Evaluación efectiva del sistema de control interno en un ambiente de TI

Meses atrás me dieron la oportunidad de asistir a un curso sobre cómo aplicar una evaluación efectiva del Control Interno para un ambiente de tecnologías de información. En términos generales si tuviera que describirlo con una palabra seria “Provechoso”.

Es mi deber como profesional aprender y procurar compartir dichos conocimientos por lo tanto les voy a comentar un poco sobre las ideas expuestas en el curso:

Iniciamos con una premisa en donde se nos comunico que cien horas no son suficientes para evaluar el un SCI dentro de un entornos de tecnologías de información; tomando en cuenta que debo de explicar:  1- Que es lo que veo yo como auditor,  2- Para compararlo con lo que ven nuestros clientes u empresas para el negocio =>  Es entonces donde este primer análisis nos pide invertir el tiempo suficiente (la cantidad de horas van a depender del tamaño del cliente) para con esto tener un punto de partida en la evaluación.

Dentro del curso se planteo una idea, que mas que idea o consejo debe der ser regla, debería de ser una ley para la evaluación de los SCI en las áreas de TIC, “debemos de partir del estudio de los objetivos operacionales de las empresas/instituciones/ departamentos de TI , una vez que los conocemos y sabemos cuáles son procedemos a planificar nuestros estudios” .

Una vez que se conocen los objetivos de los clientes para cada una de las áreas que se estén auditando, se pasa al siguiente nivel este viene a ser lo que conocemos como procesos. Los procesos debemos de considerarlos dentro de los Cinco Componentes funcionales para el Sistema de Control Interno (Adjunto el link de un breve repaso del SCI que escribí tiempo atrás).

Una vez superado estos temas introductorios la capacitación nos llevo al SCI.

El Sistema de Control Interno, tiene la oportunidad de ajustarse a los diferentes actores/areas dentro de los clientes, partiendo de sus cinco componentes (Ambiente de Control, Valoración de Riegos, Actividades de Control, Información Comunicación y Actividades de monitoreo).

Una vez que conocemos estos cinco componentes de COSO 2013, vamos a trabajar bajo 17 principios que se distribuyen en estos cinco componentes a saber:

Ambiente de Control:

  • Demostrar compromiso con la integridad y valores éticos.
  • Ejercitar responsabilidades de supervisión.
  • Establecer estructura, niveles de autoridad y responsabilidad.
  • Demostrar compromisos con la competencia.
  • Fortalecer la rendición de cuentas.

Valoración de Riesgos:

  • Especificar objetivos alcanzados.
  • Identificar y analizar riesgos.
  • Medir los riesgos de fraude.
  • Identificar y analizar cambios significativos.

Actividades de Control:

  • Seleccionar y desarrollar actividades de control.
  • Seleccionar y desarrollar controles generales sobre tecnología.
  • Implementar políticas y procedimientos.

Información y comunicación:

  • Usar información relevante.
  • Comunicarse internamente.
  • Comunicarse externamente.

Actividades de monitoreo:

  • Realizar evaluaciones periódicas y/o externas.
  • Evaluar y comunicar las deficiencias.

Conforme vamos evaluando los procesos debemos de ubicar los mismos dentro del SCI interno implementado en la empresa, esto de la mano al primer paso en donde nos pide basar nuestros estudios partiendo de los objetivos operacionales y sus procesos asociados.

Se debe de recordar que un SCI es eficaz si reduce en un nivel aceptable los riegos de no cumplir los objetivos basado en alguna de las tres categorías que están dentro del SCI, con esto se debe de buscar:

  • Cada uno de los 5 componentes del SCI están presentes dentro del cliente y funcionando de forma adecuada.
  • Los 5 componentes están funcionando juntos y de forma integrada; con esto se busca la interdependencia basado en interrelaciones y vínculos.

Puedo cerrar con que el curso estuvo muy completo y dio el refrescamiento necesario para como auditores hacer cada día mejor nuestro trabajo.

El curso fue impartido por el CISA Manuel Arauz Montero, que además de ser Auditor en TI es un colega de la carrera, colegiado del CPIC. Don Manuel es consultor bajo la firma T.I. Audiseg.

Auditoría de Sistemas 25-2-2011

Allá en el 2011 presentaba yo este documento como parte de un trabajo que se me pidio:

Auditoria de Sistemas

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, LOS DATOS, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes

Objetivos de la auditoria de sistemas:

  1. Participación en el desarrollo de nuevos sistemas:
  • evaluation de controles
  • cumplimiento de la metodología.
  1. Evaluación de la seguridad en el área informática.
  2. Evaluación de suficiencia en los planes de contingencia.
  • respaldos, preveer qué va a pasar si se presentan fallas.
  1. Opinión de la utilización de los recursos informáticos.
  • resguardo y protección de activos.
  1. Control de modificación a las aplicaciones existentes.
  • fraudes
  • control a las modificaciones de los programas.
  1. Participación en la negociación de contratos con los proveedores.
  2. Revisión de la utilización del sistema operativo y los programas
  • control sobre la utilización de los sistemas operativos
  • programas utilitarios.

 

  1. Auditoría de la base de datos.
  • estructura sobre la cual se desarrollan las aplicaciones…
  1. Auditoría de la red de teleprocesos.
  2. Desarrollo de software de auditoría.

Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.

  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico
  • Flujogramas
  • Listas de chequeo
  • Mapas conceptuales

 

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.

  1. La información es un recurso clave en la empresa para:
  • Planear el futuro, controlar el presente y evaluar el pasado.
  1. Las operaciones de la empresa dependen cada vez más de la sistematización.
  2. Los riesgos tienden a aumentar, debido a:
  • Pérdida de información
  • Pérdida de activos.
  • Pérdida de servicios/ventas.
  1. La sistematización representa un costo significativo para
  • la empresa en cuanto a: hardware, software y personal.
  1. Los problemas se identifican sólo al final.
  2. El permanente avance tecnológico.

 

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

  1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
  2. Entendimiento del efecto de los sistemas en la organización.
  3. Entendimiento de los objetivos de la auditoría.
  4. Conocimiento de los recursos de computación de la empresa.
  5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE TI:

Hardware
– Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
– Destrucción.

Software:
– uso o acceso,
– copia,
– modificación,
– destrucción,
– hurto,
– errores u omisiones.

Archivos:
– Usos o acceso,
– copia, modificación, destrucción, hurto.

Organización:
– Inadecuada: no funcional, sin división de funciones.
– Falta de seguridad,
– Falta de políticas y planes.

Personal:
– Deshonesto, incompetente y descontento.

Usuarios:
– Enmascaramiento, falta de autorización, falta de conocimiento de su función.

 

¿Que tanto hemos avanzado o cambiado desde un punto de vista conceptual?