Professional Documents
Culture Documents
Definiciones
El Control Interno Informático puede definirse como el sistema
integrado al proceso administrativo, en la planeación, organización,
dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos
automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla)
El Informe COSO define el Control Interno como "Las normas, los
procedimientos, las prácticas y las estructuras organizativas diseñadas
para proporcionar seguridad razonable de que los objetivos de la
empresa se alcanzarán y que los eventos no deseados se preverán, se
detectarán y se corregirán.
También se puede definir el Control Interno como cualquier actividad o
acción realizada manual y/o automáticamente para prevenir, corregir
errores o irregularidades que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G.
Plattini)
OBJETIVOS PRINCIPALES:
Tipos
En el ambiente informático, el control interno se materializa
fundamentalmente en controles de dos tipos:
• Controles manuales; aquellos que son ejecutados por el
personal del área usuaria o de informática sin la utilización de
herramientas computacionales.
• Controles Automáticos; son generalmente los incorporados en
el software, llámense estos de operación, de comunicación, de
gestión de base de datos, programas de aplicación, etc.
CONTROLES EN APLICACIONES
CONCEPTOS FUNDAMENTALES
RIESGO
Valor de las pérdidas a las que se expone una organización por efecto de la ocurrencia de
un evento adverso denominado amenaza o causa del riesgo. El riesgo es el resultado de
las pérdidas ocasionadas por una causa multiplicado por la probabilidad de ocurrencia (R
= P * C).
RIESGO CRÍTICO
Riesgos que tienen la mayor calificación dentro de un conjunto de riesgos que podrían
presentarse en una operación o sistema. Riesgo de prioridad alta, de acuerdo con la
evaluación de riesgos potenciales. Riesgo ubicado en los estratos Alto y Medio Alto
dentro del principio de Pareto.
RIESGO POTENCIAL
RIESGO RESIDUAL
ADMINISTRACIÓN DE RIESGO
Es el proceso mediante el cual partiendo de los riesgos potenciales críticos, se establecen
medidas de control y de seguridad para reducirlos a niveles aceptables de riesgo residual.
Es el proceso de establecer y mantener la seguridad en un área o sistema.
ANÁLISIS DE RIESGO
Es el medio por el cual los riesgos son identificados y evaluados para justificar las
medidas de seguridad o controles.
RIESGOS FUNDAMENTALES
Cualquier evento futuro incierto que puede obstaculizar el logro de los objetivos
estratégicos, operativos, de cumplimiento y/o financieros de Municipalidad. Y los
clasifica de la siguiente forma:
Un proceso efectuado por el directorio de una entidad, la gerencia y otros miembros del
personal; diseñado para proporcionar una seguridad razonable acerca del logro de
objetivos.
Cuando indica seguridad razonable implica que el costo de una estructura de control no
excede sus beneficios.
AUDITORIA
Toda auditoría que comprenda la revisión y evaluación de todos los aspectos de los
sistemas automatizados de procesamiento de información (o cualquier porción),
incluyendo los procesos no automatizados relacionados y las interfases entre ellos.
COBIT
CONTROL
Es la acción que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad
de ocurrencia o el impacto que pueda generar su ocurrencia.
CONTROL INTERNO
Es el proceso que se sigue para establecer los riesgos críticos potenciales sobre los cuales
se deben enfatizar los esfuerzos de control y auditoría.
MAPA DE RIESGO
Un método para categorizar la importancia de cada uno de los riesgos potenciales que
podrían presentarse en una operación automatizada o sistema de información
automatizado, de acuerdo con los puntajes obtenidos por los cuestionarios de riesgo y la
ubicación de esos puntajes en los estratos del principio de Pareto.
OBJETIVOS DE CONTROL
PRINCIPIO DE PARETO
Vilfredo Pareto formuló el principio que lleva su nombre para expresar que el 20% de las
causas genera el 80% de los efectos. También se conoce como “Regla 80 - 20”. Concepto
que se aplica en todas las etapas de la metodología para identificar los riesgos críticos
como aquellos que están situados en el 20% correspondiente al estrato de mayor puntaje .
PRUEBAS DE AUDITORIA
Proceso que realiza la auditoría para obtener evidencia de la operación de los controles y
la exactitud de la información.
PRUEBAS DE CUMPLIMIENTO
En auditoría informática se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de la implantación y operación continua de los controles claves
en el procesamiento de los datos efectuados por el computador.
PRUEBAS SUSTANTIVAS
En auditoría informática se refieren a las pruebas que tienen como objetivo obtener
evidencia de la exactitud de las cifras calculadas o asumidas por el computador
La informática ha sido tradicionalmente una materia compleja en todos sus aspectos, por
lo que se hace necesaria la utilización de metodologías en cada doctrina que la
componen, desde su diseño de ingeniería hasta el desarrollo de software, y como no, la
auditoría de los sistemas de información.
La informática crea unos riesgo informáticos de los que hay que proteger y preservar a la
entidad con un entramado de controles, y la calidad y eficacia de los mismos es el
objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos. Esta es una
de las funciones de los auditores informáticos. Por lo tanto debemos profundizar mas en
ese entramado de controles para ver qué papel tienen las metodologías y los auditores en
el mismo. Para explicar este aspecto diremos que cualquier control nace de la
composición de varios factores que se expresan a continuación:
LA NORMATIVA: debe definir de forma clara y precisa todo lo que debe existir y ser
cumplido, tanto desde el punto de vista conceptual como práctico, desde lo general a lo
particular. Debe inspirarse en estándares, políticas, marco jurídico, políticas y normas de
empresa, experiencia y práctica profesional.
LAS METODOLOGÍAS: son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
LOS OBJETIVOS DE CONTROL: son los objetivos a cumplir en el control de procesos.
Este concepto es el mas importante después de LA ORGANIZACIÓN, y solamente de un
planteamiento correcto de los mismos saldrán unos procedimientos de control eficaces y
realistas.
LAS HERRAMIENTAS DE CONTROL: son los elementos que permiten definir uno o
varios procedimientos de control para cumplir una normativa y un objetivo de control.
Todos estos factores están relacionados entre si, así como la calidad de cada uno con la
de los demás. Cuando se evalúa el nivel de Seguridad de Sistemas en una institución, se
están evaluando todos estos factores y se plantea un Plan de Seguridad nuevo que mejore
todos los factores, aunque conforme vayamos realizando los distintos proyectos del plan,
no irán mejorando todos por igual. Al finalizar el plan se habrá conseguido una situación
nueva en la que el nivel de control sea superior al anterior.
RIESGO: la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Para los tres primeros, se actúa si se establecen controles. Todas las metodologías
existentes en seguridad de sistemas van encaminadas en establecer y mejorar un
entramado de controles que garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo mas baja posible o al menos quede
reducida a una forma razonable en costo-beneficio.
TIPOS DE METOLOGIAS
METODOLOGÍAS CUANTITATIVAS
Diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad
por tener asignados unos valores numéricos. Estos valores en el caso de metodologías de
análisis de riesgos o de planes de contingencia son datos de probabilidad de ocurrencia
(riesgo) de un evento que se debe extraer de un registro de incidencias donde el número
de incidencias tienda al infinito o sea suficientemente grande. Esto no pasa en la
práctica, y se aproxima ese valor de forma subjetiva restando así rigor científico al
cálculo. Pero dado que el cálculo se hace para ayudar a elegir el método entre varios
controles podríamos aceptarlo.
Todos estos coeficientes y otros diseñados por los autores de las metodologías son
usados para el juego de simulación que permite elegir entre varios controles en el análisis
de riesgo.
Por tanto vemos con claridad dos grandes inconvenientes que presentan estas
metodologías : por una parte la debilidad de los datos de la probabilidad de ocurrencia
por los pocos registros y la poca significación de los mismos a nivel mundial, y por otro
la imposibilidad o dificultad de evacuar económicamente todos los impactos que pueden
acaecer.
METODOLOGÍAS CUALITATIVAS/SUBJETIVAS
Con respecto al análisis de riesgo el autor (Plattini) considera que no es suficiente este
para obtener un plan de controles eficiente. Su criterio es que dado que todas las
entidades de información a proteger no tienen el mismo grado de importancia, y el
análisis de riesgo metodológicamente no permite aplicar diferenciación de controles
según el activo o recurso que protege, sino por la probabilidad del riesgo analizado. Por
lo tanto tiene que ser otro concepto como el de la “Clasificación de la Información “. Esto
es , “Si identificamos distintos niveles de controles para distintas entidades de
información con distinto nivel de criticidad, estaremos optimizando la eficiencia de las
controles y reduciendo los costos de las mismas”.
Por ejemplo, si en vez de cifrar la red de comunicaciones por igual somos capaces de
diferenciar por que líneas va la información que clasificamos como restringida a los
propietarios de la misma, podremos cifrar solamente estas líneas para protegerla sin
necesidad de hacerlo para todas, y de esa manera disminuiremos el costo del control
“cifrado”.
• IDENTIFICACIÓN DE LA INFORMACIÓN
• INVENTARIO DE ENTIDADES DE INFORMACIÓN RESIDENTES Y
OPERATIVAS ( inventario de programas, archivos de datos, estructuras de datos,
soportes de información, etc.).
• IDENTIFICACIÓN DE PROPIETARIOS DE LA INFORMACIÓN
• DEFININICION DE JERARQUIAS DE INFORMACIÓN
• DEFINICIÓN DE MATRIZ DE CLASIFICACIÓN esto consiste en definir las
políticas, estándares, objetivos de control y controles pro tipos de jerarquías de
información.
• CONFECCION DE LA MATRIZ DE CLASIFICACIÓN
• REALIZACIÓN DEL PLAN DE ACCIONESIMPLANTACIÓN Y
MANTENIMIENTO
HERRAMIENTAS DE CONTROL