GESTIÓN PRÁCTICA

CONTROL INTERNO

Controles Generales de TI
– ITGC
AUDITORIA III
ING. COM. SIXTO RONQUILLO B., Msc.
ENERO 2015
Objetivos de la Sesión
Al final de esta sesión, usted estará en capacidad
de:

 Explicar cómo los ITGCs contribuyen a la

evidencia de auditoría.
 Listar los riesgos asociados con ITGCs.
 Reconocer los términos IT comunes y explicar
cómo los componentes de IT encajan juntos.
 Listar los cuatro dominios de ITGC.
Primero una pregunta…
Cuál de las dos les brinda mayor confort y seguridad?
Los ‘Tickets’ Ejercicio Parte 1
En grupos de 5 personas, discuta y
proporcione respuesta a las siguientes
preguntas:
1. ¿Por qué usted confía en el ticket
impreso?
2. ¿Por qué usted desconfía del ticket
escrito a mano?
 ITGC - IT GENERAL CONTROLS
Controles generales de TI (ITGC) son los
controles que se aplican a todos los
componentes de los sistemas, procesos y
datos para una organización o determinada 
tecnología de la información entorno (IT). 
Los objetivos son asegurar el correcto
desarrollo y ejecución de aplicaciones, así
como la integridad de los programas,
archivos de datos y operaciones de la
computadora.
Los ITGCs más comunes:
 Controles de acceso lógico más infraestructura
 , aplicaciones y datos.
 Controles del ciclo de vida de desarrollo del
sistema.
 Controles de gestión de cambio de programa.
 Los centros de datos de controles de
seguridad física.
 Del sistema y copia de seguridad y
recuperación de datos controles.
 Controles de operación del ordenador.
General Computer Controls 
Los ITGCs también llamados CONTROLES INFORMÁTICOS
GENERALES, se definen como: Controles, aparte de los
controles de aplicación, que se relacionan con el entorno en
que se desarrollan los sistemas de aplicación basados ​en
computadoras, mantenimiento y el funcionamiento, y que son,
por lo tanto, aplicable a todas las aplicaciones en operación. 
Al igual que los controles de aplicación, los controles
informáticos generales pueden ser manuales o
programados. Ejemplos de controles generales incluyen el
desarrollo e implementación de una estrategia de IS (seg. De
inform) y una es la política de seguridad, la organización del
personal es separar deberes de conflictos y la planificación
para la prevención y recuperación de desastres naturales o
provocados.
Auditorías ITGC usualmente se hacen en apoyo de
una auditoría de estados financieros, donde el
objetivo de la auditoría ITGC es revisar los controles
existentes para los sistemas de TI que tienen un
efecto directo sobre los estados financieros. 

Normalmente hay 4 elementos de control

principales, a saber:

 El acceso a los programas y datos.

 Operaciones con el ordenador.
 Los cambios de programas.
 Desarrollo de nuevos Programas.
 ACCESO A LOS PROGRAMAS Y DATOS 
Agrupa los controles relacionados con la forma de acceso, lógico y físico, se gestiona a los
sistemas y datos. El objetivo de estos controles son para reducir el riesgo de acceso no
autorizado o inapropiado de los sistemas de información y evitar que la gente cometan y
oculten errores o irregularidades. Las áreas de control pertinentes a este elemento se
incluyen:
Política de TI: Debe ser comunicada en toda la organización.
Data Center: Acceso físico al centro de datos está restringido al personal apropiado.
Parámetros de la contraseña: A la red, sistemas pertinentes y la infraestructura
subyacente (como las bases de datos y sistemas operativos) están configurados
apropiadamente
Cuentas potentes: Acceso a las cuentas / usuarios, sistemas pertinentes y operativos,
bases de datos se limita a un conjunto definido de personal de la administración del
sistema.
Aprovisionamiento de usuario / Modificación de Acceso: Procedimientos establecidos
para la provisión de acceso a los usuarios de los sistemas pertinentes. Procedimientos
requieren aprobaciones formales para la concesión o modificación de los accesos.
Comentarios de acceso Periódico de Usuario: La organización lleva a cabo una revisión
periódica de la actividad de usuarios y derechos de acceso de usuario para identificar y
eliminar el acceso inadecuado a la red.
OPERACIONES CON EL ORDENADOR 
Se ocupa de las cuestiones operativas, como copias de seguridad y trabajos
por lotes. El objetivo de estos controles son para asegurar que el sistema o
proceso de aplicaciones está debidamente autorizado y programado; y que las
desviaciones del procesamiento de planificación se identifican y
resuelven. Las áreas de control pertinentes a este elemento son:
Procesamiento de trabajos Batch / Monitoreo: Están diseñados para
proporcionar una seguridad razonable de alrededor de exhaustividad y
actualidad de sistema y procesamiento de datos.
Gestión de Incidentes: Para hacer frente a cualquier incidente de alta o
media prioridad dentro de una línea de tiempo definido.
Las copias de seguridad del sistema: Asegurar que los datos, operaciones y
programas que son necesarios para la información financiera se pueden
recuperar. Los procedimientos de respaldo y recuperación se prueban
periódicamente.
Off-Site Almacenamiento: Restringe el acceso para mantener las cintas
fuera del sitio a personal autorizado sobre la base de la responsabilidad del
trabajo.
CAMBIOS DE PROGRAMAS 
Es relevante para los controles, El control de los cambios
realizados a los sistemas o aplicaciones existentes. El
objetivo de estos controles son para asegurar que el
cambio hecho están autorizados, probado, aprobado y
correctamente implementado y documentado.
Programa de Gestión del Cambio: Los cambios realizados
en los sistemas siguen la política y los procedimientos de
gestión de cambios establecido por la administración
(incluyendo cambios de emergencia y de
configuración). Los cambios se registran, aprobados y
probados antes de ser promovido a la producción.
Segregación de funciones: Entre el personal de
desarrollo los cambios y los cambios de personal en la
producción de móviles.
DESARROLLO DE PROGRAMAS
El objetivo de estos controles es asegurar que nuevos sistemas
que se desarrollan o adquiridos hayan sido autorizados, probados,
aprobados, debidamente implementado y documentado.

 Metodología: El Ciclo de Vida de Desarrollo de sistema sigue

una metodología para la adquisición o el desarrollo de nuevos
sistemas o aplicaciones.
Al igual que el elemento de Programa de Gestión del Cambio,
cualquier novedad o adquisiciones implementados están
aprobados, probados y debidamente documentados.
Preguntas?
1. ¿Por qué usted piensa que debemos
preocuparnos por los ITGCs?

2. ¿Por qué son importantes en una

auditoría financiera?

3. ¿Qué puede ir mal si los ITGCs no

funcionan apropiadamente?
 Respuestas!
1.) ¿Por qué usted piensa que nos preocupamos por los ITGCs?
• Ellos soportan los controles y procesos que dependen de IT
• Ellos proveen controles sobre los datos financieros

2.) ¿Por qué son importantes en una auditoría financiera?

• Proporcionan un medio eficaz para confiar en los controles y procesos
dependientes de TI.
• Aseguran que la integridad de los datos financieros permanece intacta
a través del período de auditoría.

3.) ¿Qué podría salir mal si los ITGCs no funcionan

apropiadamente?
• El equipo de auditoría financiera no podría confiar en los controles
dependientes de TI.
• Los datos Financieros podrían no estar completos y exactos.
¿Por qué son importantes los
ITGCs?
 Son el fundamento sobre el cual operan los
sistemas contables.
 Ayudan a asegurar la integridad, exactitud y
completitud de los datos financieros en los
sistemas.
 Sin ITGCs fuertes, podría ser difícil confiar en
los controles y procesos que depende de IT.
 Están inmersos a través de todos los procesos
del negocio que utilizan los sistemas IT.
 Entendiendo el ambiente de IT
Conforme a disposiciones técnicas de auditorias informaticas, los
auditores deben “obtener un entendimiento de los sistemas de
información, incluyendo los relacionados con los procesos del
negocio que son relevantes para el reportaje financiero”
Por lo tanto necesitamos obtener cierta información que nos permita
desarrollar nuestro entendimiento de como las transacciones son
procesadas, incluyendo:
- Qué sistemas de aplicación tiene el cliente.
- Qué sistemas operativos usan las aplicaciones?.
- Cómo están enlazados / comunicados los sistemas?
- Cómo es administrada la seguridad?
- Se deposita confianza en reportes y/o hojas de cálculo?.
-Indicadores de problemas en los sistemas, ejemplo: problemas
conocidos, caídas del sistema, limitaciones de soporte, etc.
Términos comunes IT usados
A continuación observamos algunos términos comúnmente usados
cuando se describen ambientes de sistemas en sus clientes:
Términos comunes IT usados:

En sus grupos de trabajo, use estos términos (y cualquier otro que

considere relevante) para graficar como podrían lucir los sistemas de
sus clientes. Piense en:
• Enlaces entre ellos
• Si existen varios sistemas, con diferentes ambientes.
• Donde estarían localizados
Cómo estas partes encajan juntas
MUCHAS GRACIAS
POR SU
AMABLE
ATENCIÓN¡¡
CPA. Sixto B. Ronquillo B., Msc.