1 / 29

Conceptos de Control en Sistemas de Información

Conceptos de Control en Sistemas de Información. Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos . Cualquier evento que afecte el logro de los objetivos del negocio

memphis
Download Presentation

Conceptos de Control en Sistemas de Información

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conceptos de Control en Sistemas de Información Universidad de Buenos AiresFacultad de Ciencias Económicas Materia: Sistemas Administrativos

  2. Cualquier evento que afecte el logro de los objetivos del negocio El potencial que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasiones pérdidas o daño a los activos Riesgo

  3. Identificación de los objetivos del negocio y los activos críticos para lograr estos objetivos Mitigación del riesgo : identificar los controles para mitigar los riesgos Análisis costo-beneficio Costo del control en comparación con el beneficio “Apetito” de riesgos de la gerencia Métodos preferidos para la detección de riesgos Ciclo de vida de la administración del riesgo

  4. Clasificación de los controles Clases • Preventivos • De detección • Correctivos

  5. Clasificación de los controles Preventivos Función • Detectar problemas antes que surjan • Monitorear tanto las operaciones cuanto el ingreso de datos • Tratar de predecir los problemas potenciales antes que ocurran y hacer ajustes • Impedir que ocurra un error, una omisión o un acto malicioso

  6. Clasificación de los controles Preventivos Ejemplos • Emplear sólo personal calificado • Segregar las funciones (factor disuasivo) • Controlar acceso a las instalaciones físicas • Usar documentos bien diseñados (prevenir errores) • Adecuar procedimientos para autorizar transacciones • Verificaciones programadas de edición • Uso de software de control de acceso que permita que sólo el personal autorizado tenga acceso a archivos sensitivos

  7. Clasificación de los controles De detección Función • Controles que detectan que ha ocurrido un error, una omisión o acto malicioso y lo reportan

  8. Clasificación de los controles De detección Ejemplos • Totales brutos • Puntos de verificación en los Trabajos de producción • Controles de eco en las telecomunicaciones • Verificación doble de los cálculos • Realización periódica de reportes con variaciones • Reportes de cuentas vencidas • Funciones de auditoria interna

  9. Clasificación de los controles Correctivos Función • Minimizar el impacto de una amenaza • Remediar problemas descubiertos por controles detección • Identificar causa de un problema • Corregir los errores que surjan de un problema • Modificar el o los sistemas de procesamiento para minimizar el problema en el futuro

  10. Clasificación de los controles Correctivos Ejemplos • Planeación de contingencias • Procedimientos de copias de seguridad • Procedimientos de nueva ejecución de programas

  11. Son declaraciones del resultado deseado, o del propósito a ser alcanzado, implementando procedimientos de control en una actividad en particular e incluyen: Controles internos contables (salvaguarda de activos) Controles operativos (objetivos de negocio) Controles administrativos (eficiencia operativa) Los objetivos de control se aplican a todas las áreas, manuales o automatizadas Objetivos del Control Interno

  12. Salvaguarda de los activos de tecnología de la información Garantía de integridad de los sistemas operativos (administración de red y operaciones) Cumplimiento de políticas corporativas y requisitos legales (objetivos de cumplimientos) Desarrollo de planes de continuidad de negocio y recuperación de desastres Desarrollo de un plan de manejo y respuesta de incidencias Funciones de control en ambientes informáticos

  13. Garantía de integridad de los entornos críticos Autorización de ingreso Exactitud e integridad en el procesamiento de las transacciones Confiabilidad en el procesamiento de la információn Exactitud, integridad y seguridad de la información de salida Integridad de las bases de datos Funciones de control en ambientes informáticos

  14. Etapas de la Auditoría 1. Sujeto de la auditoría 2. Objetivo de la auditoría 3. Alcance de la auditoría  4. Planificación de la auditoría preliminar 5. Procedimientos de auditoría y pasos para la recolección de datos 6. Procedimientos para evaluar la prueba o revisar los resultados 7. Procedimientos para comunicarse con la gerencia 8. Elaboración del informe de auditoría

  15. Etapas de la Auditoría 1. Sujeto de la Auditoría • Identificar el área que será auditada

  16. Etapas de la Auditoría 2. Objeto de la Auditoría • Identificar el propósito de la auditoría. • Por ejemplo, un objetivo podría ser determinar que los cambios de código fuente de programas ocurren en un ambiente bien definido y controlado.

  17. Etapas de la Auditoría 3. Alcance de la Auditoría • Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión. • Por ejemplo, en el ejemplo de cambios de programa, la declaración del alcance podría limitar la revisión a un solo sistema de aplicación o a un período limitado de tiempo.

  18. Etapas de la Auditoría 4. Planificación de la auditoría preliminar • Identificar las habilidades y recursos técnicos que se necesitan. • Identificar las fuentes de información para probarlas o revisarlas, tales como cuadros funcionales de flujo, políticas, estándares, procedimientos y documentos de trabajo preliminares de auditoría. • Identificar las ubicaciones o las instalaciones que serán auditadas.

  19. Etapas de la Auditoría 5. Procedimientos de auditoría y pasos para la recolección de datos • Identificar y seleccionar el método de auditoría para verificar y probar los controles. • Identificar una lista de personas para entrevistar. • Identificar y obtener políticas, estándares y directrices de los departamentos, para su revisión. • Desarrollar instrumentos y metodología de auditoría para comprobar y verificar el control.

  20. Etapas de la Auditoría 6. Procedimientos para evaluar la prueba o revisar los resultados • Organización específica

  21. Etapas de la Auditoría 7. Procedimientos para comunicarse con la gerencia • Organización específica

  22. Etapas de la Auditoría 8. Elaboración del informe de auditoría • Identificar los procedimientos de revisión del seguimiento. • Identificar los procedimientos para evaluar/comprobar la eficiencia y la eficacia operacional. • Identificar los procedimientos para comprobar los controles. • Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.

  23. Pruebas de cumplimiento: Implican la recolección de evidencias con el fin de comprobar el cumplimiento de procedimientos de control por parte de una organización Pruebas sustantivas: Implican la recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información Pruebas de cumplimiento vs Pruebas sustantivas

  24. Se trata de cualquier información usada para determinar si la entidad o los datos que están siendo analizados cumplen con los criterios u objetivos establecidos. Evidencia

  25. Independencia del proveedor de la evidencia Calificación de la persona que suministra la información o la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia Confiabilidad de la evidencia

  26. Los controles de segregación de funciones mas comunes son Autorización de transacción Custodia de archivos Acceso a los datos Formularios de autorización Tablas de autorización de datos Segregación de funciones

  27. Pistas de auditoría Conciliación Reportes de excepción Registros de transacciones Revisiones de supervisión Revisiones independientes Controles compensatorios de la falta de segregación

  28. Actitudes desfavorables del usuario final Costos excesivos Presupuesto excedido Proyectos demorados Rotación elevada del personal Personal inexperto Errores frecuentes de hardware/software Lista excesiva de solicitudes en espera Tiempo de respuesta de computadora excesivo Indicadores de problemas potenciales

  29. Numerosos proyectos cancelados o suspendidos Compras de hardware/software sin soporte o autorización Frecuentes ampliaciones de capacidad de hardware/software Extensos reportes de excepciones Reportes de excepciones sin seguimiento Poca motivación Ausencia de planes de contingencia Confianza en uno o dos miembros claves del personal Falta de entrenamiento adecuado Indicadores de problemas potenciales

More Related