Universidad de Buenos Aires Facultad de Ciencias Económicas Conceptos de Control en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos

Riesgo Cualquier evento que afecte el logro de los objetivos del negocio El potencial que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasiones pérdidas o daño a los activos

Ciclo de vida de la administración del riesgo Identificación de los objetivos del negocio y los activos críticos para lograr estos objetivos Mitigación del riesgo : identificar los controles para mitigar los riesgos Análisis costo-beneficio Costo del control en comparación con el beneficio “Apetito” de riesgos de la gerencia Métodos preferidos para la detección de riesgos

Clases Clasificación de los controles Preventivos De detección Correctivos

Clasificación de los controles Preventivos Función Detectar problemas antes que surjan Monitorear tanto las operaciones cuanto el ingreso de datos Tratar de predecir los problemas potenciales antes que ocurran y hacer ajustes Impedir que ocurra un error, una omisión o un acto malicioso

Clasificación de los controles Preventivos Ejemplos Emplear sólo personal calificado Segregar las funciones (factor disuasivo) Controlar acceso a las instalaciones físicas Usar documentos bien diseñados (prevenir errores) Adecuar procedimientos para autorizar transacciones Verificaciones programadas de edición Uso de software de control de acceso que permita que sólo el personal autorizado tenga acceso a archivos sensitivos

Clasificación de los controles De detección Función Controles que detectan que ha ocurrido un error, una omisión o acto malicioso y lo reportan

Clasificación de los controles De detección Ejemplos Totales brutos Puntos de verificación en los Trabajos de producción Controles de eco en las telecomunicaciones Verificación doble de los cálculos Realización periódica de reportes con variaciones Reportes de cuentas vencidas Funciones de auditoria interna

Clasificación de los controles Correctivos Función Minimizar el impacto de una amenaza Remediar problemas descubiertos por controles detección Identificar causa de un problema Corregir los errores que surjan de un problema Modificar el o los sistemas de procesamiento para minimizar el problema en el futuro

Clasificación de los controles Correctivos Ejemplos Planeación de contingencias Procedimientos de copias de seguridad Procedimientos de nueva ejecución de programas

Objetivos del Control Interno Son declaraciones del resultado deseado, o del propósito a ser alcanzado, implementando procedimientos de control en una actividad en particular e incluyen: Controles internos contables (salvaguarda de activos) Controles operativos (objetivos de negocio) Controles administrativos (eficiencia operativa) Los objetivos de control se aplican a todas las áreas, manuales o automatizadas

Funciones de control en ambientes informáticos Salvaguarda de los activos de tecnología de la información Garantía de integridad de los sistemas operativos (administración de red y operaciones) Cumplimiento de políticas corporativas y requisitos legales (objetivos de cumplimientos) Desarrollo de planes de continuidad de negocio y recuperación de desastres Desarrollo de un plan de manejo y respuesta de incidencias

Funciones de control en ambientes informáticos Garantía de integridad de los entornos críticos Autorización de ingreso Exactitud e integridad en el procesamiento de las transacciones Confiabilidad en el procesamiento de la információn Exactitud, integridad y seguridad de la información de salida Integridad de las bases de datos

Etapas de la Auditoría 1. Sujeto de la auditoría 2. Objetivo de la auditoría 3. Alcance de la auditoría  4. Planificación de la auditoría preliminar 5. Procedimientos de auditoría y pasos para la recolección de datos 6. Procedimientos para evaluar la prueba o revisar los resultados 7. Procedimientos para comunicarse con la gerencia 8. Elaboración del informe de auditoría

Etapas de la Auditoría 1. Sujeto de la Auditoría Identificar el área que será auditada

Etapas de la Auditoría 2. Objeto de la Auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser determinar que los cambios de código fuente de programas ocurren en un ambiente bien definido y controlado.

Etapas de la Auditoría 3. Alcance de la Auditoría Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión. Por ejemplo, en el ejemplo de cambios de programa, la declaración del alcance podría limitar la revisión a un solo sistema de aplicación o a un período limitado de tiempo.

Etapas de la Auditoría 4. Planificación de la auditoría preliminar Identificar las habilidades y recursos técnicos que se necesitan. Identificar las fuentes de información para probarlas o revisarlas, tales como cuadros funcionales de flujo, políticas, estándares, procedimientos y documentos de trabajo preliminares de auditoría. Identificar las ubicaciones o las instalaciones que serán auditadas.

Etapas de la Auditoría 5. Procedimientos de auditoría y pasos para la recolección de datos Identificar y seleccionar el método de auditoría para verificar y probar los controles. Identificar una lista de personas para entrevistar. Identificar y obtener políticas, estándares y directrices de los departamentos, para su revisión. Desarrollar instrumentos y metodología de auditoría para comprobar y verificar el control.

Etapas de la Auditoría 6. Procedimientos para evaluar la prueba o revisar los resultados Organización específica

Etapas de la Auditoría 7. Procedimientos para comunicarse con la gerencia Organización específica

Etapas de la Auditoría 8. Elaboración del informe de auditoría Identificar los procedimientos de revisión del seguimiento. Identificar los procedimientos para evaluar/comprobar la eficiencia y la eficacia operacional. Identificar los procedimientos para comprobar los controles. Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.

Pruebas de cumplimiento vs Pruebas sustantivas Pruebas de cumplimiento: Implican la recolección de evidencias con el fin de comprobar el cumplimiento de procedimientos de control por parte de una organización Pruebas sustantivas: Implican la recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información

Evidencia Se trata de cualquier información usada para determinar si la entidad o los datos que están siendo analizados cumplen con los criterios u objetivos establecidos.

Confiabilidad de la evidencia Independencia del proveedor de la evidencia Calificación de la persona que suministra la información o la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia

Segregación de funciones Los controles de segregación de funciones mas comunes son Autorización de transacción Custodia de archivos Acceso a los datos Formularios de autorización Tablas de autorización de datos

Controles compensatorios de la falta de segregación Pistas de auditoría Conciliación Reportes de excepción Registros de transacciones Revisiones de supervisión Revisiones independientes

Indicadores de problemas potenciales Actitudes desfavorables del usuario final Costos excesivos Presupuesto excedido Proyectos demorados Rotación elevada del personal Personal inexperto Errores frecuentes de hardware/software Lista excesiva de solicitudes en espera Tiempo de respuesta de computadora excesivo

Indicadores de problemas potenciales Numerosos proyectos cancelados o suspendidos Compras de hardware/software sin soporte o autorización Frecuentes ampliaciones de capacidad de hardware/software Extensos reportes de excepciones Reportes de excepciones sin seguimiento Poca motivación Ausencia de planes de contingencia Confianza en uno o dos miembros claves del personal Falta de entrenamiento adecuado