Escuela Politcnica del Ejrcito

Departamento de Ciencias de la Computacin

Materia:

Evaluacin y Auditoria de Sistemas

Tema:

Trabajo de Investigacin
Alumno:

Marcelo Chicaiza
NRC:

1906
Fecha:

Sangolqu, 01 de noviembre del 2012

Control Interno Informtico

El Control Interno en las empresas tiene como finalidad ayudar en la evaluacin de la eficacia y eficiencia de la gestin administrativa. Objetivos del control interno informtico: Establecer como prioridad la seguridad y proteccin de la informacin del sistema computacional y de los recursos informticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captacin de datos, su procesamiento en el sistema y la emisin de informes en la empresa. Implementar los mtodos, tcnicas y procedimientos necesarios para coadyuvar al eficiente desarrollo de las funciones, actividades y tareas de los servicios computacionales, para satisfacer los requerimientos de sistemas en la empresa. Instaurar y hacer cumplir las normas, polticas y procedimientos que regulen las actividades de sistematizacin de la empresa. Establecer las acciones necesarias para el adecuado diseo e implementacin de sistemas computarizados, a fin de que permitan proporcionar eficientemente los servicios de procesamiento de informacin en la empresa. Elementos fundamentales del control interno informtico Controles internos sobre la organizacin del rea de informtica Controles internos sobre el anlisis, desarrollo e implementacin de sistemas Controles internos sobre operacin del sistema Controles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados. Controles internos sobre la seguridad del rea de sistemas.
CONTROL INTERNO INFORMATICO AUDITOR INFORMATICO PERSONAL INTERNO Conocimientos especializados en tecnologas de informacin verificacin del cumplimiento de controles internos, normativa y procedimientos establecidos por la direccin informtica y la direccin general para los sistemas de informacin. Anlisis de los controles en el da a da Anlisis de un momento informtico determinado Informa a la direccin del departamento de informtica slo Informa a la direccin general de personal interno el enlace de sus la organizacin funciones es nicamente sobre el departamento de informtica Personal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de informacin de la organizacin

SIMILITUDES

DIFERENCIAS

Cuadro del control interno en el rea de Informtica

Controles internos sobre la organizacin del rea de informtica Direccin Divisin del trabajo Asignacin de responsabilidad y autoridad Establecimiento de estndares y mtodos Perfiles de puestos Controles internos sobre el anlisis, desarrollo e implementacin de sistemas Estandarizacin de metodologas para el desarrollo de proyectos Asegurar que el beneficio de los sistemas sea optimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el anlisis y diseo de sistemas Vigilar la efectividad y eficiencia en la implementacin y mantenimiento del sistema Optimizar el uso del sistema por medio de su documentacin Controles internos sobre operacin del sistema Prevenir y corregir los errores de operacin Prevenir y evitar la manipulacin fraudulenta de la informacin Implementar y mantener la seguridad en la operacin Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la informacin de la institucin Controles internos sobre los procedimientos de entrada de datos, el procesamiento de informacin y la emisin de resultados. Verificar la existencia y funcionamiento de los procedimientos de captura de datos Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos. Comprobar la oportunidad, confiabilidad y veracidad en la emisin de los resultados del procesamiento de informacin. Controles internos sobre la seguridad del rea de sistemas Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las reas de sistematizacin. Controles sobre la seguridad fsica del rea de sistemas Controles sobre la seguridad lgica de los sistemas. Controles sobre la seguridad de las bases de datos Controles sobre la operacin de los sistemas computacionales Controles sobre seguridad del personal de informtica Controles sobre la seguridad de la telecomunicacin de datos Controles sobre la seguridad de redes y sistemas multiusuario

Controles internos sobre la organizacin del rea de informtica

Determinar si la estructura de organizacin del rea de sistemas computacionales es la ms apropiada para que estos funcionen con eficacia y eficiencia en la empresa, lo cual se logra

mediante el diseo adecuado de la estructura de puestos, unidades de trabajo, lneas de autoridad y canales de comunicacin, complementados con la definicin correcta de funciones y actividades, la asignacin de responsabilidad y la definicin clara de los perfiles del puestos. Para este elemento de control interno se proponen los siguientes subelementos: Direccin Divisin de trabajo Asignacin de responsabilidad y autoridad Establecimiento de estndares y mtodos Perfiles de puestos

DIRECCION
La direccin es uno de los subelementos bsicos del control interno en cualquier empresa, ya que esta es la funcin primordial de la entidad o persona que tiene la misin de dirigir la actividades en la institucin o en un rea especifica, as como la de coordinar el uso de los recursos disponibles en el rea para cumplir en objetivo institucional. Esto se aplica al control interno informtico ya que el titular de la entidad o persona responsable de dirigir el rea de sistemas de la empresa tiene la responsabilidad de ejercer la autoridad en la conduccin de las funciones y actividades del personal de dicha rea, as como en la coordinacin de los recursos informticos que le permitirn satisfacer los requerimientos de sistemas de la empresa., este subelemento permite determinar de manera correcta los niveles de autoridad y responsabilidad que se necesitan en la estructura de organizacin del rea de sistemas, con el fin de poder supervisar y evaluar el cumplimiento de las funciones y el buen desempeo de las actividades del personal asignado a esos puestos. Este subelemento estar apoyado por lo siguiente: La coordinacin de los recursos.- Asignar y distribuir de manera correcta los recursos informticos disponibles en la empresa. La supervisin de actividades.- Es la vigilancia sobre la realizacin adecuada de las funciones y actividades que se tienen encomendadas en esta rea. La delegacin de autoridad y responsabilidad.- Es indispensable hacer una distribucin adecuada de los limites de autoridad y responsabilidad en todos los niveles, Obligar al personal del rea de acuerdo a la delegacin de autoridad y responsabilidad a cumplir con las tareas y funciones y operaciones que tienen encomendadas. La asignacin de actividades.- Definicin clara y concreta de toda la funcin, tareas y operaciones de cada puesto. La distribucin de recursos.- Es la asignacin que se hace de los recursos informticos disponibles con el propsito de que los empleados de esta rea cumplan eficientemente con las actividades y tareas que tienen encomendadas.

DIVISION DE TRABAJO
Para el buen desarrollo de las actividades de cualquier empresa es necesario que las actividades se realicen de acuerdo a como hayan sido diseadas en la estructura de la organizacin y de acuerdo con lo delimitado por el perfil de puestos. (Se deben distribuir de

manera correcta las cargas de trabajo). La divisin del trabajo incrementa la eficacia y eficiencia de las actividades de cualquier empresa. Se requiere una divisin ms especializada del trabajo para el cumplimiento de las actividades y operaciones y tareas que se desarrollan en los centros de cmputo. Funciones bsica de un Centro de Cmputo: Direccin general del rea de informtica rea de anlisis y diseo rea de Programacin Arrea de Sistemas de redes rea de operacin rea de telecomunicacin rea de administracin

ASIGNACION DE RESPONSABILIDAD Y AUTORIDAD

Es la asignacin de las lneas de autoridad por puesto y el establecimiento de los lmites de responsabilidad de las lneas de autoridad por puesto y el establecimiento de los lmites de responsabilidad que tendr cada uno de estos, incluyendo los canales formales de comunicacin... Delimita claramente la autoridad y responsabilidad que tendr cada integrante de cada rea para tener un mejor desarrollo de las actividades, funciones y tareas por lo que el procesamiento de informacin en la empresa ser ms eficiente y mas eficaz.

ESTABLECIMIENTO DE ESTANDARES Y METODOS

Es de suma importancia estandarizar el desarrollo de todas las actividades y funciones a fin de que estas se realicen de manera uniforme conforme a las necesidades concretas de las unidades de informtica que integran la empresa. Se deben establecer de manera homognea y uniforme todos aquellos procedimientos y metodologas informticas que permitan estandarizar la operacin de los sistemas., as como para el desarrollo de nuevos sistemas. Estandarizacin del diseo del hardware, as con del uso de sus componentes, procesadores, equipos perifricos y de arquitectura. Estandarizacin del diseo, adquisicin y uso del software, as como de lo relacionado con el aprovechamiento de sus sistemas operativos, sus programas de aplicacin y sus mtodos de procesamiento, los lenguajes de programacin, los programas y paqueteras para desarrollo y su aplicacin en los sistemas de la empresa. Estandarizacin del diseo, implementacin y administracin de las bases de datos en las cuales se maneja la informacin de los sistemas computacionales de la empresa, as como del respaldo y la proteccin de los datos. Estandarizacin del diseo, instalacin y aprovechamiento de los sistemas de redes y sistemas multi usuarios que se tengan instalados en la empresa, incluyendo la configuracin, el hardware, el software, la informacin y dems recursos de la red. Estandarizacin del mantenimiento y de la modificacin parcial o total de los sistemas informticos de la empresa con el fin de obtener un mejor aprovechamiento en el procesamiento de la informacin.

Estandarizacin de los sistemas de seguridad y proteccin al personal y usuarios de sistemas, informacin, bases de datos, hardware, software, mobiliario y equipo, as como de todos los aspectos relacionados con el sistema de cmputo de la empresa.

PERFILES DE PUESTOS
Este elemento del control interno informtico ayuda a identificar y establecer los requisitos, habilidades, experiencia y conocimientos especficos que necesita tener el personal que ocupa un puesto en el rea de sistemas. Se debe de considerar dentro del perfil de puestos cada una de las caractersticas que deben poseer quienes ocupan los puestos que integran la estructura de organizacin del centro informtico de la empresa. Aunque la existencia de este documento es fundamental para el control interno informtico a veces quienes dirigen estas reas de sistemas dejan de utilizarlo debido a que no es fcil definir perfiles de puestos en un centro de cmputo, porque desconocen su utilidad o simplemente porque ignoran la importancia de considerar en su diseo los siguientes aspectos: La forma de operacin establecida para cada puesto, de acuerdo con los sistemas de cmputo de la empresa. Las necesidades de procesamiento de datos, desde la captura hasta la emisin de resultados. La configuracin de los equipos, instalaciones y componentes de la rea de sistemas, incluyendo su arquitectura y la forma de administracin de los mismos. La manera cmo influye esta delineacin en el uso de los recursos informticos tanto de hardware y software como de los recursos tcnicos de comunicacin y del propio factor humano informtico especializado. Con el perfil de puestos se pretende estandarizar hasta donde es posible, los requisitos mnimos que se deben contemplar para cada uno de los puestos del centro informtico. Es trascendental destacar la importancia del uso del perfil de puestos para la seleccin adecuada del personal que ocupara los puestos dentro del rea de sistemas, debido a que en este documento se establecern en forma precisa y correcta las caractersticas, conocimientos y habilidades que debern tener quienes ocupen dichos puestos. Esto ser la garanta de un desarrollo eficiente y eficaz de las funciones y actividades de cada puesto.

Contenido del perfil de puestos

En su forma clsica se deben contemplar como mnimo los siguientes puntos, los cuales se deben adecuar a las necesidades especficas del propio puesto: Nombre genrico del puesto Objetivo del puesto Lneas de autoridad: Dependencia de y Responsabilidad sobre Funciones del puesto Sustantivas, basitas o fundamentales Especificas, concretas o cotidianas Requisitos del puesto:

Conocimientos En sistemas En reas similares Otros conocimientos del puesto Experiencia En el puesto En el rea Caractersticas de personalidad Otros requerimientos Otros conocimientos

Controles internos sobre el anlisis, desarrollo e implementacin de sistemas

Estandarizacin de metodologas para el desarrollo de proyectos Asegurar que el beneficio del sistema sea optimo Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el anlisis y diseo del sistema. Vigilar la efectividad y eficacia en la implementacin y en el mantenimiento del sistema. Lograr un uso eficiente del sistema por medio de su documentacin.

Estandarizacin de metodologas para el desarrollo de proyectos

La empresa debe adoptar alguna metodologa que sea acorde al desarrollo de sus proyectos de sistemas, la aplicacin de una metodologa estandarizada para el desarrollo de un proyecto informtico garantiza la uniformidad en la aplicacin de cualquier sistema y contribuye en gran medida a la mxima eficiencia en el uso de los recursos informticos del rea de sistemas. Por lo que es de suma importancia estandarizar el desarrollo de los proyectos de sistemas en una empresa, existen empresas que jams aplican una metodologa uniforme y que utilizan diferentes mtodos para desarrollar sus proyectos por lo que sus sistemas no son similares y sus aplicaciones y utilidad para la empresa frecuentemente difieren debido a que no tienen los mismos estndares, ni las mismas normas, polticas ni lineamientos. o Estandarizacin de mtodos para el diseo de sistemas o Lineamientos en la realizacin de sistemas o Uniformidad de funciones para desarrollar sistemas o Polticas para el desarrollo de sistemas o Normas para regular el desarrollo de proyectos

Asegurar que el beneficio del sistema sea ptimo

Se busca la optimizacin de las tareas, operaciones y funciones que resultaran con la implementacin de los sistemas, contando para ello con el seguimiento de una metodologa

uniforme para el desarrollo de nuevos sistemas, con lo cual se pretende garantizar la eficacia y eficiencia de acciones despus de que se implemente el nuevo sistema. Al implementar un nuevo sistema se busca optimizar el desarrollo de las actividades que normalmente se llevan a cabo en la empresa o en cualquiera de sus areas, con ello se pretende mejorar las operaciones normales de computo que se realizan en la empresa, a fin de incrementar la eficiencia de sus sistemas actuales. Hay que aclarar que la optimizacin del sistema no se refiere exclusivamente a las aplicaciones informticas, sino tambin a la optimizacin del equipo con el cual se desarrolla su funcin informtica.

Elaborar estudios de factibilidad del sistema

Todo proyecto de informtica tiene que evaluar desde dos puntos de vista especficos: la viabilidad y la factibilidad, es decir se deben analizar la viabilidad de realizar el proyecto y la factibilidad de llevarlo a cabo. Viable: se dice del asunto con posibilidad de salir adelante. (Valorar la posibilidad de hacerlo) Factible: que se puede llevar a cabo o que es posible realizar. (Valorar si se puede realizar). El resultado final de estas certificaciones ser la certificacin y confianza de que el proyecto ser aplicable a las necesidades de la empresa para as poder satisfacer sus requerimientos de control interno de informtica. Viabilidad y factibilidad operativa.- aspectos que se refieren a la posible operacin del proyecto, se estudian todos los aspectos relacionados con la futura operacin del sistema que ser implementado con el fin de lograr la adecuada operatividad del sistema. Viabilidad y factibilidad econmica.- Aquellos aspectos que se refieren a la parte econmica del proyecto, aspectos relacionados con costo. Viabilidad y factibilidad tcnica.- Aquellos que sern tiles para valorar la calidad y cualidad de los sistemas desde el punto de vista tcnico. Viabilidad y factibilidad administrativa.- Aspectos que repercuten en la cuestin administrativa del sistema los cuales permitirn evaluar las facilidades para la futura administracin del mismo.

Garantizar la eficiencia y eficacia en el anlisis y diseo del sistema.

La premisa fundamental del anlisis y diseo de sistemas es la realizacin de proyectos que optimicen las actividades que se desarrollaran con la implementacin de un nuevo sistema computacional, adems un nuevo proyecto solo se justifica si con l se busca satisfacer la eficiencia y eficacia de las actividades de la empresa lo cual se logra mediante la adopcin de una metodologa estndar en la realizacin de los sistemas. Esto es lo que se debe contemplar para poder garantizar un buen resultado final con su implementacin. Si estas condiciones no se cumplen o solo satisfacen de manera parcial, entonces no tiene caso la existencia de un nuevo proyecto ya que su consecuencia ser muy pobre y deficiente en cuanto a los resultados esperados. Adopcin y seguimiento de una metodologa institucional.- Es necesario que en la empresa se establezca y se lleve a cabo una metodologa nica para el desarrollo de

proyectos, a fin de que esta sea de aplicacin uniforme en toda la institucin, esto se hace con el fin de uniformar las actividades de anlisis y diseo de los sistemas. Adoptar una adecuada planeacin, programacin y presupuestacion para el desarrollo del sistema. Contar con la participacin activa de los usuarios finales o solicitantes del nuevo sistema para garantizar su buen desarrollo. Contar con el personal que tenga la disposicin, experiencia, capacitacin y conocimientos para el desarrollo de sistemas. Utilizar los requerimientos tcnicos necesarios para el desarrollo del sistema, como son el hardware, software y personal informtico. Disear y aplicar las pruebas previas a la implementacin del sistema. Supervisar permanentemente el avance de las actividades del proyecto.

Vigilar la efectividad y eficacia en la implementacin y en el mantenimiento del sistema.

Es necesario vigilar la efectividad en la implementacin del sistema y, una vez liberado, tambin se debe procurar su eficiencia a travs del mantenimiento. No basta con elaborar el sistema, tambin se tiene que implementar totalmente, se tiene que liberar a cargo del propio usuario y se le tiene que dar un mantenimiento permanente para garantizar su efectividad.

Lograr un uso eficiente del sistema por medio de su documentacin

Despus de terminado el desarrollo del sistema o durante su elaboracin es requisito indispensable elaborar documentos relativos al buen funcionamiento, en relacin con su operacin, con las caractersticas tcnicas operativas, administrativas y econmicas que lo fundamentaron, con los manuales que apoyaran al usuario y con todos los dems manuales que apoyaran al usuario y con todos los dems manuales e instructivos que servirn de apoyo al propio desarrollador del sistema, es de suma importancia que antes o durante la implementacin del sistema se proporcione la capacitacin a sus usuarios finales, debido a que solo aso se pueden garantizar la eficiencia y eficacia en la implementacin del proyecto. Tambin se debe contar con la completa documentacin de respaldo y apoyo que sirva de consulta a los usuarios para el buen uso del sistema. Manuales e instructivos del usuario. Manual e instructivo de operacin del sistema Manual tcnico del sistema Manual para el seguimiento del desarrollo del proyecto del sistema. Manual e instructivo de mantenimiento del sistema. Otros manuales e instructivos del sistema (otros documentos que sirven de apoyo para conocer el funcionamiento del nuevo sistema como manuales de organizacin, manuales de mtodos y procedimientos, cursos de capacitacin y adiestramiento, libros de consulta, diccionarios especializados, otros documentos tcnicos, otros documentos administrativos, etc.,).

Controles internos para la operacin del sistema

Permite evaluar la adecuada operacin de los sistemas, se requiere de un elemento que se encargue de vigilar y verificar la eficiencia y eficacia en la operacin de dichos sistemas, su existencia ayuda a garantizar el cumplimiento de los objetivos bsicos del control interno. Permite: Prevenir y corregir errores de operacin Prevenir y evitar la manipulacin fraudulenta de la informacin Implementar y mantener la seguridad en la operacin Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la informacin en la institucin

Controles internos para los procedimientos de entrada de datos, procesamiento de informacin y emisin de resultados
Son de gran ayuda por la confiabilidad que brindan en el procesamiento de informacin, permiten verificar que el procedimiento de entrada-proceso-salida se lleve a cabo correctamente. Verificar la existencia y funcionamiento de los procedimientos de captura de datos. Es evidente que se requiere un adecuado control en la entrada de los datos que han de ser procesados en cualquier sistema computacional ya que de esto depende que se obtengan buenos resultados. Comprobar que los datos sean debidamente procesados. Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos Comprobar la suficiencia de la emisin de informacin.- La informacin debe ser adecuada aros requerimientos de la empresa para ofrecer solo la informacin requerida, sin dar ni ms ni menos datos que los necesarios, a esto se le llama proporcionar informacin suficiente.

Controles internos para la seguridad del rea de sistemas

Seguridad de los recursos informticos, del personal, de la informacin, de sus programas, etc., lo cual se puede lograr a travs de medidas preventivas o correctivas, o mediante el diseo de programas de prevencin de contingencias para la disminucin de riesgos. Controles para prevenir y evitar amenazas, riesgos y contingencias en las areas de sistematizacin Control de accesos fsicos del personal del rea de computo Control de accesos al sistema, a las bases de datos, a los programas y a la informacin Uso de niveles de privilegios para acceso, de palabras clave y de control de usuarios Monitoreo de accesos de usuarios, informacin y programas de uso Existencia de manuales e instructivos, as como difusin y vigilancia del cumplimiento de los reglamentos del sistema

Identificacin de los riesgos y amenazas para el sistema, con el fin de adoptar las medidas preventivas necesarias Elaboracin de planes de contingencia, simulacros y bitcoras de seguimiento

Conclusiones:
Nos sirve para asesorar sobre el cumplimiento de las normas Colaborar y apoyar el proceso de auditora informtica , as como las auditoras externas al grupo Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del servicio informtico Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PCS, etc.) y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes actividades operativas.