DESARROLLO DE LA PLANEACIÓN ESTRATÉGICA DE UN PROGRAMA DE AUDITORÍA, EL ANÁLISIS DE RIESGOS Y UN PLAN DE CONTROL INTERNO PARA LA EMPRESA EL CÓNDOR JHON ADRIÁN CERÓN GUZMÁN LUÍS FERNANDO CAMACHO ENRÍQUEZ UNIVERSIDAD COOPERATIVA DE COLOMBIA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA DE SISTEMAS SANTIAGO DE CALI 2011
41
Embed
Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
MENSAJE DE DATOS: información generada, enviada, recibida, almacenada ocomunicada por medios electrónicos, tales como el Internet, el correo electrónico,entre otros.
SISTEMA DE INFORMACIÓN: conjunto de elementos que interactúan entre sícon el fin de apoyar las actividades de una empresa. Los sistemas de informaciónpermiten la automatización de procesos, o proporcionan información que sirve deapoyo para la toma de decisiones de la alta gerencia.
TIC (TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN ): es un
conjunto de elementos, herramientas y técnicas utilizadas para gestionar ytransmitir información.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
En la actualidad, el éxito de las organizaciones depende, en un alto porcentaje, dela infraestructura tecnológica que tengan implementada, además del correcto (yadecuado) uso que los miembros de la organización le dan a dicha infraestructura;esta situación se genera a raíz de la globalización y el fenómeno de lasTecnologías de la Información y Comunicación.
En el momento que se generan anomalías como consecuencia de lainfraestructura tecnológica, el sistema Organizacional falla, generando efectoscomo la pérdida de clientes de la organización e inconformidades en los usuarios
que hace uso de dicha infraestructura, y cuya área encargada de su operatividades el departamento de Sistemas.
La estructura del departamento de sistemas de la empresa El Cóndor lacomponen los departamentos de Mesa de Ayuda , Mantenimiento , Desarrollo ,Adquisiciones y Control Interno que está en proceso de estructuración. Todas laspersonas que integran el departamento de Sistemas son coordinadas por unIngeniero de Sistemas, siendo este el encargado de supervisar todas lasactividades que son llevadas a cabo en el departamento, realizando informes y
controles a todos los procesos, además de coordinar reuniones de trabajo entre elIngeniero encargado del departamento con las distintas áreas que la componen.
Teniendo en cuenta el inadecuado rendimiento organizacional de la empresa ElCóndor, es necesario desarrollar un programa de auditoria que comprenda laplaneación estratégica , el análisis de riesgos y el plan de control interno para laorganización, con el objeto de plantear alternativas de solución a los diferentesproblemas que presenta la empresa El Cóndor.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
Todas las organizaciones, independientes a cuál sea su fin o el porqué de sufuncionar, deben de entender que la razón principal de su existir es el cliente . Enrazón a este principio, las empresas han decidido recurrir a teoríasorganizacionales y administrativas para fundamentar un accionar que permitacautivar potenciales clientes y consolidar aquellos con que la empresa ya cuenta;entendiéndose que para alcanzar dicho objetivo es necesario contar con unadecuado plan estratégico y operativo.
La Empresa El Cóndor, siendo consciente de esta obligación y representada porsu junta directiva ha detectado que su estructura organizacional (y más
específicamente sus funciones y funcionarios estratégicos y operativos) no estágenerando los resultados necesarios para el cumplimiento de sus objetivos,sumándole a esto la continua pérdida de clientes y la insatisfacción de aquellosmiembros que hacen uso (sea directa o indirectamente) del departamento desistemas; como causas (u origen) a esta situación la junta directiva haresponsabilizado a dicho departamento, que en la actualidad es dirigido por el Ing.Gonzalo Andrade, hijo del presidente de la organización.
Para contrarrestar las causas que generan dicha situación, la junta directiva hadecido plantear a su presidente, la necesidad de contratar un programa de
auditoría, además de un plan de control interno, que permita (a través de lasestrategias que se puedan obtener) contrarrestar las causas que están desviandoa la organización del cumplimiento de sus objetivos y minimizando los efectos quese generan a raíz de dicha situación.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
2.1. OBJETIVO GENERALDesarrollar la planeación estratégica, el análisis de riesgos y el plan de controlinterno para llevar a cabo un programa de auditoría al departamento de sistemasde la empresa El Cóndor.
2.2. OBJETIVOS ESPECÍFICOS
Identificar cada uno de los procesos y controles que se llevan a cabo en lasdiferentes unidades del departamento de sistemas de la empresa El
Cóndor, analizando si el uso que se le da a dichos procesos y controles esel más adecuado, además del grado de cumplimiento de los resultadosesperados.
Determinar cuáles son las amenazas que pueden afectar al departamentode sistemas de la empresa El Cóndor, analizando los diferentes factoresque influyen para que estas amenazas se conviertan en riesgos.
Plantear estrategias que permitan mitigar las amenazas y los riesgos,además de brindar alternativas de solución al problema que se genera
como consecuencia de la inadecuada administración del departamento desistemas.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
EL programa de auditoría para el inadecuado rendimiento organizacional de laempresa El Cóndor, se llevara a cabo en el departamento de sistemas, analizandocómo se realizan los procesos de cada una de las unidades que lo integran (Mesade ayuda, Mantenimiento, Desarrollo, Adquisición de tecnologías y ControlInterno).
Los procesos que se auditarán en cada una de las unidades son:
Revisión y mantenimiento de los equipos informáticos. Desarrollo de software.
Adquisición y subcontratación de tecnologías. Cumplimiento de procedimientos y normas legales. Contratación de personal. Estructura tecnológica. Seguridad informática. Control de calidad.
Restricciones y Limitaciones:
Disponibilidad del personal a auditar.
Acceso a la infraestructura tecnológica de empresa. Temor de las personas auditadas a decir la verdad del cómo se llevan a
cabo los procesos. Barrera de comunicación entre el auditor y el auditado. No contar con la información, tiempo y recursos suficientes para el
programa de auditoria. Falta de conocimiento en los procesos a auditar.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
El marco legal y jurídico que regirá el programa de auditoría a realizar en laempresa El Cóndor, se describirá en las siguientes subsecciones. Es importantemencionar que, el programa de auditoría (y más exactamente las actividades deeste) se regirán por las leyes Colombianas que al momento de llevarse a cabo elprograma se hayan establecido y estén en vigencia. Las leyes que regirán dichoprograma son: Ley 527 de 1999, Ley 599 de 2000 y Ley 1273 de 2009.
4.1. LEY 527 DE 1999
4.1.1. Artículo 5. Reconocimiento jurídico de los mensajes de datos. “No senegarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de informaciónpor la sola razón de que esté en forma de mensaje de datos ”1.
4.1.2. Artículo 6. Escrito. “Cuando cualquier norma requiera que la informaciónconste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si lainformación que éste contiene es accesible para su posterior consulta”2.
4.1.3. Artículo 8. Original.
Cuando cualquier norma requiera que la información sea presentada y conservadaen su forma original, ese requisito quedará satisfecho con un mensaje de datos, si:
a) Existe alguna garantía confiable de que se ha conservado la integridad de lainformación, a partir del momento en que se generó por primera vez en suforma definitiva, como mensaje de datos o en alguna otra forma;
b) De requerirse que la información sea presentada, si dicha información puede
ser mostrada a la persona que se deba presentar3.
1 COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 527. (18, agosto, 1999). Por medio de la cualse define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de lasfirmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.Diario Oficial. Bogotá, D.C., 1999. no. 43673. 17p.2 Ibíd.3 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
4.1.4. Artículo 9. Integridad de un mensaje de datos. “Para efectos del artículoanterior, se considerará que la información consignada en un mensaje de datos esíntegra, si ésta ha permanecido completa e inalterada, salvo la adición de algúnendoso o de algún cambio que sea inherente al proceso de comunicación, archivo
o presentación. El grado de confiabilidad requerido, será determinado a la luz delos fines para los que se generó la información y de todas las circunstanciasrelevantes del caso”4.
4.1.5. Artículo 10. Admisibilidad y fuerza probatoria de los mensajes dedatos.
Los mensajes de datos serán admisibles como medios de prueba y su fuerzaprobatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII,Sección Tercera, Libro Segundo del Código de Procedimiento Civil.
En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerzaobligatoria y probatoria a todo tipo de información en forma de un mensaje de datos,por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sidopresentado en su forma original5.
4.1.6. Artículo 11. Criterio para valorar probatoriamente un mensaje dedatos.
Para la valoración de la fuerza probatoria de los mensajes de datos a que se refiereesta ley, se tendrán en cuenta las reglas de la sana crítica y demás criteriosreconocidos legalmente para la apreciación de las pruebas. Por consiguiente habránde tenerse en cuenta: la confiabilidad en la forma en la que se haya generado,archivado o comunicado el mensaje, la confiabilidad en la forma en que se hayaconservado la integridad de la información, la forma en la que se identifique a suiniciador y cualquier otro factor pertinente6.
4 Ibíd.5 Ibíd.6 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
4.1.7. Artículo 12. Conservación de los mensajes de datos y documentos.
Cuando la ley requiera que ciertos documentos, registros o informaciones seanconservados, ese requisito quedará satisfecho, siempre que se cumplan las
siguientes condiciones:
1. Que la información que contengan sea accesible para su posterior consulta.2. Que el mensaje de datos o el documento sea conservado en el formato en que
se haya generado, enviado o recibido o en algún formato que permita demostrarque reproduce con exactitud la información generada, enviada o recibida, y
3. Que se conserve, de haber alguna, toda información que permita determinar elorigen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido elmensaje o producido el documento.No estará sujeta a la obligación de conservación, la información que tenga porúnica finalidad facilitar el envío o recepción de los mensajes de datos7.
4.1.8. Artículo 16. Atribución de un mensaje de datos.
Se entenderá que un mensaje de datos proviene del iniciador, cuando éste ha sidoenviado por:
1. El propio Iniciador.2. Por alguna persona facultada para actuar en nombre del iniciador respecto
de ese mensaje, o3. Por un sistema de información programado por el iniciador o en su nombre
para que opere automáticamente8.
4.1.9. Artículo 18. Concordancia del mensaje de datos enviado con elmensaje de datos recibido.
Siempre que un mensaje de datos provenga del iniciador o que se entienda queproviene de él, o siempre que el destinatario tenga derecho a actuar con arreglo aeste supuesto, en las relaciones entre el iniciador y el destinatario, este últimotendrá derecho a considerar que el mensaje de datos recibido corresponde al quequería enviar el iniciador, y podrá proceder en consecuencia.
7 Ibíd.8 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
El destinatario no gozará de este derecho si sabía o hubiera sabido, de haberactuado con la debida diligencia o de haber aplicado algún método convenido, quela transmisión había dado lugar a un error en el mensaje de datos recibido9.
4.1.10. Artículo 25. Lugar del envío y recepción del mensaje de datos.
De no convenir otra cosa el iniciador y el destinatario, el mensaje de datos se tendrápor expedido en el lugar donde el iniciador tenga su establecimiento y por recibidoen el lugar donde el destinatario tenga el suyo. Para los fines del presente artículo:
a) Si el iniciador o destinatario tienen más de un establecimiento, suestablecimiento será el que guarde una relación más estrecha con laoperación subyacente o, de no haber una operación subyacente, su
establecimiento principal;b) Si el iniciador o el destinatario no tienen establecimiento, se tendrá en
cuenta su lugar de residencia habitual10.
4.2. LEY 599 DE 2000
4.2.1. Artículo 192. Violación ilícita de comunicaciones.
El que ilícitamente sustraiga, oculte, extravíe, destruya, intercepte, controle o impidauna comunicación privada dirigida a otra persona, o se entere indebidamente de sucontenido, incurrirá en prisión de uno (1) a tres (3) años, siempre que la conducta noconstituya delito sancionado con pena mayor
Si el autor de la conducta revela el contenido de la comunicación, o la emplea enprovecho propio o ajeno o con perjuicio de otro, la pena será prisión de dos (2) acuatro (4) años11.
9 Ibíd.10 Ibíd.11 COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 599. (24, julio, 2000). Por la cual se expideel Código Penal. Diario Oficial. Bogotá, D.C., 2000. no. 44097. 65 p.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
4.2.2. Artículo 193. Ofrecimiento, venta o compra de instrumento apto parainterceptar la comunicación privada entre personas. “El que sin permiso deautoridad competente, ofrezca, venda o compre instrumentos aptos parainterceptar la comunicación privada entre personas, incurrirá en multa, siempre
que la conducta no constituya delito sancionado con pena mayor ”12.
4.2.3. Artículo 194. Divulgación y empleo de documentos reservados. “El queen provecho propio o ajeno o con perjuicio de otro divulgue o emplee el contenidode un documento que deba permanecer en reserva, incurrirá en multa, siempreque la conducta no constituya delito sancionado con pena mayor ”13.
4.2.4. Artículo 195. Acceso abusivo a un sistema informático. “El queabusivamente se introduzca en un sistema informático protegido con medida deseguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo,incurrirá en multa”14.
4.3. LEY 1273 DE 2009
4.3.1. Artículo 269A. Acceso abusivo a un sistema informático. “El que, sin
autorización o por fuera de lo acordado, acceda en todo o en parte a un sistemainformático protegido o no con una medida de seguridad, o se mantenga dentrodel mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo,incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses yen multa de 100 a 1.000 salarios mínimos legales mensuales vigentes”15.
4.3.2. Artículo 269B. Obstaculización ilegítima de sistema informático o redde telecomunicación. “El que, sin estar facultado para ello, impida u obstaculiceel funcionamiento o el acceso normal a un sistema informático, a los datos
12 Ibíd.13 Ibíd.14 Ibíd.15 COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 1273. (5, enero, 2009). Por medio de la cualse modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protecciónde la información y de los datos”- y se preservan integralmente los sistemas que utilicen lastecnologías de la información y las comunicaciones, entre otras disposiciones. Bogotá, D.C., 2009.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en penade prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta noconstituya delito sancionado con una pena mayor”16.
4.3.3. Artículo 269C. Interceptación de datos informáticos. “El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior deun sistema informático, o las emisiones electromagnéticas provenientes de unsistema informático que los transporte incurrirá en pena de prisión de treinta y seis(36) a setenta y dos (72) meses”17.
4.3.4. Artículo 269D. Daño Informático. “El que, sin estar facultado para ello,destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistemade tratamiento de información o sus partes o componentes lógicos, incurrirá enpena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de100 a 1.000 salarios mínimos legales mensuales vigentes”18.
4.3.5. Artículo 269F. Violación de datos personales. “El que, sin estar facultadopara ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o
emplee códigos personales, datos personales contenidos en ficheros, archivos,bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta yocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimoslegales mensuales vigentes”19.
4.3.6. Artículo 269H. Circunstancias de agravación punitiva.
Las penas imponibles de acuerdo con los artículos descritos en este título, seaumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:
16 Ibíd.17 Ibíd.18 Ibíd.19 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
1. Sobre redes o sistemas informáticos o de comunicaciones estatales uoficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.3. Aprovechando la confianza depositada por el poseedor de la información o
por quien tuviere un vínculo contractual con este.4. Revelando o dando a conocer el contenido de la información en perjuicio deotro.
5. Obteniendo provecho para sí o para un tercero.6. Con fines terroristas o generando riesgo para la seguridad o defensa
nacional.7. Utilizando como instrumento a un tercero de buena fe.8. Si quien incurre en estas conductas es el responsable de la administración,
manejo o control de dicha información, además se le impondrá hasta por tresaños, la pena de inhabilitación para el ejercicio de profesión relacionada consistemas de información procesada con equipos computacionales20.
4.3.7. Artículo 269J. Transferencia no consentida de activos.
El que, con ánimo de lucro y valiéndose de alguna manipulación informática oartificio semejante, consiga la transferencia no consentida de cualquier activo enperjuicio de un tercero, siempre que la conducta no constituya delito sancionado conpena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte(120) meses y en multa de 200 a 1.500 salarios mínimos legales mensualesvigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o
facilite programa de computador destinado a la comisión del delito descrito en elinciso anterior, o de una estafa.
Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a200 salarios mínimos legales mensuales, la sanción allí señalada se incrementaráen la mitad21.
4.4. CÓDIGO DE PROCEDIMIENTO CIVIL. SECCIÓN TERCERA.RÉGIMEN PROBATORIO.
El Código de Procedimiento Civil, expedido por el Senado de la República deColombia, el 6 de agosto de 1970, a través del Diario Oficial no. 33150, publicadoel 21 de septiembre del mismo año, decreta en la Sección Tercera el RégimenProbatorio, Título XIII Pruebas, los siguientes capítulos (y sus respectivos
20 Ibíd.21 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
artículos) que deben de tenerse en cuenta para el procedimiento de Recolecciónde Pruebas, con el fin de garantizar la eficaz iniciación del proceso penal:
1. Capítulo I. Disposiciones generales.
2. Capítulo II. Declaración de parte.3. Capítulo III. Juramento.4. Capítulo IV. Declaración de terceros.5. Capítulo V. Prueba pericial.6. Capítulo VI. Inspección judicial.7. Capítulo VII. Indicios.8. Capítulo VIII. Documentos.9. Capítulo IX. Pruebas anticipadas.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
5.1.1. Nombramiento del líder del equipo de la auditoría. La personaresponsable del programa de auditoria es Luis Fernando Camacho Enríquez, deprofesión Ingeniero de Sistemas.
El líder de la auditoría deberá:
Liderar todo los procesos del programa de auditoría.
Seleccionar y contratar al equipo auditor que lo acompañará. Asignar roles a cada uno de los integrantes del equipo del programa de
auditoría. Presentar informes del programa de auditoria a la junta directiva o persona
delegada de la organización El Cóndor. Entrevistar a los miembros del departamento de Sistemas de la empresa El
Cóndor. Motivar al equipo auditor para que sean realizadas las tareas asignadas,
con el objeto de que el programa de auditoría tenga éxito. Revisar y analizar todos los hallazgos, evidencias y registros que se
encuentran durante el proceso de la auditoría. Documentar todo las actividades que se lleven a cabo en el programa de
auditoría.
5.1.2. Viabilidad de la auditoría. Para que el programa de auditoría sea viable, eldepartamento de sistemas de la empresa El Cóndor, deberá brindarle al equipoauditor la información suficiente y apropiada para desarrollar la planeación de laauditoría. Se requerirá de la disponibilidad de cooperación adecuada, por parte de
los miembros y el gerente encargado de la organización; además, la disponibilidadde tiempo y de recursos para el programa de auditoría.
5.1.3. Conformación del equipo auditor. Para llevar a cabo el programa deauditoria al departamento de sistemas de la empresa El Cóndor es necesario
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
seleccionar y contratar a tres (3) Ingenieros de Sistemas y un (1) IngenieroElectrónico.Las personas adecuadas para llevar a cabo el programa de auditoría semencionarán en las subsiguientes secciones.
5.1.3.1. Ingeniero de Sistemas. Ingeniería de Software y Telemática. Persona encargada de determinar si todos los sistemas de información con el cualcuenta la empresa cumplen con los requerimientos planteados, estándares deseguridad. Además, será el encargado de revisar los procesos de administración ycontrol de las redes de datos de la organización, analizando quién y cómo serealizan dichos procesos.
5.1.3.2. Ingeniero Electrónico. Mantenimiento y adquisición detecnologías. Persona encargada de revisar los procesos de mantenimiento yadquisición de la infraestructura tecnológica con que cuenta la organización,verificando que dichas actividades se realicen de forma adecuada.
También se encargará de analizar si las tecnologías que se adquieren osubcontratan son las más adecuadas para la empresa, o si estas no sonnecesarias para el crecimiento de la organización.
5.1.3.3. Ingeniero de Sistemas. Control Interno y Calidad. Personaencargada de revisar si todas las actividades que se realizan dentro deldepartamento de sistemas cumplen con los procedimientos, estándares y normasfijadas por la dirección de la organización y/o la dirección informática, así comolos requerimientos legales.
5.1.3.4. Ingeniero de Sistemas. Auditoría Informática. Persona encargadade dirigir, planear y organizar todo los procesos del programa de auditoria que sellevarán a cabo en el departamento de sistema de la empresa El Cóndor.
5.2. CRONOGRAMA DE ACTIVIDADES DE LA AUDITORÍA
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
Para un completo análisis de la situación, y con el objeto de conocer exactamentelas causas de los problemas del departamento de sistemas de la empresamencionada, entre otros, la pérdida de clientes, inconformidades de los usuariosdirectos e indirectos del departamento, retardo y fallas en los servicios ofrecidos,se hace necesario realizar un informe detallado de los riesgos caracterizados porcada departamento (o sub departamento), en el cual se determinen las amenazas,la probabilidad de ocurrencia y el impacto que generaría cada amenaza si dado elcaso ocurriese.
En las siguientes subsecciones se mostrará el análisis de riesgos por cada
departamento, previo a las siguientes tablas de convenciones utilizadas para eldesarrollo del análisis.
Tabla 3. Convenciones usadas para el análisis de riesgos
CriteriosConvención Significado
C ConfidencialidadI IntegridadD Disponibilidad
Calificación
Convención Significado1 Insignificante2 Bajo3 Medio4 Alto5 Muy alto
Fuente: Los Autores.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
Activos C I D Total ValorTecnólogos (5) 2 2 3 7 No críticoServidores 4 4 5 13 CríticoSwitches 2 2 3 7 No críticoRouters 3 2 2 7 No críticoMantenimientoinfraestructuratecnológica
1 4 4 9 Crítico
Oficina unidad demantenimiento 1 2 3 6 No crítico
Fuente: Los Autores.
6.1.3. Análisis de riesgos unidad Desarrollo
Tabla 7. Análisis de riesgos unidad Desarrollo Activos C I D Total Valor
Programadores (5) 1 3 3 7 No críticoAplicación SEUS 4 4 4 12 CríticoBase de datos SEUS 3 3 3 9 Crítico
Computadores 4 4 4 12 CríticoOficina de desarrollo 4 4 4 12 Crítico
Fuente: Los Autores.
6.1.4. Análisis de riesgos unidad Tecnologías
Tabla 8. Análisis de riesgos unidad TecnologíasActivos C I D Total Valor
Ingenieros (4) 2 2 2 6 No críticoEvaluación necesidad 2 1 3 7 No críticoTendencias tecnológicas 1 2 4 7 No críticoContratación y subcontrataciónde tecnologías
2 3 3 8 Crítico
Oficina unidad detecnologías
2 4 4 10 Crítico
Fuente: Los Autores.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
Sabido es que, el rendimiento organizacional de la empresa El Cóndor no es elmás adecuado y los controles empleados para revisar dicho rendimiento no estándando los resultados esperados; por tal razón, se hace necesario plantear,estructurar y definir la unidad de control interno para el departamento de Sistemas,cuyo objeto sea a corto plazo la mejora significativa en el rendimiento de dichodepartamento, y a largo plazo permita mantener un equilibrio en el rendimiento eimpacto del departamento tanto en el entorno interno como externo de la empresa.
7.1. DEFINICIÓN
La unidad de Control Interno realizará las actividades o acciones necesarias (seade forma manual o automática), que permitan prevenir y corregir los errores y lasirregularidades que pueden afectar el rendimiento y funcionamiento deldepartamento de Sistemas22.
7.2. OBJETIVOS
Verificar y garantizar que todas las actividades realizadas por eldepartamento de sistemas cumplan con los procedimientos y normasfijados, evaluando el rendimiento y asegurando el cumplimiento de lasnormas legales23.
Capacitar y orientar a todos los miembros del departamento de sistemassobre la normatividad tanto interna como externa que debe cumplirse en larealización de las actividades.
“Definir, implantar y ejecutar mecanismos y controles para comprobar ellogro de los grados adecuados del servicio informático”24.
22 SÁNCHEZ VALRIBERAS, GLORIA. Control Interno y auditoría informática. En: PIATTINIVELTHUIS, Mario Gerardo; DEL PESO NAVARRO, Emilio. Auditoría informática; un enfoquepráctico. México, D.F., Alfaomega, 1998. P 25-43.23 Ibíd.24 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
7.3. ACTIVIDADESEn las siguientes subsecciones se definen las actividades que deben realizarsepor la unidad de Control Interno a todos los procesos y unidades del departamentode sistemas.
7.3.1. Control Interno unidad Desarrollo
“Cumplimiento de procedimientos, normas y controles establecidos”25. Supervisar, verificar y validar el control de cambios y versiones del
software. “Controles sobre la producción diaria”26.
o Software para desarrollo de programas.
o Software de gestión de bibliotecas. “Controles sobre la calidad y eficacia del desarrollo del software y del
servicio informático”27. Controles sobre la seguridad informática.
o Confidencialidad, integridad y disponibilidad. Controles sobre los usuarios, responsables y perfiles de uso de archivos y
sistemas de información.o Identificar y verificar usuarios.o Control de acceso.o Controles de supervisión.o Registros e información (logs).
Configuración del servidor.o Soporte físico.o Sistema operativo.o Particiones o división lógica del disco duro.o Entornos (prueba o producción).o Programas.o Conjunto de datos.
Entorno aplicaciones.
o Transacciones.o Sistema de gestión de bases de datos.
25 Ibíd.26 Ibíd.27 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
o “Políticas, pautas y normas técnicas que sirvan para el diseño y laimplantación de los sistemas de información y de los controlescorrespondientes”28.
“Preparar manuales de operación y mantenimiento como parte de todo
proyecto de desarrollo o modificación de sistemas de información, así comomanuales de usuario”29.
Controles sobre el acceso a datos y concurrencia.
7.3.2. Control Interno unidad Tecnología
Establecer un estudio tecnológico de viabilidad en el cual se formule unanálisis costo-beneficio de cada alternativa cuando se plantea adquirir
tecnologías30
. Control de la infraestructura e inventario de tecnologías. Los procesos de adquisición (tanto de software como de hardware) deberán
seguir las políticas de la organización y dichos productos debieran serprobados y revisados antes de pagar por ellos y ponerlos en uso31.
“Revisar los contratos de mantenimiento y el tiempo medio de servicios
acordados con el proveedor con objeto de obtener una cifra de controlconstante”32.
Políticas de adquisición y utilización. “Cuando en las acciones de mantenimiento se requiera la acción de
terceros o la salida de los equipos de los límites de la oficina, se deberíanestablecer procedimientos para evitar la divulgación de informaciónconfidencial o sensible”33.
7.3.3. Control Interno unidad Mesa de Ayuda
Gestión de problemas. Soporte usuarios tanto internos como externos (clientes y proveedores) de
la organización.
28 Ibíd.29 Ibíd.30 Ibíd.31 Ibíd.32 Ibíd.33 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
Mantener un registro documental de las acciones de soporte realizadas,incluyendo la descripción del problema y la solución dada al mismo34.
7.3.4. Control Interno unidad Mantenimiento
“Existencia de un plan de contingencias para el respaldo de recursos de
ordenador críticos y para la recuperación de los servicios del departamentode Sistemas después de una interrupción imprevista de los mismos”35.
Mantenimiento preventivo de todos los activos. Asegurar la existencia de procedimientos de recuperación y de reinicio. Revisiones periódicas del uso de los ordenadores personales. “Mantener un registro documental de las acciones de mantenimiento
realizadas, incluyendo la descripción del problema y la solución dada almismo”36.
“Protección contra incendios, inundaciones o electricidad estática”37.
7.3.5. Control Interno sobre Redes
Controles en las redes de comunicaciones. Administración de la red. Entorno de red.
o Esquema de la red.o Configuración hardware de comunicaciones.o Configuración software para el acceso a las telecomunicaciones.o Control de red.o Seguridad de la red.
Instalación de medidas de protección contra el fuego. Cuando una persona externa a la organización ingrese a las instalaciones
(de las redes físicas) deberá ser acompañada por un miembro de laplantilla.
“Controles físicos para asegurar que el acceso a las instalaciones deldepartamento de Sistemas queda restringido a las personas autorizadas”38.
34 Ibíd.35 Ibíd.36 Ibíd.37 Ibíd.38 Ibíd.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
“Formación y concienciación en procedimiento de seguridad y evacuaciónde las instalaciones de la empresa”39.
“Planes adecuados de implantación, conversión y pruebas de aceptaciónpara la red”40.
“Controles para asegurar la compatibilidad de conjunto de datos entre
aplicaciones cuando la red es distribuida”41. Identificar los conjuntos de datos sensibles de la red y que se han
determinado las especificaciones para su seguridad42. Inventariar todos los activos de la red. “Procedimientos de respaldo del hardware y software de la red”43. Monitorear la eficacia de la red. Detectar la correcta o mala recepción de mensajes. Controles para evitar modificar la configuración de una red. “Controlar las conexiones remotas in/out (CAL): Módems, Gateway,
Mapper”44.
7.4. RESPONSABLES
7.4.1. Ingeniero de Sistemas. Control Interno unidades de Desarrollo y Mesade Ayuda. Persona con experiencia demostrable de tres (3) años en desarrollo de
software. Las actividades a realizar, entre otras, son:
Ejecución de las actividades de Control Interno a las unidades de Desarrolloy Mesa de Ayuda.
Análisis de riesgos en un entorno informático. Gestión de bases de datos. “Operaciones y planificación informática; efectividad de las operaciones y
7.4.2. Ingeniero Electrónico. Control Interno unidades de Mantenimiento yTecnologías. Persona con experiencia demostrable de dos (2) años enmantenimiento lógico y preventivo de hardware y conocedor de nuevastecnologías y sus posibles tendencias. Las actividades a realizar, entre otras, son:
Ejecución de las actividades de Control Interno a las unidades deMantenimiento y Tecnologías.
7.4.3. Ingeniero de Sistemas. Control Interno sobre Redes. Persona conexperiencia demostrable de tres (3) años en actividades de telemática y redes. Lasactividades a realizar, entre otras, son:
Ejecución de las actividades de Control Interno sobre redes.
5/8/2018 Planeación de un programa de Auditoría, Análisis de riesgos y Plan de Control Interno - slidepdf.com
COLOMBIA. CONGRESO DE LA REPÚBLICA. Ley 527. (18, agosto, 1999). Pormedio de la cual se define y reglamenta el acceso y uso de los mensajes de datos,del comercio electrónico y de las firmas digitales, y se establecen las entidades decertificación y se dictan otras disposiciones. Diario Oficial. Bogotá, D.C., 1999. no.43673. 17p.
--------. --------. Ley 599. (24, julio, 2000). Por la cual se expide el Código Penal.Diario Oficial. Bogotá, D.C., 2000. no. 44097. 65 p.
--------. --------. Ley 1273. (5, enero, 2009). Por medio de la cual se modifica elCódigo Penal, se crea un nuevo bien jurídico tutelado - denominado “de la
protección de la información y de los datos”- y se preservan integralmente lossistemas que utilicen las tecnologías de la información y las comunicaciones, entreotras disposiciones. Bogotá, D.C., 2009.
--------. SENADO DE LA REPÚBLICA. Decreto 1400 (6, agosto, 1970). Por loscuales se expide el Código de Procedimiento Civil. Diario Oficial. Bogotá, D.C.,
1970. no. 33150.
MUÑOZ PERIÑÁN, Ingrid Lucía. Aspectos éticos y jurídicos en seguridad[diapositivas]. Cali, Colombia. 100 diapositivas, color.
PIATTINI VELTHUIS, Mario Gerardo; DEL PESO NAVARRO, Emilio. Auditoríainformática; un enfoque práctico. México, D.F., Alfaomega, 1998. 609 p.