Auditoria Informatica

AUDITORIA INFORMATICA

CONTROL INTERNO INFORMATICO

El Control Interno Informático controla de manera manual o automática todas las actividades diarias de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por los responsables de el control interno informático que son la Dirección o la gerencia de la Organización, así como los requerimientos legales.

El Control Interno Informático asegura de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Este control es diario y muy frecuente, controla que todas las actividades se realizan cumpliendo con los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales, Asesorar sobre el conocimiento de las normas al resto de la organización, Define, asegura y garantiza mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático.

Los controles informáticos se han clasificados en:

• Controles preventivos: controles para tratar de evitar un hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

• Controles detectivos: controles para cuando fallan los controles preventivos, se de tratar de conocer cuanto antes el evento.

• Controles correctivos: controles que facilitan la vuelta a la normalidad cuando se ha producido incidencias.

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados. Por tanto, se debe conocer a fondo y documentar:

• Entorno de red.

• Configuración de ordenadores.

• Entorno de aplicaciones.

• Productos y herramientas de desarrollo de software.

• Seguridad (en especial del ordenador central y bases de datos).

Existen algunos controles internos que serían los que el Control Interno Informático y la Auditoría Informática deberían verificar para determinar su cumplimiento y validez:

1. Controles generales organizativos:

• Políticas generales.

• Planificación (plan estratégico de información, plan informático, plan general de seguridad y plan de emergencia ante desastres).

• Estándares de adquisición.

• Procedimientos.

• Organizar el departamento de informática.

• Descripción de las funciones y responsabilidades dentro del departamento.

• Políticas de selección y capacitación del personal.

• Autorización y control de acceso al sistema.

2. Controles sobre desarrollo, adquisición y mantenimiento de sistemas de información: se utilizan para que se puedan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:

• Metodología del ciclo de vida del desarrollo de sistemas (como especificaciones, estándares de pruebas, etc.).

• Explotación y mantenimiento.

3. Controles sobre la explotación de los sistemas de información: consta de:

• Planificación y gestión de recursos.

• Controles para uso de los recursos.

• Procedimientos de selección del software del sistema.

4. Controles específicos de ciertas tecnologías:

• Controles en Sistemas de Gestión de Bases de Datos.

• Controles en informática distribuida y redes.

• Controles sobre ordenadores personales y redes de área local.

ETAPAS DE UNA AUDITORIA INTERNA:

• PLANEACION: en esta etapa se define el diseño del programa, definiendo el ámbito de alcance de la entidad, tomando como base la información recopilada luego de una exploración total de la entidad.

En este

...