0% encontró este documento útil (0 votos)
23 vistas36 páginas

Clase 03

Descargar como ppt, pdf o txt
Descargar como ppt, pdf o txt
Descargar como ppt, pdf o txt
Está en la página 1/ 36

Aspectos Iniciales

Normas ISO aplicadas a


Auditoria de Sistemas
Normas ISO aplicadas a
Auditoria de Sistemas
CONTROL INTERNO Y
AUDITORIA
CLASE 02
INTRODUCCION
• Busca mejorar todos los procesos para buscar
la eficiencia total.
• Este trabajo no se hace de la noche a la
mañana; para ello se empieza ya bien sea por
áreas o departamentos es decir internamente.
El control interno de Auditoria
El Control Interno Informático puede definirse
como el sistema integrado al proceso
administrativo, en la planeación,
organización, dirección y control de las
operaciones con el objeto de asegurar la
protección de todos los recursos informáticos
y mejorar los índices de economía, eficiencia
y efectividad de los procesos operativos
automatizados. (Auditoría Informática –
Aplicaciones en Producción – José
Dagoberto Pinilla)
El control interno de Auditoria

También se puede definir el Control Interno


como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir,
corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para
conseguir sus objetivos. (Auditoría
Informática – Un Enfoque Práctico – Mario G.
Plattini) 
Función del control interno

La función del control interno


informático es asegurarse de que
las medidas que se obtienen de
los mecanismos implantados por
cada responsable sean correctas
y válidas
Características del control interno

0 Falta de rastro de las transacciones


0 Procesamiento uniforme de transacciones
0 Falta de segregación de funciones
0 Potencial de errores e irregularidades
0 Disminución de involucramiento humano
0 Transacciones automáticas
0 Dependencia de otros controles
0 Potencial de incremento de la supervisión por parte de
la administración
0 Potencial uso de TAACs (técnicas de auditoria
desarrolladas por computador)
•EVALUACIÓN DEL RIESGO Y EL
CONTROL INTERNO EN SISTEMAS DE
INFORMACION COMPUTARIZADOS
•Estructura de la organización

Concentración de funciones y conocimiento


Concentración de programas y datos
•Naturaleza del procesamiento

 Ausencia de documentación de entrada


 Falta de rastro visible de transacciones
 Falta de datos de salida visibles
 Factibilidad de acceso a datos y programas de
computadora
•Aspectos de diseño y de procedimiento

 Consistencia de funcionamiento
 Procedimientos de control programados
 Actualización sencilla de una transaccion en
archivos múltiples o de base de datos
 Transacciones generadas por sistema
 Vulnerabilidad de datos y medios de
almacenamiento de programas
•Controles generales

 Controles de organización y administración


 Desarrollo de sistemas de aplicación y controles de
mantenimiento
 Controles de operación de computadoras
 Controles de software de sistemas
 Controles de entrada de datos y programas
 Otras salvaguardas
0Respaldo de datos
0Procedimientos de recuperación
0Provisión para el procesamiento externo
•Controles de aplicación

 Controles sobre datos de entrada


 contrles sobre el procesamiento y sobre archivos de
datos de la computadora
 Controles sobre los datos de salida
•Revisión de controles de aplicación

 Controles manuales ejercidos por el usuario


 Controles sobre los datos de salida del sistema
 Procedimientos de control programados
En el ambiente Informático
El control interno se materializa fundamentalmente en
controles de dos tipos:

• Controles manuales; aquellos que son


ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas
computacionales.
• Controles Automáticos; son generalmente los
incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base
de datos, programas de aplicación, etc.
En el ambiente Informático
El control interno según su finalidad se clasifican en:
• Controles Preventivos, para tratar de evitar la
producción de errores o hechos fraudulentos, como por
ejemplo el software de seguridad que evita el acceso a
personal no autorizado.
• Controles Detectivos; trata de descubrir a posteriori
errores o fraudes que no haya sido posible evitarlos con
controles preventivos.
• Controles Correctivos; tratan de asegurar que se
subsanen todos los errores identificados mediante los
controles detectivos.
•TECNICAS DE AUDITORIA CON
AYUDA DE COMPUTADORAS (TAACs)

Software de auditoría y datos de prueba utilizados


para propósitos de auditoría

 Software de auditoría
 Datos de prueba
•Software de auditoria: programas de
computadoras usados por el auditor, como
parte de sus procedimientos de auditoría,
para procesar datos de importancia

Programas en paquetes
Programas escritos para un propósito determinado
Programas de utilería
• Datos de prueba: se alimentan al sistema y
se comparan los resultados con resultados
predeterminados

 Prueba de controles específicos


 Transacciones de prueba con determinadas
características
 Transacciones de prueba para instalaciones
(unidad modelo)
•Usos de TAACs

 Pruebas de detalle de transacciones y saldos


 Procedimientos de revisión analítica
 Pruebas de cumplimiento de controles
generales
 Pruebas de cumplimiento de controles de
aplicación
•Requisitos:

 Conocimiento, pericia y experiencia del auditor


 Disponibilidad de TAACs e instalaciones
adecuadas
 No factibilidad de pruebas manuales
 Efectividad y eficiencia
 Oportunidad
• ALGUNOS ASPECTOS
METODOLOGICOS
El objetivo primario de auditoría no cambia porque
todo o parte de la información esté conservada en
forma electrónica
El alcance de la revisióndel auditor debe incluir
sus sistemas, procedimientos y metodología y el
control interno
La evaluación del control interno ayuda al auditor
a formarse una opinión sobre el nivel de
confiabilidad a depositar en el sistema contable
•Elementos del plan de auditoría:

Alcance
Plan de trabajo
Procedimientos
Opinión preliminar
Presentación de conclusiones
Informe con conclusiones a autoridades
Revisión final
•Necesidad de información del auditor:

 Disponibilidad, confiabilidad y origen de los


registros electrónicos
 Existencia de controles internos y de seguridad
 Documentación de los cambios de sistema
 Reportes del sistema
 Disponibilidad del auditor de hardware y software
para conducir la auditoría
 Disposición de los sectores auditoría interna,
procesamiento de datos, etc.
• Evidencias de auditoría
AICPA - SAS 80

14.- … el auditor puede determinar que no es


práctico o posible reducir la identificación del riesgo
a un nivel aceptable, desarrollando solamente
pruebas sustantivas, en una o más afirmaciones de
los estados financieros
15.- alguna de la información contable y su relativa
evidencia comprobatoria, está disponible solamente
en forma electrónica …. Sin embargo, tal evidencia
puede no ser recuperable después de un período
específico de tiempo … Por lo tanto, el auditor
deberá considerar el tiempo durante el cual la
información existe o está disponible, para determinar
la naturaleza , tiempo y extensión de sus pruebas, y
si es aplicable, las pruebas de los controles.
•Funciones de control interno
 Evaluación de amenazas del sistema y análisis de
riesgo
 Acceso limitado a los registros electrónicos
 Autorización de acceso con códigos de seguridad
 Inalterabilidad de fechas y archivos
 Revisión periódica de accesos
 Archivos de registros electrónicos
 Preservación de integridad de los datos
 Almacenamiento histórico de las transacciones
 Políticas de seguridad y/o procedimientos
manuales
•Políticas y procedimientos

Análisis de confianza en los sistemas


Confidencialidad de la información
Políticas relativas a la integridad de las
transacciones
Políticas de integridad vinculadas con el personal
Monitoreo
IMPLANTACION DE UN SISTEMA DE CONTROLES
INTERNOS INFORMATICOS

Para llegar a conocer la configuración del sistema es necesario


documentar los detalles de la red, así como los distintos
niveles de control y elementos relacionados:
IMPLANTACION DE UN SISTEMA DE CONTROLES
INTERNOS INFORMATICOS

•Entorno de red: Esquema de la red, descripción de la


configuración hardware de comunicaciones, descripción del
software que se utiliza como acceso a las telecomunicaciones,
control de red, situación general de los ordenadores de
entornos de base que soportan aplicaciones críticas y
consideraciones relativas a la seguridad de la red.
•Configuración del ordenador base: Configuración del
soporte físico, en torno del sistema operativo, software con
particiones, entornos( pruebas y real ), bibliotecas de
programas y conjunto de datos.
•Entorno de aplicaciones: Procesos de transacciones,
sistemas de gestión de base de datos y entornos de procesos
distribuidos.
IMPLANTACION DE UN SISTEMA DE CONTROLES
INTERNOS INFORMATICOS

• Productos y herramientas: Software para desarrollo de


programas, software de gestión de bibliotecas y para operaciones
automáticas.
• Seguridad del ordenador base: Identificar y verificar usuarios,
control de acceso, registro e información, integridad del sistema,
controles de supervisión, etc.
Para la implantación de un sistema de controles internos
informáticos habrá que definir:
• Gestión de sistema de información: políticas, pautas y normas
técnicas que sirvan de base para el diseño y la implantación de los
sistemas de información y de los controles correspondientes.
• Administración de sistemas: Controles sobre la actividad de los
centros de datos y otras funciones de apoyo al sistema, incluyendo
la administración de las redes..
IMPLANTACION DE UN SISTEMA DE CONTROLES
INTERNOS INFORMATICOS

•Seguridad: incluye las tres clases de controles


fundamentales implantados en el software del sistema,
integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.

•Gestión del cambio: separación de las pruebas y la


producción a nivel del software y controles de
procedimientos para la migración de programas software
aprobados y probados.
Implementación del sistema de control interno
Se deben cumplir las tres fases siguientes:

Planificación
Se inicia con el compromiso formal de la Alta Dirección y
la constitución de un Comité responsable de conducir el
proceso. Comprende además las acciones orientadas a la
formulación de un diagnóstico de la situación en que se
encuentra el sistema de control interno de la entidad con
respecto a las normas de control interno establecidas por la
CGR(Contraloría General de la República) , que servirá de
base para la elaboración de un plan de trabajo que asegure
su implementación y garantice la eficacia de su
funcionamiento.
Implementación del sistema de control interno
Se deben cumplir las tres fases siguientes:
Ejecución
Comprende el desarrollo de las acciones previstas en el plan
de trabajo. Se da en dos niveles secuenciales: a nivel de
entidad y a nivel de procesos. En el primer nivel se
establecen las políticas y normativa de control necesarias
para la salvaguarda de los objetivos institucionales bajo el
marco de las normas de control interno y componentes que
éstas establecen; mientras que en el segundo, sobre la base
de los procesos críticos de la entidad, previa identificación
de los objetivos y de los riesgos que amenazan su
cumplimiento, se procede a evaluar los controles existentes
a efectos de que éstos aseguren la obtención de la respuesta
a los riesgos que la administración ha adoptado.
Implementación del sistema de control interno
Se deben cumplir las tres fases siguientes:

Evaluación
Fase que comprende las acciones orientadas al logro de un
apropiado proceso de implementación del sistema de control
interno y de su eficaz funcionamiento, a través de su mejora
continua.

También podría gustarte

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy