Auditoria 5

Unidad V

ESTUDIO Y EVALUACIÓN DEL CONTROL

INTERNO EN INFORMATICA
EN ÁREAS ESPECIFICAS

Auditoria 5 USAC 2020

Eventos (amenazas), Riesgos
y Oportunidades
• “Un evento es un incidente o acontecimiento procedente de
fuentes internas o externas que afecta la consecución de
objetivos y que puede tener un impacto negativo o positivo o de
ambos tipos a la vez.
• Se dice o se define el riesgo: como la posibilidad de que un
evento ocurra y que provocará que se afecte negativamente el
logro de los objetivos que se han establecido.”
QUÉ ES RIESGO?
• Es la probabilidad de que un impacto adverso afecte los
resultados o el capital de nuestra empresa.
• El Riesgo se mide en términos de impacto y probabilidad.
 - Probabilidad de ocurrencia.
- Impacto de las consecuencias potenciales.

PROBABILIDAD:
IMPACTO: La posibilidad de la ocurrencia
Consecuencia (s) de un de un evento que usualmente es
evento, expresado ya sea aproximada mediante una
en términos cualitativos o distribución estadística. En
cuantitativos. También es ausencia de información
suficiente, se puede aproximar
llamado Severidad. mediante métodos cualitativos.
Control Interno - Definición-
• El Control Interno conforme COSO “ es un proceso
integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos,
efectuado por el consejo de la administración, la
dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía
razonable para el logro de objetivos incluidos en las
siguientes categorías:

– Eficacia y eficiencia de las operaciones (salvaguarda de activos).

– Confiabilidad de la información financiera.
– Cumplimiento de las leyes, reglamentos y políticas».
– Cumplimiento de los planes estratégicos
 Marcos de Control (Estándares
Internacionales) para la Evaluación del
Control Interno en el Mundo

• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda

** El marco COSO ha sido adoptado en los EE.UU, por el Banco Mundial y

otros organismos financieros a través del mundo.
Enterprise Risk Management
Los cambios en el entorno empresarial obligan
a las empresas a reposicionarse frente al
riesgo. La Gestión Integral de Riesgos (ERM)
forma parte de las buenas prácticas de gestión Un ERP es un sistema
empresarial y es un proceso que permite tratar de gestión y de datos
eficazmente la incertidumbre, identificando único, donde converge
riesgos y oportunidades, y optimizando la toda la información de
capacidad de generar valor. Se trata de un una empresa y ésta es
proceso que aporta soluciones frente a los utilizada para tomar
riesgos y permite aplicar las mejores prácticas decisiones. Decir esto
de buen gobierno corporativo. es referirnos a algo muy
amplio y sin límites
ERP es una sigla que significa
claramente definidos:
"Enterprise Resource
pues eso es un ERP,
Planning", o bien,
algo que puede ser tan
"Planeamiento de Recursos
variable en tamaño y
Empresariales". Esta práctica
funcionalidad como
tiene que ver con el
variables pueden ser el
gerenciamento de los distintos
tamaño y fines de las
recursos, negocios, aspectos y
millones de empresas
cuestiones productivas y
que funcionan en los
distributivas de bienes y
distintos países.
servicios en una empresa.
El informe COSO
COSO: COmmittee of Sponsoring Organizations of the
Treadway Commission)

El Sistema Integrado de Control Interno, es un informe que

establece una definición común de control interno y proporciona un
estándar mediante el cual las organizaciones pueden evaluar y
mejorar sus sistemas de control.

Surge como una forma de solucionar la diversidad de conceptos,

definiciones e interpretaciones existentes en torno al control
interno.
 Formada por cinco organizaciones:
1. Financial Executives International
2. Institute of Internal Auditors
3. American Institute of Certified Public
Accountants
4. Institute of Management Accountants
5. American Accounting Association

Reconocido como el estándar internacional

para un marco integrado de control interno
Beneficios de COSO ERM
• Proporciona un marco integral del control interno y
herramientas de valuación para evaluar el sistema de
control
• Alinea el apetito de riesgo con la estrategia corporativa
• Proporciona respuestas integradas a los múltiples riesgos
• Mejora el nivel de las respuestas al riesgo
• Reduce la posibilidad de sorpresas y pérdidas
• Identifica y administra los riesgos a nivel corporativo
• Prepara a la empresa para tomar ventaja de las
13
oportunidades
• Ayuda a mejorar el uso del capital disponible
Componentes Claves del
ERM
Ambiente de Control

Establecimiento de
objetivos

Identificación de
eventos

Evaluación de Riesgos

Respuestas al Riesgo

Actividades de Control

Información y
Comunicación
14
Monitoreo
Marco Integrado COSO III
•Inclusión de
diecisiete

Estructura de la entidad
principios de
control que
representa el
elemento
fundamental
asociados a
cada
componentes
de control y
que estos
deben de estar
operando en
Componentes
forma conjunta.
Relación entre componentes y
principios COSO III
Ambiente de Control
1. La organización demuestra compromiso por la integridad y
valores éticos.
2. El Consejo de Administración demuestra una independencia de
la administración y ejerce una supervisión del desarrollo y el
rendimiento de los controles internos.
3. La Administración establece, con la aprobación del Consejo, las
estructuras, líneas de reporte y las autoridades y
responsabilidades apropiadas en la búsqueda de objetivos.
4. La organización demuestra un compromiso a atraer, desarrollar
y retener personas competentes en alineación con los objetivos.
5. La organización retiene individuos comprometidos con sus
responsabilidades de control interno en la búsqueda de
objetivos.
Evaluación de Riesgos
6. La organización especifica objetivos con suficiente claridad para
permitir la identificación y valoración de los riesgos relacionados a
los objetivos.
7. La organización especifica objetivos con suficiente claridad para
permitir la identificación y valoración de los riesgos relacionados a
los objetivos.
8. La organización identifica los riesgos sobre el cumplimiento de los
objetivos a través de la entidad y analiza los riesgos para
determinar cómo esos riesgos deben de administrarse.
9. La organización considera la posibilidad de fraude en la evaluación
de riesgos para el logro de los objetivos.
Actividades de control
10.La organización elige y desarrolla actividades de control que
contribuyen a la mitigación de riesgos para el logro de objetivos a
niveles aceptables.
11.La organización elige y desarrolla actividades de control generales
sobre la tecnología para apoyar el cumplimiento de los objetivos.
12.La organización despliega actividades de control a través de
políticas que establecen lo que se espera y procedimientos que
ponen dichas políticas en acción.
Información y comunicación
13.La organización obtiene o genera y usa información relevante y
de calidad para apoyar el funcionamiento del control interno.
14.La organización comunica información internamente,
incluyendo objetivos y responsabilidades sobre el control
interno, necesarios para apoyar funcionamiento del control
interno.
15.La organización se comunica con grupos externos con
respecto a situaciones que afectan el funcionamiento del
control interno.
Actividades de Monitoreo
16.La organización selecciona, desarrolla, y realiza evaluaciones
continuas y/o separadas para comprobar cuando los
componentes de control interno están presentes y funcionando
17.La organización evalúa y comunica deficiencias de control
interno de manera adecuada a aquellos grupos responsables
de tomar la acción correctiva, incluyendo la Alta Dirección y el
Consejo de Administración, según sea apropiado.
Métodos de Evaluación del C.I.
La evaluación del control interno se puede realizar mediante:
• Descripciones narrativas
• Cuestionarios especiales
• Diagramas de flujo
ÍNDICES TECNOLÓGICOS
 Etapas de la Administración del Riesgo

• Medición de la probabilidad de
• Segmentación factores de riesgo ocurrencia

• Identificación eventos de riesgo • Medición del impacto si ocurre

• Elaboración Matriz o Mapa de Riesgos

Medición o
Identificación
Evaluación

Monitoreo Control
• Revisión de programas, políticas,
normas y procedimientos existentes
• Monitoreo permanente
• Calificación de la efectividad de los
• Evaluaciones independientes controles

• Corregir las deficiencias detectadas • Establecimiento nivel de riesgo residual

 MATRÍZ DE RIESGOS
Posible Responsable
Riesgo Probabilidad Impacto Prioridad
No. resultado Síntoma Respuesta de la acción
(si) (A/M/B) (A/M/B) (1 - 9)
(entonces) de respuesta
Identificar una
señal de
Detallar
alarma o
el
advertencia de
riesgo
que el riesgo
identifi Especificar
puede ocurrir. Especificar la Nombre del
cado. cuál sería el Evaluar la Evaluar el
Ejemplo: el Priorizar los acción que el responsable
Ejempl efecto en probabilidad impacto en el
proveedor no riesgos con Equipo de del Equipo de
o: caso de que de que el proyecto en
proporciona ayuda de la Trabajo llevará a Trabajo que
Que no el riesgo riesgo caso de que el
una respuesta Matriz que cabo para llevará a cabo
se ocurra. ocurra. (Alto, riesgo ocurra.
concreta, sólo se muestra eliminar, la acción de
entregu Ejemplo: Medio y (Alto, Medio y
da largas a la abajo. trasladar o respuesta al
e el Retraso en Bajo) Bajo)
entrega del mitigar el riesgo. riesgo.
equipo el proyecto.
equipo.
en
Recuerda que

Probabilidad
tiempo.
no todos los A 4 2 1
riesgos tienen
sintomas.
M 7 5 3
B 9 8 6
B M A
Impacto
 EJEMPLO DE LA TÉCNICA DE
PONDERACIÓN
PESO DE ACUERDO AL CRITERIO,
AREAS O PUNTOS
EXPERIENCIA, HABILIDAD Y
DE INTERES A
CONOCIMIENTO DEL AUDITOR
EVALUAR

PESO
FACTORES PRIMARIOS QUE SERAN
PONDERADOS AQUÍ SE DEFINEN
ESPECIFICO
LOS FACTORES DE
1 Objetivos del Centro de informatica 10%
MAYOR JERARQUIA
2 Estructura de la Organización 10%
O LOS MAS
3 Funciones 15%
4 Sistemas de información 20%
REPRESENTATIVOS
5 Personal y usuarios 15% DE UN GRUPO
6 Documentación de los sistemas 2%
7 Actividades y operaciones del sistema 14%
8 Configuración del sistema 4%
9 Instalación del centro de informática 10%
PESO TOTAL DE LA PONDERACION 100%
 Definición de
Seguridad Informática
Elementos de Información
Análisis de Riesgo
Medios de Comunicación
• Lo óptimo es utilizar todo medio disponible a los
distintos usuarios en una empresa, tales como
Correos electrónicos, Mensajes en el boletín,
Comunicados oficiales, etc. Que sirvan para
comunicar los riesgos y controles como también
las responsabilidades de cada puesto.
Matriz para el Análisis de Riesgo
Reducción de Riesgo
1. ORGANIZACIÓN DEL
DEPARTAMENTO
ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas
y aplicaciones en uso.
 2. SEGUROS, CONTRATOS,
MANTENIMIENTO Y FIANZAS.
ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para
operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros
 4. POLÍTICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia (Planes de continuidad de negocio)
Documentación de programas.
4.7 Políticas de respaldo
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE
SEGURIDAD
ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
calor, fuego, y humo, imanes
5.9 Existencia de extintores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.
6. PROGRAMAS DE CAPACITACIÓN

ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.
 7. RECEPCIÓN DE TRABAJOS

ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe con base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción
contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos
 8. CONTROL DE CALIDAD
ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores detectados
8.4 Norma sobre la calidad de impresión exactitud
de los datos
8.5 Número de copias de los reportes (autorizadas)
9. DESPACHO DE TRABAJOS
9. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar
información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido
corresponda con el solicitado
9.5 Control sobre las ordenes de trabajo no retiradas
9.6 Protección de la información previo entrega al
usuario
10. CAPTURA DE DATOS

ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas:
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal
11. PROCESO DE DATOS

ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación
de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos
12. CINTOTECA
ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
• Control sobre el contenido de cada archivo
• Uso de etiquetas internas
• Existencia de un registro de todos los dispositivos de
almacenamiento
• Directorios del contenido de archivos
• Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
• Antigüedad, condiciones de uso y estado de los
dispositivos de almacenamiento.
• Control sobre el préstamo de dispositivos de
almacenamiento.
 GRACIAS!!!
CPA – M.A Sergio Arturo Sosa Rivas – Coordinador
sergiososa@intelnet.net.gt
CPA - Nelton Estuardo Mérida
es.tu2010@hotmail.com
CPA-Oscar Noé López Cordón, MsC
oscarnoe@lopezcordon.com.gt
CPA-Víctor Manuel Sipac
victorsipac@msn.com

Auditoria 5 USAC 2020