UNIVERSIDAD DE ORIENTE NÚCLEO DE ANZOÁTEGUI ESCUELA DE INGENIERÍA Y CIENCIAS APLICADAS DEPARTAMENTO DE COMPUTACIÓN Y SISTEMAS APLICACIÓN Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Metodologías de Auditoría y Control Interno
Profesora: Yesenia Persad
Bachilleres: Velásquez, Greicys Ramírez, Reneymil García, Génesis Mejías, Arturelys
CI: 18.586.759 CI: 20.106.130 CI: 20.360.815 CI: 22.572.229
Sección: 01
Barcelona, Noviembre de 2014
METODOLOGÍAS DE CONTROL INTERNO Y AUDITORÍA INFORMÁTICA Al analizar las diferentes metodologías, debe entenderse que una metodología consiste en investigar los diferentes métodos que se pueden emplear para llevar a cabo alguna actividad. Debido a la complejidad de la informática es necesario utilizar metodologías en las diferentes áreas que la componen. De acuerdo a la experiencia adquirida por las personas en la realización de sus labores, estas desarrollaran diferentes metodologías que evidencien la manera como entienden las tareas que realizan en lo que respecta al ámbito profesional. Es importante la implementación de metodologías en las empresas debido a que los empleados al regirse por estas metodologías lograran resultados afines, a pesar de que los grupos sean numerosos y diversos estos guiándose por una metodología lograran la unificación en el equipo y el alcance de los resultados previstos. A principio de los años ochenta se dan a conocer diferentes metodologías en el campo de la auditoria y el control informático. El nacimiento de la informática se dio casi a la par con el nacimiento de la auditoria, una de las disciplinas que se ha llevado a cabo de manera consecutiva es la seguridad de los sistemas de información, esto no es más que saber diferenciar la seguridad informática de lo que es la seguridad lógica del sistema. La seguridad de los sistemas de información es una actividad que evalúa y supervisa los riesgos informáticos, acción de la cual
la auditoria forma parte
importante. La seguridad informática en una institución debe ser vital y debe evaluarse con objetividad y detalle, para asegurar la calidad y mantener con eficacia las acciones y medidas que protegen la información de la empresa y sus medios de procesos.
La informática en una entidad es favorable pero también representa un riesgo para la misma, por lo tanto se debe tener bajo evaluación y supervisión la eficiencia y veracidad de la información, para así saber realmente acerca de sus debilidades y entonces reforzarlas o mejorarlas, siendo esto una de las tareas del auditor. Tipos de metodologías Metodologías cuantitativas En esta metodología se utiliza una lista de riesgos que contiene valores numéricos. Las metodologías cuantitativas se basan en el control de los riesgos, analizando valores numéricos que a su vez son datos que se extraen mediante registros de probabilidad y deben ser suficientemente grandes, es decir, tender al infinito. Esta metodología se da mediante cálculos que le son de gran ayuda al método por lo que se hace aceptable. Existen
diferentes coeficientes que
permiten elegir entre las diferentes contramedidas en un análisis de riesgo. Se presentan dos inconvenientes significativos para estas metodologías que son su probabilidad de ocurrencia por la ausencia de registros y además el poco valor que se le da en todo el mundo y la posibilidad o dificultad de mantener bajo evaluación económica todos los impactos que podrían presentarse ante la ventaja de emplear un modelo matemático para el respectivo análisis. Metodologías cualitativas Esta metodología presenta métodos que no incluyen lógicas matemáticas. Requieren de personal especializado y es por esto que a su vez requiere menos recurso humano en comparación con la metodología cuantitativa.
Diferencias y similitudes entre las metodologías cualitativas y cuantitativas Diferencias Diferencias Metodologías cualitativas
Metodologías cuantitativas
Se basan en el razonamiento humano Se basan en un modelo matemático capaz de definir un proceso de trabajo.
numérico que ayuda a la realización del
trabajo. Esta metodología deja ver todo aquello Esta metodología se lleva a cabo que se desea. Tiene que ver con factores intangibles.
mediante la utilización de números. Es probable que los datos obtenidos
dependan de datos fiables inexistentes. A la hora de ejecutar el trabajo los Ofrece cifras que justifican cada planes de ejecución son tanto flexibles contramedida. como reactivos. Se
requiere
profesionalismo
personal que maneja el método.
en
el Las pérdidas potenciales solo se pueden obtener si son valores cuantificables.
Debido a que no aplica probabilidades Son metodologías difíciles de mantener y complejas y de cálculos se identifican de someter a modificaciones. mejor manera los eventos.
Similitudes Ambas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la probabilidad de amenazas sea lo más baja posible o al menos quede reducida de una forma razonable en costo-beneficio, otra similitud es que también dependen de un profesional.
Síntesis: Para la seguridad de los sistemas en las organizaciones, las metodologías de evaluación de sistemas son necesarias para desarrollar de manera ordenada y
eficaz un plan de seguridad, en ese sentido las metodologías existentes para tal fin son de dos tipos las metodologías cuantitativas que están basadas en un modelo numérico que ayuda a la realización del trabajo, y las metodologías cualitativas basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a la experiencia acumulada.
Ventajas y desventajas de las metodologías cualitativas y cuantitativas Ventajas Metodologías cualitativas
Metodologías cuantitativas
Enfoca lo más amplio, plan de trabajo Enfoca pensamientos mediante uso de flexible y reactivo.
números.
Se concentra en la identificación de Facilita eventos, incluye factores intangibles.
la
comparación
vulnerabilidades
muy
de
distintas,
proporciona una cifra justificante para cada contramedida. Desventajas Metodologías cualitativas
Metodologías cuantitativas
Depende fuertemente de la habilidad y La calidad del personal involucrado. Puede
excluir
riesgos
estimación
depende
de
de
probabilidades
estadísticas
fiables
inexistentes. significantes Estimación de las pérdidas potenciales
desconocidos.
solo si son valores cuantificables.
Identificación de eventos reales más Metodologías estándares difíciles de claros
al
no
tener
que
aplicar mantener o modificar.
probabilidades complejas de calcular, dependen de un profesional.
Síntesis:
Ambas metodologías están diseñadas para identificar riesgos de un evento y dependen de un profesional, la metodología cuantitativa asigna valores numéricos a la probabilidad de ocurrencia, con el propósito de estudiar con métodos estadísticos posibles relaciones entre las variables, aunque en la práctica la asignación del valor numérico es aproximada subjetivamente, teniendo así por una parte carácter cualitativo. Mientras que la metodología cualitativa depende fuertemente de la habilidad y calidad del personal involucrado, para proceder luego a su interpretación. No obstante, como la metodología cuantitativa pretende generalizar los resultados de un registro de incidencias, presenta inconvenientes porque los registros estadísticos de incidentes son escasos y también la poca fiabilidad de los mismos a nivel mundial por varios motivos, lo que hace que el rigor científico de los cálculos sea pobre, por otro lado la imposibilidad de evaluar económicamente todos los impactos que pueden ocurrir al usar un modelo matemático. Por el contrario, la metodología cualitativa no insiste en la representación, por lo tanto identifica eventos reales más claros. Aunque puede excluir riesgos significantes desconocidos, lo que puede deberse al carácter subjetivo de esta metodología, depende de la capacidad del profesional para usar elementos de ayuda como listas de verificación, etc., que reduzcan esas posibilidades. Puede deducirse que la selección de la metodología a utilizar depende de cada profesional, de su forma de entender su trabajo, dicha escogencia está ligada a su experiencia profesional. En perspectiva propia puede decirse que la metodología cuantitativa es la mejor a implementar en líneas generales, en conformidad con sus características y las ventajas de su aplicación entre ellas de que tienen su fundamento en modelos matemáticos, siendo la manera cómo afronta sus problemas de validez externa a través del criterio objetivo de magnitudes numéricas, además de tener cierta parte cualitativa como el aproximar los resultados de forma subjetiva para ayudar a
elegir el método adecuado lo cual en ese sentido se considera aceptable, por lo tanto constituye la metodología más adecuada. Metodologías de análisis de riesgos Desarrollada para la identificación de la falta de controles y el establecimiento de un plan de seguridad. Esquema básico de una metodología de análisis de riesgos:
Síntesis: Esta metodología nos permite visualizar los diferentes riesgos que se presentan en determinada organización, en función a las actividades que esta realiza diariamente, el análisis de riesgos en conjunto con diferentes herramientas permiten elegir de manera oportuna y precisa el plan de seguridad para afrontar los riesgos de la mejor forma posible, como ayuda fundamental emplea el cuestionario a través del cual se identifican las diferentes vulnerabilidades y
riesgos para seguidamente evaluar el impacto de estos, identificando luego las contramedidas y el costo asociado, por medio de la simulación que es donde se emplea la metodología bien sea cuantitativa o cualitativa se genera el análisis del efecto de los distintas contramedidas en cuanto a la prevención o disminución de los diferentes riesgos existentes.
Plan de contingencias Un plan de contingencia: es una estrategia planificada por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación encaminados a conseguir una restauración progresiva y ágil de los servicios de negocios, afectados por una paralización total o parcial de la capacidad operativa de la empresa. Existen dos tipos de plan de contingencias, estos son: plan de contingencias informáticas y plan de contingencias corporativo. El plan de contingencias informática se diferencia del plan de contingencias corporativo en que este cubre solamente la informática mientras que el corporativo todos los departamentos de una entidad, y puede incluir también el informativo como un departamento más. Los planes de contingencia se desarrollan mediante tres fases: o Primera fase: análisis y diseño. Ésta es la fase más importante, con esta se puede llegar a la conclusión de que no es viable o si es muy costoso su seguimiento. Aquí
se evalúan dos familias metodológicas, Risk Analisis y las de
Bussines Impact. Esta fase estudia la problemática, la necesidad de los recursos, alternativas de respaldo y el coste y beneficio de las mismas.
o Segunda fase: desarrollo del plan. En todas las metodologías esta fase es muy parecida a la siguiente debido a que en ella se desarrolla la estrategia seleccionada para luego ser implantada con cada una de las acciones previstas. o Tercera fase: pruebas y mantenimiento. En esta fase se definen las pruebas para comprobar que funcionan y se instruye al personal que realiza dicho trabajo. Las metodologías de plan de contingencia son aplicadas por fases para permitir un mejor manejo y control de cada actividad. En la primera fase se diseña el plan, en la siguiente fase se desarrolla y finalmente se ejecuta y además se capacita al personal para trabajarlo y mantenerlo adecuadamente. Metodologías de auditoría informática En la auditoría informática existen dos familias distintas, las auditorias de controles generales y las metodologías de los auditores internos. Las metodologías de auditoría informática son del tipo cualitativo/subjetivo.
Auditorías de Controles Generales: Dan una opinión sobre la habilidad de los datos del computador para la Auditoria financiera, cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas. Tiene apartados para definir “pruebas” y anotar sus resultados.
Auditorías Internas: Esta formada por recomendaciones de Plan de trabajo; deberá realizar cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor. ¿Para qué se usa cada una?
Auditorias de controles generales
Metodologías de los auditores internos
Se usan para generar una opinión También cumple la misma función de sobre la fiabilidad de los datos del las auditorias de controles generales computador, basadas en
pequeños pero son diseñadas por el propio
cuestionarios estándares que dan como auditor. resultado informes muy generalistas. Síntesis: La auditoria de controles generales y la auditoría interna, aplicadas a los procesos y la información de un sistema, se efectúan con el propósito de evaluar en su totalidad la situación de una organización en diferentes aspectos, dependiendo del conjunto de actividades que esta realice, permitiéndole obtener mediante estas metodologías de auditoría un seguimiento a partir de la información obtenida basados en las deficiencias o debilidades que posee la organización con respecto a sus procesos financieros.
Plan Auditor Informático Constituye el esquema metodológico del auditor informático. Este documento debe estar cónsono con el plan auditor del resto de los auditores de la entidad y dicho documento describe lo siguiente: -
Funciones:
descripción
de
las
funciones
y
la
tareas
de
organización
del
departamento incluyendo todos los recursos. -
Procedimientos
para
las
distintas
las
auditorias:
procedimientos de apertura, el de entrega y discusión de debilidades, entrega de informe preliminar, cierre de auditoría, redacción de informe final. -
Tipos de auditoría: incluye las diferentes metodologías y cuestionarios que se llevarán a cabo en función al tipo de auditoría a realizar)
-
Sistema de evaluación: radica en evaluar el nivel de gestión económica, de recursos humanos, cumplimiento de normas, que permitan evaluar de forma global toda la auditoria.
-
Nivel de exposición.
-
Lista de distribución de informes.
-
Seguimiento de acciones correctoras.
-
Plan quinquenal: las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repartirse en cuatro o cinco años de trabajo. Deberá componer anualmente el plan de trabajo anual.
-
Plan de trabajo anual. Control Interno Informático Como principales objetivos del Control Interno Informático, podemos indicar
los siguientes:
Inspeccionar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la
función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios y medidas adecuadas. Diferencias entre el Control Interno Informático y la Auditoria Informática Las diferencias entre las funciones del control interno informático y las de la auditoría informática son: -
El área informática monta los procesos informáticos seguros.
-
El control interno monta los controles.
-
La auditoría informática evalúa el grado de control. Herramientas de control Los diferentes riesgos de la informática crean lo que son las contramedidas
las cuales se ejecutan con la finalidad de proteger la entidad.
Estas
contramedidas se componen de lo que serian los estándares políticos, los usuarios informáticos, el hardware, el software, así como también los planes, funciones o procedimientos. Las herramientas de control permiten definir los procedimientos de control para cumplir las normativas y objetivos de control. Las herramientas de control se emplean con la finalidad de mejorar los componentes o factores de las contramedidas, los cuales no mejoran a la par pero a medida que se vayan aplicando los planes de seguridad los planes de control serán superiores al anterior.
Las herramientas de control más frecuentes son las de control interno y auditoria informática, la primera tiene que ver con los procedimientos de control que se dan día a día mientras que la auditoria informática por otro lado tiene como función evaluar una variedad de aspectos que tienen que ver con su plan auditor, el cual posee fases de trabajo que se llevan a cabo con objetivos concretos y después de este se dejan ver los informes con los resultados obtenidos.
CONCLUSIONES
Las metodologías siguen una secuencia de pasos ordenados para llegar a un resultado. Existen diversas metodologías para desarrollar cualquier
proyecto,
los
profesionales
hacen
uso
de
estas
metodologías basándose en su experiencia y en la manera de cómo conciben su trabajo.
Los planes de contingencia son estrategias planificadas dirigidas a conseguir una restauración de los servicios de negocios que han sido afectados de alguna manera por la capacidad operativa de la empresa.
La informática es un área compleja que requiere la aplicación de metodologías para su buen funcionamiento.
Para la seguridad de los sistemas de información se evalúan y supervisan los riesgos informáticos a los que puede enfrentarse el sistema. La seguridad informática en una institución debe ser vital y debe evaluarse con objetividad y detalle para asegurar y mantener la eficacia de las acciones y medidas que protegen la información de la empresa y sus medios de procesos.
La auditoría informática comprende una serie de elementos resaltantes uno de ellos lo conforman los especialistas, los cuales verifican el buen desenvolvimiento de los procesos de los sistemas, comprueban que sean seguros y efectivos, además que cumplan con una normativa.
El control interno proporciona seguridad en cuanto al seguimiento de los objetivos alimentando la eficiencia mediante una serie de acciones que conducen a un resultado. Así mismo, el control interno informático controla que la realización de las actividades cumpla con
los procedimientos y normativas fijados, del mismo modo que evalúa y asegura el cumplimiento de las normas legales.
Al
hablar de metodologías de control interno y de auditoría
informática es importante conocer los conceptos y como se desarrollan tales metodologías, el contexto en el que pueden aplicarse la variedad de métodos que conllevan y como ejecutar con éxito sus determinadas tareas.
El auditor informático cuenta con un esquema metodológico que para él es el más importante pues contempla lo que es el plan auditor, dicho plan hace referencia a su función y trabajo en la organización, por tanto debe ser un profesional de gran nivel de experiencia y formación, capaz de dictar recomendaciones técnicas, operativas y jurídicas, logrando así que su desempeño como profesional se consolide en la organización.
Los procedimientos de control se valen de las herramientas de control las cuales generan lo necesario para cumplir con las normas y objetivos de control.
