“Controles informáticos.” Osvaldo Quintana Arratia TSINF154-1 - AUDITORÍA INFORMÁTICA Instituto IACC 31/12/2018
Desarrollo INSTRUCCIONES: 1) Considere la siguiente definición de alcance y objetivos de una auditoría: El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados con los proveedores de servicios de TI. Los controles, actividades y documentos para nuestra revisión se detallan a continuación:
Políticas y procedimientos de proveedores de servicios de TI.
Levantamiento de todos los proveedores de servicios de TI.
Revisión de contratos de proveedores de servicios de TI.
Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de la información y continuidad de operaciones).
Revisión de reportes enviados por los proveedores de servicios de TI a la Administración respecto al cumplimiento de sus SLA (Service Level Agreements*).
De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se está aplicando. Justifique su respuesta. En esta pregunta se aplica la Auditorio de Gestión, porque se hace un examen sistemático en las tomas de acciones y decisiones que analiza la administración del rendimiento, evaluando los aspectos de gestión revisándolos, tanto como las políticas, el objetivo organizacional y como se procede con los proveedores, además
tenemos el sistema de control el cual nos permite el poder comprobar cual es el rendimiento o la eficacia en la gestión de las actividades en el interior de la compañía, para explicar lo que se realiza en esta auditoría, se ve lo siguiente: -
Se determinan si las metas y objetivos que fueron propuestas se ha ido
logrando durante el tiempo. -
Se determina si es adecuada como está organizada la compañía.
-
Se emite un informe con una opinión, referente a cómo está la gestión
realizada en la compañía -
Se comparan cual es la utilización adecuada de los recursos de la compañía.
-
Se establece cual es el grado que la compañía más sus proveedores, han
podido lograr de forma adecuada con las atribuciones y deberes que les han sido asignado a cada uno. Este tipo de auditoria por eso es una evaluación de las políticas y los métodos de una gestión en una entidad como se administra, cual es el uso de sus recursos, tanto la planificación del tipo estratégica y táctica, las mejoras de la compañía y sus empleados. Se puede decir que la auditoria de gestión, esta la realiza casi siempre por un empleado que es de la empresa o también por un consultor independiente, centrándose en una evaluación critica de la gestión, siendo esto en equipo en lugar de valoración del individuo.
2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la auditoría informática y la auditoría general (financiera, operativa). Auditoria Informática
Auditoría
General
(Financiera,
Operativa) Semejanzas
Ambas auditorias requieren que los sistemas informáticos que están aplicados y sean acorde a lo necesario por la entidad, gracias a esto se podrá mantener un control adecuado de la economía financiera de la empresa.
Las dos auditorías realizan la utilización eficiente de los recursos que cuentan las metas y los objetivos que tiene la organización así protegiendo de forma adecuada los activos que tenga la entidad.
Diferencias
Evalúa la eficacia de lo
Se determina en lo financiero el
involucrado
estado real, analizando como se
informáticamente, tantos
enfocan los controles y riesgos,
sus sistemas (software),
además de la sustentabilidad en
como
hardware,
las proyecciones empresariales,
organizando centros de
con esto se requiere tener con
información.
exactitud toda la información
Esta auditoria es parte
empresarial.
su
importante,
la
Además, en lo operacional se
seguridad computacional,
generan tratativas evaluando los
permitiendo controlar y
procesos del negocio, para tener
medir
una sustentabilidad para este.
podrían
los
en
riesgos
que
aprovechar
sistemas y personas que son
ajenas
a
la
organización
3) Considere los siguientes enunciados:
“La política definida por la dirección de informática establece que todo usuario de la empresa, que tenga acceso a los sistemas informáticos que son explotados por la misma, deberán realizar cambios periódicos de sus claves de acceso”.
“La política de seguridad de la compañía establece la utilización de software de control de acceso que permita que solo el personal autorizado tenga acceso a archivos con información crítica”.
“El instructivo de funcionamiento de la empresa Compus Limitada determina que el administrador de base de datos es el encargado de realizar los respaldos de todas las bases en el ambiente productivo, del tipo incremental una vez por día, y del tipo full una vez a la semana”.
De acuerdo a lo estudiado, indique a qué tipo de control corresponden (predictivo, detectivo, correctivo) los procesos descritos en los puntos a, b y c. Reconozca las características presentes en cada párrafo que justifiquen su elección. a.- Controles preventivos: La política definida por la dirección de informática establece que todo usuario de la empresa, que tenga acceso a los sistemas
informáticos que son explotados por la misma, deberán realizar cambios periódicos de sus claves de acceso. Gracias a esta acción podemos minimizar el impacto de una posible amenaza, con esto facilitando poder volver a la normalidad en algún minuto de una incidencia, con esto se puede evitar además que otros usuarios que son externos, puedan ingresar a la información interna de nuestra organización, gracias a la clave de algún trabajador, con estos procedimientos y acciones que rectifican un error recurrente, comprendiendo reportes y documentación, realizando una supervisión de cómo realizar la tarea, hasta su solución. b.- Controles detectivo: La política de seguridad de la compañía establece la utilización de software de control de acceso que permita que solo el personal autorizado tenga acceso a archivos con información crítica. Este control puede realizar un seguimiento de forma completa al personal, que se encuentran autorizados, que puedan manejar la información que es confidencial de la empresa, con esto se podría ver en que horario ingresa, además de cuantas veces ha realizado movimientos en la documentación, en este sentido se puede detectar también informando un acto fraudulento, una omisión y/o error. c.- Controles correctivo: El instructivo de funcionamiento de la empresa Compus Limitada determina que el administrador de base de datos es el encargado de realizar los respaldos de todas las bases en el ambiente productivo, el tipo de incremental una vez por día, y del tipo full una vez a la semana. Con esto se puede detectar los errores y/o problemas antes que estos aparezcan, gracias a esto y al realizar respaldos de forma diaria y semanalmente no tenemos los problemas de perdida de información, con cualquier problema que tengamos a nivel de hardware
o software, con esto intentando no tener mayores problemas mayores que nos cause una potencial perdidas de datos. 4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios en el sistema SAP pertenecientes a personal desvinculado de la compañía”. ¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada? Fundamente su respuesta. Se debe tener en claro que al ser un hallazgo de la auditoria, estos son cosas que tienen importancia sabiendo en la forma en como repercuten como se administra, se puede decir que el tono de estos hallazgos pueden tener un tono tanto negativo como a su vez positivo, entre los hallazgos negativos se pueden encontrar errores, deficiencias, cosas irregulares, perjudiciales, cosas nocivas a como se encuentre funcionando la entidad, siendo estas nocivas en los intereses, en lo positivo se encuentran las cosas útiles, aspectos que son buenos, convenientes, etc., el auditor en su búsqueda la evidencia que encuentra es parte del hallazgo, este debe ser organizado de manera tal que, debe contar con cuatro características que son la condición, el criterio, la causa y el efecto. •Condición: Este comunica los hechos que la persona encontró siendo lo que sucedió o es lo que es, indicando que se logro las normas requeridas, siendo el objeto determinar cual es el tipo de la evidencia que recoge de manera que sirva en base para afirmar todos los hechos. •Criterio: Quiere decir que se evalúa la situación, refiriéndose a las normas estandarizadas, como lo son los procedimientos, los reglamentos, convenios, contratos, normas de control, instructivo, etc.
•Causa: Se puede decir que esta es la razón primaria por la que ocurrió la situación, el porque sucedió, motivando como realizar el criterio, al determinar la causal esto apoya al trabajador o auditor, para desarrollar lo que podría aconsejar de manera que estas sean efectivas en los errores así no repitiéndose en la entidad. •Efecto: Es el resultante palpable la de no haber tomado mas serio con uno o mas criterios, la que esto significa para la empresa, si esto no contempla un efecto negativo de forma real y/o potencial, sobre los objetivos pensados, no existe hallazgo, en algunos momentos corroborar los efectos no es posible, pero se podría reconocer efectos en un futuro, al identificar un posible efecto potencial, el trabajador tendrá que realizar procedimientos para determinar que errores se incurrieron, algún acto ilegal o irregularidad, estos nos sirven para convencer también a la organización que esta siendo auditada, de la toma de medidas y la necesidad de implantar recomendación que serán formuladas al respecto. Como medida se debe realizar primeramente bloquear al usuario 1 día antes de que la persona sea desvinculada o emigre de la empresa, al ser desvinculada o que haya emigrado la persona, se debe esperar un plazo prudente de 1 mes o un poco más por si se realiza una auditoria buscando algún caso en que este comprometido la persona que se desvinculo, para después eliminar esta, si en el caso de que no se realizo estas etapas por los responsables de esto, se debe revisar el proceso de desvinculación como el proceso de informar a las responsables de estas tareas, debiéndose instaurar un protocolo de desvinculación, con políticas, modificaciones, capacitando además a los responsables de las áreas responsables.
Bibliografía
Contenido de la semana 1; AUDITORÍA INFORMÁTICA; Instituto IACC 2018
(2015, 07). Marco de referencia para la implementación, gestión y control de un adecuado Sistema de Control Interno. COSO. Obtenido 12, 2018, de http://online.iacc.cl/pluginfile.php/4505500/mod_resource/content/0/aud itoria_informatica/Recursos_adicionales/COSO-Sesion1.pdf
Castillo, J. (2016, 06). La auditoría informática. La auditoría informática. Obtenido 12, 2018, de https://www.youtube.com/watch?v=Z348SiVx_fU
S. (2013, 08). Control Interno. Control Interno. Obtenido 12, 2018, de https://www.youtube.com/watch?v=8HTWVbFMWn4
(2018, 11). Auditoría informática. Auditoría informática. Obtenido 12, 2018, de https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
(2018,
11).
Auditoría.
Auditoría.
Obtenido
12,
https://es.wikipedia.org/wiki/Auditor%C3%ADa#General
2018,
de