Controles En La Auditoria Informatica

Republica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educación Universitaria

Instituto Universitario de Tecnología

De Administración Industrial

Extensión Maracay

Controles en la auditoria informática

Alumna:

Rodríguez Angie

Maracay, 24 de Enero de 2014

ÍNDICE

Introducción ……………………………………………………………..……..3

Modelos de Control Utilizados en Auditoria Informática …………………....4

COSO…………………………………………………………………………..4

COBIT…………………………………………………………………………12

COCO…………………………………………………………………………14

AEC……………………………………………………………………………17

SAC……………………………………………………………………………22

Evaluación de la Seguridad en la Auditoria Informática ……………..…….25

Evaluación de la Seguridad Física de los Sistemas…………….………….26

Evaluación de la Seguridad Lógica de los Sistemas…….…………………27

Evaluación de la Seguridad del Personal del Área de Sistemas……….…28

Evaluación de la Seguridad de la Información y las Bases de Datos……..29

Evaluación de la Seguridad en el Acceso y Uso del Software………….…31

Evaluación de la Seguridad en la Operación del Hardware………….……34

Evaluación de la Seguridad en las Telecomunicaciones, Auditorias

De la Seguridad en Comunicación y Redes………………………………..35

Conclusión……………………………………………………………….…...37

Referencias…………………………………………………………………..38

Introducción

A continuación encontraremos de manera resumida lo que son los modelos de control en la Auditoria Informática, con el fin de adquirir el conocimiento necesario para abordar el tema tratado. De igual manera encontrara material enfocado en la evaluación de la seguridad usada en esta área, tomando en cuenta las diferentes evaluaciones aplicadas según sea el caso.

Modelos de Control Utilizados en Auditoria Informática

En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control interno informe COSO y COBIT son los dos modelos más difundidos en la actualidad, aun que podemos encontrar otros como el COCO, AEC y SAC.COSO está enfocado a toda la organización, contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno. Mientras que COBIT (Control Objectives for Information and

Related Technology, Objetivos de Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT, contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito.

Informe COSO

El denominado "Informe COSO" sobre control interno, publicado en EE.UU. en 1992, surgió como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temática referida. Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que la Treadway Commission, National Commission On Fraudulent Financial Reporting, se creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS).

El grupo estaba constituido por representantes de las siguientes organizaciones:

 American Accounting Association (AAA).

 American Institute of Certified Public Accountants (AICPA).

 Financial Executive Institute (FEI).

 Institute of Internal Auditors (IIA).

 Institute of Management Accountants (IMA).

La redacción del informe fue encomendada a Coopers & Lybrand. Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este tema, logrando así que, al nivel de las organizaciones públicas o privadas, de la auditoría interna o externa, o de los niveles académicos o legislativos, se cuente con un marco conceptual común, una visión integradora que satisfaga las demandas generalizadas de todos los sectores involucrados.

Componentes

El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la dirección, e integrados al proceso de gestión:

 Ambiente de control.

 Evaluación de riesgos.

 Actividades de control.

 Información y comunicación.

 Supervisión.

Ambiente De Control: El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales.

Los principales factores del ambiente de control son:

 La filosofía y estilo de la dirección y la gerencia.

 La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.

 La integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la organización, así como su adhesión a las políticas y objetivos establecidos.

 Las formas de asignación de responsabilidades y de administración y desarrollo del personal.

El grado de documentación de políticas y decisiones, y de formulación de programas que contengan metas, objetivos e indicadores de rendimiento. El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización.

Evaluación De Riesgos: El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones. A través de la investigación y análisis de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se evalúa la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento práctico de la entidad y sus componentes de manera de identificar los puntos débiles, enfocando los riesgos tanto al nivel de la organización como de la actividad.

El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien aquéllos no son un componente del control interno, constituyen un requisito previo para el funcionamiento del mismo. Los objetivos (relacionados con las operaciones, con la información financiera y con el cumplimiento), pueden ser explícitos o implícitos, generales o particulares. Estableciendo objetivos globales y por actividad, una entidad puede identificar los factores críticos del éxito y determinar los criterios para medir el rendimiento.

A este respecto cabe recordar que los objetivos de control deben ser específicos, así como adecuados, completos, razonables e integrados a los globales de la institución.

Una vez identificados, el análisis de los riesgos incluirá:

 Una estimación de su importancia / trascendencia.

 Una evaluación de la probabilidad / frecuencia.

 Una definición del modo en que habrán de manejarse.

Existen circunstancias que pueden merecer una atención especial en función del impacto potencial que plantean:

 Cambios en el entorno.

 Redefinición de la política institucional.

 Reorganizaciones o reestructuraciones internas.

 Ingreso de empleados nuevos, o rotación de los existentes.

 Nuevos sistemas, procedimientos y tecnologías.

 Aceleración del crecimiento.

 Nuevos productos, actividades o funciones.

Los mecanismos para prever, identificar y administrar los cambios deben estar orientados hacia el futuro, de manera de anticipar los más significativos a través de sistemas de alarma complementados con planes para un abordaje adecuado de las variaciones.

Actividades De Control: Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos. Las actividades de control se ejecutan en todos los niveles de la organización y en cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de riesgos según lo expresado en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo de la entidad con el que estén relacionados:

 Las operaciones.

 La confiabilidad de la información financiera.

 El cumplimiento de leyes y reglamentos.

En muchos casos,

...