Auditoria 5

Unidad V

ESTUDIO Y EVALUACIÓN DEL

CONTROL INTERNO EN
INFORMATICA
Eventos, Riesgos y
Oportunidades
• “Un evento es un incidente o acontecimiento procedente de
fuentes internas o externas que afecta la consecución de
objetivos y que puede tener un impacto negativo o positivo o
de ambos tipos a la vez.
• Se dice o se define el riesgo: como la posibilidad de que un
evento ocurra y que provocará que se afecte negativamente el
logro de los objetivos que se han establecido.”
QUÉ ES RIESGO?
• Es la probabilidad de que un impacto adverso afecte los
resultados o el capital de nuestra empresa.
• El Riesgo se mide en términos de impacto y probabilidad.
 - Probabilidad de ocurrencia.
- Impacto de las consecuencias potenciales.

PROBABILIDAD:
IMPACTO: La posibilidad de la ocurrencia
Consecuencia (s) de un de un evento que usualmente es
evento, expresado ya sea aproximada mediante una
en términos cualitativos o distribución estadística. En
cuantitativos. También es ausencia de información
suficiente, se puede aproximar
llamado Severidad. mediante métodos cualitativos.
Control Interno - Definición-
• El Control Interno conforme COSO “es un proceso
integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos,
efectuado por el consejo de la administración, la
dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía
razonable para el logro de objetivos incluidos en las
siguientes categorías:

– Eficacia y eficiencia de las operaciones (salvaguarda de activos).

– Confiabilidad de la información financiera.
– Cumplimiento de las leyes, reglamentos y políticas».
– Cumplimiento de los planes estratégicos
 Marcos de Control (Estándares
Internacionales) para la Evaluación del
Control Interno en el Mundo

• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda

** El marco COSO ha sido adoptado en los EE.UU, por el Banco Mundial y

otros organismos financieros a través del mundo.
El informe COSO
COSO: COmmittee of Sponsoring Organizations of the
Treadway Commission)

El Sistema Integrado de Control Interno, es un informe que

establece una definición común de control interno y proporciona
un estándar mediante el cual las organizaciones pueden evaluar y
mejorar sus sistemas de control.

Surge como una forma de solucionar la diversidad de conceptos,

definiciones e interpretaciones existentes en torno al control
interno.
 Formada por cinco organizaciones:
1. Financial Executives International
2. Institute of Internal Auditors
3. American Institute of Certified Public
Accountants
4. Institute of Management Accountants
5. American Accounting Association

Reconocido como el estándar internacional

para un marco integrado de control interno
Beneficios de COSO ERM
• Proporciona un marco integral del control interno y
herramientas de valuación para evaluar el sistema de
control
• Alinea el apetito de riesgo con la estrategia corporativa
• Proporciona respuestas integradas a los múltiples riesgos
• Mejora el nivel de las respuestas al riesgo
• Reduce la posibilidad de sorpresas y pérdidas
• Identifica y administra los riesgos a nivel corporativo
• Prepara a la empresa para tomar ventaja de las
10
oportunidades
• Ayuda a mejorar el uso del capital disponible
Componentes Claves del
ERM
Ambiente de Control

Establecimiento de
objetivos

Identificación de
eventos

Evaluación de Riesgos

Respuestas al Riesgo

Actividades de Control

Información y
Comunicación
11
Monitoreo
Métodos de Evaluación del C.I.
La evaluación del control interno se puede realizar mediante:
• Descripciones narrativas
• Cuestionarios especiales
• Diagramas de flujo
• Matrices/mapas de riesgos
ÍNDICES TECNOLÓGICOS
 Etapas de la Administración del Riesgo

• Medición de la probabilidad de
• Segmentación factores de riesgo ocurrencia

• Identificación eventos de riesgo • Medición del impacto si ocurre

• Elaboración Matriz o Mapa de Riesgos

Medición o
Identificación
Evaluación

Monitoreo Control
• Revisión de programas, políticas,
normas y procedimientos existentes
• Monitoreo permanente
• Calificación de la efectividad de los
• Evaluaciones independientes controles

• Corregir las deficiencias detectadas • Establecimiento nivel de riesgo residual

 MATRÍZ DE RIESGOS
PxI=
P = Probabilidad I = Impacto
Prioridad Respuesta al Recomendación
Posible resultado Responsable de la
No. Riesgo Síntomas riesgo (Control (Control a
(entonces) (Resutasdo acción de respuesta
(A=3/M=2/B=1) (A=3/M=2/B=1) establecido) implementar)
entre 1 y 9)

Identificar una señal de

alarma o advertencia de
Especificar la Deben indicar si es
que el riesgo puede acción que el necesario alguna Nombre del
Evaluar el Priorizar los Equipo de
Evaluar la otra medida o responsable del
Especificar cuál ocurrir. Ejemplo: el impacto en el riesgos con
Detallar el proveedor no probabilidad de Trabajo llevará control a Equipo de Trabajo
sería el efecto en proyecto en caso ayuda de la
1 riesgo proporciona una que el riesgo a cabo para establecer para que llevará a cabo
caso de que el respuesta concreta, sólo ocurra. (Alto, de que el riesgo Matriz que se
identificado. muestra eliminar, reducir, mantener, la acción de
riesgo ocurra. da largas a la entrega del Medio y Bajo) ocurra. (Alto,
trasladar o compartir, explotar respuesta al
equipo. Recuerda que Medio y Bajo) abajo.
mitigar el el riesgo riesgo.
no todos los riesgos
tienen sintomas.
riesgo. identificado.

Por ejemplo
Ejemplo: Que
Por ejemplo: la Por ejemplo: la 3 X 3 = 9
no se entregue Ejemplo: Retraso
valoro como alta valoro como alta ESTO ES
el equipo en en el proyecto.
sería un tres = 3 sería un tres = 3 RIESGO
tiempo.
ALTO

EN EL MAPA DE
CALOR ESTO VA
EN COLOR ROJO
 EJEMPLO DE LA TÉCNICA DE
PONDERACIÓN
PESO DE ACUERDO AL CRITERIO,
AREAS O PUNTOS
EXPERIENCIA, HABILIDAD Y
DE INTERES A
CONOCIMIENTO DEL AUDITOR
EVALUAR

PESO
FACTORES PRIMARIOS QUE SERAN
PONDERADOS AQUÍ SE DEFINEN
ESPECIFICO
LOS FACTORES DE
1 Objetivos del Centro de informatica 10%
MAYOR JERARQUIA
2 Estructura de la Organización 10%
O LOS MAS
3 Funciones 15%
4 Sistemas de información 20%
REPRESENTATIVOS
5 Personal y usuarios 15% DE UN GRUPO
6 Documentación de los sistemas 2%
7 Actividades y operaciones del sistema 14%
8 Configuración del sistema 4%
9 Instalación del centro de informática 10%
PESO TOTAL DE LA PONDERACION 100%
 Definición de
Seguridad Informática
Elementos de Información
Análisis de Riesgo
Medios de Comunicación
• Lo óptimo es utilizar todo medio disponible a los
distintos usuarios en una empresa, tales como
Correos electrónicos, Mensajes en el boletín,
Comunicados oficiales, etc. Que sirvan para
comunicar los riesgos y controles como también
las responsabilidades de cada puesto.
Matriz para el Análisis de Riesgo
Reducción de Riesgo
1. ORGANIZACIÓN DEL
DEPARTAMENTO
ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas
y aplicaciones en uso.
 2. SEGUROS, CONTRATOS,
MANTENIMIENTO Y FIANZAS.
ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad (Caución)
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para
operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros
 4. POLÍTICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.(Plan de continuidad de
negocios)
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia (Planes de continuidad de negocio)
Documentación de programas.
4.7 Políticas de respaldo (Backs up)
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE
SEGURIDAD
ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
calor, fuego, y humo, imanes
5.9 Existencia de extintores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.
6. PROGRAMAS DE CAPACITACIÓN

ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada
persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.
 7. RECEPCIÓN DE TRABAJOS

ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe en base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción
contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos
 8. CONTROL DE CALIDAD
ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores detectados
8.4 Norma sobre la calidad de impresión exactitud
de los datos
8.5 Número de copias de los reportes (autorizadas)
9. DESPACHO DE TRABAJOS

ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar
información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido
corresponda con el solicitado
9.5 Control sobre las ordenes de trabajo no retiradas
9.6 Protección de la información previo entrega al
usuario
10. CAPTURA DE DATOS

ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas:
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal
11. PROCESO DE DATOS

ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación
de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos
12. CINTOTECA
ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
• Control sobre el contenido de cada archivo
• Uso de etiquetas internas
• Existencia de un registro de todos los dispositivos de
almacenamiento
• Directorios del contenido de archivos
• Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
• Antigüedad, condiciones de uso y estado de los
dispositivos de almacenamiento.
• Control sobre el préstamo de dispositivos de
almacenamiento.
 GRACIAS!!!
CPA – M.A Sergio Arturo Sosa Rivas – Coordinador
sergiososa@intelnet.net.gt
CPA - Nelton Estuardo Mérida
es.tu2010@hotmail.com
CPA-Oscar Noé López Cordón, MsC
oscarnoe@lopezcordon.com.gt
CPA-Víctor Manuel Sipac
victorsipac@msn.com