viernes, 16 de agosto de 2013

Riesgos de Integridad "Informático"

Riesgos: Es la incertidumbre de que ocurra un acontecimiento que pudiera pueda afectar el logro de los objetivos. También se define como la posibilidad de que suceda algo que tendrá impacto en los objetivos.

Riesgos de Integridad abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización. Estos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y están presentes en múltiples lugares, y en múltiples momentos en todas las partes de las aplicaciones; estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interfaz del usuario: Los riesgos en esta área generalmente se relacionan con las restricciones, sobre las individualidades de una organización y su autorización de ejecutar funciones negocio/sistema. Otros riesgos en esta área se relacionan con controles que aseguren la validez y completitud de la información introducida dentro de un sistema.

Procesamiento: Estos riesgos se relacionan con el adecuado balance de los controles de detección y preventivos que aseguran que el procesamiento de la información ha sido completado. Esta área de riesgos también abarca los riesgos asociados con la exactitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio.

Procesamiento de errores: Estos riesgos generalmente se relacionan con los métodos que aseguren que cualquier entrada/proceso de información de errores sean capturados adecuadamente, corregidos y reprocesados con exactitud completamente.


Interfaz: Estos riesgos se relacionan con controles preventivos y de detección que aseguran que la información ha sido procesada y transmitida adecuadamente por las aplicaciones.

Administración de cambios: Estos riesgos son considerados como parte de la infraestructura de riesgos y el impacto de los cambios en las aplicaciones. Estos riesgos están asociados con la administración inadecuada de procesos de cambios organizacionales (compromisos y entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e implementarlos).

Información: Estos riesgos son considerados como parte de la infraestructura de las aplicaciones. Están asociados con la administración inadecuada de controles, incluyendo la integridad de la seguridad de la información procesada y la administración efectiva de los sistemas de bases de datos y de estructuras de datos. La integridad puede perderse por: errores de programación (buena información es procesada por programas mal construidos), procesamiento de errores (transacciones incorrectamente procesadas) o administración y procesamiento (administración pobre del mantenimiento de sistemas).

Implantación de un sistema de controles internos informáticos

Los controles pueden implantarse a varios niveles diferentes. La evaluación de los controles de la Tecnología de la Información exige analizar diversos elementos interdependientes. Por ello es importante llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber donde pueden implantarse los controles, así como para identificar posibles riesgos.

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados (Configuración de los equipos, seguridad, entornos de la red y entornos de aplicaciones, productos y herramientas).

Para la implantación de un sistema de controles internos informáticos habrá que definir: Gestión de sistemas de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
  • Administración de sistemas: controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
  • Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
  • Gestión del cambio: separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas, software aprobado y probado.
Control internó Informático define los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable.

Diez Objetivos básicos de la Auditoría de Sistemas

Existen muchos más objetivos que les estaría mencionando más adelante en otros artículos en mi blog.
  1. Participación en el desarrollo de nuevos sistemas (evaluación de controles y cumplimiento de la metodología).
  2. Evaluación de la seguridad en el área informática (física y lógica).
  3. Evaluación de suficiencia en los planes de contingencia.
  4. Utilización de los recursos informáticos (resguardo y protección de activos).
  5. Control de modificación a las aplicaciones existentes.
  6. Revisión de la utilización del sistema operativo y los programas utilitarios.
  7. Auditoría a la base de datos.
  8. Auditoría de la red.
  9. Desarrollo de software de auditoría.
  10. Participación en la negociación de contratos con los proveedores.
Enlace: Auditoría Informática

lunes, 12 de agosto de 2013

Componentes del Control Interno

Dentro del marco integrado se identifican cinco elementos de control interno que se relacionan entre sí y son inherentes al estilo de gestión de la empresa son:
  • Ambiente de Control.
  • Evaluación de Riesgos.
  • Actividades de Control.
  • Información y Comunicación.
  • Supervisión o Monitoreo. 
Importancia de los componentes:
Si los objetivos organizacionales te indican la dirección, hacia dónde ir, el resultado a lograr, los cinco componentes del control interno constituyen caminos para el logro de los objetivos de la organización, de los resultados planificados y el buen funcionamiento de la misma, coincidiendo con los objetivos esenciales de todo proceso de cambio que están enfocados al funcionamiento y los resultados empresariales.

Los componentes del control interno son el cuerpo del sistema y existen por las funciones que desarrollan cada uno de ellos. Proporcionan un grado de seguridad razonable en cuanto a la consecución de los objetivos dentro de las siguientes categorías:
  • Eficacia y eficiencia de las operaciones.
  • Fiabilidad de la información financiera.
  • Cumplimiento de las leyes y normas aplicables.
Entorno de Control:
El entorno de control marca la pauta del funcionamiento de una empresa e influye en la concienciación de sus empleados respecto al control. Es la base de todos los demás componentes del control interno, aportando disciplina y estructura. Los factores del entorno de control incluyen la integridad, los valores éticos y la capacidad de los empleados de la empresa, la filosofía de dirección y el estilo de gestión, la manera en que la dirección asigna autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados y la atención y orientación que proporciona al consejo de administración.

“El núcleo de un negocio es su personal (sus atributos individuales, incluyendo la integridad, los valores éticos y la profesionalidad) y el entorno en que trabaja, los empleados son el motor que impulsa la entidad y los cimientos sobre los que descansa todo”. 

Evaluación de los Riesgos:
Las organizaciones, cualquiera sea su tamaño, se enfrentan a diversos riesgos de origen externos e internos que tienen que ser evaluados. Una condición previa a la evaluación del riesgo es la identificación de los objetivos a los distintos niveles, vinculados entre sí e internamente coherentes. La evaluación de los riesgos consiste en la identificación y el análisis de los riesgos relevantes para la consecución de los objetivos, y sirve de base para determinar cómo han de ser gestionados los riesgos. Debido a que las condiciones económicas, industriales, legislativas y operativas continuarán cambiando continuamente, es necesario disponer de mecanismos para identificar y afrontar los riesgos asociados con el cambio.

La entidad debe conocer y abordar los riesgos con que se enfrenta, estableciendo mecanismos para identificar, analizar y tratar los riesgos correspondientes en las distintas áreas.La evaluación del riesgo no es una tarea a cumplir de una vez para siempre. Debe ser un proceso continuo, una actividad básica de la organización, como la evaluación continua de la utilización de los sistemas de información o la mejora continua de los procesos.


Los procesos de evaluación del riesgo deben estar orientados al futuro, permitiendo a la dirección anticipar los nuevos riesgos y adoptar las medidas oportunas para minimizar y/o eliminar el impacto de los mismos en el logro de los resultados esperados. La evaluación del riesgo tiene un carácter preventivo y se debe convertir en parte natural del proceso de planificación de la empresa. 

Actividades de Control:
Las actividades de control son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen las medidas necesarias para controlar los riesgos relacionados con la consecución de los objetivos de la empresa. Hay actividades de control en toda la organización, a todos los niveles y en todas las funciones.

Deben establecerse y ajustarse políticas y procedimientos que ayuden a conseguir una seguridad razonable de que se llevan a cabo en forma eficaz las acciones consideradas necesarias para afrontar los riesgos que existen respecto a la consecución de los objetivos de la unidad.

Las actividades de control existen a través de toda la organización y se dan en toda la organización, a todos los niveles y en todas las funciones, e incluyen cosas tales como; aprobaciones, autorizaciones, verificaciones, conciliaciones, análisis de la eficacia operativa, seguridad de los activos, y segregación de funciones.

En algunos entornos, las actividades de control se clasifican en; controles preventivos, controles de detección, controles correctivos, controles manuales o de usuario, controles informáticos o de tecnología de información, y controles de la dirección. Independientemente de la clasificación que se adopte, las actividades de control deben ser adecuadas para los riesgos.

Las empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de control les impidan operar de manera eficiente, lo que disminuye la calidad del sistema de control. Por ejemplo, un proceso de aprobación que requiera firmas diferentes puede no ser tan eficaz como un proceso que requiera una o dos firmas autorizadas de funcionarios que realmente verifiquen lo que están aprobando antes de estampar su firma. Un gran número de actividades de control o de personas que participan en ellas no asegura necesariamente la calidad del sistema de control.
 

Información y Comunicación:
Se debe identificar, recopilar y comunicar información pertinente en forma y plazo que permitan cumplir a cada empleado con sus responsabilidades. Los sistemas informáticos producen informes que contienen información operativa, financiera y datos sobre el cumplimiento de las normas que permite dirigir y controlar el negocio de forma adecuada.

Dichos sistemas no sólo manejan datos generados internamente, sino también información sobre acontecimientos internos, actividades y condiciones relevantes para la toma de decisiones de gestión así como para la presentación de información a terceros. También debe haber una comunicación eficaz en un sentido más amplio, que fluya en todas las direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo y a la inversa.

En la actualidad nadie concibe la gestión de una empresa sin sistemas de información. En muchas organizaciones los directores se quejan de que los voluminosos informes que reciben les exigen revisar demasiados datos para extraer la información pertinente. En tales casos puede haber comunicación pero la información está presentada de manera que el individuo no la puede utilizar o no la utiliza real y efectivamente. Para ser verdaderamente efectiva la TI debe estar integrada en las operaciones de manera que soporte estrategias proactivas en lugar de reactivas.

Debe existir una comunicación efectiva a través de toda la organización. El libre flujo de ideas y el intercambio de información son vitales. La comunicación en sentido ascendente es con frecuencia la más difícil, especialmente en las organizaciones grandes. Sin embargo, es evidente la importancia que tiene.
 

Supervisión o Monitoreo:
Los sistemas de control interno requieren supervisión, es decir, un proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo. Esto se consigue mediante actividades de supervisión continuada, evaluaciones periódicas o una combinación de ambas cosas. La supervisión continuada se da en el transcurso de las operaciones. Incluye tanto las actividades normales de dirección y supervisión, como otras actividades llevadas a cabo por el personal en la realización de sus funciones.

El alcance y la frecuencia de las evaluaciones periódicas dependerán esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de supervisión continuada. Las deficiencias detectadas en el control interno deberán ser notificadas a niveles superiores, mientras que la alta dirección y el consejo de administración deberán ser informados de los aspectos significativos observados.

Es preciso supervisar continuamente los controles internos para asegurarse de que el proceso funciona según lo previsto. Esto es muy importante porque a medida que cambian los factores internos y externos, controles que una vez resultaron idóneos y efectivos pueden dejar de ser adecuados y de dar a la dirección la razonable seguridad que ofrecían antes.