Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria 5 UNIDAD 5 2024-1
Auditoria 5 UNIDAD 5 2024-1
Unidad V
PROBABILIDAD:
IMPACTO: La posibilidad de la ocurrencia
Consecuencia (s) de un de un evento que usualmente es
evento, expresado ya sea aproximada mediante una
en términos cualitativos o distribución estadística. En
cuantitativos. También es ausencia de información
suficiente, se puede aproximar
llamado Severidad. mediante métodos cualitativos.
Control Interno - Definició n-
• El Control Interno conforme COSO “es un proceso
integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos,
efectuado por el consejo de la administración, la
dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía
razonable para el logro de objetivos incluidos en las
siguientes categorías:
• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda
Establecimiento de
objetivos
Identificación de
eventos
Evaluación de Riesgos
Respuestas al Riesgo
Actividades de Control
Información y
Comunicación
11
Monitoreo
Métodos de Evaluación del C.I.
La evaluación del control interno se puede realizar mediante:
• Descripciones narrativas
• Cuestionarios especiales
• Diagramas de flujo
ÍNDICES TECNOLÓGICOS
Etapas de la Administración del Riesgo
• Medición de la probabilidad de
• Segmentación factores de riesgo ocurrencia
Medición o
Identificación
Evaluación
Monitoreo Control
• Revisión de programas, políticas,
normas y procedimientos existentes
• Monitoreo permanente
• Calificación de la efectividad de los
• Evaluaciones independientes controles
• Corregir las deficiencias detectadas • Establecimiento nivel de riesgo residual
MATRÍZ DE RIESGOS
Posible Responsable
Riesgo Probabilidad Impacto Prioridad
No. resultado Síntoma Respuesta de la acción
(si) (A/M/B) (A/M/B) (1 - 9)
(entonces) de respuesta
Identificar una
Detallar señal de
el alarma o
riesgo advertencia de
identificEspecificar que el riesgo
ado. cuál sería el puede ocurrir. Especificar la Nombre del
Evaluar la Evaluar el
Ejempl efecto en Ejemplo: el Priorizar los acción que el responsable
probabilidad impacto en el
o: proveedor no riesgos con Equipo de del Equipo de
caso de que de que el proyecto en
Que no el riesgo proporciona ayuda de la Trabajo llevará a Trabajo que
riesgo caso de que el
se una respuesta Matriz que cabo para llevará a cabo
ocurra. ocurra. (Alto,riesgo ocurra.
entregu Ejemplo: concreta, sólo se muestra eliminar, la acción de
Medio y (Alto, Medio y
e el da largas a la abajo. trasladar o respuesta al
Retraso en Bajo) Bajo)
equipo el proyecto. entrega del mitigar el riesgo. riesgo.
en equipo.
tiempo. Recuerda que
no todos los
riesgos tienen
sintomas.
EJEMPLO DE LA TÉCNICA DE
PONDERACIÓN
PESO DE ACUERDO AL CRITERIO,
AREAS O PUNTOS
EXPERIENCIA, HABILIDAD Y
DE INTERES A
CONOCIMIENTO DEL AUDITOR
EVALUAR
PESO
FACTORES PRIMARIOS QUE SERAN
PONDERADOS AQUÍ SE DEFINEN
ESPECIFICO
LOS FACTORES DE
1 Objetivos del Centro de informatica 10%
MAYOR JERARQUIA
2 Estructura de la Organización 10%
O LOS MAS
3 Funciones 15%
4 Sistemas de información 20% REPRESENTATIVOS
5 Personal y usuarios 15% DE UN GRUPO
6 Documentación de los sistemas 2%
7 Actividades y operaciones del sistema 14%
8 Configuración del sistema 4%
9 Instalación del centro de informática 10%
PESO TOTAL DE LA PONDERACION 100%
Definición de Seguridad Infor
mática
Elementos de Información
Análisis de Riesgo
Medios de Comunicación
• Lo óptimo es utilizar todo medio disponible a los
distintos usuarios en una empresa, tales como
Correos electrónicos, Mensajes en el boletín,
Comunicados oficiales, etc. Que sirvan para
comunicar los riesgos y controles como también
las responsabilidades de cada puesto.
Matriz para el Análisis de Rie
sgo
Reducción de Riesgo
Aspectos Básicos
a cubrir
en la Evaluación del
Control Interno
Informático
1. ORGANIZACIÓN DEL
DEPARTAMENTO
ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas y
aplicaciones en uso.
2. SEGUROS, CONTRATOS,
MANTENIMIENTO Y FIANZAS.
ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad (Caución)
3. MANUALES DE ORGANIZACIÓN
ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para
operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros
4. POLÍTICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.(Plan de continuidad
de negocios)
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia (Planes de continuidad de
negocio)
Documentación de programas.
4.7 Políticas de respaldo (Backs up)
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE
SEGURIDAD
ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
calor, fuego, y humo, imanes
5.9 Existencia de extintores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.
6. PROGRAMAS DE CAPACITACIÓN
ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada
persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.
7. RECEPCIÓN DE TRABAJOS
ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe en base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción
contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos
8. CAPTURA DE DATOS
ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas:
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal
9. PROCESO DE DATOS
ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación
de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos
10. CONTROL DE CALIDAD
ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores
detectados
8.4 Norma sobre la calidad de impresión exactitud de
los datos
8.5 Número de copias de los reportes (autorizadas)
11. DESPACHO DE TRABAJOS
ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar
información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido
corresponda con el solicitado
9.5 Control sobre las ordenes de trabajo no retiradas
9.6 Protección de la información previo entrega al
usuario
12. CINTOTECA
ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
• Control sobre el contenido de cada archivo
• Uso de etiquetas internas
• Existencia de un registro de todos los dispositivos de
almacenamiento
• Directorios del contenido de archivos
• Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
• Antigüedad, condiciones de uso y estado de los dispositivos
de almacenamiento.
• Control sobre el préstamo de dispositivos de almacenamiento.
Tarea:
Elabore en grupo
la aplicación de
los tres métodos
de evaluación del
Control Interno
Informático por cada
Área.
GRACIAS!!!
CPA – M.A Sergio Arturo Sosa Rivas – Coordinador
sergiososa@intelnet.net.gt
CPA - Nelton Estuardo Mérida
es.tu2010@hotmail.com
CPA-Oscar Noé López Cordón, MsC
onlopezcordon@profesor.edu.usac.gt
oscarnoe@lopezcordon.com.gt
CPA-Víctor Manuel Sipac
victorsipac@msn.com