Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unidad V
PROBABILIDAD:
IMPACTO: La posibilidad de la ocurrencia
Consecuencia (s) de un de un evento que usualmente es
evento, expresado ya sea aproximada mediante una
en términos cualitativos o distribución estadística. En
cuantitativos. También es ausencia de información
suficiente, se puede aproximar
llamado Severidad. mediante métodos cualitativos.
Control Interno - Definición-
• El Control Interno conforme COSO “ es un proceso
integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos,
efectuado por el consejo de la administración, la
dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía
razonable para el logro de objetivos incluidos en las
siguientes categorías:
• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda
Establecimiento de
objetivos
Identificación de
eventos
Evaluación de Riesgos
Respuestas al Riesgo
Actividades de Control
Información y
Comunicación
14
Monitoreo
Marco Integrado COSO III
•Inclusión de
diecisiete
Estructura de la entidad
principios de
control que
representa el
elemento
fundamental
asociados a
cada
componentes
de control y
que estos
deben de estar
operando en
Componentes
forma conjunta.
Relación entre componentes y
principios COSO III
Ambiente de Control
1. La organización demuestra compromiso por la integridad y
valores éticos.
2. El Consejo de Administración demuestra una independencia de
la administración y ejerce una supervisión del desarrollo y el
rendimiento de los controles internos.
3. La Administración establece, con la aprobación del Consejo, las
estructuras, líneas de reporte y las autoridades y
responsabilidades apropiadas en la búsqueda de objetivos.
4. La organización demuestra un compromiso a atraer, desarrollar
y retener personas competentes en alineación con los objetivos.
5. La organización retiene individuos comprometidos con sus
responsabilidades de control interno en la búsqueda de
objetivos.
Evaluación de Riesgos
6. La organización especifica objetivos con suficiente claridad para
permitir la identificación y valoración de los riesgos relacionados a
los objetivos.
7. La organización especifica objetivos con suficiente claridad para
permitir la identificación y valoración de los riesgos relacionados a
los objetivos.
8. La organización identifica los riesgos sobre el cumplimiento de los
objetivos a través de la entidad y analiza los riesgos para
determinar cómo esos riesgos deben de administrarse.
9. La organización considera la posibilidad de fraude en la evaluación
de riesgos para el logro de los objetivos.
Actividades de control
10.La organización elige y desarrolla actividades de control que
contribuyen a la mitigación de riesgos para el logro de objetivos a
niveles aceptables.
11.La organización elige y desarrolla actividades de control generales
sobre la tecnología para apoyar el cumplimiento de los objetivos.
12.La organización despliega actividades de control a través de
políticas que establecen lo que se espera y procedimientos que
ponen dichas políticas en acción.
Información y comunicación
13.La organización obtiene o genera y usa información relevante y
de calidad para apoyar el funcionamiento del control interno.
14.La organización comunica información internamente,
incluyendo objetivos y responsabilidades sobre el control
interno, necesarios para apoyar funcionamiento del control
interno.
15.La organización se comunica con grupos externos con
respecto a situaciones que afectan el funcionamiento del
control interno.
Actividades de Monitoreo
16.La organización selecciona, desarrolla, y realiza evaluaciones
continuas y/o separadas para comprobar cuando los
componentes de control interno están presentes y funcionando
17.La organización evalúa y comunica deficiencias de control
interno de manera adecuada a aquellos grupos responsables
de tomar la acción correctiva, incluyendo la Alta Dirección y el
Consejo de Administración, según sea apropiado.
Métodos de Evaluación del C.I.
La evaluación del control interno se puede realizar mediante:
• Descripciones narrativas
• Cuestionarios especiales
• Diagramas de flujo
ÍNDICES TECNOLÓGICOS
Etapas de la Administración del Riesgo
• Medición de la probabilidad de
• Segmentación factores de riesgo ocurrencia
Medición o
Identificación
Evaluación
Monitoreo Control
• Revisión de programas, políticas,
normas y procedimientos existentes
• Monitoreo permanente
• Calificación de la efectividad de los
• Evaluaciones independientes controles
Probabilidad
tiempo.
no todos los A 4 2 1
riesgos tienen
sintomas.
M 7 5 3
B 9 8 6
B M A
Impacto
EJEMPLO DE LA TÉCNICA DE
PONDERACIÓN
PESO DE ACUERDO AL CRITERIO,
AREAS O PUNTOS
EXPERIENCIA, HABILIDAD Y
DE INTERES A
CONOCIMIENTO DEL AUDITOR
EVALUAR
PESO
FACTORES PRIMARIOS QUE SERAN
PONDERADOS AQUÍ SE DEFINEN
ESPECIFICO
LOS FACTORES DE
1 Objetivos del Centro de informatica 10%
MAYOR JERARQUIA
2 Estructura de la Organización 10%
O LOS MAS
3 Funciones 15%
4 Sistemas de información 20%
REPRESENTATIVOS
5 Personal y usuarios 15% DE UN GRUPO
6 Documentación de los sistemas 2%
7 Actividades y operaciones del sistema 14%
8 Configuración del sistema 4%
9 Instalación del centro de informática 10%
PESO TOTAL DE LA PONDERACION 100%
Definición de
Seguridad Informática
Elementos de Información
Análisis de Riesgo
Medios de Comunicación
• Lo óptimo es utilizar todo medio disponible a los
distintos usuarios en una empresa, tales como
Correos electrónicos, Mensajes en el boletín,
Comunicados oficiales, etc. Que sirvan para
comunicar los riesgos y controles como también
las responsabilidades de cada puesto.
Matriz para el Análisis de Riesgo
Reducción de Riesgo
1. ORGANIZACIÓN DEL
DEPARTAMENTO
ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas
y aplicaciones en uso.
2. SEGUROS, CONTRATOS,
MANTENIMIENTO Y FIANZAS.
ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para
operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros
4. POLÍTICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia (Planes de continuidad de negocio)
Documentación de programas.
4.7 Políticas de respaldo
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE
SEGURIDAD
ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
calor, fuego, y humo, imanes
5.9 Existencia de extintores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.
6. PROGRAMAS DE CAPACITACIÓN
ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.
7. RECEPCIÓN DE TRABAJOS
ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe con base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción
contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos
8. CONTROL DE CALIDAD
ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores detectados
8.4 Norma sobre la calidad de impresión exactitud
de los datos
8.5 Número de copias de los reportes (autorizadas)
9. DESPACHO DE TRABAJOS
9. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar
información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido
corresponda con el solicitado
9.5 Control sobre las ordenes de trabajo no retiradas
9.6 Protección de la información previo entrega al
usuario
10. CAPTURA DE DATOS
ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas:
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal
11. PROCESO DE DATOS
ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación
de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos
12. CINTOTECA
ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
• Control sobre el contenido de cada archivo
• Uso de etiquetas internas
• Existencia de un registro de todos los dispositivos de
almacenamiento
• Directorios del contenido de archivos
• Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
• Antigüedad, condiciones de uso y estado de los
dispositivos de almacenamiento.
• Control sobre el préstamo de dispositivos de
almacenamiento.
GRACIAS!!!
CPA – M.A Sergio Arturo Sosa Rivas – Coordinador
sergiososa@intelnet.net.gt
CPA - Nelton Estuardo Mérida
es.tu2010@hotmail.com
CPA-Oscar Noé López Cordón, MsC
oscarnoe@lopezcordon.com.gt
CPA-Víctor Manuel Sipac
victorsipac@msn.com