1 / 49

EL CONTROL INTERNO EN LAS TI

EL CONTROL INTERNO EN LAS TI. YESSICA GOMEZ G . Introducción a los controles internos. 3.1.- Introducción a los controles internos 3.2.- ¿cómo mejorar la gestión de los controles internos? 3.3.- Los controles internos en las T.I.

alannis
Download Presentation

EL CONTROL INTERNO EN LAS TI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. EL CONTROL INTERNO EN LAS TI YESSICA GOMEZ G.

  2. Introducción a los controles internos 3.1.- Introducción a los controles internos 3.2.- ¿cómo mejorar la gestión de los controles internos? 3.3.- Los controles internos en las T.I. 3.3.1. Las funciones de control interno y auditoria informatica 3.4.- Metodologías de control interno y auditoria informatica. introducción de controles internos

  3. 3.1.- Introducción a los controles internos El estudio COSO define el control interno como: ... proceso... efectuado por el Consejo de Administración, la dirección y demás personal de una entidad... destinado a garantizar razonablemente a la dirección que se alcanzarán los objetivos en materia de: -   Eficacia y eficiencia de las operaciones; • Fiabilidad de la información financiera, • Cumplimiento de las leyes y reglamentos. introducción de controles internos

  4. 3.1.- Introducción a los controles internos a)          Aspectos clave de la definición de COSO. El primer aspecto clave de la definición propuesta por COSO es que se trata de un proceso. En consecuencia los controles internos no deben ser hechos o mecanismos aislados, o decretos de la dirección, sino una serie de acciones, cambios o funciones que, en conjunto, conducen a cierto fin o resultado. Esto por sí solo extiende el concepto de control interno más allá de la noción tradicional de controles financieros, para convertir elcontrol interno en un sistema integrado de materiales, equipo, procedimientos y personas. introducción de controles internos

  5. 3.1 - Introducción a los controles internos La siguiente frase de la definición, efectuada por el Consejo de Administración, la dirección y demás personal de una entidad, indica que el control interno es asunto de personas. Ninguna organización puede conocer todos los riesgos actuales y potenciales a los que está expuesta en cualquier momento determinado y desarrollar controles para hacer frente a todos y cada uno de ellos. En consecuencia las personas que componen la organización deben tener conciencia de la necesidad de evaluar los riesgos y aplicar controles, y deben estar en condiciones de responder adecuadamente a ello. introducción de controles internos

  6. 3.1 - Introducción a los controles internos El tercer elemento de la definición, destinado a garantizar razonablemente a la dirección, indica la importancia de conocer las limitaciones de los controles. No se puede esperar que los controles eviten todos los problemas y cubran todos los riegos, ni se puede permitir que la organización caiga en la autocomplacencia. La consecución de los objetivos no está asegurada; los controles sólo dan cierta seguridad pero no constituyen una panacea. introducción de controles internos

  7. 3.1.- Introducción a los controles internos b)          El marco de control interno. Dentro del marco integrado se identifican cinco elementos de control interno y, lo que es más importante, las relaciones que existen entre dichos elementos. También pone de manifiesto que la estructura de control abarca las tres categorías de objetivos de una entidad: explotación eficiente, información financiera exacta, y cumplimiento de la normativa. introducción de controles internos

  8. 3.1.- Introducción a los controles internos Los cinco elementos del control interno son: 1.El ambiente de control 2.La evaluación del riesgo. 3.Las actividades de control. 4.Información y comunicación. 5.Supervisión. introducción de controles internos

  9. 3.1.- Introducción a los controles internos SUPERVISIÓN COMUNICACIÓN ACTIVIDAD DE CONTROL INFORMACION DETERMINACIÓN DE RIESGOS AMBIENTE DE CONTROL introducción de controles internos

  10. 3.1.- Introducción a los controles internos b.1)          El ambiente de control. El primer elemento del control interno es el ambiente de control. Este da el tono para la organización, influyendo sobre el grado de conciencia que tiene el personal al respecto. Integridad, Ética y Capacidad. El ambiente de control está en función de la integridad y capacidad del personal de la organización. La eficacia de los controles internos no puede ser mejor que la ética y los valores de los individuos que los crean, administran y supervisan. introducción de controles internos

  11. 3.1.- Introducción a los controles internos Los factores a considerar cuando se evalúan la integridad, los valores éticos y la capacidad de los empleados incluyen: • La existencia e implantación de códigos de conducta. • La presión para cumplir metas de eficacia poco realistas. • La descripción oficial u oficiosa de los puestos de trabajo • El análisis de los conocimientos y habilidades que se requieren introducción de controles internos

  12. 3.1.- Introducción a los controles internos b.2)          Evaluación del riesgo. Las organizaciones, cualquiera sea su tamaño, se enfrentan a diversos riesgos de origen interno y externo. La evaluación del riesgo es la identificación y análisis de dichos riesgos en lo que se refiere a la consecución de los objetivos, y constituye la base para determinar la forma de gestionar el riesgo. Aunque para crecer es necesario asumir riesgos prudentes, la dirección debe identificar y analizar los riegos, cuantificarlos, y prever la probabilidad de que ocurran así como las posibles consecuencias. introducción de controles internos

  13. 3.1.- Introducción a los controles internos En las cambiantes circunstancias actuales hay que prestar especial atención a ciertas condiciones: Progresos tecnológicosen el proceso de producción o en los sistemas de información, como consecuencia de los cuales los controles dejan de ser adecuados para reducir los nuevos riesgos que suponen. Los cambios que se producen en el entorno operativo pueden generar un nuevo entorno normativo o económico, aumentando la presión competitiva y creando nuevos riesgos para la empresa. Nuevas líneas de negocio,o nuevos productos, como consecuencia de los cuales los controles existentes dejan de reducir el riesgo de manera efectiva. introducción de controles internos

  14. 3.1.- Introducción a los controles internos La reestructuración de las empresas mediante el redimensionamiento a los ajustes de plantilla. Es un aspecto delicado ya que en el nuevo entorno existe la posibilidad de eliminar un puesto que desempeña una función clave de control sin instituir otro control en su lugar. La expansión o adquisición de explotaciones en el extranjero,que implica nuevos riesgos tal vez no del todo conocidos pero que deben tomarse en cuenta. Por ejemplo, el ambiente de control quizás responda a la cultura y las costumbres de la dirección local. introducción de controles internos

  15. 3.1.- Introducción a los controles internos Personal nuevo,que puede no conocer la cultura de la empresa o puede atender más a los resultados que a las actividades de control. De no estar debidamente formada la gente nueva en una organización puede decidir llevar el negocio a su manera en lugar de hacerlo como lo exige el nuevo entorno en que actúa. Crecimiento rápido.Cuando se produce una significativa expansión en la actividad, los sistemas existentes se ven sometidos a presiones que pueden producir fallos en los controles. introducción de controles internos

  16. 3.1.- Introducción a los controles internos Debido a la naturaleza dinámica de tales factores, la evaluación del riesgo no es una tarea a cumplir de una vez para siempre. Debe ser un proceso continuo, un actividad básica de la organización, como la evaluación continua de la utilización de los sistemas de información o la mejora continua de los procesos. Lo importante no es utilizar determinada metodología de evaluación del riesgo sino convertir la evaluación del riesgo en parte natural del proceso de planificación de la empresa. introducción de controles internos

  17. 3.1.- Introducción a los controles internos b.3)          Actividades de control. Las actividades de control deben estar integradas en el proceso de evaluación del riesgo. Una vez analizados los riesgos, la dirección desarrolla actividades de control, las que deben cumplirse correcta y oportunamente. Dichas actividades garantizan que se adopten las medidas necesarias para hacer frente a los riesgos que amenazan la consecución de los objetivos. introducción de controles internos

  18. 3.1.- Introducción a los controles internos Las actividades del control existen a través de toda la organización y se dan en toda la organización, a todos los niveles y en todas las funciones, e incluyen cosas tales como: -    aprobaciones, -     autorizaciones, -     verificaciones, -    conciliaciones, -                     -     análisis de la eficacia operativa, -     seguridad de los activos, y segregación de funciones. introducción de controles internos

  19. 3.1.- Introducción a los controles internos -En algunos entornos, las actividades de control se clasifican en: -                   controles preventivos, -                   controles de detección, -                   controles correctivos, -                   controles manuales o de usuario, -                   controles informáticos o de T.I., y -                   controles de la dirección. Independientemente de la clasificación que se adopte, las actividades de control deben ser adecuadas para los riesgos. introducción de controles internos

  20. 3.1.- Introducción a los controles internos Las empresas pueden llegar a padecer un exceso de controles hasta el punto que las actividades de control les impidan operar de manera eficiente. Dividiendo las competencias entre mucha gente pueden diluirse las competencias y la responsabilidad, y disminuir el grado de control. Un gran número de actividades de control o de personas que participan en ellas no asegura necesariamente la calidad del sistema de control. introducción de controles internos

  21. 3.1.- Introducción a los controles internos b.4)       Información y comunicación. Es preciso desarrollar y comunicar oportunamente la información pertinente de una forma que permita a la gente conocer y cumplir sus obligaciones. Los principales temas a considerar en relación con la información y la comunicación incluyen: -   Sistemas de información. - Comunicación de las competencias en materia de control. -  Comunicación dentro de la organización. -  Comunicación externa. introducción de controles internos

  22. 3.1.- Introducción a los controles internos b.5)          Supervisión. Es preciso supervisar continuamente los controles internos para asegurarse de que el proceso funciona según los previsto. Esto es muy importante porque a medida que cambian los factores internos y externos,controles que una vez resultaron idóneos y efectivos pueden dejar de ser adecuados y de dar a la dirección la razonable seguridad que ofrecían antes introducción de controles internos

  23. 3.2.- ¿Cómo mejorar la gestión de los controles internos? La alta dirección debe adoptar una actitud proactiva a efectos de la evaluación y reestructuración de los controles internos. Para tener éxito en la tarea, muchos tendrán que reinventar los controles internos a la luz de la nueva definición, más amplia, del control.. Un aspecto a tomar en cuenta al principio del proceso es cómo se compara la empresa con otras similares o diferentes. introducción de controles internos

  24. 3.3.- Los controles internos en las T.I.. Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada con ella. En esta sociedad global esta criticidad emerge de: La creciente dependencia de la información y de los sistemas que proporcionan dicha información. La creciente vulnerabilidad y un amplio espectro de amenazas. La administración debe comprender y valorar básicamente los riesgos y limitaciones del empleo de la TI proporcionando una dirección eficaz y con los controles adecuados. introducción de controles internos

  25. 3.3.- Los controles internos en las T.I.. Se hacía necesario establecer un marco de referencia de objetivos de control para las T.I., conjuntamente con una investigación continua aplicada a dichos controles basada en dicho marco. Tomando como referencia la publicación en los E.E.U.U. de los modelos de control generales COSO, lnformation Systems Audit and Control Foundation y un grupo de empresas desarrollaron en 1998 dicho marco de referencia para la definición de objetivos de control que recibe el nombre de COBIT: Objetivos de Control parala Información y Tecnologías afines, con el propósito de cubrir el vacío existente y desarrollar políticas claras y buenas prácticas para la seguridad y el control de las T.I.. introducción de controles internos

  26. 3.4.- Metodologías de control interno y auditoría informática La proliferación de metodología en el mundo de la auditoría y el control informático se pueden observar en los primeros años de la década de los ochenta paralelamente al nacimiento y comercialización de determinadas herramientas metodológicas (como el software de análisis de riesgos). Pero el uso de métodos de auditoría es casi paralelo al nacimiento de la informática, en la que existen muchas disciplinas en las que el uso de metodologías constituye una práctica habitual. Una de ellas es la seguridad de los sistemas de información. introducción de controles internos

  27. 3.4.- Metodologías de control interno y auditoría informática Si definimos la seguridad de los sistemas de información como la doctrina que trata de los riesgos informáticos o creados por la informática, entonces la auditoría es una de las figuras involucradas en este proceso de protección y preservación de la información y de sus medios de proceso. Por tanto, el nivel de seguridad informática en una entidad es un objetivo a evaluar y está directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas destinadas a proteger y preservar la información de la entidad y sus medios de proceso. introducción de controles internos

  28. 3.4.- Metodologías de control interno y auditoría informática Resumiendo, la informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas y la calidad y la eficacia de las mismas es el objetivo a evaluar para poder identificar así sus puntos débiles y mejorarlos. Esta es una de las funciones de los auditores informáticos. Por tanto, debemos profundizar más en ese entramado de contramedidas para ver qué papel tienen las metodologías y los auditores en el mismo. Para explicar este aspecto diremos que cualquier contramedida nace de la composición de varios factores expresados en el “gráfico valor” según se indica en la figura adjunta. Todos los factores de la pirámide intervienen en la composición de una contramedida. introducción de controles internos

  29. Estándares y políticas Funciones Procedimientos Planes Informática Usuarios Hardware Software NORMAS  ORGANIZACIÓN METODOLOGÍAS OBJETIVOS DE CONTROL PROCEDIMIENTOS TECNOLOGÍA DE SEGURIDAD HERRAMIENTAS 3.4.- Metodologías de control interno y auditoría informática Factores que componen una contramedida. introducción de controles internos

  30. 3.4.1.- Las metodologías de Auditoria informática El proceso seguido en una auditoría es similar al siguiente: 1.Determinación de la finalidad y objetivos del informe, precisando su alcance. 2.Conseguir información previa sobre el dominio, proceso o actividad a auditar. 3.Planificación del trabajo a desarrollar para cumplir con la finalidad del informe y alcanzar los objetivos. 4.Llevar a cabo los trabajos de recogida de información y documentación, que puedan efectuarse antes de la presentación de los auditores "in situ" 5.Comienzo de la auditoría: presentación ante los auditados y desarrollo de la planificación establecida. 6.Análisis y síntesis de la información obtenida con el desarrollo del programa. introducción de controles internos

  31. 3.4.1.- Las metodologías de Auditoria informática 7.Verificación de la misma. 8.Comprobación de que se han alcanzado los objetivos señalados, cumpliendo la finalidad del informe. 9.Elaboración del informe. 10.Discusión del mismo. 11.Distribución a la dirección y afectados El auditor interno debe crear las metodologías necesarias para auditar las distintos aspecto o áreas que defina en el plan auditor que veremos en el siguiente punto.  introducción de controles internos

  32. 3.4.2.- El plan auditor informatico Las partes de un plan auditor informático deben ser al menos las siguientes: Funciones. Ubicación de la figura en el organigrama de la empresa. Debe existir una clara segregación de funciones con la Informática y de control interno informático, y éste debe ser auditado también. Deben describirse las funciones de forma precisa, y la organización interna del departamento, con todos sus recursos. introducción de controles internos

  33. 3.4.2.- El plan auditor informatico Procedimientos para las distintas tareas de las auditorías. Entre ellos están el procedimiento de apertura, el de entrega y discusión de debilidades, entrega de informe preliminar, cierre de auditoría, redacción de informe final, etc. Tipos de auditorías que realiza. Metodologías y cuestionarios de las mismas. Ejemplo: revisión de la aplicación de facturación, revisión de la ley de Protección de Datos, revisión de seguridad física, revisión de control interno, etc. Existen tres tipos de auditoría según su alcance: la completa de una área (por ejemplo: control interno, informática); limitada a un aspecto por ejemplo: una aplicación, la seguridad lógica, el software de base, etc.; la correctiva que es la comprobación de acciones de auditorías anteriores. introducción de controles internos

  34. 3.4.2.- El plan auditor informatico Sistema de evaluación y los distintos aspectos que evalúa. Independientemente de que exista un plan de acciones en el informe final, debe hacerse el esfuerzo de definir varios aspectos a evaluar como nivel de gestión económica, gestión de recursos humanos, cumplimiento de normas, etc. así como realizar una evaluación global de resumen para toda la auditoría. En nuestro país esta evaluación suele hacerse en tres niveles que son “Bien”, “Regular”, o “Mal”, significando la visión de grado de gravedad. Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoría en el futuro según el nivel de exposición que se le haya dado a este tipo de auditoría en cuestión. introducción de controles internos

  35. 3.4.2.- El plan auditor informatico • Nivel de exposición. El nivel de exposición es en este caso un número del uno al diez definido subjetivamente y que me permite en base a la evaluación final de la última auditoría realizada sobre ese tema definir la fecha de la repetición de la misma auditoría. Este número no conviene confundirlo con ninguno de los parámetros utilizados en el análisis de riesgos que está enfocado a probabilidad de ocurrencia. En este caso el valor del nivel de exposición significa la suma de factores como impacto, personal del área, situación de control en el área. O sea se puede incluso rebajar el nivel de un área auditada porque está muy bien y no merece la pena revisarla tan a menudo. introducción de controles internos

  36. 3.4.2.- El plan auditor informatico Nivel ExposiciónEvaluaciónFrecuencia Visitas 10 - 9 “B” 18 meses “R” 9 meses “M” 6 meses 8 - 7 “B” 18 meses “R” 12 meses “M” 9 meses 6 - 5 “B” 24 meses “R” 18 meses “M” 12 meses 4 - 1 “B” 36 meses “R” 24 meses “M” 18 meses introducción de controles internos

  37. 3.4.2.- El plan auditor informatico •Lista de distribución de informes. •Seguimiento de las acciones correctoras. •Plan quinquenal. Todas las áreas a auditar deben corresponderse con cuestionarios metodológicos y deben repartirse en cuatro o cinco años de trabajo. Esta planificación, además de las repeticiones y añadido de las auditorías no programadas que se estimen oportunas, deberá componer anualmente el plan de trabajo anual. •Plan de trabajo anual. Deben estimarse tiempos de manera racional y componer un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y por tanto de los recursos que se necesitarán. introducción de controles internos

  38. 3.4.2.- El plan auditor informatico Las metodologías de auditoría informática son del tipo cualitativo/subjetivo. Podemos decir que son las subjetivas por excelencia. Por tanto están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen una gran profesionalidad y formación continuada. Sólo así esta función se consolidará en las entidades, esto es, por el “respeto profesional” a los que ejercen la función. introducción de controles internos

  39. 3.4.3.- Metodologías para el control interno Dos son los tipos de metodologías utilizadas para el establecimiento y definición de controles internos: 1.Metodología para la Clasificación de la información. Se comentará brevemente la metodología PRIMA. Entidad de información es el objetivo a proteger en el entorno informático, y que la clasificación de la información nos ayudará a proteger especializando las contramedidas según el nivel de confidencialidad o importancia que tengan. Ejemplos de Entidades de Información son: Una pantalla, un listado, un fichero de datos, un fichero en un dispositivo, una microficha de saldos. introducción de controles internos

  40. 3.4.3.- Metodologías para el control interno Los factores a considerar son los requerimientos legislativos, la sensibilidad a la divulgación (confidencialidad), a la modificación (integridad), y a la destrucción. Las jerarquías suelen ser cuatro, y según se trate de óptica de preservación o de protección, los cuatro grupos serían: Vital-Crítica-Valuada-No sensible oAltamenteconfidencial-Confidencial-Restringida-No sensible. introducción de controles internos

  41. 3.4.3.- Metodologías para el control interno Esta metodología básicamente define: •Estratégica (información muy restringida, muy confidencial, vital para la subsistencia de la empresa). • Restringida (a los propietarios de la información). • De uso interno (a todos los empleados). • De uso general (sin restricciones). introducción de controles internos

  42. 3.4.3.- Metodologías para el control interno Los pasos de la metodología son los siguientes: 1.Identificación de la información. 2.Inventario de entidades de información residentes y operativas. Inventario de programas, ficheros de datos, estructuras de datos, soportes de información, etc. 3.Identificación de propietarios. Son los que necesitan para su trabajo, usan o custodian la información. 4.Definición de jerarquías de información. Suelen ser cuatro, porque es difícil distinguir entre más niveles. introducción de controles internos

  43. 3.4.3.- Metodologías para el control interno 5.Definición de la matriz de clasificación. Consiste en definir las políticas, estándares, objetivos de control y contramedidas por tipos y jerarquías de información. 6.Confección de la matriz de clasificación. Realización del plan de acciones. Se confecciona el plan detallado de acciones. Por ejemplo, se reforma una aplicación de nóminas para que un empleado utilice el programa de subidas de salario y su supervisor lo apruebe. 7.Implantación y mantenimiento. Se implanta el plan de acciones y se mantiene actualizado. introducción de controles internos

  44. 3.4.3.- Metodologías para el control interno CONTRAMEDIDA 1 ANALISIS DE RIESGOS A) ESTANDARES OBJETIVOS DE CONTROL 1 CLASIFICACION DE LA INFORMACION PLAN DE ACCIONES B) CONTRAMEDIDA 2 OBJETIVOS DE CONTROL 1 TECNOLOGIA OBJETIVOS DECONTROL 2 CONTRAMEDIDA 3 C) Estándares (ISO, CISA, ITSEC, TCS, etc.) introducción de controles internos

  45. 3.4.3.- Metodologías para el control interno 2Metodología para la obtención de los procedimientos de control Es frecuente encontrar manuales de procedimientos en todas las áreas de la empresa que explican las funciones y cómo se realizan las distintas tareas diariamente, siendo éstos necesarios para que los auditores realicen sus revisiones operativas, evaluando si los procedimientos son correctos y están aprobados y sobre todo si se cumplen. introducción de controles internos

  46. 3.4.3.- Metodologías para el control interno Una metodología para la obtención de controles se expone a continuación: Fase I. Definición de Objetivos de Control. Se compone de tres tareas. Tarea 1. Análisis de la empresa. Se estudian los procesos, organigramas y funciones. Tarea 2. Recopilación de estándares. Se estudian todas las fuentes de información necesarias para conseguir definir en la siguiente fase los objetivos de control a cumplir (por ejemplo, ISO, ITSEC, CISA, etc.). Tarea 3. Definición de los Objetivos de Control.  introducción de controles internos

  47. 3.4.3.- Metodologías para el control interno Fase II. Definición de los Controles. Tarea 1. Definición de los Controles. Identificados los objetivos de control, se analizan los procesos y se definen los distintos controles que se necesitan. Tarea 2. Definición de Necesidades Tecnológicas (hardware y herramientas de control). Tarea 3. Definición de los Procedimientos de Control. Se desarrollan los distintos procedimientos que se generan en las áreas usuarias, informática, control informático y control no informático. Tarea 4. Definición de las necesidades de recursos humanos. introducción de controles internos

  48. 3.4.3.- Metodologías para el control interno Fase III. Implantación de los controles. Una vez definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta más que implantarlos en forma de acciones específicas. Terminado el proceso de implantación de acciones habrá que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes serán: Procedimientos propios de control de la actividad informática (control interno informático). Procedimiento de distintas áreas usuarias de la informática, mejorados. Procedimientos de áreas informáticas, mejorados. Procedimientos de control dual entre control interno informático y el área informática, los usuarios informáticos, y el área de control no informático. introducción de controles internos

  49. Bibliografía. - Govindan, Marshal/ Jhon Y. Picard. "Manifesto on Information Systems Control and Management ". Mc Graw Hill 1990. - Expansión. "Control Interno, Auditoria y Seguridad Informática". Tomos II-IV .1996. -                   Piattini , Mario G.; Del Peso, Emilio. "Auditoria Informática: Un enfoque práctico". 1998. -                    Isacf. COBIT 2ª Edición .1998 introducción de controles internos

More Related