AUDITORIA DE SISTEMAS DE
INFORMACION
AI ndash CA - 400
2
Introduccioacuten
La Auditoria de Sistemas se define como la revisioacuten y evaluacioacuten de los aspectos (o de cualquier porcioacuten de ellos) de los sistemas automaacuteticos de procesamiento de la informacioacuten La evaluacioacuten de los resultados obtenidos tiene como objetivo salvaguardar los activos el mantenimiento integral de los datos y funcionan con eficacia para lograr los objetivos de la organizacioacuten
Para realizar cualquier auditoria de sistemas se requiere el desarrollo y promulgacioacuten de Normas Generales para la auditoria de los Sistemas de informacioacuten
3
Unidad Nordm 1Conceptos baacutesicos de
Auditoria de Sistemas
Definicioacuten de Auditoria de Sistemas Normas (nacionales e internacionales) y reglas de la
auditoria de sistemas Teacutecnicas de Auditoria Proceso y etapas de la auditoria de sistemas
4
iquestQueacute es un Sistema de Informacioacuten1ordm Sistema Conjunto de elementos interrelacionados de alguna forma para conseguir un objetivo determinado
Definicioacuten de Auditoria de
Sistemas
INFORMACION
PERSONAS
RECURSOS
ACTIVIDADES
Teacutecnicas de trabajo
SISTEMA DE INFORMACION
OBJETIVOS DE LA
ENTIDAD
5
2ordm Informacioacuten Representar una idea ndash Poner en ordenldquoEs la negacioacuten a la IncertidumbrerdquoImplica intercambio con el medio significa que existe un receptor capa de reaccionar con un cambioLa informacioacuten se encuentra asociada a un proceso de DecisioacutenEjemplo un sistema en estado ldquoArdquo pasa al estado ldquoBrdquo cuando ha recibido una Informacioacuten
Definicioacuten de Auditoria de
Sistemas
DATOSPROCESAMIENT
OINFORMACION
6
Definicioacuten de Auditoria de
Sistemas
Que entendemos por AuditoriaEl Auditor es aquel que tiene la virtud de oiacuter y revisar cuentas con un objetivo especifico el cual es principalmente evaluar la eficiencia y eficacia con que se esta operando para que por medio del sentildealamiento de cursos alternativos de accioacuten se tomen decisiones que permita corregir errores en caso de que existan o bien mejorar la forma de actuar
Proceso
SistemaacuteticoIndependienteY documentadoPara
obtener
Evidencia de la AuditoriaY evaluarlas de manera objetiva
Para obtene
r
La extensioacuten en que se cumplen los Criterios de Auditoria
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
2
Introduccioacuten
La Auditoria de Sistemas se define como la revisioacuten y evaluacioacuten de los aspectos (o de cualquier porcioacuten de ellos) de los sistemas automaacuteticos de procesamiento de la informacioacuten La evaluacioacuten de los resultados obtenidos tiene como objetivo salvaguardar los activos el mantenimiento integral de los datos y funcionan con eficacia para lograr los objetivos de la organizacioacuten
Para realizar cualquier auditoria de sistemas se requiere el desarrollo y promulgacioacuten de Normas Generales para la auditoria de los Sistemas de informacioacuten
3
Unidad Nordm 1Conceptos baacutesicos de
Auditoria de Sistemas
Definicioacuten de Auditoria de Sistemas Normas (nacionales e internacionales) y reglas de la
auditoria de sistemas Teacutecnicas de Auditoria Proceso y etapas de la auditoria de sistemas
4
iquestQueacute es un Sistema de Informacioacuten1ordm Sistema Conjunto de elementos interrelacionados de alguna forma para conseguir un objetivo determinado
Definicioacuten de Auditoria de
Sistemas
INFORMACION
PERSONAS
RECURSOS
ACTIVIDADES
Teacutecnicas de trabajo
SISTEMA DE INFORMACION
OBJETIVOS DE LA
ENTIDAD
5
2ordm Informacioacuten Representar una idea ndash Poner en ordenldquoEs la negacioacuten a la IncertidumbrerdquoImplica intercambio con el medio significa que existe un receptor capa de reaccionar con un cambioLa informacioacuten se encuentra asociada a un proceso de DecisioacutenEjemplo un sistema en estado ldquoArdquo pasa al estado ldquoBrdquo cuando ha recibido una Informacioacuten
Definicioacuten de Auditoria de
Sistemas
DATOSPROCESAMIENT
OINFORMACION
6
Definicioacuten de Auditoria de
Sistemas
Que entendemos por AuditoriaEl Auditor es aquel que tiene la virtud de oiacuter y revisar cuentas con un objetivo especifico el cual es principalmente evaluar la eficiencia y eficacia con que se esta operando para que por medio del sentildealamiento de cursos alternativos de accioacuten se tomen decisiones que permita corregir errores en caso de que existan o bien mejorar la forma de actuar
Proceso
SistemaacuteticoIndependienteY documentadoPara
obtener
Evidencia de la AuditoriaY evaluarlas de manera objetiva
Para obtene
r
La extensioacuten en que se cumplen los Criterios de Auditoria
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
3
Unidad Nordm 1Conceptos baacutesicos de
Auditoria de Sistemas
Definicioacuten de Auditoria de Sistemas Normas (nacionales e internacionales) y reglas de la
auditoria de sistemas Teacutecnicas de Auditoria Proceso y etapas de la auditoria de sistemas
4
iquestQueacute es un Sistema de Informacioacuten1ordm Sistema Conjunto de elementos interrelacionados de alguna forma para conseguir un objetivo determinado
Definicioacuten de Auditoria de
Sistemas
INFORMACION
PERSONAS
RECURSOS
ACTIVIDADES
Teacutecnicas de trabajo
SISTEMA DE INFORMACION
OBJETIVOS DE LA
ENTIDAD
5
2ordm Informacioacuten Representar una idea ndash Poner en ordenldquoEs la negacioacuten a la IncertidumbrerdquoImplica intercambio con el medio significa que existe un receptor capa de reaccionar con un cambioLa informacioacuten se encuentra asociada a un proceso de DecisioacutenEjemplo un sistema en estado ldquoArdquo pasa al estado ldquoBrdquo cuando ha recibido una Informacioacuten
Definicioacuten de Auditoria de
Sistemas
DATOSPROCESAMIENT
OINFORMACION
6
Definicioacuten de Auditoria de
Sistemas
Que entendemos por AuditoriaEl Auditor es aquel que tiene la virtud de oiacuter y revisar cuentas con un objetivo especifico el cual es principalmente evaluar la eficiencia y eficacia con que se esta operando para que por medio del sentildealamiento de cursos alternativos de accioacuten se tomen decisiones que permita corregir errores en caso de que existan o bien mejorar la forma de actuar
Proceso
SistemaacuteticoIndependienteY documentadoPara
obtener
Evidencia de la AuditoriaY evaluarlas de manera objetiva
Para obtene
r
La extensioacuten en que se cumplen los Criterios de Auditoria
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
4
iquestQueacute es un Sistema de Informacioacuten1ordm Sistema Conjunto de elementos interrelacionados de alguna forma para conseguir un objetivo determinado
Definicioacuten de Auditoria de
Sistemas
INFORMACION
PERSONAS
RECURSOS
ACTIVIDADES
Teacutecnicas de trabajo
SISTEMA DE INFORMACION
OBJETIVOS DE LA
ENTIDAD
5
2ordm Informacioacuten Representar una idea ndash Poner en ordenldquoEs la negacioacuten a la IncertidumbrerdquoImplica intercambio con el medio significa que existe un receptor capa de reaccionar con un cambioLa informacioacuten se encuentra asociada a un proceso de DecisioacutenEjemplo un sistema en estado ldquoArdquo pasa al estado ldquoBrdquo cuando ha recibido una Informacioacuten
Definicioacuten de Auditoria de
Sistemas
DATOSPROCESAMIENT
OINFORMACION
6
Definicioacuten de Auditoria de
Sistemas
Que entendemos por AuditoriaEl Auditor es aquel que tiene la virtud de oiacuter y revisar cuentas con un objetivo especifico el cual es principalmente evaluar la eficiencia y eficacia con que se esta operando para que por medio del sentildealamiento de cursos alternativos de accioacuten se tomen decisiones que permita corregir errores en caso de que existan o bien mejorar la forma de actuar
Proceso
SistemaacuteticoIndependienteY documentadoPara
obtener
Evidencia de la AuditoriaY evaluarlas de manera objetiva
Para obtene
r
La extensioacuten en que se cumplen los Criterios de Auditoria
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
5
2ordm Informacioacuten Representar una idea ndash Poner en ordenldquoEs la negacioacuten a la IncertidumbrerdquoImplica intercambio con el medio significa que existe un receptor capa de reaccionar con un cambioLa informacioacuten se encuentra asociada a un proceso de DecisioacutenEjemplo un sistema en estado ldquoArdquo pasa al estado ldquoBrdquo cuando ha recibido una Informacioacuten
Definicioacuten de Auditoria de
Sistemas
DATOSPROCESAMIENT
OINFORMACION
6
Definicioacuten de Auditoria de
Sistemas
Que entendemos por AuditoriaEl Auditor es aquel que tiene la virtud de oiacuter y revisar cuentas con un objetivo especifico el cual es principalmente evaluar la eficiencia y eficacia con que se esta operando para que por medio del sentildealamiento de cursos alternativos de accioacuten se tomen decisiones que permita corregir errores en caso de que existan o bien mejorar la forma de actuar
Proceso
SistemaacuteticoIndependienteY documentadoPara
obtener
Evidencia de la AuditoriaY evaluarlas de manera objetiva
Para obtene
r
La extensioacuten en que se cumplen los Criterios de Auditoria
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
6
Definicioacuten de Auditoria de
Sistemas
Que entendemos por AuditoriaEl Auditor es aquel que tiene la virtud de oiacuter y revisar cuentas con un objetivo especifico el cual es principalmente evaluar la eficiencia y eficacia con que se esta operando para que por medio del sentildealamiento de cursos alternativos de accioacuten se tomen decisiones que permita corregir errores en caso de que existan o bien mejorar la forma de actuar
Proceso
SistemaacuteticoIndependienteY documentadoPara
obtener
Evidencia de la AuditoriaY evaluarlas de manera objetiva
Para obtene
r
La extensioacuten en que se cumplen los Criterios de Auditoria
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
7
iquestQueacute es Auditoria de Sistemas Verificacioacuten de controles en el procesamiento de la informacioacuten
Desarrollo de sistemas e instalacioacuten con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia
Un sistema de informacioacuten es un conjunto de elementos orientados al tratamiento y administracioacuten de datos e informacioacuten organizados para su explotacioacuten de cara a cubrir una necesidad u objetivo
Para el desarrollo de un Sistema de Informacioacuten es fundamental1ordm Tener conocimiento de la organizacioacuten analizar y
conocer todos los sistemas de la organizacioacuten2ordm Determinar la informacioacuten relevante para el Sistema de
Informacioacuten
Definicioacuten de Auditoria de
Sistemas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
8
Auditoria de Sistemas
Proteccioacuten e Integridad de
los Datos
Teacutecnica
Normas
Gestioacuten(proteccioacuten de
activos)
Eficiencia y Eficacia
Definicioacuten de Auditoria de
Sistemas
Concepto General
ObjetosElement
os
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
9
Funcioacuten1ordm Participar en las revisiones durante y despueacutes del disentildeo realizacioacuten implementacioacuten y explotacioacuten de aplicaciones informaacuteticas asiacute como en las fases anaacutelogas de realizacioacuten de cambios importantes
2ordm Revisar y juzgar los controles implantados en los sistemas informaacuteticos para verificar su adecuacioacuten a las ordenes e instrucciones de la Direccioacuten requisitos legales proteccioacuten de confidencialidad y cobertura ante errores y fraudes
3ordm Revisar y Juzgar el nivel de eficiencia utilidad fiabilidad y seguridad de los equipos e informacioacuten
Definicioacuten de Auditoria de
Sistemas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
10
Elementos fundamentales del proceso de Auditoria de Sistemas
Definicioacuten de Auditoria de
Sistemas
bull Una OpinioacutenContenido
bull ProfesionalCondicioacuten
bull Sustentada en determinados procedimientoJustificacioacuten
bull Una determinada informacioacuten obtenida de un cierto soporteObjeto
bull Determinar si presenta adecuadamente la realidad o eacutesta corresponde a las expectativas que le son atribuidas es decir su fiabilidad
Finalidad
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
11
Normas y Reglas de la Auditoria de
Sistemas
Normas de
Auditoriacutea de
Sistema
Normas de auditoriacutea
Generales
ISOIEC 17799 y sus
modificacion
es Norma chilena
NCh2777
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
12
Ciclo PDCA (Planificar ndash Hacer ndash Verificar ndash Actuar)El circulo de Dreming de mejora continua
El nombre del Ciclo PDCA (o PHVA) viene de las siglas Planificar Hacer Verificar y Actuar en ingles ldquoPlan Do Check Actrdquo Tambieacuten es conocido como Ciclo de mejora continua o Ciacuterculo de Deming por ser Edwards Deming su autor Esta metodologiacutea describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemaacutetica para lograr la mejora continua entendiendo como tal al mejoramiento continuado de la calidad (disminucioacuten de fallos aumento de la eficacia y eficiencia solucioacuten de problemas previsioacuten y eliminacioacuten de riesgos potencialeshellip) El ciacuterculo de Deming lo componen 4 etapas ciacuteclicas de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo de forma que las actividades son reevaluadas perioacutedicamente para incorporar nuevas mejoras La aplicacioacuten de esta metodologiacutea estaacute enfocada principalmente para para ser usada en empresas y organizaciones
Normas y Reglas de la Auditoria de
Sistemas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
13
Normas y Reglas de la Auditoria de
Sistemas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
14
Normas y Reglas de la Auditoria de Sistemas
iquestCoacutemo implantar el Ciclo PDCA en una organizacioacutenLas cuatro etapas que componen el ciclo son las siguientes1 Planificar (Plan) Se buscan las actividades susceptibles de mejora y se
establecen los objetivos a alcanzar Para buscar posibles mejoras se pueden realizar grupos de trabajo escuchar las opiniones de los trabajadores buscar nuevas tecnologiacuteas mejores a las que se estaacuten usando ahora etc
2 Hacer (Do) Se realizan los cambios para implantar la mejora propuesta Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala3 Controlar o Verificar (Check) Una vez implantada la mejora se deja un periodo de prueba para verificar su correcto funcionamiento Si la mejora no cumple las expectativas iniciales habraacute que modificarla para ajustarla a los objetivos esperados4 Actuar (Act) Por uacuteltimo una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora Si los resultados son satisfactorios se implantaraacute la mejora de forma definitiva y si no lo son habraacute que decidir si realizar cambios para ajustar los resultados o si desecharla Una vez terminado el paso 4 se debe volver al primer paso perioacutedicamente para estudiar nuevas mejoras a implantar
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
15
Ejercicio Individual Una faacutebrica que produce bolsas de genero biodegradable el anaacutelisis de FODA nos sentildeala lo
siguienteFortalezas La empresa pertenece a Empresas B (estudiar) y para esto ha creado un comiteacute de ldquola felicidadrdquo donde se preocupan del bienestar de su personal y de la sociedad en generalLa empresa cuenta con un staff de vendedores eficientes y con prestigio en el mercadoLa gerencia es joven y con muchas ideas de innovacioacutenSe compra software ERP SoftlandOportunidades El mercado esta abrieacutendose a la idea del reciclajeCada vez hay mas ferias y corridas para vender sus productosLas grandes tiendas tienen sus productos en vitrinasExiste solo 1 competidor directo Debilidades No se generan ventas a nivel nacional es decir solo se venden masivamente las bolsas importadas de ChinaEl nicho que mas vende es retail merchandising nacional se encuentra praacutecticamente abandonadoEl aacuterea de administracioacuten cuenta con 2 bajas de personal cobranzas y contabilidad no funcionan complementeAmenazas La mano de obra es cada vez mas cara en el mercado es decir para la empresa el costo es mas alto y las ventas no justifican la contratacioacutenLa demanda de bolsas es superior a la oferta que la empresa esta ofreciendoEl doacutelar va en aumento de precio
Suponemos que en la empresa se introduce la sistemaacutetica de la mejora continua y para ello se basan en el Ciclo PDCA
Desarrollar PDCA
Normas y Reglas de la Auditoria de Sistemas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
16
Teacutecnicas de Auditoria
bullEntendemos como Teacutecnicas aquellas que el Auditor aplica como procedimiento para desarrollar las normas en la ejecucioacuten de la Auditoria es decir- El trabajo se planificaraacute apropiadamente y se supervisara adecuadamente- Se estudiaraacute y evaluara el sistema de control interno- Se obtendraacute evidencia suficiente y adecuada- La Evidencia obtenida deberaacute recogerse en los papeles del trabajo del auditor
bull El auditor tiene el cometido irrenunciable de mantener el riesgo de que esto ocurra dentro de liacutemites tolerables
Este aserto podriacutea representarse de forma aritmeacutetica comoR(c) R (d) = S (e) R(c) = al riesgo en el proceso o riesgo de controlR (d) = riesgo de deteccioacutenS (e) = Constante o paraacutemetro admisible en que se desea mantener el riesgo de auditoriacutea
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
17
bull Proceso y etapas de la auditoriacutea de sistemasEntre los procedimientos (teacutecnicas) que las normas de ejecucioacuten de la Auditoriacutea establecen como medios de los que debe valerse el auditor en la ejecucioacuten de su trabajo destacan la inspeccioacuten observacioacuten averiguacioacuten confirmacioacuten caacutelculo y anaacutelisis De estas seis al menos cuatro se ejecutan de forma maacutes eficiente con medios informaacuteticosInspeccioacuten como la comparacioacuten de datos en dos archivos o cuentas distintas conciliacionesCaacutelculo de amortizaciones provisiones ratios etcAnaacutelisis regresiones o datos que cumplan determinadas condicionesConfirmacioacuten caacutelculo estadiacutestico seleccioacuten y emisioacuten de muestras cumplimiento etc
Procesos y Etapas de la Auditoria de Sistemas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
18
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
19
Unidad Nordm 2Metodologiacutea para la Auditoria
de Sistemas Alcances de la auditoria de sistemas Determinacioacuten de recursos y plazos Plan de trabajo Metodologiacutea de evaluacioacuten Aspectos de revisioacuten de las metodologiacuteas Tipo de metodologiacuteas existentes Planificacioacuten Recoleccioacuten de
antecedentes Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico Auditoria de Sistemas en desarrollo y Mantenciones Auditoria de sistemas en Operacioacuten
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
20
Alcance de la Auditoria de Sistemas
METODOLOGIacuteA PARA LA
AUDITORIacuteA DE SISTEMAS
Alcances de la
auditoriacutea de
sistemas
Determinacioacuten
de recursos y plazos
Plan de trabajo
Meacutetodos de
programacioacuten
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
21
Alcance de la Auditoria de Sistemas
bull Que se entiende por Alcance de la Auditoria de SistemasDefine con precisioacuten el entorno y los limites en que se va a desarrollar la Auditoria Informaacutetica Se complementa con los objetivos que tiene estaEl alcance debe quedar explicito en el informe Final a razoacuten de determinar no solamente hasta donde se desea llegar sino tambieacuten aquellos puntos que se deben omitir
Ejemplo iquestSe comprobara que los controles de validacioacuten de errores son adecuados y suficientes
Es muy importante definir los alcances de la auditoria ya que compromete el eacutexito de la misma
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
22
Planeacioacuten de la Auditoria de Sistemas
bullLa Planificacioacuten de la Auditoria considera distintos conceptos importantes procesos y metodologiacuteas principios baacutesicos y procedimientos esenciales los cuales son obligatorios junto con la documentacioacuten relacionada
bull El auditor de SI debe planear la cobertura de la auditoriacutea de sistemas de informacioacuten para cubrir los objetivos de la auditoriacutea y cumplir con las leyes aplicables y las normas profesionales de auditoriacutea
bull El auditor de SI debe desarrollar y documentar un enfoque de auditoriacutea basado en riesgos
bull El auditor de SI debe desarrollar y documentar un plan de auditoriacutea que detalle la naturaleza y los objetivos de la auditoriacutea los plazos y alcance asiacute como los recursos requeridos
bull El auditor de SI debe desarrollar un programa yo plan de auditoriacutea detallando la naturaleza los plazos y el alcance de los procedimientos requeridos para completar la auditoriacutea
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
23
Planeacioacuten de la Auditoria de Sistemas
Con Respecto a los PLAZOSPara la Auditoria Interna se debe considerar desarrollar actualizar al menos una vez al antildeo en el caso de actividades permanentes El plan debe ser revisado y autorizado por el comiteacute de auditoria debe abordar las responsabilidades establecidas en el estatuto de auditoria
Para el caso de una Auditoriacutea Externa normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
24
Planeacioacuten de la Auditoria de Sistemas
bull Para el caso de una auditoriacutea externa de SI normalmente debe prepararse un plan para cada una de las tareas sean o no de auditoriacutea El plan debe documentar los objetivos de la auditoriacutea
bull Debe obtener un entendimiento de la actividad que estaacute siendo auditada El grado del conocimiento requerido debe ser determinado por la naturaleza de la organizacioacuten su entorno y riesgos y por los objetivos de la auditoriacutea
bull El auditor de SI debe realizar una evaluacioacuten de riesgos para brindar una garantiacutea razonable de que todos los elementos materiales seraacuten cubiertos adecuadamente durante la auditoriacutea En este momento es posible establecer las estrategias de auditoriacutea los niveles de materialidad y los recursos necesarios
bull El programa yo plan de auditoriacutea puede requerir ajustes durante el desarrollo de la auditoriacutea para abordar las situaciones que surjan (nuevos riesgos suposiciones incorrectas o hallazgos en los procedimientos ya realizados) durante la auditoriacutea
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
25
Planeacioacuten de la Auditoria de Sistemas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
26
Planeacioacuten de la Auditoria de Sistemas
bull Actividad Grupal( maacuteximo 3 estudiantes) bull iquestCuaacutel es el principal objeto de programar
una auditoriacuteabull iquestExisten desventajasriesgos al programar
actividades cuaacutelesbull iquestCoacutemo se desarrolla una Carta Gantt y
quienes deberiacutean conocerlabull Elabore un plan de trabajo de auditoriacutea
de sistema para revisar un sistema contable de informacioacuten bull iquestQue es Cobit
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
27
Riesgo en Auditoria de Sistema
bull Como todo proceso humano la planificacioacuten tiene riesgos y limitaciones que si no son reconocidas a tiempo podriacutean destruir o paralizar su eficacia
bull Podemos identificar las siguientes
RiesgoCarga Burocraacutetica
No entender la planificacioacuten
Jerarquiacuteas organizacionales jefes y
responsables
Informacioacuten disponible
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
28
Sistema Ganttbull Es conocido por el nombre de ldquoDiagrama de barras y fue el primer meacutetodo de
programacioacuten que se desarrolloacute en el campo industrial que permite programar el trabajo en actividades y posteriormente en operaciones y acciones asignado tiempo y responsables
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
29
Metodologiacutea de Evaluacioacuten
Metodologiacutea de Evaluacioacuten de Auditoria
Tipos de Metodologiacuteas
Aspectos de Revisioacuten de
las metodologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
30
bull Metodologiacutea Cuantitativas Basadas en un modelo matemaacutetico numeacuterico que ayuda a la realizacioacuten del trabajo
bull Metodologiacuteas Cualitativas Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo para seleccionar en base a la experiencia acumulada
Metodologiacutea de Evaluacioacuten
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
31
Metodologiacutea de Evaluacioacuten
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
32
Existen algunas metodologiacuteas de Auditoriacuteas de Sistemas y todas dependen de lo que se pretenda revisar o analizar pero como estaacutendar analizaremos las cuatro fases baacutesicas de un proceso de revisioacutenbull Estudio preliminar Incluye definir el grupo de trabajo el programa de auditoriacutea
efectuar visitas a la unidad informaacutetica para conocer detalles de la misma elaborar un cuestionario para la obtencioacuten de informacioacuten para evaluar preliminarmente el control interno solicitud de plan de actividades Manuales de poliacuteticas reglamentos Entrevistas con los principales funcionarios
bull Revisioacuten y evaluacioacuten de controles y seguridades Consiste de la revisioacuten de los diagramas de flujo de procesos realizacioacuten de pruebas de cumplimiento de las seguridades revisioacuten de aplicaciones de las aacutereas criticas Revisioacuten de procesos histoacutericos (backups) Revisioacuten de documentacioacuten y archivos entre otras actividades
Metodologiacutea de Evaluacioacuten
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
33
bull Examen detallado de aacutereas criticas Con las fases anteriores el auditor descubre las aacutereas criticas y sobre ellas hace un estudio y anaacutelisis profundo en los que definiraacute concretamente su grupo de trabajo y la distribucioacuten de carga del mismo estableceraacute los motivos objetivos alcance Recursos que usaraacute definiraacute la metodologiacutea de trabajo la
bull duracioacuten de la auditoriacutea Presentaraacute el plan de trabajo y analizaraacute detalladamente cada problema encontrado con todo lo anteriormente analizado
bull Comunicacioacuten de resultados Se elaboraraacute el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo el cual se presentaraacute esquemaacuteticamente en forma de matriz cuadros o redaccioacuten simple y concisa que destaque los problemas encontrados los efectos y las recomendaciones de la Auditoriacutea
Metodologiacutea de Evaluacioacuten
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
34
Procedimientos y teacutecnicas de auditoria
bull El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoriacutea que consta de objetivos de control y procedimientos de auditoriacutea que deben satisfacer esos objetivos El proceso de auditoriacutea exige que el auditor de sistemas reuacutena evidencia evaluacutee fortalezas y debilidades de los controles existentes basado en la evidencia recopilada y que prepare un informe de auditoriacutea que presente esos temas en forma objetiva a la gerencia Asimismo la gerencia de auditoriacutea debe garantizar una disponibilidad y asignacioacuten adecuada de recursos para realizar el trabajo de auditoriacutea ademaacutes de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia
- REUacuteNA EVIDENCIA- EVALUE FORTALEZAS
Y DEBILIDADES
- PREPARE INFORME DE AUDITORIA
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
35
Etapas de Ejecucioacuten de la Auditoria de Sistemas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
36
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Es un examen que se realiza con caraacutecter objetivo criacutetico sistemaacutetico y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informaacuteticos de la gestioacuten informaacutetica y si estas han brindado el soporte adecuado a los objetivos y metas del negocio
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
37
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
AUDITORIA
INFORMAacuteTICA
Entradas
Procedimientos
Controles
Archivos
Seguridad
Obtencioacuten de
Informacioacuten
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
38
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
OBJETIVOLa Auditoriacutea Informaacutetica deberaacute comprender no soacutelo la evaluacioacuten de los equipos computacionales de un sistema o procedimiento especiacutefico sino que ademaacutes habraacute de evaluar los sistemas de informacioacuten en general desde sus entradas procedimientos controles archivos seguridad y obtencioacuten de informacioacuten
Esto es de suma importancia ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen sistema de seguridad Ademaacutes debe evaluar todo bull Informaacutetica bull Organizacioacuten de centros de informacioacuten bull Hardwarebull Software
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
39
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
CARACTERISTICASLa informacioacuten de la empresa y para la empresa siempre importante se ha convertido en un Activo Real de la misma como sus Stocks o materias primas si las hay Por ende han de realizarse inversiones informaacuteticas materia de la que se ocupa la Auditoria de Inversioacuten Informaacutetica
Auditoria de Seguridad
Informaacutetica
Desarrollo o Teacutecnicas de
Sistemas
Auditoria de Organizacioacuten Informaacutetica
Estos tres tipos de auditoriacuteas engloban a las actividades auditoras que se realizan en una auditoriacutea parcial De otra manera cuando se realiza una auditoria del aacuterea de Desarrollo de Proyectos de la Informaacutetica de una empresa es porque en ese Desarrollo existen ademaacutes de ineficiencias debilidades de organizacioacuten o de inversiones o de seguridad o alguna mezcla de ellas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
40
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Auditoria de Organizacioacuten Informaacutetica
Auditoria de Seguridad Informaacutetica
Desarrollo o Teacutecnicas de Sistemas
Auditoria Informaacutetica de Direccioacuten
Aacutereas Generales de la
Auditoria Informaacutetica
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
41
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoDentro de las aacutereas generales
se establece
n las siguientes divisiones
de Auditoriacutea Informaacuteti
ca
Explotacioacuten La explotacioacuten informaacutetica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales Para realizar la Explotacioacuten Informaacutetica se dispone de una materia prima los Datos que es necesario transformar y que se someten previamente a controles de integridad y calidad
Sistemas Se ocupa de analizar la actividad que se conoce como Teacutecnica de Sistemas en todas sus facetas Tipos de Sistemas Operativos Sw Baacutesicos Administracioacuten de Base de Datos
Comunicaciones Revisioacuten de la topologiacutea de Red y determinacioacuten de posibles mejoras anaacutelisis de caudales y grados de utilizacioacuten
Desarrollo de Proyectos Revisioacuten del proceso completo de desarrollo de proyectos por parte de la empresa auditada
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
42
Auditoria de Normas y Procedimientos Generales del Centro
InformaacuteticoRiesgos para la
InformacioacutenLos riesgos mas perjudiciales son a las
tecnologiacuteas de informacioacuten y comunicaciones
RiesgoEs todo tipo de vulnerabilidades amenazas que pueden ocurrir sin previo aviso y producir numerosas peacuterdidas para las empresas
SeguridadEs una forma de proteccioacuten contra los riesgos
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
43
Auditoria de Normas y Procedimientos Generales del Centro
Informaacutetico
Funcioacuten principal del Auditor Informaacutetico
Ha de revisar los diferentes controles internos definidos en cada una de las funciones informaacuteticas y el cumplimiento de normativa interna y externa de acuerdo al nivel de riesgo conforme a los objetivos definidos por la Direccioacuten de Negocio y la Direccioacuten de Informaacutetica Informaraacute a la Alta Direccioacuten de los hechos observados y al detectarse deficiencias o ausencias de controles recomendaraacuten acciones que minimicen los riesgos que pueden originarse
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
44
Auditoria de Sistemas en desarrollo
Es la revisioacuten y la evaluacioacuten de los controles sistemas procedimientos de informaacutetica de los equipos de coacutemputo su utilizacioacuten eficiencia y seguridad de la organizacioacuten que participan en el procesamiento de la informacioacuten a fin de que por medio del sentildealamiento de cursos alternativos se logre una utilizacioacuten maacutes eficiente y segura de la informacioacuten que serviraacute para una adecuada toma de decisiones
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
45
Auditoria de Sistemas en desarrollo
Consideraciones de auditoriacutea de desarrollo de sistemaso Revisioacuten de las metodologiacuteas utilizadaso Control interno de aplicacioneso Satisfaccioacuten de usuarioso Control de procesos y ejecuciones de programas criacuteticos
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
46
Auditoria de Sistemas en desarrollo
Planear la participacioacuten de la auditoria bull Anaacutelisis del Sistema Determinar los controles de que debe constar el nuevo sistema bull Disentildeo del Sistema Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes bull Programacioacuten Definir que el programa contemple todos los controles analizados anteriormente bull Implantacioacuten Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema bull Documentacioacuten del Sistema Constatar que la documentacioacuten se encuentre completa y debidamente formalizada revisando las medidas de seguridad adoptadas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
47
Importancia de la Auditoriacutea del Desarrollo de Sistemas
Cualquier departamento o aacuterea de una organizacioacuten es susceptible de ser auditado y presenta ciertas circunstancias que hacen importante el aacuterea de desarrollo y por tanto su auditoriacutea
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
48
bull Los avances en tecnologiacuteas de los computadores han hecho que actualmente el factor de eacutexito de la informaacutetica sea la mejora de la calidad del Softwarebull El gasto destinado al Software es cada vez superior al que se dedica a hardwarebull Crisis del Software incluye problemas asociados con el desarrollo y mantenimiento del Software y afecta a un gran nuacutemero de organizacionesbull El Software como producto es difiacutecil de validar Un mayor control en el proceso de desarrollo incrementa la calidad del mismo y disminuye los costes de mantenimientobull El iacutendice de fracasos en proyectos de desarrollo es demasiado alto lo cual denota la inexistencia o mal funcionamiento de los controlesbull Aplicaciones Informaacuteticas son el producto principal obtenido al final del desarrollo pasan a ser la herramienta de trabajo principal convirtieacutendose en un factor esencial para la gestioacuten y la toma de decisiones
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
49
Auditoria de Mantenimiento
Auditoria de
Mantenimiento
Complejidad creciente del
entorno
Dar seguridad y garantiacutea en el
servicio a terceros
Necesidad de conocer la calidad del control interno
y retroalimentacioacuten
Complejidad creciente de la organizacioacuten
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
50
Auditoria de Mantenimiento
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
51
Auditoria de Mantenimiento
El objetivo principal es determinar la efectividad de los controles y la implementacioacuten del mantenimiento de activos de la empresa a fin de fortalecer y mejorar aquellos servicios para que sean entregados con la calidad y oportunidad en que son requeridos
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
52
Auditoria de Mantenimiento
El contenido de la auditoria debe cubrir las aacutereas que van desde la Identificacioacuten y descripcioacuten del departamento de mantenimiento hasta el uso de Herramientas de Gestioacuten
La importancia de este recorrido por todos los aspectos involucrados en la gestioacuten de mtto es tener las bases para mas adelante plantear alternativas de soluciones a los problemas detectados durante la auditoria
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
53
Auditoria de Mantenimiento Se puede dividir en 6 aspectos de manera de cubrir
todos los campos de una buena gestioacuten de Mantenimiento
Auditoria del MantenimientoIdentificacioacuten y caracterizacioacuten de la empresa
Criticidad de las rutas de inspeccioacuten
Manejo de la informacioacuten sobre equipos
Estado del Mantenimiento actual
Antecedentes de costos de mantencioacuten
Efectividad de la mantencioacuten actual
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
54
Unidad Nordm 3Anaacutelisis de Riesgos y
Controles en un Sistema de Informacioacuten
Riesgo Concepto Evaluacioacuten y Clasificacioacuten Definicioacuten de Control Clasificacioacuten de los Controles Concepto y anaacutelisis de las ISO Relacionadas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
55
Riesgo
Riesgo
RECONOCIMIENTO DEL RIESGO
Es aquel que existe en todo momento
por lo cual genera la posibilidad de que
un auditor emita una informacioacuten
errada por el hecho de no haber
detectado errores o faltas significativas
que podriacutea modificar por completo la
opinioacuten dada en un informe
La posibilidad de existencia de errores
puede presentarse en distintos niveles
por lo tanto se debe analizar de la forma
maacutes apropiada para observar la
implicacioacuten de cada nivel sobre las
auditorias que vayan a ser realizadas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
56
bullEs aquel que existe y genera por falta de control en las actividades de la empresabullPuede generar deficiencias del Sistema de Control Interno
Control
bullEs el que no se detecta en la revisioacuten del Control Interno sin embargo se asume por parte de los Auditores
Deteccioacuten
bullSe presentan de forma Inherente a las caracteriacutesticas de Control Interno Ej la susceptibilidad del saldo de una cuenta o clase de transacciones a una representacioacuten erroacutenea
Inherente
Riesgo
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
57
RiesgoEvaluacioacuten del riesgo de
auditoriacutea
La evaluacioacuten del nivel de
riesgo es un proceso
totalmente subjetivo y
depende exclusivamente
del criterio capacidad y
experiencia del auditor
Por lo tanto debe ser un
proceso cuidadoso y
realizado por quienes
posean la mayor capacidad
y experiencia en un equipo
de trabajo
NIVEL DE RIESGO
Significativita
Factores de Riesgo
Probabilidad de ocurrencia
Usuarios
MiacutenimoNo Significativa
No Existente
Remota Ninguno
Bajo Significativo
Existen algunos pero poco probables
Improbable Internos
MedioMuy Significativo
Existen algunos
Posibles Internos
AltoMuy Significativo
Existen algunos y son importantes
ProbableInternos y Externos
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
58
RiesgoHerramientas a utilizar en el proceso de
evaluacioacuten de AuditoriaExisten 3 elementos1 La significatividad del componente (saldos y
transacciones)2 La existencia de factores de riesgo y su
importancia relativa3 La probabilidad de ocurrencia de errores y
fraudes baacutesicamente obtenidas del conocimiento y experiencia anterior de ese ente
La combinacioacuten de los posibles estados de estos tres elementos brindan un marco para evaluar el riesgo de auditoria
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
59
1048633 Riesgo es la probabilidad de ocurrencia de un evento que pudiera afectar adversamente el logro de objetivos1048633 Los riesgos afectan la capacidad de cada entidad para sobrevivir1048633 La gestioacuten de riesgo permite competir con eacutexito dentro de su sector1048633 Mantener una posicioacuten financiera fuerte y una imagen puacuteblica positiva1048633 Mantener la calidad global de sus productos servicios y empleados1048633 El riesgo es inherente a los negocios yoentidades1048633 No existe el riesgo cero1048633 La direccioacuten debe determinar cuaacutel es el nivel deriesgo que consideraraacute ldquoaceptablerdquo1048633 Debe esforzarse para mantenerlo dentro de losliacutemites definidos1048633 El riesgo como oportunidad
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
60
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
61
Control Interno
IntroduccioacutenEl Sistema de Control Interno es un proceso de ldquocontrolrdquo integrado a las actividades operativas de la empresaEsta disentildeado para asegurar en forma razonable la fiabilidad de la informacioacuten
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
62
Control InternoEl Control Interno es un proceso efectuado por el Directorio la Gerencia y el resto del personal de una entidad disentildeado con el objeto de proporcionar un grado de seguridad razonable para el cumplimiento de los objetivos dentro de las siguientes caracteriacutesticas
Objetivos de Control Interno
Eficiencia y Eficacia de las Operaciones
Fiabilidad de la Informacioacuten Financiera
Cumplimiento de las Leyes y las
Normas Aplicables
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
63
Control InternoControl Interno
Acciones de control incorporadas en las funciones de la organizacioacuten
Control Interno
Lo lleva a cabo el Directorio Gerencia y demaacutes miembros de la entidad
Control Interno
Por muy buen disentildeado que este solamente puede aportar un grado razonable de seguridad a la empresa
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
64
Control Interno
Situaciones que afectan
el Control Interno
Decisiones Erroacuteneas
Relacioacuten Costo vs Beneficios
Fallas Humanas
Cuando 2 personas o mas se lo proponen
Alta direccioacuten elude el Control Interno
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
65
Control InternoLos Objetivos pueden ser generales o especiacuteficosOperacionales Referente a la utilizacioacuten eficaz y eficiente de los recursos de la entidadInformacioacuten Financiera Referente a la preparacioacuten y publicacioacuten de estados financieros fiablesCumplimiento Referente al cumplimiento por parte de la entidad de las leyes y normas que le sean aplicables
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
66
ComponentesEntorno de Control
Evaluacioacuten de los Riesgos
Actividades de Control
Informacioacuten y Comunicacioacuten
Supervisioacuten
Control Interno
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
67
Control InternoEficacia es la Razonabilidad
del cumplimiento de los objetivosEl Control Interno puede considerarse eficaz
cuandobull Dispone de informacioacuten adecuada sobre los
objetivos operacionales de la entidadbull Se preparan en forma fiable los Estados
Financierosbull Se cumplen las leyes y normas aplicablesTenemos 2 niveles de calidad del control internobull Baacutesicobull Estaacutendar
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
68
Control InternoEntorno del Control
Marca las pautas del comportamiento de la organizacioacuten y a las conciencias del personal respecto al controlAporta estructura y disciplina
Factores que constituyen el entorno del control
+ Honradez+ Valores Eacuteticos+ Capacidad del Personal+ La filosofiacutea de la direccioacuten y la forma de actuar+ La forma en que la direccioacuten distribuye la autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus empleados+ Atencioacuten y orientacioacuten que proporciona la Direccioacuten
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
69
Control InternoEntorno del Control
Factores del entorno de controlLos objetivos de una entidad y la manera en que se consiguen estaacuten basados en distintas prioridades y juicios de valor y estilos en la gestioacuten de la direccioacuten Estas prioridades y juicios de valor se traducen en Normas de Comportamiento los cuales reflejan la integridad de la direccioacuten y su compromiso con los valores eacuteticosldquoUn clima eacutetico vigoroso dentro de la empresardquo
El comportamiento eacutetico asiacute como la integridad de la direccioacuten son productos de una ldquocultura corporativardquoExisten situaciones que sirven de incentivo para cometer fraudes tales como- Presiones para alcanzar objetivos de rendimiento poco realistas
sobre todo respecto a resultados a corto plazo- Gratificaciones en las que el rendimiento tiene un peso
especifico importante y- Limites maacuteximos y miacutenimos en los sistemas de gratificaciones
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
70
Control InternoEntorno del Control
Hay circunstancias que llevan a cometer actos indebidos tales como- Falta de controles o controles ineficaces- Alto nivel de descentralizacioacuten que impide a la alta
direccioacuten supervisar adecuadamente- Una funcioacuten de auditoria interna deacutebil- Sanciones insignificantes y que no hacen publicas y
pierden valor disuasorio
Para contrarrestar el efecto de las circunstancias incentivadoras para que se comenta fraudes o actos indebidos se puede mencionar- Capacitaciones ndash La ignorancia por no saber o por no creer que
se hace un bien a la organizacioacuten produce muchos actos indebidos Ej El ejemplo de la alta direccioacuten los empleados tienen a imitar
- Coacutedigos de conducta ndash Premios y castigos
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
71
Control InternoEntorno del Control
Factores de Entorno de Control
Independencia del Consejo de Auditoria respecto de la Direccioacuten
Experiencia y calidad de sus miembros
Grado de Implicancia vigilancia y el acierto de sus acciones
La Interaccioacuten con Auditores Internos y externos
Nro de Consejeros Externos
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
72
Control InternoEntorno del Control
Evaluacioacuten del Entorno de ControlEvaluacioacuten de cada factor del entorno de control para determinar si es positivo
Integridad y Valores Eacuteticos
La existencia e implementacioacuten de coacutedigos de conducta
La gestioacuten eacutetica de la Direccioacuten sirve de Ejemplo en la organizacioacuten
La presioacuten para alcanzar objetivos de rendimiento poco realistas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
73
Control InternoEntorno del Control
Compromiso de competencia profesional
La Existencia de descripciones de los puestos de trabajo con indicaciones de las tareas que componen trabajos especiacuteficos
El anaacutelisis de los conocimientos habilidades necesarias para llevar acabo el trabajo adecuado
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
74
Control InternoEntorno del Control
Directorio y Comiteacute de AuditoriaLa independencia de los directores de
forma que se sometan a discusiones abierta los temas mas difiacuteciles
Frecuencia y oportunidad delas reuniones con el director financiero contable
auditores internos y externos
La suficiencia y oportunidad en que se facilita informacioacuten que permita supervisar
los objetivos y estrategiasLa suficiencia y oportunidad en que
comunica informacioacuten confidencial tales como gastos de viajes de la alta direccioacuten
litigios significativos etc
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
75
Control InternoEntorno del Control
La filosofiacutea de direccioacuten y el estilo de Gestioacuten
La naturaleza de los riesgos empresariales aceptados
La frecuencia con que se llevan a a cabo los contactos entre la alta direccioacuten y la
direccioacuten operativa
Actitud de la direccioacuten respecto al tto de la informacioacuten financiera
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
76
Control InternoEntorno del Control
Estructura OrganizativaIdoneidad y capacidad de la estructura
organizativa para proporcionar el flujo de informacioacuten necesario para la gestioacuten
La suficiencia de la definicioacuten de las responsabilidades de los directivos claves
La suficiencia de los conocimientos y experiencia de los directivos claves
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
77
Control InternoEntorno del Control
Asignacioacuten de la Autoridad y responsabilidadLa asignacioacuten de responsabilidad y
delegacioacuten de autoridad par hacer frente a los objetivos de la organizacioacuten
La suficiencia de la normas y procedimientos relacionados con el control incluyendo las descripciones de puestos de
trabajo
El Nro de personas adecuado en funcioacuten al trabajo y al control
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
78
Control InternoEntorno del Control
Poliacuteticas y practicas de RRHHPoliacuteticas de procedimientos adecuados a la
contratacioacuten formacioacuten promocioacuten y remuneracioacuten de los empleados
Revisioacuten y aprobacioacuten de expedientes de los candidatos a puestos de trabajo
Poliacuteticas de retencioacuten y promocioacuten de empleados evaluacioacuten de rendimientos y su relacioacuten con el coacutedigo de conducta u
otras pautas de comportamiento
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
79
Evaluacioacuten de los Riesgos
La Evaluacioacuten de Riesgo consiste en la identificacioacuten y anaacutelisis de los factores que podriacutean afectar la consecuencia de los objetivos y en como los resultados de dicho anaacutelisis determinar la forma en que los riesgos deben ser gestionadosEl establecimiento del objetivo es una condicioacuten previa a la evaluacioacuten de los riesgos La direccioacuten debe fijar primero los objetivos antes de identificar los riesgos que puedan tener impacto sobre su consecucioacuten y tomar las decisiones oportunas
Toda entidad debe hacer frente a riesgos tanto de origen interno como
externo que tienen que ser evaluados
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
80
Evaluacioacuten de los Riesgos
ObjetivosObjetivos relacionados con las operaciones se refiere a la eficiencia y
eficacia de las operaciones de la entidad incluyendo los objetivos de rendimiento
rentabilidad y la salvaguarda de los recursos contra posibles perdidas
Objetivos relacionados con la informacioacuten financiera Se refiere a la preparacioacuten de estados financieros fiables y a la prevencioacuten de la falsificacioacuten de la informacioacuten
financiera publicaObjetivos de Cumplimiento Estos
objetivos se refieren al cumplimento de las leyes y normas a las que esta sujeta la entidad
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
81
Evaluacioacuten de los Riesgos
RiesgosEn la evaluacioacuten del sistema de control hay que identificar y evaluar los riesgos La direccioacuten debe examinar detalladamente los riesgos existentes a todos niveles de la empresa y tomar las decisiones oportunas y gestionarlo
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
82
Evaluacioacuten de los RiesgosIdentificacioacuten de los Riesgos
A nivel de empresa
Factores externos
Factores Internos
A nivel de actividad
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
83
Evaluacioacuten de los Riesgos
Anaacutelisis de los riesgos
Proceso de anaacutelisis
Una estimacioacuten de la importancia del riesgo
Una evaluacioacuten de la probabilidad que se produzca
Un anaacutelisis de coacutemo ha de gestionarse el riesgo
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
84
Gestioacuten del
cambio
Circunstancias que
exigen una
atencioacuten especial
Mecanismos
Visioacuten de Futuro
Evaluacioacuten de los Riesgos
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
85
Evaluacioacuten de los RiesgosEvaluacioacuten
Objetivos GlobalesHasta que
punto la empresa
expresa sus objetivos y la
forma de conseguirlos
La eficacia con que los objetivos se
expresan en la organizacioacuten
Vinculacioacuten y coherencia de las estrategias
con los objetivos
Coherencia de los planes de
negocio y ppto con los
objetivos de la entidad
Objetivos asignados a
cada actividad
Conexioacuten de los objetivos asignados a
cada actividad con los
objetivos globales y
planes estrateacutegicosCoherencia
entre los objetivos
asignados a cada actividad
Relevancia de dichos
objetivos ara todos los procesos
empresariales importantesIdentificacioacuten
de los objetivos de cada
actividad que son
importantes para la
consecucioacuten de los objetivos generales
RiesgosIdoneidad de los
mecanismos para detectar
los riesgos externos e internosIdentificacioacuten
de todo riesgo importante que pueda
afectar a los objetivos
importantes de cada
actividadIntegridad
relevancia del proceso de
anaacutelisis de los riesgos
Gestioacuten del cambio
Existencia de mecanismos para prever identificar y reaccionar
ante los acontecimient
os y actividades
rutinarios que influyen en la consecucioacuten
de los objetivos globales y
especiacuteficos
Existencia de mecanismos
para identificar y reaccionar
ante los cambios que
puedan afectar la entidad de una forma
dramaacutetica y duradera y que pueda requerir
intervencioacuten de la alta direccioacuten
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
86
Actividades de Control
Las actividades de control consisten en las poliacuteticas y procedimientos que tienden a asegurar que se cumplan las directrices de la direccioacuten que tienden a asegurar que se toman las medidas necesarias para afrontar los riesgos que ponen en peligro la consecucioacuten de los objetivos de la entidad
bull Aprobacioacuten y Autorizacioacuten
bull Verificacionesbull Conciliacionesbull Anaacutelisis de resultados
de la Operacioacutenbull Salvaguarda de los
activosbull Segregacioacuten de
funciones
Actividades
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
87
Actividades de Control
Tipos de Actividades de Control
1- Anaacutelisis efectuados por la direccioacuten
2- Gestioacuten Directa de funciones por Actividad
3- Proceso de Informacioacuten
4- Controles fiacutesicos
5- Indicadores de Rendimiento
6- Segregacioacuten de funciones
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
88
Actividades de Control
Poliacuteticas y procedimientosLas actividades de control generalmente se apoyan en dos elementos ldquolas poliacuteticasrdquo que determinan lo que deberiacutea hacerse y ldquolos procedimientosrdquo necesarios para levar a cabo las poliacuteticas
Integracioacuten de las actividades de control con la evaluacioacuten de riesgosDe forma paralela a la evaluacioacuten de los riesgos se establece y aplica el plan de accioacuten para afrontarlos una vez identificado estas acciones seraacuten uacutetiles para definir las operaciones de control que se aplicaran para garantizar su ejecucioacuten de forma correcta y en el tiempo deseadoControles sobre los sistema de informacioacutenIncluye el control del sistema de informacioacuten informaacutetico y sirve tambieacuten para los manuales- Controles generales (globales informaacuteticos) que son aplicables a
muchas o todas las operaciones y que ayudan asegurar su correcto funcionamiento
- Controles de aplicacioacuten Procedimientos programados en el seno de las aplicaciones y los procedimientos manuales asociados para asegurar el control del proceso
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
89
Actividades de Control
Controles sobre los sistema de informacioacuten
Controles Generales(controles de entorno)
Controles sobre las operaciones del centro de proceso de datosControles sobre Sw
Controles sobre la seguridad de accesoControles sobre el desarrollo y mtto de las aplicaciones
Controles de Aplicacioacuten(controles para que funcione bien el Sw)
Control desde dentro del sw
Controles desde afuera del proceso
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas
90
Informacioacuten y Comunicacioacuten
Es necesario identificar recoger y comunicar la informacioacuten relevante de un modo y en el plazo tal que permita a cada uno asumir sus responsabilidades
InformacioacutenLa gestioacuten de la empresa y el progreso hacia los objetivos que se han fijado implican que la informacioacuten sea necesaria en todos los niveles de la empresaEstrategias y sistemas integrados- Apoyo de los sistema a las iniciativas estrateacutegicas- Integracioacuten de las operaciones- Coexistencia de tecnologiacuteas