos Alfaro López
Profesor-Tutor del Centro Asociado de Tudela
Profesor intercampus de la asignatura
http://lasultimasaguilasnegras.blogspot.com.es/
Tabla de contenido
I.1 Control interno y auditoría informática ...................................................................................... 3
I.1.1 Control interno informático ................................................................................................. 3
I.1.2 Auditoría informática........................................................................................................... 3
I.1.3 Tipos de controles informáticos internos ............................................................................. 3
I.1.4 Implantación de un sistema de controles internos automáticos ........................................... 4
I.1 Control interno y auditoría informática
I.1.1 Control interno informático
Control: actividad realizada manual o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema a la hora de conseguir sus
objetivos.
Control es diario o muy frecuente cuyos principales objetivos:
 Definir, implantar y ejecutar mecanismos para comprobar el logro de los grados adecuados
del servicio de informática.
 Ver que todo se hace según los procedimientos internos y normas legales
 Asesorar sobre el conocimiento de las normas al resto de la organización
 Colaborar con auditoría informática
Esto se hace con diferentes pruebas y controles (producción diaria, calidad del desarrollo e
implantación del nuevo software, comunicaciones, etc.) –ver más en el texto baseSuele estar formado sólo por personal interno
Informa a la Dirección del Departamento de Informática
I.1.2 Auditoría informática
Auditoría: opinión profesional, sustentada en determinados procedimientos, sobre si el objeto
sometido a análisis (normalmente con datos obtenidos sobre él) refleja / cumple las condiciones que
le han sido prescritas (fiabilidad)
Auditoría es puntual cuyos principales objetivos:
 Objetivos Protección de datos y activos.
 Objetivos de gestión sobre la eficacia y eficiencia de los procesos, amén de la utilidad,
fiabilidad e integridad de los equipos e información
Suele acometerse con personal externo, además del posible interno
Informa a la Dirección del Departamento de Informática
I.1.3 Tipos de controles informáticos internos
Normalmente, estos controles son automáticos, aunque sus resultados se revisan de forma manual.
La tipología clásica es la siguiente:
 Controles preventivos
 Controles detectivos (para cuando fallan los preventivos).
 Controles correctivos (vuelta rápida a la normalidad –p.e. copias seguridad-)
Se deben definir objetivos de control y métodos de control –p.e objetivo: seguridad acceso, método:
identificación de usuarios-. Las relaciones no siempre son uno a uno.
I.1.4 Implantación de un sistema de controles internos automáticos
Conocer a fondo y documentar:
 Entorno red
 Configuración del ordenador/es central/es
 Entorno de aplicaciones
 Productos y herramientas de desarrollo de software
 Seguridad (en especial del ordenador central y bases de datos)
Definir objetivos, métodos y políticas de control para:
 Gestión de sistemas de información
 Administración de dicho sistema (usuarios, perfiles…)
 Gestión de cambios
 ….
Ejemplos de controles internos:
 Controles generales organizativos
o Políticas generales
o Planificación
o Estándares de adquisición
o Políticas de personal
o Asignación de funciones y responsabilidades
 Controles sobre desarrollo, adquisición(implantación) y mantenimiento de S.I.
o Metodología sobre el ciclo de vida del desarrollo de sistemas
 Especificaciones
 Estándares de pruebas
 Pases a producción
 Roll-back
 …
 Controles sobre la explotación del S.I:
o Presencia de personal en momentos críticos (calendario personal)
o Reparto de costes informáticos a la organización
o Controles propios (p.e. accesos muy restringidos al host)
o Seguridad contra incendios / inundaciones
o Revisiones técnicas preceptivas
o Seguridad física y lógica...
o …
 Controles sobre las aplicaciones:
o Controles de entrada de datos (validaciones, conversiones, formatos, procedencia)
o Controles sobre el tratamiento de dichos datos (ojo usos no previstos)
o Controles salida datos (ídem entrada + seguridad)
 Controles específicos sobre determinadas tecnologías:
o Controles sobre sistemas de gestión de bases de datos (SGBD)
o Controles sobre la informática distribuida y redes
o Controles sobre ordenadores personales (ofimática) y LAN
o Controles conexiones OPEN   HOST
o …
 Controles de calidad:
o Existencia Plan Calidad basado en otros dos planes: Plan de la Entidad a Largo Plazo
y Plan a Largo Plazo de tecnologías.
o Esquema de Garantía de calidad: debe abordar todos los ámbito empresariales, no
sólo la Informática y la TI
o Coordinación y Comunicación
o Relaciones con Proveedores
o Normas de documentación de Programas
o Normas de Pruebas de Programas
o Normas de Pruebas Integradas
o Pruebas Piloto o en Paralelo
o ….
–ver más en el texto base-
Anexo al tema 1
Peritar,Consultar y Auditar
Documentos relacionados
Descargar