________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

FACULTAD DE CIENCIAS ECONOMICAS
CONTADURIA PUBLICA Y AUDITORIA
AUDITORÍA DE SISTEMAS E INFORMATICA
LIC. HENRI RUIZ

COSO – ISO 17799

INTEGRANTES:
Adolfo Isaí Roca Calderón
Josué Patzán
Edgar Israel Gómez Cardona
Mynor Martínez

GUATEMALA, 25 DE FEBRERO DE 2017.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

COSO
Committee of Sponsoring Organizations of the Treadway Commission (COSO): organismos para la
mejora de control interno dentro de las organizaciones.

CONTROL INTERNO:

Se define como un proceso efectuado por la dirección y el resto del personal de una entidad, diseñado
con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de los
objetivos dentro de las siguientes categorías:

 Eficacia y eficiencia de las operaciones.

 Confiabilidad de la información financiera.
 Cumplimiento de las leyes, reglamentos y normas (que sean aplicables).

Concepto:

El informe como tal es un medio para alcanzar un fin y no un fin por sí. No es un evento o circunstancia
sino una serie de acciones que permean las actividades de una organización. Es una cadena de
acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos
básicos de la misma, entre éstos: Planificación, Ejecución y Supervisión.

Componentes:

De acuerdo al marco COSO, el control interno consta de cinco componentes relacionados entre sí;
éstos derivarán de la manera en que la Dirección dirija la Unidad y estarán integrados en el proceso
de dirección. Los componentes serán los mismos para todas las organizaciones (públicas o privadas)
y dependerá del tamaño de la misma la implantación de cada uno de ellos.

Los componentes son:

1) Ambiente de Control.

2) Evaluación de Riesgos.

3) Actividades de Control.

4) Información y Comunicación.

5) Supervisión y Monitoreo.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

Ambiente de Control:

El ambiente o entorno de control es la base de la pirámide de Control Interno, aportando disciplina a

la estructura. En él se apoyarán los restantes componentes, por lo que será fundamental para
concretar los cimientos de un eficaz y eficiente sistema de Control Interno. Marca la pauta del
funcionamiento de la Unidad e influye en la concientización de sus funcionarios.
Los factores a considerar dentro del Entorno de Control serán: La Integridad y los Valores Éticos, la
Capacidad de los funcionarios de la Unidad, el Estilo de Dirección y Gestión, la Asignación de
Autoridad y Responsabilidad, la Estructura Organizacional y, las Políticas y Prácticas de personal
utilizadas.

Evaluación de Riesgos

Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser evaluados. Una
condición previa a la Evaluación de Riesgo es la identificación de los objetivos a los distintos niveles,
los cuales deberán estar vinculados entre sí.
La Evaluación de Riesgos consiste en: La identificación y el análisis de los riesgos relevantes para la
consecución de los objetivos, y sirve de base para determinar cómo deben ser gestionados. A su vez,
dados los cambios permanentes del entorno, será necesario que la Unidad disponga de mecanismos
para identificar y afrontar los riesgos asociados al cambio.

En la evaluación se deberá analizar que los Objetivos de Área hayan sido apropiadamente definidos,
que los mismos sean consistentes con los objetivos institucionales, que fueran oportunamente
comunicados, que fueran detectados y analizados adecuadamente los riesgos y, que se los haya
clasificado de acuerdo a la relevancia y probabilidad de ocurrencia.

Actividades de Control

Las actividades de control son: Las políticas, procedimientos, técnicas, prácticas y mecanismos que
permiten a la Dirección administrar (mitigar) los riesgos identificados durante el proceso de Evaluación
de Riesgos y asegurar que se llevan a cabo los lineamientos establecidos por ella.

Las Actividades de Control se ejecutan en todos los niveles de la Unidad y en cada una de las etapas
de la gestión, partiendo de la elaboración de un Mapa de Riesgos, de acuerdo a lo señalado en el
punto anterior.

En la evaluación del Sistema de Control Interno no solo debe considerarse si fueron establecidas las
actividades relevantes para los riesgos identificados, sino también si las mismas son aplicadas en la
realidad y si los resultados obtenidos fueron los esperados.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

Información y Comunicación

Se debe identificar, recopilar y propagar la información pertinente en tiempo y forma que permitan
cumplir a cada funcionario con sus responsabilidades a cargo. Debe existir una comunicación eficaz
en un sentido amplio que fluya en todas direcciones a través de todos los ámbitos de la Unidad, de
forma descendente como ascendente.
La Dirección debe comunicar en forma clara las responsabilidades de cada funcionario dentro del
Sistema de Control Interno implementado. Los funcionarios tienen que comprender cuál es su papel
en el Sistema de Control Interno y, cómo las actividades individuales están relacionadas con el trabajo
del resto.

Supervisión y Monitoreo

Los Sistemas de Control Interno requieren -principalmente- de Supervisión, es decir, un proceso que
verifique la vigencia del Sistema de Control a lo largo del tiempo. Esto se logra mediante actividades
de supervisión continuada, evaluaciones periódicas o una combinación de ambas.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

ISO 17799
Es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de
la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una
organización.
OBJETIVO
• Proporcionar una base para desarrollar normas de seguridad dentro de las Organización
• Establece transacciones y relaciones de confianza entre empresas
• Aplicable a todo tipo de organización
• Método de gestión eficaz de la seguridad

ESTRUCTURA

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

POLÍTICA DE SEGURIDAD
Dirigir y dar soporte a la gestión de la seguridad de la información.
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
• Gestionar la seguridad de la información dentro de la organización.
• Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha
externalizado a otra organización.
• Mantener la seguridad de los recursos de tratamiento de la información y de los activos de
información de la organización que son accedidos por terceros.
CLASIFICACIÓN Y CONTROL DE ACTIVOS

 Mantener una protección adecuada sobre los activos de la organización.

 Asegurar un nivel de protección adecuado a los activos de información.
SEGURIDAD LIGADA AL PERSONAL

 Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los
servicios.

 Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la
seguridad de la información, y que están preparados para sostener la política de seguridad de
la organización en el curso normal de su trabajo.

 Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento,
controlándolos y aprendiendo de ellos.

SEGURIDAD FÍSICA Y DEL ENTORNO

• Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la
organización.
• Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades
de la organización.
• Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de
información.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

GESTIÓN DE COMUNICACIONES Y OPERACIONES

 Asegurar

 Minimizar

 Proteger

 Mantener

 Evitar

 Prevenir
CONTROL DE ACCESOS

 Controlar accesos a información

 Evitar acceso de usuarios no autorizados.
 Protección de los servicios en red.
 Detectar actividades no autorizadas.
 Garantizar la seguridad de la información

DESARROLLO Y MANTENIMIENTO DE SISTEMAS

 Asegurar que la seguridad está incluida dentro de los SI

 Evitar pérdidas, modificaciones o mal uso de los datos.
 Proteger confidencialidad, autenticidad e integridad de la información.
 Asegurar que los proyectos de Tecnología de la Información sean llevadas a cabo de
una forma segura
 Mantener la seguridad del software y la información de la aplicación del sistema.

GESTIÓN DE CONTINUIDAD DEL NEGOCIO

 Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente
grandes fallos o desastres.

 Evitar el incumplimiento de cualquier ley

 Garantizar la alineación de los sistemas con la política de seguridad de la organización
 Maximizar la efectividad y minimizar la interferencia

VENTAJAS PARA LA ADOPCION DE LA NORMA ISO 17799

 Aumento de la seguridad efectiva de los sistemas de información.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________

________________________________________UNIVERSIDAD MARIANO GALVEZ DE GUATEMALA

 Correcta planificación y gestión de la seguridad.

 Garantías de continuidad del negocio
 Mejora continua a través del proceso de auditoría interna.
 Incremento de los niveles de confianza de los clientes y socios de negocios.

ORIENTACION DE LA NORMA ISO 17799

 La norma ISO 17799 no es una norma tecnológica.
 La seguridad de la información es un asunto que compete a la alta gerencia no al área
tecnológica, por lo cual es un asunto empresarial.
 La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos
reales, por lo cual el análisis de riesgos es fundamental para los negocios.

IMPLANTACION DE UN SISTEMA ISO 17799

 Identificar los riesgos de los activos físicos e informativos de su compañía.

 Evaluar los riesgos identificados en todas las áreas de control de seguridad.
 Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar
y manejarlos
 Identificar y evaluar opciones para el tratamiento de riesgos y tomar acción para administrar
y manejarlos
 Seleccionar un sistema de controles con eficiencia de costos
 Preparar una Declaración de Aplicación.

CONCLUSIONES
 ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión
de la seguridad de la información
 La norma se estructura en once dominios de control que cubren por completo todos los
aspectos relativos a la seguridad de la información.
 Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los
requerimientos de la norma a las necesidades de cada organización.

AUDITORÍA DE SISTEMAS E INFORMÁTICA______________________________________________