Controles Internos en el e-SIGFA

Controles Internos en el e-SIGFA segn las NTCI

emitidas por la CGR
Controles en Sistemas de Informacin

Categora de Sistemas
de Informacin

Controles
Generales

Controles de
Aplicacin

Controles Internos en el e-SIGFA segn las NTCI

Emitidas por la CGR
Tipos Controles Generales
Controles en las operaciones del
centro de datos

Controles
Generales

Controles en
mantenimiento
sistema

la adquicisin y
del software del

Controles de seguridad de acceso

Controles
de
desarrollo
y
mantenimiento de aplicaciones del
sistema

Controles Internos en el e-SIGFA segn las NTCI

Emitidas por la CGR

Controles de Aplicacin

Procesamiento Completo y Exacto

Transacciones Autorizadas
Transacciones Verificadas

Clasificacin de los Controles Internos en el eSIGFA

Preventivos
Clases de Controles

Detectivos
Correctivos

Controles Internos de Supervisin en el e-SIGFA

Aplicaciones
Controles de supervisin

Tecnologa
Usuario

Controles Internos sobre Aplicaciones en el

e-SIGFA

Captura de datos.
Tcnicas
Controles

de

Procesos de datos.
Salida y distribucin.

Controles Internos sobre Aplicaciones en el

e-SIGFA

Conciliacin de totales.

Totalidad de
las Entradas

Verificacin de la secuencia
numrica.
Confrontacin de ficheros.
Comprobacin uno por uno.

Controles Internos sobre Aplicaciones en el

e-SIGFA

Exactitud de
Entradas

Conciliacin de totales
Confrontacin de ficheros
Comprobacin uno por uno
Controles de validacin o edicin
Prueba de existencia
Prueba de pantalla
Prueba de dependencia
Prueba de sintaxis o de formato
Prueba de razonabilidad

Controles Internos sobre Aplicaciones en el

e-SIGFA

Momento de la autorizacin
Autorizacin de
las Entradas

Confrontacin programada
Autorizacin manual
Autorizacin en lnea

Controles Internos sobre Aplicaciones en el

e-SIGFA
Controles de totalidad y exactitud de
las entradas.
Conciliacin manual de los totales.
Totalidad y
exactitud de
actualizacin

Controles de proceso a proceso que

incluyen:
- Totales de los ficheros
- Listados de detalles
- Transacciones generadas por
la aplicacin

Controles Internos de Tecnologa en el e-SIGFA

Tipos de
Controles de
Tecnologa

Desarrollo e implantacin de
aplicaciones.
Mantenimiento.
Explotacin.
Seguridad de programas.
Seguridad de ficheros de datos.
Operaciones de informtica.
Conversin de ficheros.
Software de sistemas.
Implantacin.

Controles Internos de Usuarios en el e-SIGFA

La seguridad lgica incluye:

Tipos de
Controles
de Usuarios

Administracin de contraseas.
Proceso de LOG-IN.
Uso de los sistemas.
Acceso para manejo de
informacin.
Separacin de usuarios.

Controles Internos de Usuarios en el e-SIGFA

Formulario que incluye:

Tipos de
Controles
de Usuarios

Entidad que realiza la solicitud.

Tipo de solicitud (alta, baja,
modificacin)
Justificacin de la solicitud.
Aplicaciones a que tiene derecho
el usuario.
Aprobaciones de responsable o
director de rea.
Area de sistemas.

Formulario de alta, baja y modificacin de usuarios

en el e-SIGFA

Responsabilidades del Administrador de Usuarios

en el e-SIGFA

Administraci
n de
usuarios

Asignacin de passwords
Asegurase que los usuarios
cambien los passwords en el
tiempo establecido y verificar que el
sistema impide acceso de no
efectuarse los cambios respectivos.
Prohibir divulgacin del passwords

Identificador de Usuarios en el e-SIGFA

identificador que incluye:

Identificaci
n
de usuarios

Nombre del usuario

Un solo usuario para todos los
sistemas
No hay respuesta del sistema
despus de varios intentos fallidos
(normalmente tres)
Despliegue de fecha y hora
Desconexin del sistema luego de
un tiempo de inactividad

Segregacin de Funciones en el e-SIGFA

Debe existir una adecuada segregacin de funciones,

asignando acciones a usuarios, independiente del
mdulo o aplicacin que operen.
Por ejemplo, en la aplicacin No. 404 Registro y
Control de CUC de Gasto del mdulo de Presupuesto,
ningn usuario podr tener ms de una de las
siguientes acciones:
Solicitar
(1), Verificar (5) y
aprobar (6).

Caractersticas de Controles de Usuarios en el

e-SIGFA
Los Cdigos de usuarios dentro del sistema no
podrn reutilizarse o reasignarse, esto con el fin de
garantizar una auditora efectiva de las
transacciones.
Los usuarios autorizados que ingresen a los
subsistemas y que durante un tiempo de diez
minutos no realicen ninguna operacin, sern
expulsados automticamente del sistema.

Consideraciones en las Normas de Auditora

Gubernamental en Relacin con el
e-SIGFA

Auditora Gubernamental

Ejercen la Auditora Gubernamental

Contralora General
de la Repblica
Unidades de
Auditora Interna

Firmas Privadas de
Contadores Pblicos

Consideraciones en la Auditora Gubernamental en

una Entidad que usa Sistemas Automatizados
Menor evidencia documental
Ausencia de documentos de entrada
Rastro de transacciones no visibles
Facilidades de acceso de datos
Datos de salida no visibles
Facilidades de acceso a programas

Consideraciones en la Auditora Gubernamental

El auditor debe tener suficientes conocimientos de
computacin para planificar, ejecutar y realizar la
auditora.
El auditor debe cerciorarse de la relevancia y
confiabilidad de la informacin procesada por medios
electrnicos.
El auditor debe efectuar una revisin de los controles
generales de los sistemas computarizados y de los
relacionados especficamente con su aplicacin, que
incluya todas las pruebas que sean permitidas.

Consideraciones en la Auditora Gubernamental

Si no se revisan los controles deben aplicar otros
procedimientos de auditora, que permitan reunir
evidencia suficiente y competente que respalde su
opinin,
comentarios,
conclusiones
y
recomendaciones.
Si el auditor requiere la cooperacin de personal
computo de la entidad, debe asegurarse que este
personal no influy indebidamente en la obtencin
de informacin para propsitos de auditora.

Enfoque de Auditoria Orientada a la Evaluacin de

Riesgo en el e-SIGFA

Objetivos

Proveer a la Direccin el aseguramiento razonable

que los objetivos de control sern alcanzados.

Que de existir debilidades de control significativas,

sern detectadas.
Asesorar a la conduccin acerca de las acciones

correctivas.

Fases en el Proceso de Auditoria considerando

el e-SIGFA como Sistema de Informacin
Evaluar el
ambiente
de control

Identificar
riesgos

Efectuar
pruebas
de control

Identificar y
documentar
procesos

Identificar y
documentar
controles

Efectuar
pruebas
sustantivas

Informar hallazgos

Concepto de Riesgo
Es un evento que evita que una organizacin

alcance las metas establecidas o los objetivos del

negocio.

La Tecnologa Informtica representa nuevos riesgos

para la organizacin.
Cada

avance
tecnolgico
se
convierte
inevitablemente en un objetivo para aquellos que
buscan usarlo para sus propios propsitos.

Actitud Frente al Riesgo

Debe buscarse consciente y activamente una

metodologa
que
permita
Administrar
eficientemente los Nuevos Riesgos a que se
enfrenta la Organizacin.
Los controles proactivos que mitigan los riesgos
deben
ser
implementados
y
evaluados
peridicamente, para que la Organizacin
sobreviva y prospere.

Aspectos Claves de la Auditoria basada en un

Enfoque Orientado al Riesgo
Flexible, sensitiva al riesgo, y hace un uso
intensivo del criterio y conocimientos del auditor.
Permite examinar los negocios desde la
perspectiva de la Direccin, habilitando a los
auditores
para
hacer
observaciones
y
recomendaciones que respondan a las
preocupaciones de la Gerencia.
Es un enfoque proactivo, ya que el auditor acta
tan tempranamente como sea factible.

Ventajas de una Auditoria basada en Riesgos

Mayor nfasis en el conocimiento de la Organizacin,

incluyendo la comprensin del ambiente de control

para evaluar el riesgo.
Focalizar la evaluacin de la eficiencia del conjunto

de controles, en lugar de probar el cumplimiento de

cada procedimiento de control individualmente.

Ventajas de una Auditoria basada en Riesgos

Visin del control interno como proceso, no como

mecanismos y hechos aislados.
Vincular estrechamente la evaluacin de los riesgos
con la decisin de prueba, a travs de una mayor
orientacin a los objetivos de control.

Riesgo total de la Auditora

Para todas las cuentas/para una cuenta
Riesgo de errores en saldos

Riesgo inherente

Riesgo de control

Complejidad y
volumen de
transacciones
ambiente de
control

Direccionado por
los controles
organizacionales
y evaluados por
las pruebas de
cumplimiento

Riesgo de no detectar
errores en saldos
Riesgo de deteccin
de la auditora
Evaluado y controlado
por revisiones
analticas y pruebas
sustantivas

Anlisis de Riesgo
Es el procedimiento que permite determinar las
amenazas y las vulnerabilidades en la estructura de
control, evaluando la posibilidad de ocurrencia y los
daos (materialidad) que pueden provocar.
El objetivo del anlisis es ayudar a seleccionar
salvaguardas eficientes que reduzcan la exposicin,
a niveles que la Direccin interprete aceptables.
Daos o amenazas

Ataques

Vulnerabilidad/
debilidad

Anlisis de Riesgo
Daos o Amenazas : Ocurrencia potencial de
incidentes maliciosos o no, que afectan activos,
recursos o prestigio.
Vulnerabilidad: Debilidades en los SI que permiten
que las amenazas ocurran.
Ataques: Acciones ejecutadas por un agente
externo que aprovecha una vulnerabilidad del
sistema para hacer que la amenaza ocurra.
Las amenazas se mitigan identificando y removiendo
las vulnerabilidades.

Anlisis de Riesgo

Cada sistema tendr asociado:

Amenazas a la seguridad
Posibles vulnerabilidades
Daos potenciales
Salvaguardas para la seguridad y control interno

para

reducir o eliminar los riesgos identificados.

Riesgos de Tecnologa que podran afectar el

Desarrollo y Resultados de la Auditora
Son aquellos generados por el uso de tecnologa
informtica en el desarrollo de las operaciones. Entre
estos se tienen los siguientes riesgos:

Confidencialidad

Integridad

Disponibilidad

Auditabilidad

Nuevos Riesgos para la Auditora

Soporte de la tecnologa orientada a procesos y no

al esquema tradicional de funciones.

Propagacin de errores.
Dependencia en la tecnologa y en el personal que la

administra.

Falta de evidencia en medios tradicionales.

Nuevos Riesgos para la Auditora

Incremento en el volumen de transacciones en

medios magnticos.

Autorizaciones y aprobaciones dentro del sistema.

Obsolescencia de los planes de trabajo.

Modernizacin de la Auditora Interna

Uso intensivo de la tecnologa.

Transformacin de la auditora en un ente

asesor para las Instituciones

Pruebas analticas con mayor cobertura

(100% de la poblacin).

Pruebas sobre controles internos en los

sistemas de informacin

Como Responder

Rediseando el proceso de auditora interna

Implantando herramientas que mejoren la

naturaleza, alcance y oportunidad de las pruebas
de auditora.

Rediseando los planes de trabajo y la

presentacin de resultados para consolidar la
Auditora Interna como ente asesor.

Implantando un enfoque de auditora basado en

evaluacin de riesgos.

Como Responder
Obteniendo capacitacin sobre diversos temas que

ataen a la Auditora Moderna. Tales como:

Auditora Informtica.
Administracin de riesgos en el uso de
Tecnologa de Informacin.
Tcnicas
de
Auditora
Asistidas
por
Computadora (TAAC).
Enfoque de administracin del riesgo.
Desarrollo de pruebas analticas.

Actividades de Controles segn las NTCI

y
Tcnicas para obtener Evidencias de Auditora

Actividades de Control segn NTCI

Revisiones de alto nivel sobre el desempeo
Evaluacin de las funciones y actividades
administrativas
Administracin del recurso humano
Control fsico sobre activos vulnerables
Indicadores de gestin

Actividades de Control segn NTCI

Ejecucin apropiada de las transacciones

Segregacin de funciones incompatibles

Restricciones de acceso a los recursos y registros

Documentacin apropiada de las transacciones y

del control interno

Tcnicas para obtener Evidencias de Auditora

Observacin e indagacin

Inspeccin

Repeticin

Evaluacin de conocimientos