Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Unidad V
PROBABILIDAD:
IMPACTO: La posibilidad de la ocurrencia
Consecuencia (s) de un de un evento que usualmente es
evento, expresado ya sea aproximada mediante una
en términos cualitativos o distribución estadística. En
cuantitativos. También es ausencia de información
suficiente, se puede aproximar
llamado Severidad. mediante métodos cualitativos.
Control Interno - Definición-
• El Control Interno conforme COSO “es un proceso
integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos,
efectuado por el consejo de la administración, la
dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía
razonable para el logro de objetivos incluidos en las
siguientes categorías:
• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda
Establecimiento de
objetivos
Identificación de
eventos
Evaluación de Riesgos
Respuestas al Riesgo
Actividades de Control
Información y
Comunicación
11
Monitoreo
Métodos de Evaluación del C.I.
La evaluación del control interno se puede realizar mediante:
• Descripciones narrativas
• Cuestionarios especiales
• Diagramas de flujo
• Matrices/mapas de riesgos
ÍNDICES TECNOLÓGICOS
Etapas de la Administración del Riesgo
• Medición de la probabilidad de
• Segmentación factores de riesgo ocurrencia
Medición o
Identificación
Evaluación
Monitoreo Control
• Revisión de programas, políticas,
normas y procedimientos existentes
• Monitoreo permanente
• Calificación de la efectividad de los
• Evaluaciones independientes controles
Por ejemplo
Ejemplo: Que
Por ejemplo: la Por ejemplo: la 3 X 3 = 9
no se entregue Ejemplo: Retraso
valoro como alta valoro como alta ESTO ES
el equipo en en el proyecto.
sería un tres = 3 sería un tres = 3 RIESGO
tiempo.
ALTO
EN EL MAPA DE
CALOR ESTO VA
EN COLOR ROJO
EJEMPLO DE LA TÉCNICA DE
PONDERACIÓN
PESO DE ACUERDO AL CRITERIO,
AREAS O PUNTOS
EXPERIENCIA, HABILIDAD Y
DE INTERES A
CONOCIMIENTO DEL AUDITOR
EVALUAR
PESO
FACTORES PRIMARIOS QUE SERAN
PONDERADOS AQUÍ SE DEFINEN
ESPECIFICO
LOS FACTORES DE
1 Objetivos del Centro de informatica 10%
MAYOR JERARQUIA
2 Estructura de la Organización 10%
O LOS MAS
3 Funciones 15%
4 Sistemas de información 20%
REPRESENTATIVOS
5 Personal y usuarios 15% DE UN GRUPO
6 Documentación de los sistemas 2%
7 Actividades y operaciones del sistema 14%
8 Configuración del sistema 4%
9 Instalación del centro de informática 10%
PESO TOTAL DE LA PONDERACION 100%
Definición de
Seguridad Informática
Elementos de Información
Análisis de Riesgo
Medios de Comunicación
• Lo óptimo es utilizar todo medio disponible a los
distintos usuarios en una empresa, tales como
Correos electrónicos, Mensajes en el boletín,
Comunicados oficiales, etc. Que sirvan para
comunicar los riesgos y controles como también
las responsabilidades de cada puesto.
Matriz para el Análisis de Riesgo
Reducción de Riesgo
1. ORGANIZACIÓN DEL
DEPARTAMENTO
ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas
y aplicaciones en uso.
2. SEGUROS, CONTRATOS,
MANTENIMIENTO Y FIANZAS.
ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad (Caución)
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para
operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros
4. POLÍTICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.(Plan de continuidad de
negocios)
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia (Planes de continuidad de negocio)
Documentación de programas.
4.7 Políticas de respaldo (Backs up)
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE
SEGURIDAD
ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
calor, fuego, y humo, imanes
5.9 Existencia de extintores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.
6. PROGRAMAS DE CAPACITACIÓN
ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada
persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.
7. RECEPCIÓN DE TRABAJOS
ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe en base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción
contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos
8. CONTROL DE CALIDAD
ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores detectados
8.4 Norma sobre la calidad de impresión exactitud
de los datos
8.5 Número de copias de los reportes (autorizadas)
9. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar
información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido
corresponda con el solicitado
9.5 Control sobre las ordenes de trabajo no retiradas
9.6 Protección de la información previo entrega al
usuario
10. CAPTURA DE DATOS
ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas:
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal
11. PROCESO DE DATOS
ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación
de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos
12. CINTOTECA
ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
• Control sobre el contenido de cada archivo
• Uso de etiquetas internas
• Existencia de un registro de todos los dispositivos de
almacenamiento
• Directorios del contenido de archivos
• Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
• Antigüedad, condiciones de uso y estado de los
dispositivos de almacenamiento.
• Control sobre el préstamo de dispositivos de
almacenamiento.
GRACIAS!!!
CPA – M.A Sergio Arturo Sosa Rivas – Coordinador
sergiososa@intelnet.net.gt
CPA - Nelton Estuardo Mérida
es.tu2010@hotmail.com
CPA-Oscar Noé López Cordón, MsC
oscarnoe@lopezcordon.com.gt
CPA-Víctor Manuel Sipac
victorsipac@msn.com