CONTROL INTERNO INFORMATICO El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean

realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales. La funcin del control interno informtico es asegurarse de que las medidas q ue se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Control interno informtico suele ser un rgano staff de la direccin del departamento de informtica y est dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes:
y

Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las nor mas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditorias externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informtico, lo cual no debe considerarse como que la implantacin de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la funcin de control interno, si no que cada responsable de objetiv os y recursos es responsable de esos niveles, as como de la implantacin de los medios de medida adecuados.

y y

La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activo s, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente mente los recursos. DEFINICION Y TIPO DE CONTROLES INTERNOS Se puede definir el control interno como "cualquier actividad o accin realiz ada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS

Para llegar a conocer la configuracin del sistema es necesario documentar los detalles de la red, as como los distintos niveles de control y elementos relacionados:
y

Entorno de red:esquema de la red, descripcin de la configuracin hardware de comunicaciones, descripcin del software que se utiliza como acceso a las telecomunicaciones, control de red, situacin general de los ordenadores de entornos de base que soporta n aplicaciones crticas y consideraciones relativas a la seguridad de la red. Configuracin del ordenador base: Configuracin del soporte fsico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programa s y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestin de bibliotecas y par a operaciones automticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e informacin, integridad del sistema, controles de supervisin, etc.

Para la implantacin de un sistema de controles internos informt icos habr que definir:

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad

PRUEBAS DE CUMPLIMIENTO Y SUSTANTIVAS Despus de una revisin preliminar del sistema, el auditor debe adquirir evidencia relacionada con la efectividad del control interno. Esta evidencia es usualmente adquirida mediante la observacin, revisin de los documentos, pistas de transacciones y cuestionarios de control interno. Usando esta evidencia, el auditor debe decidir si puede o no contar con los controles internos para detectar errores. Si el auditor puede contar con ellos, entonces hay una revisin detallada de los controles generales y controles de aplicacin. Los controles generales se aplican a todo el sistema, mientras que los controles de aplicacin slo se aplican a una aplicacin particular, como cuentas por cobrar. Los controles de aplicacin son luego agrupados en controles de entrada, controles de procesamiento y controles de salida. Las pruebas de cumplimiento incluyen el uso de una prueba de escritorio, una prueba integrada de facilidades, pista del programa, una revisi n de la lgica del programa, comparacin del programa, simulacin paralela, implantacin de mdulos de auditoria y datos contables de trabajo. Las pruebas sustantivas examinarn los balances contables directamente, usualmente con software independiente b ajo el control del auditor llamado software de auditoria generalizado. Hay una relacin entre pruebas de cumplimiento y pruebas sustantivas. La mayor es la confianza que se pueda tomar sobre el control interno del sistema para detectar errores, la menor es la necesidad para analizar los balances directamente.

FORMATO PARA DISEAR PRUEBAS DE AUDITORIA EN INFORMTICA APLICACIN_________________________________________ PRUEBA No. _______ 1. OBJETIVOS DE LA PRUEBA____________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ _____________________ _______________________________ 2. TECNICA (S) A EMPLEAR _____________________________________ ________________________________________________________________ __________________________________________________________ 2. TIPO DE PRUEBA DE CUMPLIMIENTO ____SUSTANTIVA____DE DOBLE FINALIDAD____ 4. RECURSOS NECESARIOS PARA APLICARLA 4.1 INFORMACIN ___________________________________________________ ________________________________________________________________ ___ 4.2 SOFTWARE ____________________ __________________________________ ________________________________________________________________ ___ 4.3 HADWARE_______________________________________________________ ________________________________________________________________ ___ REF.

4.4. PERSONAL______________________________________________________ ________________________________________________________________ ___ 5. PROCEDIMIENTO A EMPLEAR_________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________ 8. ELABORADO POR ____________________________________FECHA________ 10. REVISADA POR _____________________________________FECHA_____ ___ 11. REFERENCIA A P/T __________________________________

INVESTIGACIN PRELIMINAR Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica Objetivos a corto y largo plazo. Recursos materiales y tecnicos Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos. SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin.

Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa. En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. E n el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

Principales pruebas y herramientas para efectuar una auditora informtica [editar]

Pruebas sustantivas: Verifican el grado de confiab ilidad del SI del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de

que los controles claves existen y que son aplicables efectiva y uniformemente. EJEMPLOS
RIESGO Quedarse falto de memoria en poco tiempo Deterioro del PC: humedad, polvo, interferencias con otros aparatos electricos OBJETIVO DE CONTROL CONTROLES PRUEBA DE CUMPLIMIENTO Ordenador tenga ms ranuras de expansin Ubicacin adecuada del PC, Fundas para monitor y teclado, Enchufes especficos para el PC Llave de bloqueo del teclado Password al inicio de sesin Prdida o modificacin de informacin debido a personas no autorizadas Prdida de la configuracin actual del PC Prdiad de informacin debido a los virus Proteccion dela configuracin del PC Establecer password y atributos de solo lectura en los archivos que lo requieran Establecer una password a la BIOS Poseer un antivirus y renovarlo asiduamente Realizar backup's cada cierto tiempo : streamer, CdRom, ... Deterioro del Disco Duro ( Clusters erroneos, ocupacin del disco sin seguir un orden, ...) Bajo rendimiento del PC PRUEBA SUSTANTIVA Comprobacin fsica. Poner Memoria adicional, Colocar otro disco duro y comprobar su funcionamiento

El equipo no se quede anticuado y se pueda ampliar

Abrir el ordenador y comprobrarlo visualmente

Proteger el PC contra causas externas

Comprobar y revisar que las fundas estn bien puestas y que los enchufes sean nicos para el PC

Utilizacin del PC por Proteccion de la personas no informacin del ordenador autorizadas

Comprobar que sin la llave no se puede usar el teclado

Tener la llave a buen recaudo

Verificar que la contrasea es vlida

Tener la contrasea a buen recaudo

Verificar los atributos y las contraseas

Verificar y tener apuntado la contrasea Comprobar que se ejecuta el antivirus cada vez que se arranca el PC y cuando se inserta un disquete

Asegurar la integridad de los datos

Funcionamiento del antivirus en caso real

Verificar que los datos almacenados en soporte externo pueden utilizarse

Prdida de informacin

Escanear el PC cada cierto tiempo

Comprobar que el planificador de tareas realiza la verificacin del disco duro

Optimizacin de los recursos

Utilizar un Programa que realice la optimizacin

Comprobar que los recursos estn optimizados al mximo