Control Interno

EL CONTROL INTERNO EN LAS TI
YESSICA GOMEZ G.
Introduccin a los controles internos

3.1.- Introduccin a los controles internos 3.2.- cmo mejorar la gestin de los controles internos? 3.3.- Los controles internos en las T.I. 3.3.1. Las funciones de control interno y auditoria informatica 3.4.- Metodologas de control interno y auditoria informatica.
introduccin de controles internos
3.1.- Introduccin a los controles internos

El estudio COSO define el control interno como: ... proceso... efectuado por el Consejo de Administracin, la direccin y dems personal de una entidad... destinado a garantizar razonablemente a la direccin que se alcanzarn los objetivos en materia de: - Eficacia y eficiencia de las operaciones; - Fiabilidad de la informacin financiera, - Cumplimiento de las leyes y reglamentos.

a) Aspectos clave de la definicin de COSO. El primer aspecto clave de la definicin propuesta por COSO es que se trata de un proceso. En consecuencia los controles internos no deben ser hechos o mecanismos aislados, o decretos de la direccin, sino una serie de acciones, cambios o funciones que, en conjunto, conducen a cierto fin o resultado. Esto por s solo extiende el concepto de control interno ms all de la nocin tradicional de controles financieros, para convertir el control interno en un sistema integrado de materiales, equipo, procedimientos y personas.
introduccin de controles internos 4
3.1 - Introduccin a los controles internos

La siguiente frase de la definicin, efectuada por el Consejo de Administracin, la direccin y dems personal de una entidad, indica que el control interno es asunto de personas. Ninguna organizacin puede conocer todos los riesgos actuales y potenciales a los que est expuesta en cualquier momento determinado y desarrollar controles para hacer frente a todos y cada uno de ellos. En consecuencia las personas que componen la organizacin deben tener conciencia de la necesidad de evaluar los riesgos y aplicar controles, y deben estar en condiciones de responder adecuadamente a ello.
3.1 - Introduccin a los controles internos

El tercer elemento de la definicin, destinado a garantizar razonablemente a la direccin, indica la importancia de conocer las limitaciones de los controles. No se puede esperar que los controles eviten todos los problemas y cubran todos los riegos, ni se puede permitir que la organizacin caiga en la autocomplacencia. La consecucin de los objetivos no est asegurada; los controles slo dan cierta seguridad pero no constituyen una panacea.

b) El marco de control interno.
Dentro del marco integrado se identifican cinco elementos de control interno y, lo que es ms importante, las relaciones que existen entre dichos elementos. Tambin pone de manifiesto que la estructura de control abarca las tres categoras de objetivos de una entidad: explotacin eficiente, informacin financiera exacta, y cumplimiento de la normativa.

Los cinco elementos del control interno son: 1.El ambiente de control 2.La evaluacin del riesgo. 3.Las actividades de control. 4.Informacin y comunicacin. 5.Supervisin.

SUPERVISIN
COMUNICACIN
ACTIVIDAD DE CONTROL
INFORMACION
DETERMINACIN DE RIESGOS
AMBIENTE DE CONTROL

b.1) El ambiente de control.
El primer elemento del control interno es el ambiente de control. Este da el tono para la organizacin, influyendo sobre el grado de conciencia que tiene el personal al respecto. Integridad, tica y Capacidad. El ambiente de control est en funcin de la integridad y capacidad del personal de la organizacin. La eficacia de los controles internos no puede ser mejor que la tica y los valores de los individuos que los crean, administran y supervisan.
10

Los factores a considerar cuando se evalan la integridad, los valores ticos y la capacidad de los empleados incluyen:
- La existencia e implantacin de cdigos de conducta. - La presin para cumplir metas de eficacia poco realistas. - La descripcin oficial u oficiosa de los puestos de trabajo - El anlisis de los conocimientos y habilidades que se
requieren
11

b.2) Evaluacin del riesgo. Las organizaciones, cualquiera sea su tamao, se enfrentan a diversos riesgos de origen interno y externo. La evaluacin del riesgo es la identificacin y anlisis de dichos riesgos en lo que se refiere a la consecucin de los objetivos, y constituye la base para determinar la forma de gestionar el riesgo. Aunque para crecer es necesario asumir riesgos prudentes, la direccin debe identificar y analizar los riegos, cuantificarlos, y prever la probabilidad de que ocurran as como las posibles consecuencias.
12

En las cambiantes circunstancias actuales hay que prestar especial atencin a ciertas condiciones: Progresos tecnolgicos en el proceso de produccin o en los sistemas de informacin, como consecuencia de los cuales los controles dejan de ser adecuados para reducir los nuevos riesgos que suponen. Los cambios que se producen en el entorno operativo pueden generar un nuevo entorno normativo o econmico, aumentando la presin competitiva y creando nuevos riesgos para la empresa. Nuevas lneas de negocio, o nuevos productos, como consecuencia de los cuales los controles existentes dejan de reducir el riesgo de manera efectiva.
13

La reestructuracin de las empresas mediante el redimensionamiento a los ajustes de plantilla. Es un aspecto delicado ya que en el nuevo entorno existe la posibilidad de eliminar un puesto que desempea una funcin clave de control sin instituir otro control en su lugar. La expansin o adquisicin de explotaciones en el extranjero, que implica nuevos riesgos tal vez no del todo conocidos pero que deben tomarse en cuenta. Por ejemplo, el ambiente de control quizs responda a la cultura y las costumbres de la direccin local.
14

Personal nuevo, que puede no conocer la cultura de la empresa o puede atender ms a los resultados que a las actividades de control. De no estar debidamente formada la gente nueva en una organizacin puede decidir llevar el negocio a su manera en lugar de hacerlo como lo exige el nuevo entorno en que acta. Crecimiento rpido. Cuando se produce una significativa expansin en la actividad, los sistemas existentes se ven sometidos a presiones que pueden producir fallos en los controles.
15

Debido a la naturaleza dinmica de tales factores, la evaluacin del riesgo no es una tarea a cumplir de una vez para siempre. Debe ser un proceso continuo, un actividad bsica de la organizacin, como la evaluacin continua de la utilizacin de los sistemas de informacin o la mejora continua de los procesos. Lo importante no es utilizar determinada metodologa de evaluacin del riesgo sino convertir la evaluacin del riesgo en parte natural del proceso de planificacin de la empresa.
16

b.3) Actividades de control.
Las actividades de control deben estar integradas en el proceso de evaluacin del riesgo. Una vez analizados los riesgos, la direccin desarrolla actividades de control, las que deben cumplirse correcta y oportunamente. Dichas actividades garantizan que se adopten las medidas necesarias para hacer frente a los riesgos que amenazan la consecucin de los objetivos.
17

Las actividades del control existen a travs de toda la organizacin y se dan en toda la organizacin, a todos los niveles y en todas las funciones, e incluyen cosas tales como: - aprobaciones, - autorizaciones, - verificaciones, - conciliaciones, - anlisis de la eficacia operativa, - seguridad de los activos, y segregacin de funciones.

-En algunos entornos, las actividades de control se clasifican en: controles preventivos, controles de deteccin, controles correctivos, controles manuales o de usuario, controles informticos o de T.I., y controles de la direccin. Independientemente de la clasificacin que se adopte, las actividades de control deben ser adecuadas para los riesgos.

Las empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de control les impidan operar de manera eficiente. Dividiendo las competencias entre mucha gente pueden diluirse las competencias y la responsabilidad, y disminuir el grado de control. Un gran nmero de actividades de control o de personas que participan en ellas no asegura necesariamente la calidad del sistema de control.
20

b.4) Informacin y comunicacin.
Es preciso desarrollar y comunicar oportunamente la informacin pertinente de una forma que permita a la gente conocer y cumplir sus obligaciones. Los principales temas a considerar en relacin con la informacin y la comunicacin incluyen: Sistemas de informacin. Comunicacin de las competencias en materia de control. Comunicacin dentro de la organizacin. Comunicacin externa.

b.5) Supervisin.
Es preciso supervisar continuamente los controles internos para asegurarse de que el proceso funciona segn los previsto. Esto es muy importante porque a medida que cambian los factores internos y externos, controles que una vez resultaron idneos y efectivos pueden dejar de ser adecuados y de dar a la direccin la razonable seguridad que ofrecan antes
22
3.2.- Cmo mejorar la gestin de los controles internos?

La alta direccin debe adoptar una actitud proactiva a efectos de la evaluacin y reestructuracin de los controles internos. Para tener xito en la tarea, muchos tendrn que reinventar los controles internos a la luz de la nueva definicin, ms amplia, del control.. Un aspecto a tomar en cuenta al principio del proceso es cmo se compara la empresa con otras similares o diferentes.
23
3.3.- Los controles internos en las T.I..

Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) relacionada con ella. En esta sociedad global esta criticidad emerge de: La creciente dependencia de la informacin y de los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas. La administracin debe comprender y valorar bsicamente los riesgos y limitaciones del empleo de la TI proporcionando una direccin eficaz y con los controles adecuados.
3.3.- Los controles internos en las T.I..

Se haca necesario establecer un marco de referencia de objetivos de control para las T.I., conjuntamente con una investigacin continua aplicada a dichos controles basada en dicho marco. Tomando como referencia la publicacin en los E.E.U.U. de los modelos de control generales COSO, lnformation Systems Audit and Control Foundation y un grupo de empresas desarrollaron en 1998 dicho marco de referencia para la definicin de objetivos de control que recibe el nombre de COBIT: Objetivos de Control para la Informacin y Tecnologas afines, con el propsito de cubrir el vaco existente y desarrollar polticas claras y buenas prcticas para la seguridad y el control de las T.I..
25
3.4.- Metodologas de control interno y auditora informtica

La proliferacin de metodologa en el mundo de la auditora y el control informtico se pueden observar en los primeros aos de la dcada de los ochenta paralelamente al nacimiento y comercializacin de determinadas herramientas metodolgicas (como el software de anlisis de riesgos). Pero el uso de mtodos de auditora es casi paralelo al nacimiento de la informtica, en la que existen muchas disciplinas en las que el uso de metodologas constituye una prctica habitual. Una de ellas es la seguridad de los sistemas de informacin.
26

Si definimos la seguridad de los sistemas de informacin como la doctrina que trata de los riesgos informticos o creados por la informtica, entonces la auditora es una de las figuras involucradas en este proceso de proteccin y preservacin de la informacin y de sus medios de proceso.
Por tanto, el nivel de seguridad informtica en una entidad es un objetivo a evaluar y est directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas destinadas a proteger y preservar la informacin de la entidad y sus medios de proceso.

Resumiendo, la informtica crea unos riesgos informticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas y la calidad y la eficacia de las mismas es el objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos. Esta es una de las funciones de los auditores informticos. Por tanto, debemos profundizar ms en ese entramado de contramedidas para ver qu papel tienen las metodologas y los auditores en el mismo. Para explicar este aspecto diremos que cualquier contramedida nace de la composicin de varios factores expresados en el grfico valor segn se indica en la figura adjunta. Todos los factores de la pirmide intervienen en la composicin de una contramedida.
Estndares y polticas
NORMAS ORGANIZACIN METODOLOGAS OBJETIVOS DE CONTROL PROCEDIMIENTOS TECNOLOGA DE SEGURIDAD
Funciones Procedimientos Planes
Informtica Usuarios Hardware Software
HERRAMIENTAS
Factores que componen una contramedida.
29
3.4.1.- Las metodologas de Auditoria informtica

El proceso seguido en una auditora es similar al siguiente: 1.Determinacin de la finalidad y objetivos del informe, precisando su alcance. 2.Conseguir informacin previa sobre el dominio, proceso o actividad a auditar. 3.Planificacin del trabajo a desarrollar para cumplir con la finalidad del informe y alcanzar los objetivos. 4.Llevar a cabo los trabajos de recogida de informacin y documentacin, que puedan efectuarse antes de la presentacin de los auditores "in situ" 5.Comienzo de la auditora: presentacin ante los auditados y desarrollo de la planificacin establecida. 6.Anlisis y sntesis de la informacin obtenida con el desarrollo del programa. de controles internos introduccin 30
3.4.1.- Las metodologas de Auditoria informtica

7.Verificacin de la misma. 8.Comprobacin de que se han alcanzado los objetivos sealados, cumpliendo la finalidad del informe. 9.Elaboracin del informe. 10.Discusin del mismo. 11.Distribucin a la direccin y afectados El auditor interno debe crear las metodologas necesarias para auditar las distintos aspecto o reas que defina en el plan auditor que veremos en el siguiente punto.
31
3.4.2.- El plan auditor informatico

Las partes de un plan auditor informtico deben ser al menos las siguientes: Funciones. Ubicacin de la figura en el organigrama de la empresa. Debe existir una clara segregacin de funciones con la Informtica y de control interno informtico, y ste debe ser auditado tambin. Deben describirse las funciones de forma precisa, y la organizacin interna del departamento, con todos sus recursos.
32

Procedimientos para las distintas tareas de las auditoras. Entre ellos estn el procedimiento de apertura, el de entrega y discusin de debilidades, entrega de informe preliminar, cierre de auditora, redaccin de informe final, etc. Tipos de auditoras que realiza. Metodologas y cuestionarios de las mismas. Ejemplo: revisin de la aplicacin de facturacin, revisin de la ley de Proteccin de Datos, revisin de seguridad fsica, revisin de control interno, etc. Existen tres tipos de auditora segn su alcance: la completa de una rea (por ejemplo: control interno, informtica); limitada a un aspecto por ejemplo: una aplicacin, la seguridad lgica, el software de base, etc.; la correctiva que es la comprobacin de acciones de auditoras anteriores.

Sistema de evaluacin y los distintos aspectos que evala. Independientemente de que exista un plan de acciones en el informe final, debe hacerse el esfuerzo de definir varios aspectos a evaluar como nivel de gestin econmica, gestin de recursos humanos, cumplimiento de normas, etc. as como realizar una evaluacin global de resumen para toda la auditora. En nuestro pas esta evaluacin suele hacerse en tres niveles que son Bien, Regular, o Mal, significando la visin de grado de gravedad. Esta evaluacin final nos servir para definir la fecha de repeticin de la misma auditora en el futuro segn el nivel de exposicin que se le haya dado a este tipo de auditora en cuestin.

Nivel de exposicin. El nivel de exposicin es en este caso un nmero del uno al diez definido subjetivamente y que me permite en base a la evaluacin final de la ltima auditora realizada sobre ese tema definir la fecha de la repeticin de la misma auditora. Este nmero no conviene confundirlo con ninguno de los parmetros utilizados en el anlisis de riesgos que est enfocado a probabilidad de ocurrencia. En este caso el valor del nivel de exposicin significa la suma de factores como impacto, personal del rea, situacin de control en el rea. O sea se puede incluso rebajar el nivel de un rea auditada porque est muy bien y no merece la pena revisarla tan a menudo.
35
Nivel Exposicin
10 - 9 8-7 6-5
Evaluacin
B R M B R M B R M B R M
Frecuencia Visitas
18 meses 9 meses 6 meses 18 meses 12 meses 9 meses 24 meses 18 meses 12 meses 36 meses 24 meses 18 meses
4-1
36

Lista de distribucin de informes. Seguimiento de las acciones correctoras. Plan quinquenal. Todas las reas a auditar deben corresponderse con cuestionarios metodolgicos y deben repartirse en cuatro o cinco aos de trabajo. Esta planificacin, adems de las repeticiones y aadido de las auditoras no programadas que se estimen oportunas, deber componer anualmente el plan de trabajo anual. Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos d un resultado de horas de trabajo previstas y por tanto de los recursos que se necesitarn.

Las metodologas de auditora informtica son del tipo cualitativo/subjetivo. Podemos decir que son las subjetivas por excelencia. Por tanto estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen una gran profesionalidad y formacin continuada. Slo as esta funcin se consolidar en las entidades, esto es, por el respeto profesional a los que ejercen la funcin.
38
3.4.3.- Metodologas para el control interno

Dos son los tipos de metodologas utilizadas para el establecimiento y definicin de controles internos: 1.Metodologa para la Clasificacin de la informacin. Se comentar brevemente la metodologa PRIMA. Entidad de informacin es el objetivo a proteger en el entorno informtico, y que la clasificacin de la informacin nos ayudar a proteger especializando las contramedidas segn el nivel de confidencialidad o importancia que tengan. Ejemplos de Entidades de Informacin son: Una pantalla, un listado, un fichero de datos, un fichero en un dispositivo, una microficha de saldos.

Los factores a considerar son los requerimientos legislativos, la sensibilidad a la divulgacin (confidencialidad), a la modificacin (integridad), y a la destruccin. Las jerarquas suelen ser cuatro, y segn se trate de ptica de preservacin o de proteccin, los cuatro grupos seran: Vital-Crtica-Valuada-No sensible o Altamente confidencial-Confidencial-Restringida-No sensible.
40

Esta metodologa bsicamente define: Estratgica (informacin muy restringida, muy confidencial, vital para la subsistencia de la empresa). Restringida (a los propietarios de la informacin). De uso interno (a todos los empleados). De uso general (sin restricciones).
41

Los pasos de la metodologa son los siguientes: 1.Identificacin de la informacin. 2.Inventario de entidades de informacin residentes y operativas. Inventario de programas, ficheros de datos, estructuras de datos, soportes de informacin, etc. 3.Identificacin de propietarios. Son los que necesitan para su trabajo, usan o custodian la informacin. 4.Definicin de jerarquas de informacin. Suelen ser cuatro, porque es difcil distinguir entre ms niveles.
42

5.Definicin de la matriz de clasificacin. Consiste en definir las polticas, estndares, objetivos de control y contramedidas por tipos y jerarquas de informacin. 6.Confeccin de la matriz de clasificacin. Realizacin del plan de acciones. Se confecciona el plan detallado de acciones. Por ejemplo, se reforma una aplicacin de nminas para que un empleado utilice el programa de subidas de salario y su supervisor lo apruebe. 7.Implantacin y mantenimiento. Se implanta el plan de acciones y se mantiene actualizado.
43
A)
ANALISIS DE RIESGOS ESTANDARES CLASIFICACION DE LA INFORMACION
CONTRAMEDIDA 1
OBJETIVOS DE CONTROL 1 PLAN DE ACCIONES
B)
OBJETIVOS DE CONTROL 1 TECNOLOGIA
CONTRAMEDIDA 2
C)
OBJETIVOS DECONTROL 2
CONTRAMEDIDA 3
Estndares (ISO, CISA, ITSEC, TCS, etc.)
44

2 Metodologa para la obtencin de los procedimientos de control Es frecuente encontrar manuales de procedimientos en todas las reas de la empresa que explican las funciones y cmo se realizan las distintas tareas diariamente, siendo stos necesarios para que los auditores realicen sus revisiones operativas, evaluando si los procedimientos son correctos y estn aprobados y sobre todo si se cumplen.
45

Una metodologa para la obtencin de controles se expone a continuacin: Fase I. Definicin de Objetivos de Control. Se compone de tres tareas. Tarea 1. Anlisis de la empresa. Se estudian los procesos, organigramas y funciones. Tarea 2. Recopilacin de estndares. Se estudian todas las fuentes de informacin necesarias para conseguir definir en la siguiente fase los objetivos de control a cumplir (por ejemplo, ISO, ITSEC, CISA, etc.). Tarea 3. Definicin de los Objetivos de Control.
46

Fase II. Definicin de los Controles. Tarea 1. Definicin de los Controles. Identificados los objetivos de control, se analizan los procesos y se definen los distintos controles que se necesitan. Tarea 2. Definicin de Necesidades Tecnolgicas (hardware y herramientas de control). Tarea 3. Definicin de los Procedimientos de Control. Se desarrollan los distintos procedimientos que se generan en las reas usuarias, informtica, control informtico y control no informtico. Tarea 4. Definicin de las necesidades de recursos humanos.
47

Fase III. Implantacin de los controles. Una vez definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta ms que implantarlos en forma de acciones especficas. Terminado el proceso de implantacin de acciones habr que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes sern: Procedimientos propios de control de la actividad informtica (control interno informtico). Procedimiento de distintas reas usuarias de la informtica, mejorados. Procedimientos de reas informticas, mejorados. Procedimientos de control dual entre control interno informtico y el rea informtica, los usuarios informticos, yintroduccin dede control no informtico. el rea controles internos 48
Bibliografa.
- Govindan, Marshal/ Jhon Y. Picard. "Manifesto on Information Systems Control and Management ". Mc Graw Hill 1990. - Expansin. "Control Interno, Auditoria y Seguridad Informtica". Tomos II-IV .1996. Piattini , Mario G.; Del Peso, Emilio. "Auditoria Informtica: Un enfoque prctico". 1998. Isacf. COBIT 2 Edicin .1998
49

Control Interno

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Control Interno

Uploaded by

Copyright:

Available Formats

EL CONTROL INTERNO EN LAS TI

Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

3.1 - Introduccin a los controles internos

introduccin de controles internos

3.1 - Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

3.1.- Introduccin a los controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.1.- Introduccin a los controles internos

3.1.- Introduccin a los controles internos

introduccin de controles internos

3.2.- Cmo mejorar la gestin de los controles internos?

introduccin de controles internos

3.3.- Los controles internos en las T.I..

3.3.- Los controles internos en las T.I..

introduccin de controles internos

3.4.- Metodologas de control interno y auditora informtica

introduccin de controles internos

3.4.- Metodologas de control interno y auditora informtica

3.4.- Metodologas de control interno y auditora informtica

3.4.- Metodologas de control interno y auditora informtica

NORMAS ORGANIZACIN METODOLOGAS OBJETIVOS DE CONTROL PROCEDIMIENTOS TECNOLOGA DE SEGURIDAD

Funciones Procedimientos Planes

Informtica Usuarios Hardware Software

introduccin de controles internos

3.4.1.- Las metodologas de Auditoria informtica

3.4.1.- Las metodologas de Auditoria informtica

introduccin de controles internos

3.4.2.- El plan auditor informatico

introduccin de controles internos

3.4.2.- El plan auditor informatico

3.4.2.- El plan auditor informatico

3.4.2.- El plan auditor informatico

introduccin de controles internos

3.4.2.- El plan auditor informatico