Las
AUDITORIA DE SISTEMAS INTEGRANTES -
GÓMEZ MONTAÑEZ, ANGELA HUAMANI TUEROS, NATALI LEONARDO ROMERO, FIORELA MEZA MORALES, PEDRO TIRADO BALBIN, MARLENE VELASCO YACHACHIN, ALISSA
INDICE
INTRODUCCION INTRODU CCION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 CAPITULO I: TERMINOS TERMINOS BASICOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. SISTEMAS DE INFORMACION. INFORMACION. II. SISTEMA INFORMATICO III. SISTEMA DE INFORMACION VS SISTEMA INFORMATICO. IV. CONTROL INTERNO V. AUDITORIA DE SISTEMAS INFORMATICOS
3
CAPITULO II: CONTROL INTERNO EN LA AUDITORIA DE SISTEMAS SISTEMAS INFORMATICOS. . . . . . . . . . 12 I. CONTROL INTERNO INFORMATICO II. OBJETIVOS III. TIPOS DE CONTROL INTERNO IV. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS. V. SISTEMA DE CONTROL INTERNO INFORMATICO CAPITULO III: CONTROLES ESPECIFICOS ESPECIFICOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 I. LOS CICLOS DE INFORMACION INFORMACION CONTABLE II. LOS PUNTOS DE CONTROL Y ERRORES III. CATEGORIAS DE CONTROL ESPECIFICOS IV. TIPOS DE CONTROL DE PROCESAMIENTO V. CONTROLES EN UN AMBIENTE COMPUTERIZADO CAPITULO IV: EVALUACION DEL CONTROL INTERNO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 I. METODOS DE EVALUACION DEL CONTROL INTERNO II. METODO DE EVALUACION DEL CI EN UN U N SIST.INFORMATICO SIST.INFORMATICO DE CONTABILIDAD III. PRUEBAS DE CUMPLIMIENTO CAPITULO V: COBIT (CONTROL (CONTROL OBJECTIVES FOR FOR INFORMATION AND RELATED TECHNOLOGY). TECHNOLOGY). 38 I. DEFINICION II. ESQUEMA DEL MODELO COBIT III. USUARIOS IV. CARACTERISTICAS V. PRINCIPIOS VI. REQUERIMIENTOS VII. RECURSOS DE COBIT CONCLUSIONES CONCLUSIO NES .
.
FUENTES CONSULTADAS CONSULTA DAS .
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . 47
.
.
.
.
.. . . . . . . . . . . . . . . . . . . . . . . . 49
1
INTRODUCCION
En esta era de la Tecnología de la Información y Comunicación, todas las disciplinas del conocimiento humano han evolucionado, en Auditoría no podía ser diferente, las herramientas que proporciona la Informática, ha hecho cambiar los conceptos clásicos, el proceso de la información, la forma como se hace y los medios que se utilizan para tal fin, han dado un salto con los Sistemas Informáticos. En este sentido y teniendo en cuanta la automatización de procesos en casi todas las organizaciones se se vuelve imprescindible el control interno interno aplicado aplicado a informáticos, cuyos cuyos objetivos objetivos siguen siendo los
los sistemas sistemas
mismo, es decir, salvaguardar salvaguardar la
información y aumentar la eficacia y eficiencia de los procesos. La utilización de los sistemas informáticos para procesar, registrar y almacenar datos así como para preparar información de utilidad ya sea financiera, comercial o de cualquier otra área; impondrá un cambio cambio en la naturaleza del Control Interno de de la organización, el cual tendrá que evolucionar evolucionar a Control Interno Informático y el auditor debe contemplar contemplar estos aspectos en su trabajo. Los controles implementados por la dirección de la entidad, se incorporan a los programas informáticos o estos mismos, ya tienen secuencias programadas de control; pero en conjunto, todo forma parte del Control Interno del Sistema de Información Informático de la organización, el cual busca una seguridad razonable en el manejo de la i nformación, para el logro de sus objetivos y la confiabilidad de su información financiera y operativa frente a fraudes o cualquier otro tipo de riesgo.
2
CAPITULO I
TERMINOS BÁSICOS
I.
SISTEMAS DE INFORMACION.
Un sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de DATOS e INFORMACION, I NFORMACION, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarán parte de alguna de las siguientes categorías:
PERSONAS
DATOS
ACTIVIDADES o técnicas de trabajo
Recursos materiales en general (generalmente RECURSOS INFORMATICOS Y DE COMUNICACIÓN, aunque no necesariamente). nec esariamente).
Todos estos elementos interactúan para procesar los datos (incluidos los procesos manuales y automáticos) y dan lugar a INFORMACION más elaborada, el aborada, que se distribuye de la manera más adecuada posible en una determinada organización, en función de sus objetivos.
3
II.
SISTEMA INFORMATICO.
Un sistema informático como todo SISTEMA, es el conjunto de partes interrelacionadas, HARDWARE, SOFTWARE, y de RECURSO HUMANO (humanware), que
permite
almacenar
y
procesar
INFORMACION.
El
hardware
incluye
COMPUTADORAS o cualquier tipo de dispositivo electrónico inteligente, que consisten en PROCESADORES, memoria, sistemas de almacenamiento externo, etc. El software incluye al SISTEMA OPERATIVO, FIRMWARE y APLICACIONES, siendo especialmente importante los sistemas de gestión de bases de datos. Por último el soporte humano incluye al personal técnico que crean y mantienen el sistema (analistas, programadores, operarios, etc.) y a los usuarios que lo utilizan. utiliz an.
III.
SISTEMA DE INFORMACION vs SISTEMA INFORMATICO DE INFORMACION. SISTEMA INFORMATICO, este término se usa de manera errónea como sinónimo de SISTEMA DE INFORMACION, en parte porque, GENERALMENTE los recursos materiales de un sistema de información están constituidos casi en su totalidad por sistemas informáticos. Estrictamente hablando, un SISTEMA DE INFORMACION, no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir entonces que los SISTEMAS INFORMATICOS, son una subclase, un subconjunto o un SUBSISTEMA DE LOS SISTEMAS DE INFORMACION EN GENERAL. Cuesta entender al principio qué es un SISTEMA INFORMATICO y en qué se diferencia de un SISTEMA DE INFORMACION. INFORMACION.
4
Un sistema de información es un concepto más amplio que puede (o no), incluir dentro: un sistema informático. Pensemos en un sistema de información de una biblioteca donde no hay computadoras. La persona encargada tiene que buscar en un gran archivador las distintas fichas de los libros cuando recibe un pedido, buscar el libro, etc. Hay todo un sistema de información (no informatizado) en este sencillo ejemplo. El sistema de información incluye: el bibliotecario, el archivador con las fichas de los libros, los procedimientos que debe realizar el bibliotecario, los libros, etc. O sea, el sistema de información incluye las Personas, los Datos, las Actividades y/o técnicas de trabajo y los RECURSOS materiales en general. Luego, la biblioteca se informatiza (utiliza una computadora y una aplicación relacionada a la biblioteca), ya no será necesario buscar la ficha del libro físicamente en el archivador, sino que lo podrá hacer a través de un programa en la computadora, podrá también imprimir la información, saber la ubicación del libro, etc. Ahora podemos hablar que la biblioteca tiene su sistema informático, que forma parte de su sistema de información.
IV.
CONTROL INTERNO
Actualmente el enfoque de Control Interno, ha sido determinado por los informes COSO I y II, de la comisión Treadway; cuya definición es la siguiente:
5
“Es un proceso integrado a los procesos, y no un conjunto de pesados mecanismos
burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar
una garantía razonable para el logro de objetivos”. La seguridad a la que aspira solo es la razonable, en tanto que siempre existirá el limitante del costo en que se incurre por el control, que debe estar en concordancia con el beneficio que aporta; y, además, siempre se corre el riesgo de que las personas se asocien para cometer fraudes. En este contexto, también se modifican las categorías de los objetivos a los que está orientado este proceso. Desde un enfoque contable, el Control Interno busca ahora garantizar:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las leyes y normas que sean aplicables.
Salvaguarda de los recursos (activos).
Componentes del control interno El control interno varía mucho entre las organizaciones, según factores como el tamaño, la naturaleza de las operaciones y los objetivos. No obstante, ciertas características son esenciales para un buen control interno en las grandes empresas. Incluye cinco componentes: 1) ambiente de control, 2) proceso de evaluación del riesgo, 3) sistema de información aplicable a los informes financieros y a la comunicación (en lo sucesivo, sistema de información contable), 4) actividades de control y 5) monitoreo de los controles. A. Ambiente de control Crea el tono de la organización al influir en la conciencia de control. Puede verse como el fundamento del resto de componentes. Entre sus factores figuran los siguientes: integridad y valores éticos, compromiso con la competencia, consejo de
6
administración o comité de auditoría, filosofía y estilo operativo de los ejecutivos, estructura organizacional, asignación de la autoridad y de responsabilidades, políticas y prácticas de recursos humanos. La eficiencia del control interno depende directamente de la comunicación e imposición de la integridad y valores éticos del personal encargado de crear, administrar y vigilar los controles. Deben establecerse normas conductuales y éticas que desalienten la realización de actos deshonestos, inmorales o ilegales. No serán eficaces si no se comunican a través de los medios apropiados: políticas oficiales, códigos de conducta. B. Proceso de evaluación del riesgo Es el proceso por el cual, los ejecutivos identifican y responden a los riesgos de negocios que encara la organización y el resultado de ello. La evaluación del riesgo se parece a la del riesgo de auditoría, sin embargo tiene mayor alcance pues se tienen en cuenta las amenazas contra los objetivos en áreas como operaciones, informes financieros, cumplimiento de las leyes y regulaciones. Consiste en identificar los riesgos relevantes, en estimar su importancia y seleccionar luego las medidas para enfrentarlos. C. Información y comunicación. Comprende los métodos y de los registros establecidos para incluir, procesar, resumir y presentar las transacciones y mantener la responsabilidad del activo, del pasivo y del patrimonio conexo. Así pues un sistema debería: 1. Identificar y registrar todas las transacciones válidas. 2. Describir oportunamente las transacciones con suficiente detalle para poder clasificarlas e incluirlas en los informes financieros. 3. Medir el valor de las transacciones de modo que pueda anotarse su valor monetario en los estados financieros.
7
4. Determinar el período en que ocurrieron las transacciones para registrarlas en el período contable correspondiente. 5. Presentar correctamente las transacciones y las revelaciones respectivas en los estados financieros. 6. La comunicación (interna), debe ser eficaz en todos los niveles de la organización tanto hacia abajo como hacia arriba y a lo largo de la misma y con personas ajenas a la organización (externa).
D. Actividades de control Son políticas y procedimientos que sirven para cerciorarse de que se cumplan las directivas de los ejecutivos. Favorecen las acciones que acometen los riesgos de la organización. En ella se llevan a cabo muchas actividades de control, pero solo los siguientes tipos se relacionan generalmente con la auditoría de estados financieros: 1. Evaluaciones del desempeño 2. Controles del procesamiento de la información 3. Controles físicos 4. División de obligaciones
E.
Monitoreo de los controles Es un proceso que consiste en evaluar la calidad con el tiempo. Requiere vigilancia para determinar si funciona como se preveía o si se requieren modificaciones. Para monitorear pueden efectuarse actividades permanentes o evaluaciones individuales. Entre las actividades permanentes de monitoreo se encuentran las de supervisión y administración como la vigilancia continua de las quejas de los clientes o revisar la verosimilitud de los informes de los ejecutivos. Las evaluaciones individuales se efectúan en forma no sistemática; por ejemplo, mediante auditorías periódicas por parte de los auditores internos.
8
La función de la auditoría interna es un aspecto importante del sistema de monitoreo. Los auditores internos investigan y evalúan el control interno, así como la eficiencia con que varias unidades de la organización están desempeñando sus funciones; después comunican los resultados y los hallazgos a la alta dirección.
El informe COSO plantea una estructura de control de la siguiente forma:
V.
AUDITORIA DE SISTEMAS INFORMATICOS Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información. La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos)
9
de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos
no
automáticos
relacionados
con
ellos
y
las
interfaces
correspondientes. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. A. OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1.
Participación en el desarrollo de nuevos sistemas:
evaluación de controles cumplimiento de la metodología.
2.
Evaluación de la seguridad en el área informática.
3.
Evaluación de suficiencia en los planes de contingencia.
4.
Opinión de la utilización de los recursos informáticos.
5.
respaldos, preveer qué va a pasar si se presentan fallas.
resguardo y protección de activos.
Control de modificación a las aplicaciones existentes.
fraudes control a las modificaciones de los programas.
6.
Participación en la negociación de contratos con los proveedores.
7.
Revisión de la utilización del sistema operativo y los programas
utilitarios. control sobre la utilización de los sistemas operativos programas utilitarios.
8. Auditoría de la base de datos.
estructura sobre la cual se desarrollan las aplicaciones...
10
9.
Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
B. FINES DE LA AUDITORIA DE SISTEMAS: 1.
Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.
2.
Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.
11
CAPITULO II
CONTROL INTERNO EN LA AUDITORIA DE SISTEMAS INFORMATICOS
I.
CONTROL INTERNO INFORMATICO. Controla diariamente que todas las actividades de sistemas de información sean llevadas a cabo, cumpliendo los procedimientos, estándares y normas fijadas por la dirección de la organización y/o la dirección de informática, así como los requerimientos legales.
Suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.
La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.
12
II.
OBJETIVOS Como principales objetivos del Control Interno Informático, podemos indicar los siguientes:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deben emplear software de auditoría y otras técnicas asistidas por ordenador.
Los controles internos que se utilizan en el entorno informático continúan evolucionando hoy en día a medida que los sistemas informáticos se vuelven complejos. Los progresos que se producen en la tecnología de soportes físicos y de
13
software han modificado de manera significativa los procedimientos que se emplean tradicionalmente para controlar los procesos de aplicaciones y para gestionar los sistemas de información. Para asegurar la integridad, disponibilidad y eficacia de los sistemas, se requieren complejos mecanismos de control, la mayoría de los cuales son automáticos. Resulta interesante observar, sin embargo, que hasta en los sistemas cliente/servidor avanzados, aunque algunos controles son completamente automáticos, otros son completamente manuales, y muchos dependen de una combinación de elementos de software y de procedimientos.
III.
TIPOS DE CONTROLES INTERNOS INFORMATICOS Los controles internos se clasifican en los siguientes: A. Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Algunas características que presentan son: -
Son más rentables
-
Deben quedar incorporados en los sistemas
-
Evitan costos de corrección o reproceso
-
Evitar problemas antes de que aparezcan
-
Monitorear tanto las operaciones como las transacciones de entrada
-
Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes
-
Prevenir la ocurrencia de un error, omisión o acto delictivo.
B. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Características de estos controles:
14
-
Miden la efectividad de los preventivos
-
Algunos errores no pueden ser evitados en la etapa preventiva
-
Incluyen revisiones y comparaciones (registro de desempeño).
-
Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones, técnicas automatizadas
-
Límite de transacciones, password, edición de reportes.
C. Controles correctivos: Facilitan el retorno a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. -
Acciones y procedimientos rectificatorios en recurrencia
-
Comprenden documentación y reportes, sobre supervisión a los asuntos, hasta su reformulación o solución.
IV.
CONTROL CIRCUNDANTE EN EL PROCESAMIENTO ELECTRÓNICO DE DATOS El funcionamiento de los controles generales dependía la eficacia del funcionamiento de los controles específicos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado. Los controles generales en el procesamiento electrónico de datos (PED) tienen que ver con los siguientes aspectos.
A. ORGANIZACIÓN El personal de PED (sistemas) no realice las siguientes tareas:
Iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento.
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Corrección de errores que no provengan de los originados por el propio departamento.
15
En cuanto a la organización dentro del mismo departamento, las siguientes funciones deben estar segregadas:
Programación del sistema operativo
Análisis , programación y mantenimiento
Operación
Ingreso de datos
Control de datos de entrada / salida
Archivos de programas y datos.
B. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Las técnicas de mantenimiento y programación operativos del sistema deben estar normalizadas y documentadas.
C. OPERACIÓN Y PROCEDIMIENTOS Deben existir controles que aseguren el procesamiento exacto y oportuno de la información contable.
Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y procesamiento
La función de control debe ser efectuada por un grupo específico e independiente.
Instrucciones por escrito sobre la operación de los equipos.
Solamente operadores de computador deben procesar los sistemas de operación.
D. CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA Debe efectuarse un control de los equipos:
Programación del mantenimiento preventivo y periódico
Registro de fallas de equipos
Los cambios de los sistemas de operación.
16
Y la programación.
E. CONTROLES DE ACCESO El acceso al procesamiento electrónico de datos debe estar restringido en todo momento. También debe controlarse:
V.
El acceso los equipos debe estar restringido a aquellos autorizados
El acceso de la documentación solo aquellos autorizados
El acceso a los archivos de datos y programas solo limitado a operadores
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:
17
A.
Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
B.
Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos (pruebas y real ), bibliotecas de programas y conjunto de datos.
C.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.
D.
Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
E.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.
VI.
SISTEMA DE CONTROL INTERNO INFORMATICO
18
La creación de un sistema de control informático es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informático. A continuación, se indican algunos controles internos para los sistemas de información, agrupados por secciones funcionales, y que serían los que el Control Interno Informático y la Auditoría Informática deberían verificar para determinar su cumplimiento y validez:
A. Controles generales organizativos: engloba una serie de elementos, tales como:
Políticas.
Planificación (plan estratégico de información, plan informático, plan general de seguridad y plan de emergencia ante desastres).
Estándares.
Procedimientos.
Organizar el departamento de informática.
Descripción de las funciones y responsabilidades dentro del departamento.
Políticas de personal.
Asegurar que la dirección revisa todos los informes de control y resuelve las excepciones que ocurran.
Asegurar que existe una política de clasificación de la información.
Designar oficialmente la figura del Control Interno Informático y de la Auditoría
Informática.
B. Controles de desarrollo, adquisición y mantenimiento de sistemas de información: Se utilizan para que se puedan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones. Se compone de:
Metodología del ciclo de vida del desarrollo de sistemas.
Explotación y mantenimiento.
19
C.
Controles de explotación de sistemas de información: consta de:
Planificación y gestión de recursos.
Controles para usar de manera efectiva los recursos en ordenadores.
Procedimientos de selección del software del sistema, de instalación, de mantenimiento, de seguridad y de control de cambios.
D.
Seguridad física y lógica.
Controles en aplicaciones: Cada aplicación debe llevar controles incorporados para garantizar la entrada, actualización, y mantenimiento de los datos:
E.
Control de entrada de datos.
Controles de tratamiento de datos.
Controles de salida de datos.
Controles específicos de ciertas tecnologías:
Controles en Sistemas de Gestión de Bases de Datos.
Controles en informática distribuida y redes.
Controles sobre ordenadores personales y redes de área local.
20
CAPITULO III
CONTROLES ESPECIFICOS
Los controles específicos se aplican sobre áreas y actividades determinadas, cuya naturaleza lo exija y tendrán características especiales inherentes a la actividad desarrollada. I.
LOS CICLOS DE INFORMACIÓN CONTABLE Un ciclo de información contable está constituido por el flujo de información, que va desde el mayor general (tratamiento contable del intercambio), hasta los soportes documentales que contienen los datos inherentes a dicho intercambio; las cuentas del mayor general son solo objeto de validación mediante procedimiento sustantivo. Para generar los datos contenidos en el mayor, el proceso contable debe capturar los datos de cantidad, precio, descripción, al intercambio para luego tratar dichos datos de tal manera que luego de efectuar sucesivos tratamientos, dichos datos generen los saldos del mayor. Tal tratamiento consiste en llevar los datos del estado a que estén documentados o también en un medio magnético hasta llegar a generar los saldos del mayor. Ejemplo: Los datos del nombre del cliente, dirección, artículo y cantidad se encuentran contenidos en el pedido. El precio se encuentra en la lista de precio del computador. Aprobado el pedido. Se corre el programa
21
Cuando el cliente. Recibe la mercadería conforme y firma el requerimiento, se produce un cambio en la información ya que esta se encontrara en Ventas del día. Lo que vemos es que en un sistema operativo y en un contable, consiste en el tratamiento de datos en los cuales se produce un cambio de estado en los mismos a través de los distintos soportes documentales, de aquí en adelante seguirán produciéndose cambios hasta llegar a los saldos del de facturación y requerimiento mayor.
II.
LOS PUNTOS DE CONTROL y ERRORES. Los intercambios de información están sujetos a errores, estos pueden ser responder a la cantidad de intercambios y al tratamiento a cada uno de sus atributos. A tales efectos y con el objetivo de lograr estados contable exactos se deben introducir mecanismos de control que detecten tales errores. Que de seguro serán los procesos en donde se produce el intercambio de información. Tal se lo denomina PUNTO DE CONTROL.
A. TIPOS DE ERRORES 1. Población: Son errores en el número de elementos que contienen los datos que se capturan o procesan Ej. Se realizan 150 ventas y se registran 148, el mayor no refleja los intercambios totales, se producen errores de subvaluación. También existen problemas de exceso de elementos contenedores. Donde se hayan realizado los 150 intercambios pero se registraron 148 y dos duplicados. Existen dos categorías dentro de estos:
Autorización: Intercambios no autorizados ingresados al sistema por Error o intención.
Integridad : son errores de integridad de la información.
22
2. Exactitud: Son discrepancia entre los atributos reales del intercambio y los atributos que el proceso contable captura o procesa. Si los datos del intercambio no reflejan correctamente los términos del mismo, existen errores de exactitud. La transmisión inexacta de datos de un documento o medio a otro y los errores matemáticos son la fuente de los errores de exactitud. Tales errores podrán tener efecto en los saldos. El efecto es diferente, si es un auditor externo o interno.
III.
CATEGORÍAS DE CONTROLES ESPECÍFICOS
A. POBLACIÓN Y EXACTITUD: Son los que previenen o detectan, en la captura y proceso de información los errores de población y exactitud. B. CONTROLES DE CAPTURA Y PROCESAMIENTO: La información se de los intercambios del ente con el exterior, se vuelcan en medios magnéticos o documentales y constituyen los datos inherentes al intercambio. Dichos datos son procesados por en el sistema contable y los resultados de dichos procesamientos se transforman en saldos contable. Entonces Tal control asegura que no se produzcan errores de población o exactitud en cada una de las etapas. C. CONTROLES DE CUSTODIA: Tienen que ver con el mantenimiento de la custodia de los bienes recibidos como consecuencia de los intercambios o con los fabricantes. Tales controles abarcan bienes de cambio, dinero, valores. D. CONTROLES DE DETECIÓN: Son referidos en la oportunidad donde se aplica el control E. CONTROLES PREVENTIVOS: Son referidos a la oportunidad en donde se aplica mientras ocurre el control.
IV.
TIPOS DE CONTROLES DE PROCESAMIENTO
A. CONTROLES DE POBLACIÓN EN EL PROCESAMIENTO 23
Diseñados para impedir o detectar errores por discrepancia entre los datos que están procesados y la transacción económica que representan. Es decir si la transacción económica es ingresos, mercaderías, resultado por venta. Entonces existe un control de población sumando las facturas de un período y cruzarla con costo de mercaderías más resultado por ventas.
B. CONTROLES DE RECONCLIACION Es un tipo de procesamiento que puede detectar en el procesamiento tanto de errores de población como de exactitud e integridad en las etapas de procesamiento a través de dos corrientes de información que en algún punto estas se separan para ofrecer dos o más registros diferentes pero que deben coincidir en cuanto a sus totales. Ej. Clientes y el mayor de cuentas a cobrar. En estas dos corrientes se puede producir un error tanto de población como de exactitud. Donde el mayor de cliente no coincidirá con el mayor analítico. La reconciliación entre estos dos permite identificar la partida en la cual se ha producido el error. Este tipo de cruce no permite identificar donde se ha producido el error, sino que nos detecta alguna diferencia en algún punto.
C. TIPOS DE CONTROLES DE CUSTODIA Estos tipos de controles están diseñados para evitar que los bienes móviles sean perdidos, dañados o robados y para proporcionar la seguridad de que las cantidades y los valores en existencia sean coincidentes con los registrados. Estos tipos de controles pueden ser divididos en:
1. Controles sobre la custodia:
Procedimiento para prevenir uso no autorizado
sobre un activo durante la custodia de un departamento o persona del ente. Las áreas claves son la entrada (recepción), almacenamiento o custodia (depósito). 2. Controles sobre la existencia física : Consisten en los conteos periódicos, evaluación y potencial de venta de los activos y comparándolos entonces con los registros contables para cantidades y valores. Tal comparación puede revelar
24
discrepancia entre existencia y los registrados de esta forma impedir inexactitudes.
V.
CONTROLES EN AMBIENTES COMPUTADORIZADOS
Podemos aplicar controles de población y exactitud para el procesamiento PED
A. Controles de usuarios: Es un control manual, debido a que su realización no utiliza funciones y programas computarizados. El control está diseñado para verificar el resultado de procesos computarizados, aunque su modo de realización es manual. Ej. El departamento de facturación, envía el PED para que procese la información. Controles de PED: tales controles contienen cuatro componentes.
procedimiento de acceso :
procedimiento de desarrollo :
Estos dos generan información inherente que se produce en los intercambios
procedimiento de seguimiento
Este sistema asegura que los errores y asuntos identificados, sean investigados y resueltos apropiadamente.
funcionamiento de los programas de controles
Los mecanismos de control deben funcionar en función al objetivo en que estos fueron creados.
B. DIFERENCIA ENTRE LOS CONTROLES DE USUARIO Y PED En un control de usuario la atención del auditor debe centrarse en los procedimientos de indagación y cumplimiento de detalles sobre las tareas a desarrollar por el personal responsable del control. Pero si el control lo hace un PED, entonces deberemos evaluar los componentes de procedimiento de acceso y desarrollo de sistemas y cambios en el sistema y en los programas. Ejemplo:
25
Si existe un listado de O/C emitidos por el PED, que es enviado a contabilidad y allí un empleado controla el seguimiento. Esto es un control de usuario. Pero el empleado depende de la integridad y exactitud del listado provisto por el PED. Entonces la actividad del empleado es solo la actividad manual. Si tipificamos este riesgo como de usuario, el riesgo es satisfacernos solo del trabajo hecho por el empleado de contabilidad. De esta forma utilizamos el control para modificar la naturaleza, alcance y oportunidad de los procedimientos sustantivos. Ello sería entonces una decisión errónea. Al ser un PED se debe focalizar a la atención de validación de componentes y la determinación de la naturaleza, alcance y oportunidad de los procedimientos sustantivos.
26
CAPITULO IV
EVALUACION DEL CONTROL INTERNO METODOS
EVALUACION DEL CONTROL INTERNO. La evaluación del CI, se realiza en forma previa en la fase de planificación de la auditoría, y tiene por finalidad, obtener una seguridad razonable de que el control interno de la organización cumple sus funciones, en consecuencia el auditor podrá confiar la evidencia que va a obtener, por el contrario si el CI, no cumple sus funciones entonces el auditor modificará el alcance, naturaleza y oportunidad de los procedimientos de auditoría. I.
METODOS DE EVALUACION DEL CONTROL INTERNO. En una auditoría a estados financieros, se pueden practicar los siguientes métodos para evaluar el Control Interno de la organización examinada. A. Método Descriptivo: Consiste en la descripción de las actividades y procedimientos utilizados por el personal en las diversas unidades administrativas que conforman la entidad, haciendo referencia a los sistemas o registros contables relacionados con esas actividades y procedimientos. La descripción debe hacerse de manera tal que siga el curso de las operaciones en todas las unidades administrativas que intervienen, nunca se practicará en forma aislada o con subjetividad. Detallar ampliamente por escrito los métodos contables y administrativos en vigor, mencionando los registros y formas contables utilizadas por la empresa, los empleados que los manejan, quienes son las personas que custodian bienes, cuanto perciben por sueldos, etc. La información se obtiene y se prepara según lo juzgue conveniente el Contador Público, por funciones, por departamentos, por algún proceso que sea adecuado a las circunstancias.
27
B. Método Gráfico. Señala por medio de cuadros y gráficas el flujo de las operaciones a través de los puestos o lugares donde se encuentran establecidas las medidas de control para el ejercicio de las operaciones. Este método permite detectar con mayor facilidad los puntos o aspectos donde se encuentran debilidades de control, aún cuando hay que reconocer que se requiere de mayor inversión de tiempo por parte del auditor en la elaboración de los flujogramas y habilidad para hacerlos. Se recomienda el uso de la carta o gráfica de organización que según el autor George R. Terry, dichas cartas son cuadros sintéticos que indican los aspectos más importantes de una estructura de organización, incluyendo las principales funciones y sus relaciones, los canales de supervisión y la autoridad relativa de cada empleado encargado de su función respectiva. C. Método de Cuestionarios. Consiste en el empleo de cuestionarios previamente elaborados por el auditor, los cuales incluyen preguntas respecto a cómo se efectúa el manejo de las operaciones y quién tiene a su cargo las funciones. Los cuestionarios son formulados de tal manera que las respuestas afirmativas indican la existencia de una adecuada medida de control, mientras que las respuestas negativas señalan una falla o debilidad en el sistema establecido. El auditor mediante el uso de sencillos cuestionarios, detectará funciones incompatibles del personal involucrado en la operación, administración, control y marcha de la entidad sujeta a
auditoría. Se presenta como una hoja de
cuestionario, que en la parte superior derecha, se menciona la función clave y ahí mismo se anotan los nombres de los ejecutantes, a continuación, sobre el lado izquierdo de la hoja, están consignadas otras funciones donde se anotarán los nombres de los ejecutantes, si el nombre de la persona que realiza la función clave se repite en las otras funciones, se constituye así una función incompatible que será anotada a continuación en la columna de observaciones y en consecuencia habremos descubierto una falla en el control interno.
28
Ejemplo de cuestionario: CUESTIONARIO DE CONTRO INTERNO EN AUDITORIA DE SISTEMAS INFORMATICOS.
PREGUNTAS
SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMATICA
1.- ¿Existe dentro de la Universidad un área de Unidad Informática? SI LA RESPUESTA FUE SI: 2. ¿Existe una persona nombrada como responsable de administrar las redes?
3. ¿Existe un área o alguien a quién le rinden cuentas de su gestión
4. ¿Está identificada dicha área dentro de los organigrama general de la empresa
5. ¿Se tiene un organigrama específico?
6. ¿Hay un manual de organización y funciones aplicables a dicha área?
7. ¿Existen procedimientos de contratación, para el personal de este departamento?
8. ¿Están delimitadas las funciones de cada integrante del ár ea Unidad Informática?
9. ¿Cada empleado del área de Unidad Informática conoce la persona ante la que tiene que rendir cuentas de su labor?
29
10. ¿Cada empleado del área de Unidad Informática es especialista en diferentes áreas de la red?
11. ¿Tiene muchos años laborando aquí?
12. ¿Han recibido capacitaciones en el último año? Infraestructura de la red 13. ¿El personal revisa la infraestructura de la red? 14.¿En el último año se han revisado toda la infraestructura de la red? PREGUNTAS
SI NO
N/A OBSERVACIONES
15. ¿Existe un plan de infraestructura de redes
16. ¿En alguna ocasión se ha generado algún problema dentro de la infraestructura de la red? 17. ¿Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. ¿En alguna ocasión se ha generado problemas con la conexión del internet? 19. ¿Usa protocolos? 20. ¿Tiene la Universidad contratado un especialista en redes? 21. ¿La administración de redes implementa una política en base a la tecnología de red? 22. ¿Esta política es acorde con el plan de calidad de la organización? 23. ¿Existe un inventario de equipos y software asociados a las redes? 24. ¿Existe un plan que permite modificar en forma oportuna a largo plazo la tecnología de redes, teniendo en cuenta los posibles cambios tecnológicos o en la institución?
30
25. ¿Están establecidos controles especial es para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados? 26. ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red? 27. ¿Existe una topología de red estandarizada? ASPECTOS RELACIONADOS A LA SEGURIDAD PREGUNTAS
SI NO N/A
OBSERVACIONES
28.¿Existen algunas restricciones para los usuarios?
29. ¿Identifica el tipo de amenaza que afecta los recursos de la red? 30. ¿Usted clasifica los riesgos por nivel de importancia y gravedad de la perdida? 31. ¿Le han dado clave para ingresar al sistema? 32. ¿Existen limitantes para el acceso a internet? 33. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? 34.¿Existe una persona responsable de la seguridad?? 35. ¿Existe una clara definición de funciones entre los puestos clave? 36. ¿Se permite el acceso a la red por personal no autorizado? 37. ¿Existen medidas de seguridad física? 38. ¿Existe un programa de mantenimiento para la red?39. ¿Se lleva a cabo tal programa?
31
40. ¿Existe protección ante algún robo?
41. ¿Existen medidas de seguridad respecto acopias ilegales? 42. ¿Utilizan antivirus o alguna otra medida párala protección de la información?
II.
METODO DE EVALUACIÓN EN UN SISTEMA INFORMATICO DE CONTABILIDAD. Una vez entendido el flujo de información contable se identifiquen los posibles errores que pueden surgir cada vez que los datos se trasladan de un soporte a otro. Si el auditor los ha detectado todos, entonces estará en condiciones de determinar si la empresa ha establecido controles efectivos para prevenirlos y detectarlos. El METODO Se compone de los siguientes pasos detallados: PASO 1 – COMPRENDER EL FLUJO DE INFORMACIÓN CONTABLE. Consiste en conocer desde la captura hasta la información, los saldos, del mayor. No se puede realizar una auditoría si no se tiene conocimiento de las actividades y procedimientos del cliente. Esto comprende el estudio de su control interno. Se conocen varias formas de realizar este estudio ya sea por medio de cuestionarios, métodos descriptivos y flujograma; siendo los más útiles los dos últimos. PASO 2 – IDENTIFICAR LOS DEPARTAMENTOS INVOLUCRADOS Y ANALIZAR LA SEGREGACIÓN DE FUNCIONES Comprendido el ciclo de información contable y haber identificado los medios que contienen la información contable así como también los procesos que lo generan. Debemos también identificar las personas dentro de dichos departamentos que la generan. Esto se hace para identificar las funciones e identificar aquellas que sean incompatibles. PASO 3 – EXPLICITAR LOS OBJETIVOS DEL CONTROL
32
El departamento tiene función de comprar y esto termina en una orden de compra, para efectos de control, se debe cumplir con ciertos requisitos: 1. Que los O/C exista y se encuentre autorizado – se registre el intercambio – 2. Que los activos obtenidos le pertenezcan al ente – tenga obligación por los pasivos – sea correcta la cantidad registrada – sea correcto el precio – sea correcta la
descripción – sea correcto la otra parte del intercambio (tercero). 3. Que se registre en el periodo contable correcto. La orden de compra deberá cumplir con los objetivos de control
Se encuentren autorizadas
Sea correcta la cantidad registrada
Sea correcto el precio registrado
Sea correcta la descripción
Sea correcta la otra parte interesada del intercambio
PASO 4 5 6 – LISTAR LOS POSIBLES ERRORES DE AUTORIZACIÓN, INTEGRIDAD Y EXACTITUD Se identifican cada uno de los comprobantes y medios magnéticos involucrados y sus objetivos de control correspondiente y la totalidad de los errores que podrían ocurrir, para luego en un paso posterior analizar los controles que el ente ha establecido para prevenir y detectar. Si fallamos en la detección de errores , entonces mal podremos evaluar la eficiencia de los controles. Existen errores de:
Exactitud
O/C no autorizada O/C autorizada por personas no autorizadas O/C autorizada por persona autorizadas pero que no respeta limites.
Integridad
O/C no prenumerada O/C perdida
Exactitud
Desigual de cantidad con la cantidad solicitada en la O/C
33
Desigual calidad con la calidad solicitada en la O/C No corresponde con precios pactados. No corresponde con condiciones de precio pactadas No corresponde con fecha de entrega pactada Tales errores tienen impacto sobre la eficiencia de la empresa pero no sobre la integridad y exactitud de sus estados contables Entonces el auditor tanto externo como interno solo debe poner atención en los errores que pueden tener influencia sobre el objetivo de su trabajo. PASO 7 8 9 – IDENTIFICAR LOS CONTROLES EXISTENTES EN EL CICLO PARA PREVENIR O DETECTAR ERRORES DE AUTORIZACIÓN INTEGRIDAD Y EXACTITUD. Listado los errores de autorización, integridad y exactitud corresponde relevar el sistema con el propósito de identificar aquellos controles existentes que permitirán prevenir o detectar posibles errores determinados en el paso 4.5.6 PASO 10 – DE LOS CONTROLES IDENTIFICADOS EN 7. 8. 9. ANALIZAR LA EFECTIVIDAD DE DICHOS CONTROLES, IDENTIFICAR LOS EFECTIVOS Y EFECTUAR LA EVALUACIÓN GENERAL. En esta etapa de evaluación, consiste en identificar los controles existentes en la empresa, identificarlos entonces con un sentido específico de control y con un error posible determinado. Determinar así si el control tiene capacidad para cumplir con su objetivo o si este está bien diseñado. Pero los errores de autorización, exactitud e integridad pueden ocurrir de todos modos. Por lo tanto una vez analizado y estudiado, con el resultado de tener confianza en el control, se debe realizar la prueba de control con posterioridad. También se debe analizar la segregación de funciones, donde los controles no deben estar efectuados por personas que realizan las tareas respectivas en el ente que es objeto de control. La evaluación individual de cada control nos permitirá efectuar una extrapolación para evaluar la efectividad de todo el ciclo en su conjunto. Pero estamos analizando un
34
control en una determinada etapa, lo cual dependemos que los errores de exactitud e integridad no hayan sucedido en etapas anteriores. De tal evaluación decidimos si podemos tener confianza en ellos o no sobre la integridad y exactitud generada por el flujo de información contable la cual se materializa en la exactitud e integridad de los saldos de las cuentas del mayor general. Si la evaluación es positiva entonces pasamos al siguiente paso, si no lo fuera pasaremos a aplicar el enfoque de auditoría basado íntegramente en los procedimientos de revisión de saldos. Debemos reevaluar los trabajos de auditoría realizados y determinar si es posible el ente de auditarse. La razón de esto es porque si los controles de captura fallan, el sistema de CI, no puede asegurar que la totalidad de las transacciones realizadas por los funcionarios del ente están reflejadas en los documentos o medios magnéticos establecidos. Si de ser así será imposible detectar lo que no ha sido registrado. PASO 11 DE LOS CONTROLES EFECTIVOS SEGÚN 10. IDENTIFICAR LOS QUE SERAN PROBADOS Y DISEÑAR LAS PRUEBAS DE CUMPLIMIENTO DE LOS CONTROLES A PROBAR La prueba de los controles la realizamos mediante las pruebas de cumplimiento . Tal propósito es obtener una razonable seguridad de que los procedimientos de control interno sean aplicados de acuerdo con lo determinado por la Gerencia y que funcionen eficazmente. El resultado de la prueba de cumplimiento es SI (se cumple el control) NO ( no se cumple el control) a los efecto de validar la confianza teórica a los sistemas de control con el objeto de determinar NATURALEZA, ALCANCE
y OPORTUNIDAD de los
procedimientos PASO 12 ANALIZAR , DE SER APLICABLE , LOS CONTROLES DE CUSTODIA. EFECTUAR SU EVALUACIÓN. Todo intercambio tendrá como consecuencia la captura y procesamiento de la información. Los controles de custodia tienen que ver exclusivamente con aquellos intercambios en los cuales hay entrada y salida de bienes. Tales controles evitan que los bienes se
35
dañen, se venzan, sean robados y proporcionar así razonabilidad en la existencia y cantidad según los registros. A los efectos que los estados contables reflejen la realidad. Cabe aclarar que con un recuento físico, se logran ajustar las diferencias, pero estos no nos podrán informar sobre errores en la custodia de los bienes. Entonces los errores de custodia comprenden los controles de entrada, salida, mantenimiento en existencia.
Los controles de existencias son procedimientos de
recuento y comparación de existencia. PASO 13 EFECTUAR LAS PRUEBAS DE CUMPLIMIENTO
III.
LAS PRUEBAS DE CUMPLIMIENTO Una prueba de cumplimiento es una prueba que reúne evidencia de auditoría para indicar si un control funciona efectivamente y logra sus objetivos. El auditor entonces solo debe aplicar pruebas de cumplimiento a aquellos controles sobre los cuales depositará confianza para modificar la naturaleza, alcance y oportunidad de los procedimientos sobre saldos, los cuales siempre deben ser probados, dado que aseguran la integridad de la información. Tipos de prueba de cumplimiento Detalles: las cuales entendemos que se refieren a la verificación de constancia de un control realizado por los funcionarios del ente sobre todo atributos como fecha, parte, descripción, etc. Contenido en un documento o soporte magnético. Mediante:
Comparación de iguales atributos entre distintos documentos
Comparación entre los números de los comprobantes
Verificaciones matemáticas
Cumplimiento con autorización general o particular
Observación:
36
El tipo de prueba que se selecciona depende del control identificado y del objetivo de la prueba. Ejemplo Control de integridad de población en la captura de información, tienen como objetivo asegurarse que los datos que revelan el intercambio se ingresan en el sistema de procesamiento. Lo que preocupa a la auditoria es que algunos de esos intercambios, no sean registrados. Por lo tanto tomar una muestra para detectar que se registraron los atributos, no descubrirá las omisiones. Por lo tanto se tiene que recurrir a la prueba de indagación y observación. Desviaciones de cumplimiento Las desviaciones nos permiten soportarnos para determinar si se deposita confianza en los controles internos. Antes de comenzar a probar los controles en los cuales se depositará confianza, debemos definir aquello que se constituirá una desviación de cumplimiento. Se entiende por desviación de cumplimiento a todo procedimiento que de acuerdo con las normas establecidas debe efectuarse y no se efectúa. Ejemplo. Pude existir entonces que no se ha realizado un asiento contable o que el mismo este mal hecho, el cual el mismo debería estar bajo a supervisión del encargado del departamento contable. La determinación del desvío nada tiene que ver con el valor monetario dado que el propósito de la prueba de cumplimiento es reunir evidencia respecto del cumplimiento de un control y no sobre el intercambio en particular. Tales desvíos se producen por:
Errores humanos
Cambio de personal y falta de familiaridad del mismo
Fluctuaciones temporales en el volumen de transacciones.
37
CAPITULO V
COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) I. DEFINICION COBIT, viene del inglés Control Objectives for Information and relatedTechnology , que significa Objetivos de Control relacionados con la Tecnología de la Información . Se trata de un conjunto de buenas prácticas para el manejo de la información, mediante las Tecnologías Informáticas. Este modelo de administración de la información, ha sido creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA, en inglés: Information Systems Audit and Control Association), y el Instituto de Administración de las Tecnologías de la Información (ITGI, en inglés: Information Technolgy Governance Institute) en 1992. Desde su primera edición en 1996, hasta la cuarta de que es la versión COBIT 4.1 de Mayo del 2007. COBIT, es el marco aceptado internacionalmente como una buen práctica para el control de la Tecnología de la Información y los riesgos que conlleva; se utiliza para implementar una adecuada administración y control de las actividades de la organización que involucren Tecnología de la Información. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez; con esta finalidad es que se publicó la versión COBIT 4.1. PARA QUÉ SIRVE Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar
38
recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización . Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudarlos a maximizar las ventajas obtenidas por el empleo de tecnología de información y desarrollo de una administración TI y el control en una empresa.
39
II. ESQUEMA DEL MODELO COBIT.
40
Como se puede apreciar, el esquema COBIT, este actúa sobre cuatro DOMINIOS o entornos interrelacionados con la INFORMACIÓN y los recursos de TECNOLOGIA DE INFORMACION, que en su conjunto son las guías de administración de TI y que están subordinados a los OBJETIVOS DE LA ORGANIZACIÓN. A. PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.
OBJETIVOS DE CONTROL NIVEL ALTOS - Planificación y Organización
PO1 Definen un Plan de TI Estratégico PO2 Definen la Información Arquitectura PO3 Determinan Dirección Tecnológica PO4 Definen los Procesos de TI, Organización y Relaciones PO5 Manejan la Inversión TI PO6 Comunican Objetivos de Dirección y Dirección PO7 Manejan Recursos TI Humanos PO8 Manejan Calidad PO9 Evalúan y Manejan Riesgos de TI PO10 Manejan Proyectos
B. ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. OBJETIVOS DE CONTROL NIVEL ALTOS – Adquisición e Implantación. 41
AI1 Identifican Soluciones Automatizadas AI2 Adquieren y Mantienen Software De aplicación AI3 Adquieren y Mantienen Infraestructura de Tecnología AI4 Permiten Operación y Usan AI5 Procuran Recursos TI AI6 Manejan Cambios AI7 Instalan y Acreditan Soluciones y Cambios
C. SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación. OBJETIVOS DE CONTROL NIVEL ALTOS – Soporte y servicios.
DS1 Definen y Manejan Niveles de Servicio DS2 Manejan Servicios de Tercero DS3 Manejan Funcionamiento y Capacidad DS4 Aseguran Servicio Continuo DS5 Aseguran Seguridad de Sistemas DS6 Identifican y Asignan Gastos DS7 Educan y Entrenan a Usuarios DS8 Manejan Escritorio de Servicio e Incidentes DS9 Manejan la Configuración DS10 Manejan Problemas DS11 Manejan Datos DS12 Manejan el Ambiente Físico DS13 Manejan Operaciones
D. MONITOREO y EVALUACION: Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda.
42
Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad. OBJETIVOS DE CONTROL NIVEL ALTOS – Monitoreo y Evaluación.
ME1 Supervisan y Evalúan Procesos de TI ME2 Supervisan y Evalúan Control Interno ME3 Aseguran Cumplimiento Regulador ME4 Proporcionan Gobernación TI
III. USUARIOS Los usuarios del modelo COBIT, son diversos, entre los cuales indicamos: A. La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. B. Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente. C. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido. D. Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.
IV. CARACTERISTICAS
Orientado al negocio
Alineado con estándares y regulaciones "de facto"
Basado en una revisión crítica y analítica de las tareas y actividades en TI
Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) 43
Ha sido diseñado como un estándar habitualmente aceptado y ajustable a las buenas prácticas de seguridad y control en TIC.
Suministra herramientas al responsable de los procesos que facilitan el cumplimiento de esta tarea.
Tiene una premisa práctica y simple: con el fin de facilitar la información que la organización requiere para alcanzar sus objetivos, señala que los recursos de TIC deben ser administrados por un conjunto de procesos de TIC agrupados en forma natural.
Es la herramienta innovadora para el manejo de TIC que ayuda a la gerencia a comprender y administrar los riesgos asociados con TIC
Ayuda a proteger las brechas existentes entre necesidades de control, riesgos de negocio y aspectos técnicos. Proporciona “prácticas sanas” por medio de un Marco Referencial de dominios y procesos; presenta actividades en una estructura manejable y lógica.
Las prácticas sanas de COBIT representan el consenso de los expertos.
Está desarrollado no solo para ser utilizado por usuarios y auditores, sino que en forma más importante, está diseñado para ser utilizado como un Check- List detallado.
V.
PRINCIPIOS El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la información del negocio: Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
44
A. EFECTIVIDAD.- La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. B. CONFIABILIDAD.- Proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. C. EFICIENCIA.- Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). D. CUMPLIMIENTO.- De las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.
VI.
REQUERIMIENTOS DE SEGURIDAD.
CONFIDENCIALIDAD.- Protección de la información sensible contra divulgación no autorizada.
INTEGRIDAD.- Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa
DISPONIBILIDAD.- Accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
VII.
RECURSOS DE COBIT. En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
DATOS.- Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.
APLICACIONES.- Entendidas como sistemas de información, que integran procedimientos manuales y sistematizados.
45
TECNOLOGÍA.- Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
INSTALACIONES.- Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
RECURSO HUMANO.- Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información, o de procesos de TI.
46
CONCLUSIONES
1. Un SI, es un conjunto de elementos orientados al tratamiento y administración de DATOS e INFORMACION, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Los elementos están conformados por: Personas, datos, actividades o técnicas de trabajo y recursos materiales.
2. Un sistema informático, es el conjunto de partes interrelacionadas, hardware, software, y de recurso humano, que permite almacenar y procesar información. El HW incluye computadoras o cualquier tipo de dispositivo electrónico (procesadores, memoria, sistemas de almacenamiento, etc.), el software incluye al sistema operativo y aplicaciones, por último el soporte humano (personal técnico que crean y mantienen el sistema (analistas, programadores, operarios, etc.) y a los usuarios que lo utilizan. 3. El CI, es un proceso integrado, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos. La seguridad será razonable, por las limitaciones del costo en que se incurre por el control, que debe estar en concordancia con el beneficio que aporta; y, además, siempre se corre el riesgo de que las personas se asocien para cometer fraudes; el Control Interno busca ahora garantizar:
Efectividad y eficiencia de las operaciones.
Confiabilidad de la información financiera.
Cumplimiento de las leyes y normas que sean aplicables.
Salvaguarda de los recursos (activos).
4. La Auditoría de Sistemas Informáticos, evalúa la eficiencia de sistema informático en el manejo de la información que procesa la organización, si este cumple sus funciones y si contribuye al logro de los objetivos de la entidad.
47
5. En un contexto de auditoría informática el CI, busca la SEGURIDAD, EFICIENCIA, CONFIABILIDAD, INTEGRIDAD, DISPONIBILIDAD Y EL CUMPLIMIENTO DE LA NORMAS DE INFORMACION. 6. El uso de TI, en la administración de la información de una organización se convierte en una herramienta de productividad; por cuanto aporta valor, en la medida que el procesamiento de la información es más eficiente, eficaz y oportuna; del mismo modo que en la Auditoría de Sistemas; ya que hacen uso de la TI, tanto en las operaciones de la entidad, como en el examen para determinar la eficacia del Control Interno del Sistema Informático que utiliza la entidad.
7. El modelo COBIT, es el marco aceptado internacionalmente como una buen práctica para el control de la Tecnología de la Información y los riesgos que conlleva; se utiliza para implementar una adecuada administración y control de las actividades de la organización que involucren TI, contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez; independiente de la realidad de cada caso concreto, COBIT determina, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas.
48
