Documente Academic
Documente Profesional
Documente Cultură
¿Qué son los Controles Internos? Están constituidos por las políticas,
procedimientos, prácticas y estructuras organizacionales implementadas
para reducir los riesgos para la organización.
DEFINICIÓN DEL CONTROL INTERNO
El Control Interno es un proceso establecido por el Directorio, la Gerencia y
todos los niveles del personal, para brindar una seguridad razonable de
que se lograrán los objetivos de negocios de la organización.
CONTROL INTERNO
Existen dos aspectos clave que los controles deben atender:
1) Qué debería lograrse 2) Qué debería evitarse.
Los controles internos no sólo tratan los objetivos de negocio/operativos,
sino que también deberían estar preparados para tratar eventos no
deseados
CLASIFICACIÓN DE LOS CONTROLES INTERNOS
Los elementos de control que se deberían considerar al evaluar la fortaleza
de un control, están clasificados como: A. Controles Preventivos B.
Controles Detectivos C. Controles Correctivos
A. CONTROLES PREVENTIVOS • Son aquellos que detectan los
problemas antes de que surjan. • Monitorear tanto las operaciones
como el ingreso de datos. • Tratar de predecir problemas potenciales
antes de que estos ocurran y hacer ajustes. • Impedir que ocurra un
error, una omisión o un acto malicioso
CONTROLES PREVENTIVOS (EJEMPLOS) • Emplear sólo personal
calificado • Segregar funciones (factor disuasivo) • Controlar el acceso
físico a las instalaciones • Usar documentos bien diseñados (prevenir
errores) •
Establecen procedimientos adecuados para la autorización de transac
ciones. • Usar software de control de acceso que permita que sólo el
personal autorizado tenga acceso a archivos sensibles. • Utilizar
software de encriptación para evitarla divulgación no autorizada de
datos.
B. CONTROLES DETECTIVOS Son controles que detectan y reportean
que ha ocurrido un error, una omisión o un acto fraudulento.
EJEMPLO: • Puntos de verificación en los trabajos (jobs) • Controles
de eco en las telecomunicaciones • Doble verificación de cálculos •
Reportes de cuentas vencidas • Funciones de auditoria interna • Pistas
de Auditoría (Logs) de actividad para detectar intentos de acceso no
autorizado
C. CONTROLES CORRECTIVOS
“Cuando gastas todo tu tiempo luchando contra incendios, difícilment
e tendrás tiempo para pensar en nuevas formas para construir cosa
s que no quemen”
D. CONTROLES CORRECTIVOS Son aquellos que minimizan el
impacto de una amenaza, remedian problemas descubiertos,
identifican la causa del problema, corrigen en los errores. EJEMPLOS:
• Planeación de contingencias • Procedimientos de copias de
seguridad (Backup´s) • Procedimientos de segunda ejecución de
programas
OBJETIVOS DEL CONTROL INTERNO• Salvaguarda de los activos de
tecnología de información. Cumplimiento con las políticas corporativas o
requerimientos legales.• Autorización/Introducción de información.•
Exactitud e integridad del procesamiento de transacciones. • Salida de
información (reportes, usb). • Confiabilidad de los procesos. • Respaldo
/recuperación (backup’s). • Eficiencia y economía de las operaciones.
CONTROL INTERNO DE S.I.
OBJETIVOS DEL CONTROL INTERNO DE S.I.: • Los objetivos de control,
en un ambiente de Sistemas de Información, no cambian respecto a los de
un ambiente manual. • Sin embargo, pudieran cambiar los mecanismos de
control. • Entonces los objetivos del control interno se deben de enfocar
según los procesos relacionados con los S.I. • Garantizar la integridad de
los entornos sensitivos y críticos de los Software de Sistemas. • Garantizar
la integridad de los software de Aplicaciones, incluyendo información
contable/financiera. *Asegurar la eficiencia y eficacia de las operaciones. •
Cumplimiento con los requerimientos de los usuarios y con las políticas y
procedimientos organizativos y leyes aplicables. Desarrollo de Planes de
Continuidad del Negocio y Recuperación de Desastres. • Desarrollo de un
plan de manejo y respuestas a incidentes.
PROCEDIMIENTOS DE CONTROL EN S.I.
Los procedimientos de control incluyen políticas y prácticas establecidas
por la Gerencia, para proveer una seguridad razonable de lograr objetivos
específicos. Reduce el riesgo; es aquel que se efectúa adicionalmente
para verificar si lo que está es lo correcto.
PROCEDIMIENTOS DE CONTROL GENERAL
Los controles generales son aplicables a todas las áreas de la
organización, incluyendo infraestructura y servicios de soporte de TI. Aún
nivel macro. Los controles generales incluyen: • Controles internos de
contabilidad que están principalmente dirigidos a las operaciones de
contabilidad. • Controles operativos que se ocupan de las operaciones,
funciones y actividades cotidianas. • Controles administrativos relacionados
con la eficiencia operacional en un área funcional y el acatamiento de las
políticas de la gerencia. • Políticas y procedimientos organizacionales de
seguridad lógica. •
Políticas generales para el diseño y uso de documentos y registros adecua
dos para ayudar a asegurar el registro apropiado de las transacciones. •
Procedimientos y prácticas para asegurar la protección adecuada en el acc
eso y el uso de activos e instalaciones •
Políticas de seguridad física y lógica para todos los centros de cómputo y r
ecursos de TI (por ejemplo, servidores e infraestructura de telecomunicacio
nes
PROCEDIMIENTOS DE CONTROL EN S.I
Se requiere de: Estrategia y Dirección Organización y Administración
General Acceso a los recursos de TI, datos y programas
Metodologías de desarrollo de sistemas y control de cambios
Operaciones de procesamiento de datos. Controles de acceso físicos
Redes y Comunicaciones Administración de Base de Datos
Procedimientos de aseguramiento de calidad (QA)
Administración de la Base de Datos
Planificación de la Continuidad del Negocio (BCP)
/Recuperación en Caso de Desastre (DRP)
LAS EVIDENCIAS EN UNA AUDITORÍA DE SISTEMAS
Las Evidencias en Auditorías de SI
Definición: La evidencia es cualquier información usada por el auditor de SI
para determinar si la entidad o los datos que están siendo auditados
cumplen con los criterios u objetivos establecidos, y soporta las
conclusiones de auditoría. Es un requerimiento que las conclusiones del
auditor se basen en evidencia suficiente, relevante y competente.
Aun cuando toda la evidencia apoyará al auditor de SI en el desarrollo de
las conclusiones de la auditoría, alguna evidencia es más confiable que
otra. La evidencia debe obtenerse a partir de un proceso de Indagación
Corroborativa y esta debe de apoyarse de: 1) Un reproceso, 2) Una revisión
documentaria o 3) La observación del proceso auditado
Los determinantes para evaluar la confiabilidad de la evidencia de auditoría
incluyen:
Independencia del proveedor de la evidencia