Auditoria
Auditoria gy MSALlNAS77 02, 2010 6 pagos [pic] República Bolivariana De Venezuela Ministerio De Educación Superior Instituto Universitario Politécnico «Santiago Mariño» Cátedra: Auditoria y Evaluación de Sistemas Ingeniería De Sistemas (47) Actividad Na 2 Caracas, Noviembre El control de gestión Elaborado por: 47. 474 or6 to View nut*ge Es un proceso de retroalimentación de información de uso eficiente de los recursos disponibles de una empresa para lograr los objetivos planteados.
Los condicionantes del control de gestión: • El entorno: Puede ser un entorno estable o dinámico, variable cíclicamente o completamente atípico. La adaptación al entorno cambiante puede ser la clave del desarrollo de la empresa. • os objetivos de la empresa, según sean de rentabilidad, de crecimiento, sociales y medioambientales, etc. • La estructura de la organización, según sea funcional o divisional, implica establecer variables distintas, y por ende objetivos y sistemas de control también distintos. ?? El tamaño de la empresa está directamente relacionado con la centralización. En la medida que el volumen aumenta factor determinante del control de gestión, sin olvidar el sistema de Incentivos y motivación del personal. Los fines del control de gestión: ?? uso eficiente de los recursos disponibles para la consecución de los objetivos. • Informar: Consiste en transmitir y comunicar la información necesaria para la toma de decisiones. • Coordinar: Trata de encaminar todas las actividades eficazmente a la consecución de los objetivos. ?? Evaluar: La consecución de las metas (objetivos) se logra gracias a las personas, y su valoración es la que pone de manifiesto la satisfacción del logro. • Motivar: El impulso y la ayuda a todo responsable es de capital importancia para la consecución de los objetivos. Los instrumentos del control de gestión: ?? La planificación consiste en adelantarse al futuro eliminando incertidumbres. Está relacionada con el largo plazo y con la gestión corriente, así como con la obtención de información básicamente externa. Los planes se materializan en programas. ?? El presupuesto está más vinculado con el corto plazo. Consiste en determinar de forma más exacta los objetivos, concretando cuantías y responsables. El presupuesto aplicado al futuro inmediato se conoce por planificación operativa; se realiza para un plazo de días o semanas, con variables totalmente cuantitativas y una implicación directa de cada departamento. El presupuesto se debe negociar con los responsables para conseguir una mayor implicación; no se debe imponer, porque originaría desinterés en la consecución originaría desinterés en la consecución de los objetivos.
Controles Informáticos El alcance ha de definir con precisión el entorno y los limites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. ?? Control de integridad de registros: hay Aplicaciones que comparten registros, son registros comunes.
Si una Aplicaclón no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaria como debería. • Control de validación de errores: se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. Características de la Auditoría Informática: • La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de ealizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática. ?? Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. • Cuando se pro 31_1f6 alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. • Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su funclón: se está en el campo de a Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organizacion, o de inversiones, o de seguridad, o alguna mezcla de ellas. Síntomas de Necesidad de una Auditoría Informática: Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad.
Estos síntomas pueden gruparse en clases: • Síntomas de descoordinación y desorganización: – No coinciden los objetivos de la Informática de la Compañ[a y de la propia Compañía. – Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. • Síntomas de mala Imagen e insatisfacción de los usuarios: – No se atienden las peticiones de cambios de los usuarios – No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de esultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles. • Síntomas de debilidades económico-financiero: – Incremento desmesurado de costes. – Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. – Costes y plazos de nuevos proyectos (deben auditarse imultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición). • Síntomas de Inseguridad: Evaluación de nivel de riesgos – Seguridad Lógica Seguridad Física – Confidencialidad • Planes de Contingencia: Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta.
Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas aralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas.
Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando. Función de Control: • En la audltoria Informática; esta tiene función de vigilancla y evaluación mediante dictámenes, los auditores d Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evaluan eficiencia, costos y a segundad con mayor visión, y realizan evaluaciones de tipo cualitativo. ?? Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas de controles, es clara que esta medida permite la seguridad informática.
Herramientas de control: Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los cifradores
