GESTIÓN PRÁCTICA

(CONTROL INTERNO)

Controles Generales de
TI – ITGC
AUDITORIA III
ING. COM. SIXTO RONQUILLO B., Msc.
AÑO 2018
Objetivos de la Sesión
Al final de esta sesión, los estudiantes estarán en
capacidad de:

❑ Explicar cómo los ITGCs contribuyen a la

evidencia de auditoría.
❑ Listar los riesgos asociados con ITGCs.
❑ Reconocer los términos IT comunes y explicar
cómo los componentes de IT encajan juntos.
❑ Listar los cuatro dominios de ITGC.
Primero una pregunta…
Cuál de las dos les brinda mayor
confort y seguridad?
Los ‘Tickets’ Ejercicio Parte 1
En grupos de 5 personas, discuta y
proporcione respuesta a las siguientes
preguntas:
1. ¿Por qué usted confía en el ticket
impreso?
2. ¿Por qué usted desconfía del ticket
escrito a mano?
 ITGC - IT GENERAL CONTROLS
Controles generales de TI (ITGC) son los
controles que se aplican a todos los
componentes de los sistemas, procesos y
datos para una organización o
determinada tecnología de la
información entorno (IT).
Los objetivos son asegurar el correcto
desarrollo y ejecución de aplicaciones, así
como la integridad de los programas,
archivos de datos y operaciones de la
computadora.
Los ITGC`s más comunes:
❑ Controles de acceso lógico más infraestructura ,
aplicaciones y datos.
❑ Controles del ciclo de vida de desarrollo del
sistema.
❑ Controles de gestión de cambio de programa.
❑ Los centros de datos de controles de seguridad
física.
❑ Del sistema y copia de seguridad y recuperación
de datos controles.
❑ Controles de operación del ordenador.
 General Computer Controls

Los ITGCs también llamados CONTROLES INFORMÁTICOS GENERALES,

se definen como: Controles, aparte de los controles de aplicación, que se
relacionan con el entorno en que se desarrollan los sistemas de aplicación
basados ​en computadoras, mantenimiento y el funcionamiento, y que son,
por lo tanto, aplicables a todas las aplicaciones en operación.
Al igual que los controles de aplicación, los controles informáticos generales
ITGCs pueden ser manuales o programados. Ejemplos de controles
generales incluyen el desarrollo e implementación de una estrategia de IS
(seguridad de información) y una es la política de seguridad, la organización
del personal es separar deberes de conflictos y la planificación para la
prevención y recuperación de desastres naturales o provocados.
Auditorías ITGC usualmente se hacen en apoyo de
una auditoría de estados financieros, donde el
objetivo de la auditoría ITGC es revisar los controles
existentes para los sistemas de TI que tienen un
efecto directo sobre los estados financieros.

Normalmente hay 4 elementos de control

principales, a saber:

❑ El acceso a los programas y datos.

❑ Operaciones con el ordenador.
❑ Los cambios de programas.
❑ Desarrollo de nuevos Programas.
 ACCESO A LOS PROGRAMAS Y DATOS
Agrupa los controles relacionados con la forma de acceso, lógico y físico, se
gestiona a los sistemas y datos. El objetivo de estos controles son para reducir el
riesgo de acceso no autorizado o inapropiado de los sistemas de información y
evitar que la gente cometan y oculten errores o irregularidades. Las áreas de
control pertinentes a este elemento se incluyen:
❑Política de TI: Debe ser comunicada en toda la organización.
❑Data Center: Acceso físico al centro de datos está restringido al personal
apropiado.
❑Parámetros de la contraseña: A la red, sistemas pertinentes y la
infraestructura subyacente (como las bases de datos y sistemas operativos)
están configurados apropiadamente
❑Cuentas potentes: Acceso a las cuentas / usuarios, sistemas pertinentes y
operativos, bases de datos se limita a un conjunto definido de personal de la
administración del sistema.
❑Aprovisionamiento de usuario / Modificación de Acceso: Procedimientos
establecidos para la provisión de acceso a los usuarios de los sistemas
pertinentes. Procedimientos requieren aprobaciones formales para la concesión
o modificación de los accesos.
❑Comentarios de acceso Periódico de Usuario: La organización lleva a cabo
una revisión periódica de la actividad de usuarios y derechos de acceso de
usuario para identificar y eliminar el acceso inadecuado a la red.
OPERACIONES CON EL ORDENADOR
Se ocupa de las cuestiones operativas, como copias de seguridad y trabajos
por lotes. El objetivo de estos controles son para asegurar que el sistema o
proceso de aplicaciones está debidamente autorizado y programado; y que las
desviaciones del procesamiento de planificación se identifican y resuelven. Las
áreas de control pertinentes a este elemento son:
❑Procesamiento de trabajos Batch / Monitoreo: Están diseñados para
proporcionar una seguridad razonable de alrededor de exhaustividad y
actualidad de sistema y procesamiento de datos.
❑Gestión de Incidentes: Para hacer frente a cualquier incidente de alta o
media prioridad dentro de una línea de tiempo definido.
❑Las copias de seguridad del sistema: Asegurar que los datos, operaciones y
programas que son necesarios para la información financiera se pueden
recuperar. Los procedimientos de respaldo y recuperación se prueban
periódicamente.
❑Off-Site Almacenamiento: Restringe el acceso para mantener las cintas fuera
del sitio a personal autorizado sobre la base de la responsabilidad del
trabajo.
CAMBIOS DE PROGRAMAS
Es relevante para los controles, El control de los cambios
realizados a los sistemas o aplicaciones existentes. El
objetivo de estos controles son para asegurar que los
cambios hechos están autorizados, probado, aprobado y
correctamente implementado y documentado.
❑Programa de Gestión del Cambio: Los cambios
realizados en los sistemas siguen la política y los
procedimientos de gestión de cambios establecido por la
administración (incluyendo cambios de emergencia y de
configuración). Los cambios se registran, aprobados y
probados antes de ser promovido a la producción.
❑Segregación de funciones: Entre el personal de
desarrollo los cambios y los cambios de personal en la
producción de móviles.
DESARROLLO DE PROGRAMAS
El objetivo de estos controles es asegurar que nuevos sistemas
que se desarrollan o sean adquiridos hayan sido autorizados,
probados, aprobados, debidamente implementado y documentado.

❑ Metodología: El Ciclo de Vida de Desarrollo de sistema sigue

una metodología para la adquisición o el desarrollo de nuevos
sistemas o aplicaciones.
Al igual que el elemento de Programa de Gestión del Cambio,
cualquier novedad o adquisiciones implementados están
aprobados, probados y debidamente documentados.
Preguntas?
1. ¿Por qué usted piensa que debemos
preocuparnos por los ITGCs?

2. ¿Por qué son importantes en una

auditoría financiera?

3. ¿Qué puede ir mal si los ITGCs no

funcionan apropiadamente?
 Respuestas!
1.) ¿Por qué usted piensa que nos preocupamos por los ITGCs?
• Ellos soportan los controles y procesos que dependen de IT
• Ellos proveen controles sobre los datos financieros

2.) ¿Por qué son importantes en una auditoría financiera?

• Proporcionan un medio eficaz para confiar en los controles y procesos
dependientes de TI.
• Aseguran que la integridad de los datos financieros permanece intacta
a través del período de auditoría.

3.) ¿Qué podría salir mal si los ITGCs no funcionan

apropiadamente?
• El equipo de auditoría financiera no podría confiar en los controles
dependientes de TI.
• Los datos Financieros podrían no estar completos y exactos.
¿Por qué son importantes los
ITGCs?
❑ Son el fundamento sobre el cual operan los
sistemas contables.
❑ Ayudan a asegurar la integridad, exactitud y
completitud de los datos financieros en los
sistemas.
❑ Sin ITGCs fuertes, podría ser difícil confiar en
los controles y procesos que depende de IT.
❑ Están inmersos a través de todos los procesos
del negocio que utilizan los sistemas IT.
 Entendiendo el ambiente de IT
Conforme a disposiciones técnicas de auditorias informáticas, los
auditores deben “obtener un entendimiento de los sistemas de
información, incluyendo los relacionados con los procesos del
negocio que son relevantes para el reportaje financiero”
Por lo tanto necesitamos obtener cierta información que nos permita
desarrollar nuestro entendimiento de como las transacciones son
procesadas, incluyendo:
- Qué sistemas de aplicación tiene el cliente?.
- Qué sistemas operativos usan las aplicaciones?.
- Cómo están enlazados / comunicados los sistemas?
- Cómo es administrada la seguridad?
- Se deposita confianza en reportes y/o hojas de cálculo?.
-Indicadores de problemas en los sistemas, ejemplo: problemas
conocidos, caídas del sistema, limitaciones de soporte, etc.
Términos comunes IT usados
A continuación observamos algunos términos comúnmente usados
cuando se describen ambientes de sistemas en sus clientes:
Términos comunes IT usados:

En sus grupos de trabajo, use estos términos (y cualquier otro que

considere relevante) para graficar como podrían lucir los sistemas de
sus clientes. Piense en:
• Enlaces entre ellos
• Si existen varios sistemas, con diferentes ambientes.
• Donde estarían localizados
Cómo estas partes encajan juntas
CPA. Sixto B. Ronquillo B., Msc.