Auditoria 5, Segundo Parcial

MATERIAL DE APOYO PRIMER EXAMEN PARCIAL CURSO: AUDITORÍA 5 NOVENO SEMESTRE, ÁREA PROFESIONAL, ESCUELA DE CONTADURÍA PÚBLICA Y AUDÍTORIA. _________________________________________________________________________ PARTICIPACIÓN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS VENTAJAS DE UN DESARROLLO A LA MEDIDA ● Se desarrolla tomando en cuenta sus necesidades ● Lleva los módulos que usted requiera ● La interfaz de usuario se desarrolla como usted la desee ● Se desarrolla en las tecnologías que usted desee (si esto es relevante para usted) ● Se desarrollan los reportes que usted necesite SU IMPORTANCIA La participación del Auditor en el desarrollo de sistemas es muy importante y puede darse identificando, sugiriendo, implementando y evaluando los controles que sean necesarios, desde diferentes campos de actuación: •

Consultor en Sistemas

•

Auditor Externo

•

Auditor Interno

SU OPORTUNIDAD La participación del auditor interno en el desarrollo de sistemas debe darse precisamente en el desarrollo del mismo, a efecto de que los controles que se consideran necesarios, sean incorporados en las diferentes fases o etapas del desarrollo, ya que una vez funcionando el sistema, es más difícil y costoso efectuar las modificaciones. Para que la auditoría interna esté en condiciones de hacer un trabajo efectivo, son necesarios los aspectos mínimos siguientes: 1 Respaldo total de la administración 2 Comunicación fluida y permanente con el departamento de PED 3 Personal de auditoría interna con suficientes conocimientos (por lo menos teóricos al principio) en materia de PED. METODOLOGÍA PARA EL DESARROLLO DE SISTEMAS La metodología utilizada para el desarrollo de sistemas consiste en dividir el esfuerzo en fases o etapas, claramente definidas, pueden clasificarse así:

Planificación del sistema 1 Investigación preliminar 2 Estudio de factibilidad 3 Planificación inicial 4 Desarrollo de sistemas 1 Desarrollo de modelos solución 2 Diseño del modelo elegido 3 Programación y prueba Implantación del sistema 1 Preparación de la implantación 2 Implantación operativa 3 Revisión post-implantación y seguimiento PAPEL DEL AUDITOR INTERNO EN LAS DISTINTAS ETAPAS DEL DESARROLLO DE SISTEMAS ● Solicitud del Usuario: Conocer y verificar la necesidad y sus objetivos. ● Estudio de Factibilidad: Conocer el dictamen que justifica el proyecto. Planear la participación de la auditoria. ● Análisis del Sistema: Determinar los controles de que debe constar el nuevo sistema. ● Diseño del Sistema: Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los controles suficientes. ● Programación: Definir que el programa contemple todos los controles analizados anteriormente. ● Implantación: Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para garantizar la efectividad del sistema. ● Documentación del Sistema: Constatar que la documentación se encuentre completa y debidamente formalizada, revisando las medidas de seguridad adoptadas.

GRADO DE INTERVENCIÓN DE LOS INVOLUCRADOS EN LA CONSTRUCCIÓN DE UN SISTEMA PED ADMON. PLANIFICACIÓN DEL SISTEMA - INVESTIGACIÓN PRELIMINAR - ESTUDIO DE FACTIBILIDAD - PLANIFICACIÓN INICIAL DESARROLLO DEL SISTEMA - DESARROLLO DE MODELOS SOLUCIÓN - DISEÑO DEL MODELO ELEGIDO - PROGRAMACIÓN Y PRUEBA IMPLANTACIÓN DEL SISTEMA - PREPARACIÓN DE LA IMPLANTACIÓN - IMPLANTACIÓN OPERATIVA - REVISIÓN POST - IMPLANTACIÓN Y SEGUIMIENTO

S

P.PED

USUARIOS

P

P S P

P P M

S P M

M P S

P P P

M P S

M P S

P

M P

P P

P P

M

M

P

P

A.I.

M

P

MARCO CONCEPTUAL DE LA METODOLOGÍA PARA REALIZAR AUDITORÍAS DE SISTEMAS COMPUTACIONALES

PLANEACIÓN Proceso que nos dirá que se hará y de qué manera. PROGRAMA Son cursos de acción detallados que señalan los pasos específicos que habrán de realizarse para lograr los objetivos. PRESUPUESTO Estimación programada de los ingresos y egresos. TIEMPO Duración de las actividades a realizarse. POLÍTICAS Acciones que condicionan y gobiernan al logro de un objetivo. PLAN DE TRABAJO Representación gráfica en la que se muestran las actividades a realizarse así como el tiempo estimado necesario para ello. METODOLOGÍA PARA REALIZAR AUDITORÍAS EN SISTEMAS COMPUTACIONALES

1. PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES ✓ Identificar el origen de la auditoria. ✓ Realizar una visita preliminar al área que será evaluada. ✓ Establecer los objetivos de la auditoria ✓ Determinar los puntos que serán evaluados en la auditoría. ✓ Identificar los métodos, herramientas, instrumentos y procedimientos. ✓ Asignar los recursos y sistemas computacionales para la auditoria. 2. EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES ✓ Realizar las acciones programadas. ✓ Aplicar los instrumentos y herramientas programadas. ✓ Identificar y elaborar los documentos de desviaciones encontradas. ✓ Elaborar el dictamen preliminar. ✓ Integrar el legajo de los papeles de trabajo. 3. DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES ✓ Analizar la información y elaborar un informe de situaciones encontradas ✓ Elaborar el dictamen final ✓ Presentar el informe de auditoría

1ERA ETAPA –PLANEACIÓN1

IDENTIFICAR EL ORIGEN DE LA AUDITORIA ✓ Por solicitud expresa de procedencia interna ✓ Por solicitud expresa de procedencia externa ✓ Por riesgos y contingencias informáticas ✓ Por resultados obtenidos de otras auditorias

2

REALIZAR UN VISITA PRELIMINAR AL AREA A EVALUAR ✓ Contacto inicial con funcionarios y empleados ✓ Identificación de la problemática de área ✓ Prever los objetivos iniciales ✓ Calcular los recursos y personas necesarias

3

ESTABLECER LOS OBJETIVOS DE AUDITORIA ✓ Objetivos Generales ✓ Objetivos Particulares ✓ Objetivos Específicos (Auditoría Sistemas)

4

DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS ✓ Funciones y Actividades Del Personal ✓ Áreas Administrativas del Centro de Computo ✓ Los Sistemas, Equipos, Instalaciones y Componentes ✓ La seguridad que tienen los Sistemas de Información 5 ELABORAR PLANES, PROGRAMAS Y PRESUPUESTO ✓ Documento formal con el contenido de los planes ✓ Documento formal de los programas de auditoria ✓ Elaborar el presupuesto para la auditoria 6

SELECCIONAR METODOS, HERRAMIENTAS Y PROCEDIMIENTOS NECESARIOS ✓ Cuestionarios ✓ Flujo gramas ✓ Muestreo, etc. 7

ASISGNAR RECURSOS ✓ Humanos, Materiales y Económicos

IDENTIFICAR EL ORIGEN PROCEDENCIA INTERNA

DE

LA

AUDITORÍA

POR

SOLICITUD

EXPRESA

Surge como petición de alguien que pertenece a la empresa para poder llevar a cabo una evaluación del área de sistemas; que generalmente se encomienda a un auditor externo. DENTRO DE LAS PERSONAS QUE PUEDEN SOLICITAR: ✓ Accionistas, socios y dueños ✓ Por orden de dirección general ✓ Gerencias o deptos. a nivel superior ✓ Funcionarios de otros niveles DENTRO DE LAS PERSONAS QUE PUEDEN SOLICITAR..... ✓ Por orden de las gerencias o departamentos a nivel superior. ✓ A solicitud de funcionarios y empleados de otros niveles. ✓ Por solicitud expresa de procedencia externa. ✓ Por mandato de autoridades judiciales. ✓ Por mandato de autoridades fiscales. ✓ Por revisiones de autoridades sociales y de trabajo. ✓ Por revisiones de otras autoridades. ✓ Por solicitud de acreedores y proveedores. ✓ Por solicitud de distribuidores y desarrolladores de software. ✓ A petición de empresas externas. ✓ Como consecuencia de emergencias y condiciones especiales. ✓ De incidencia interna. ✓ De incidencia externa. ✓ Por riesgos y contingencias informáticas. ✓ Riesgos y contingencias del personal informático.

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Riesgos y contingencias físicas. Riesgos y contingencias operativas (lógicas) Riesgos y contingencias de software. Riesgos y contingencias en las bases de datos. Otros riesgos y contingencias en el área informática. Por la carencia de planes de contingencia. Por la elaboración de planes de contingencia. Por la aplicación de los planes de contingencia. Por resultados obtenidos de otras auditorías. Como parte de un programa integral de auditoría. Realizar una visita preliminar al área que será evaluada. Visita preliminar de arranque. Contacto inicial con funcionarios y empleados del área.

REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA 1. 2. 3. ✓ 4. ✓ 5. ✓

Visita Preliminar de arranque Contacto inicial con funcionarios y empleados del área Identificación preliminar de la problemática de sistemas: para identificar las posibles dificultades Prever los objetivos iniciales de la auditoría. anticipar los objetivos que pueden satisfacerse con la auditoría Calcular los recursos y personas necesarias para la auditoría Recursos de carácter humano, informático, material, técnico y económico.

ESTABLECER LOS OBJETIVOS DE LA AUDITORÍA 1.

Objetivo General ✓ Fin Global que se pretende alcanzar. 2. Objetivos Particulares ✓ Fines individuales que se pretenden alcanzar. 3. Objetivos Individuales ✓ Es la determinación en forma detallada de los fines que se pretende alcanzar.

DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN LA AUDITORIA 1. 2. 3. 4.

Evaluación de las funciones y actividades del personal del área de sistemas. Evaluación de la seguridad de los sistemas de información. Evaluación de la información, documentación y registros de los sistemas. Evaluación de los sistemas, equipos, instalaciones y componentes

4 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES COMPONENTES 4.1 Evaluación de los recursos humanos del área de sistemas. 4.2 Evaluación del hardware. 4.3 Evaluación del software. 4.4 Evaluación de la información y las bases de datos. 4.5 Evaluación de otros recursos.

Y

5. DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA AUDITORÍA 5.1 Personal para la auditoría de sistemas. 5.2 Personal del área que será evaluada. 5.3 Apoyo de los sistemas y equipos técnicos e informáticos. 5.4 Apoyos materiales y administrativos 5.5 Recursos Económicos 5.6 Otros apoyos

ELABORACION DE PLANES, PROGRAMAS Y PRESUPESTOS PARA REALIZAR LA AUDITORIA ✓

Elaborar el documento formal de los planes de trabajo para la auditoría ● Carátula de identificación del plan de auditoría. ● Índice de contenido. ● Definición de objetivos. ● Delimitación de estrategias para el desarrollo de la auditoría. ● Planes de Auditoría. ● Definición de normas, políticas y lineamientos para el desarrollo de la auditoría.

✓

Contenido de los planes para realizar la auditoría. ● Definir los objetivos finales de la auditoría. ● Establecer las estrategias para realizar la auditoría. ● Diseñar las etapas, eventos y tareas en que se dividirá la auditoría. ● Calcular la duración de las tareas y eventos para satisfacer los objetivos de la auditoría. ● Distribuir los recursos que serán utilizados en las diferentes etapas. ● Confeccionar los planes concretos para la auditoría.

✓

Elaborar el documento formal de los programas de auditoría. ● Gráfica del programa de actividades. ● Definición de las etapas y eventos que se deben llevar a cabo. ● Definición de las actividades y tareas.

✓

Elaborar los programas de actividades para realizar la auditoría. ● Definir de manera precisa las etapas de la auditoría. ● Identificar concretamente los eventos que se deben llevar a cabo en cada etapa de la auditoría. ● Delimitar lo más claramente posible las actividades, tareas y acciones para cada evento.

✓

Elaborar los programas de actividades para realizar la auditoría ● Distribuir los recursos que serán utilizados en las diferentes etapas, eventos, actividades y tareas. ● Calcular la duración de las etapas, actividades y tareas planeadas para la auditoría. ● Determinar las fechas de inicio y fin de las etapas, actividades y tareas.

✓

Elaborar los presupuestos para la auditoría. ● Asignación de los costos de los recursos. ● Control de los costos de los recursos. ● Seguimiento y control de los planes, programas y presupuestos.

IDENTIFICAR Y SELECCIONAR LOS MÉTODOS, HERRAMIENTAS, INSTRUMENTOS Y PROCEDIMIENTOS NECESARIOS PARA LA AUDITORIA ESTABLECER LA GUÍA DE PONDERACIÓN DE LOS PUNTOS QUE SERAN EVALUADOS ✓ La técnica de ponderación es un método especial que nos sirve para valorar cada una de las partes importantes del área de sistemas. ✓ El propósito de esta herramienta es buscar un equilibrio entre las áreas que tienen mayor peso y trascendencia, con aquellas que tienen poco peso e importancia en la evaluación. PUNTOS IMPORTANTES COMPUTACIONALES

PARA

REALIZAR

LA

AUDITORIA

DE

SISTEMAS

Someter a consenso de los demás participantes de auditoria el documento de ponderación.

Elaborar la guía de auditoría. ✓ Determinar las áreas y puntos concretos que serán evaluados en el ambiente de sistemas. ✓ Seleccionar los métodos, procedimientos, herramientas e instrumentos de evaluación. Elaborar los documentos necesarios para hacer la auditaría. ✓ Diseño de instrumentos y herramientas de recopilación. ✓ Diseño de cuestionarios. ✓ Diseño de guías para realizar entrevistas. ✓ Diseño de formularios para encuestas. ✓ Diseño de modelos y formatos para los inventarios del área de sistemas ✓ Diseñar los métodos e instrumentos de muestreo. ✓ Diseñar los instrumentos especiales de evaluación de sistemas. ✓ Determinar los puntos que serán evaluados con pruebas. ✓ Diseñar las pruebas para la evaluación. ✓ Diseñar los instrumentos y herramientas para pruebas de evaluación. Establecer los métodos y procedimientos que serán utilizados en la auditoria. Determinar las técnicas y procesos específicos que serán utilizados en la auditoria. Elaborar los documentos formales para los procedimientos, métodos, herramientas e instrumentos que serán utilizados en la auditoria.

DISEÑAR LOS SISTEMAS, PROGRAMAS Y MÉTODOS DE PRUEBAS PARA LA AUDITORIA ✓

Determinar los puntos de interés, programas, bases de datos, archivos y sistemas que serán evaluados mediante programas y pruebas de cómputo. ✓ Diseño y aplicación de las pruebas, programas y sistemas que nos puedan ayudar a evaluar el funcionamiento de los sistemas computacionales. ✓ Diseñar, aplicar y evaluar los resultados de los programas, métodos y pruebas de simulación al sistema. ✓ Diseñar otros instrumentos de recopilación así como también de revisión. 2a. ETAPA EJECUCION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES

3a. ETAPA DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES La información y elaborar un informe de situaciones detectadas ✓ Analizar los papeles de trabajo ✓ Señalar las Situaciones encontradas ✓ Comentar las situaciones encontradas con el personal de las a reas afectadas ✓ Realizar las modificaciones necesarias ✓ Elaborar un documento de situaciones relevantes Elaborar el Dictamen Final ✓ Analizar la información y elaborar un documento de desviaciones detectadas. ✓ Elaborar el informe y el dictamen formales. ✓ Comentar el informe y el dictamen con los directivos del área. ✓ Realizar las modificaciones necesarias.

Pasos para Presentar el Informe de Auditoría 1. La carta de presentación 2. El dictamen de la Auditaría 3. El informe de situaciones relevantes 4. Anexos y Cuadros Adicionales 5. Elaboración del dictamen final 6. Integración del informe de Auditaría 7. Presentación del informe de Auditaría 8. Integración de los papeles de trabajo

CASO PRÁCTICO SOBRE LA METODOLOGÍA DE UNA AUDITORIA EN SISTEMAS PRIMERA ETAPA El día 1 de febrero de 2004, la Junta Directiva de la Empresa S-3 “101”, S. A., solicita a la firma de Auditores Externos Robledo, Soto y Asociados para que realice una Auditoria en Informática. VISITA PRELIMINAR El día 5 de febrero, el socio Juan Soto encargado de la auditoria, realiza una visita preliminar a la empresa XY con el propósito de tener contacto con los funcionarios, empleados y usuarios del área de sistemas. OBJETIVO Evaluar la utilización y aprovechamiento del equipo, las instalaciones y mobiliarios del centro de cómputo, así como del uso de sus recursos técnicos y materiales para el procesamiento de la información. PUNTOS A EVALUAR ● La seguridad física del hardware y del personal del área de sistemas. ● El aprovechamiento del hardware y software. ● Las funciones y actividades del personal del área de sistemas. PROGRAMA DE AUDITORÍA Actividades a Realizar ● Evaluación de los lenguajes, programas y demás software utilizados en la empresa. ● Evaluar el control para evitar el robo de información. ● Evaluar los Manuales de operación y procedimientos del sistema. ● Evaluar el control de acceso al sistema así como la restricción del acceso a personas no autorizadas al centro de cómputo. ● Evaluar el nivel de prevención de virus y protección de programas piratas. ● Evaluar la organización del departamento de sistemas. ● Evaluar la capacitación del personal de sistemas y de los usuarios. ● Determinar la actualización periódica respecto a cambios en tecnología informática. ● Evaluar la correcta operación de la información que se ingresa en los sistemas, así como los resultados que se desean obtener. ● Revisión del inventario del software, licencias y componentes internos y externos.

● La auditoría será realizada por 1 encargado y dos auxiliares. ● El tiempo estimado para la realización del trabajo de campo son 3 semanas y 2 para la emisión del informe. ● Los honorarios que se cobrarán ascenderán a Q.50, 000 más IVA.

INSTRUMENTOS Y HERRAMIENTAS NECESARIOS ● ● ● ● ● ● ●

Cuestionarios Entrevistas Observación Conteo físico (Inventario) Inspección Confirmación Comparación

SEGUNDA ETAPA Ejecución de la auditoria ● El trabajo de campo fue realizado del 8 al 28 de febrero. ● El dictamen preliminar fue realizado del 2 al 5 de marzo y presentado para su discusión el 8 de ese mismo mes. TERCER ETAPA ● Luego de la discusión del informe, se le hicieron las modificaciones necesarias. ● El 17 de marzo, se presentó el informe definitivo a la junta directiva de la Empresa XY, S. A.

ESTUDIO Y EVALUACIÓN DE CONTROL INTERNO EN INFORMATICA DEFINICIÓN CONTROL INTERNO El Control Interno conforme COSO “es un proceso integrado a los procesos, y no un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable para el logro de objetivos incluidos en las siguientes categorías: – Eficacia y eficiencia de las operaciones (salvaguarda de activos). – Confiabilidad de la información financiera. – Cumplimiento de las leyes, reglamentos y políticas – Cumplimiento de los planes estratégicos QUÉ? Control Interno Proceso efectuado por la Dirección, la alta Gerencia y el resto del personal. PARA QUÉ? Proporcionar un grado Objetivos

de seguridad

razonable en cuanto a la consecución de los

¿EN QUÉ NIVEL? Eficacia y eficiencia de las operaciones Confiabilidad de la Información Financiera establecidas

Cumplimiento de las Leyes y normas

Cumplimiento de planes estratégicos

ASPECTOS A CONSIDERAR • Es un proceso: ✓ No es un hecho aislado, es un conjunto de actividades realizadas de forma continua •

✓ Resulta efectivo cuando está integrado en la estructura y cultura de la entidad Aplicado al definir la estrategia:

ASPECTOS IMPLÍCITOS EN LA DEFINICIÓN DE CONTROL INTERNO

ASPECTOS A CONSIDERAR •

•

Al referirse al control interno como un proceso, se hace referencia a una cadena de acciones extendida a todas las actividades, inherentes a la gestión e integrados a los demás procesos básicos de la misma: planificación, ejecución y supervisión. Tales acciones se hallan incorporadas (no añadidas) a la infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas de calidad.

DEFINICIÓN CONTROL INTERNO –ELEMENTOSCOMO PROCESO * El control interno es un proceso, es decir, un medio para alcanzar un fin y no un fin en sí mismo. * No es un evento o circunstancia sino una serie de acciones que permean en las actividades de una organización. * Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma: planificación, ejecución y supervisión. * Los controles deben constituirse “dentro” de la infraestructura de la Organización y no “sobre ella”. ES LLEVADO A CABO POR LA DIRECCIÓN Y EL RESTO DEL PERSONAL * Lo llevan a cabo las personas que actúan en todos los niveles, no se trata solamente de manuales de organización y procedimientos. Cada individuo dentro de la Organización tiene algún rol respecto al control interno. * Es ejecutado por la gente de una Organización a través de lo que ellos hacen y dicen. La gente diseña los objetivos de la entidad y establece los mecanismos de control. * La Dirección es responsable de la existencia de un eficaz y eficiente sistema de control. Aunque los directores tienen como obligación primaria la vigilancia del control, también proporcionan directrices y aprueban ciertas transacciones y políticas. PROPORCIONA UNA SEGURIDAD RAZONABLE

* Sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la conducción. * No asegura con certeza el cumplimiento de los objetivos de la Organización, sino que contribuye a ello. * No importa lo bien diseñado que esté el sistema de control, lo más que se puede esperar es que proporcione una seguridad razonable. EFICACIA DEL SISTEMA DE CONTROL INTERNO La eficacia del control interno se puede dar en tres niveles distintos. * Dispone de la información adecuada sobre hasta qué punto se están logrando los objetivos operacionales de la Unidad. * Se prepara de forma fiable la información financiera de la misma. * Se cumplen las leyes y normativa a las que se encuentra sujeta. Si bien el control interno es un proceso, su eficacia es el estado o la situación del proceso en un momento dado. *Está pensado para facilitar la consecución de objetivos ESTRATEGICOS en una o más de las categorías señaladas las que, al mismo tiempo, suelen tener puntos en común. METODOS DE EVALUACIÓN DEL CONTROL INTERNO La evaluación del control interno se puede realizar mediante: ● Descripciones narrativas ● Cuestionarios especiales ● Diagramas de flujo

LA ADMINISTRACIÓN DE RIESGOS •

•

Es uno de los nuevos vocablos que han emergido en el ambiente empresarial durante los últimos años, esto significa la aplicación de metodologías de gestión de riesgo en todos los aspectos del negocio, incluyendo la creación de ganancias, así como la prevención de pérdidas. Es en una herramienta que ayuda en el proceso de toma de decisiones. No sólo convierte la incertidumbre en oportunidad, sino que evita el suicidio financiero y catástrofes de graves consecuencias.

EVENTOS, RIESGOS Y OPORTUNIDADES •

•

•

•

“Un evento es un incidente o acontecimiento procedente de fuentes internas o externas que afecta la consecución de objetivos y que puede tener un impacto negativo o positivo o de ambos tipos a la vez. Se dice o se define el riesgo: como la posibilidad de que un evento ocurra y que provocará que se afecte negativamente el logro de los objetivos que se han establecido.” Los eventos pueden tener un impacto negativo o positivo en la consecución de los objetivos, o de ambos tipos a la vez. Los que tienen un impacto negativo representan riesgos que puedan impedir creación de valor o erosionar el valor existente. Los eventos con impacto positivo pueden compensar los impactos negativos o representar oportunidades, que derivan de la posibilidad de que ocurra un

acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza las oportunidades que surgen, para que reinviertan en la estrategia y el proceso de definición de objetivos y formula planes que permitan aprovecharlas.

QUÉ ES RIESGO? ● Es la probabilidad de que un impacto adverso afecte los resultado o el capital de nuestra empresa. ● El Riesgo se mide en términos de impacto y probabilidad. -

Probabilidad de ocurrencia. Impacto de las consecuencias potenciales.

IMPACTO: Consecuencia (s) de un evento, expresado ya sea en términos cualitativos o cuantitativos. También es llamado Severidad. PROBABILIDAD: La posibilidad de la ocurrencia de un evento que usualmente es aproximada mediante una distribución estadística. En ausencia de información suficiente, se puede aproximar mediante métodos cualitativos. • • • •

El riesgo comienza con la formulación de estrategias y definición de objetivos. El riesgo no representa una situación puntual única (por ejemplo, el resultado más probable). Sino más bien, una gama de resultados posibles. Los riesgos pueden estar relacionados con el hecho de evitar que sucedan cosas negativas o pueden garantizar que ocurran eventos positivos. Los riesgos son inherentes a todos los aspectos de la vida; es decir, siempre hay incertidumbre, hay uno o más riesgos.

Marcos de Control Interno en el Mundo

(Estándares Internacionales) para la Evaluación del Control

• • • • • •

KING Cadbury Co. Co. COSO Vienot Peters

•

** El Marco COSO ha sido adoptado en los EE.UU, por el Banco Mundial y otros organismos financieros a través Del mundo.

Sudáfrica Gran Bretaña Canadá USA** Francia Holanda

EL INFORME COSO COSO: COmmittee of Sponsoring Organizations of the Treadway Commission)

El Sistema Integrado de Control Interno, es un informe que establece una definición común de control interno y proporciona un estándar mediante el cual las organizaciones pueden evaluar y mejorar sus sistemas de control. Surge como una forma de solucionar la diversidad de conceptos, definiciones e interpretaciones existentes en torno al control interno. Formada por cinco organizaciones: 1. Financial Executives International 2. Institute of Internal Auditors 3. American Institute of Certified Public Accountants 4. Institute of Management Accountants 5. American Accounting Association Reconocido como el estándar internacional para un marco integrado de control interno. EL INFORME COSO Existen en la actualidad 3 versiones del Informe COSO. •

La versión del 1992: COSO I : Marco Integrado de Control Interno

•

La versión del 2004: COSO II ERM –Enterprise Risk Managment: Gestión Integral de Riesgos

•

Julio de 2006: COSO III: Control Interno sobre el Reporte Financiero- Guía para empresas pequeñas públicas

Componentes del COSO-ERM

DEFINICIÓN DE ERM •

Es un proceso dinámico

•

Realizado por personas

•

Aplicado como parte de un establecimiento de estrategias

•

Aplicado a través de toda la empresa

•

Diseñado y enfocado a identificar eventos, no solamente riesgos

•

Diseñado para mantener acciones y administrar riesgo dentro del apetito de riesgo

•

Proporciona seguridad razonable a la Dirección y Junta Directiva

•

Enfoque: El logro de objetivos

BENEFICIOS DE COSO ERM •

Proporciona un marco integral del control interno y herramientas de valuación para evaluar el sistema de control

•

Alinea el apetito de riesgo con la estrategia corporativa

•

Proporciona respuestas integradas a los múltiples riesgos

•

Mejora el nivel de las respuestas al riesgo

•

Reduce la posibilidad de sorpresas y pérdidas

•

Identifica y administra los riesgos a nivel corporativo

•

Prepara a la empresa para tomar ventaja de las oportunidades

•

Ayuda a mejorar el uso del capital disponible

COMPONENTES CLAVES DEL ERM

ASPECTOS BASICOS A CUBRIR EN LA EVALUACIÓN DEL CONTROL INTERNO INFORMÁTICO 1. ORGANIZACIÓN DEL DEPARTAMENTO ASPECTOS A CUBRIR 1.1 Diagrama de organización 1.2 Presupuesto de personal 1.3 Diagrama de configuración del sistema 1.4 Control sobre paquetes de software 1.5 Existencia de: - Contratos con los proveedores - Definición de características técnicas 1.6 Existencia de reporte de todos los programas y

aplicaciones en uso.

2. SEGUROS, CONTRATOS, MANTENIMIENTOS Y FIANZAS ASPECTOS A CUBRIR 2. 1 Pólizas de seguros Equipos Programas Medios de almacenamiento 2.2 Riesgos cubiertos 2.3 Vigencia de seguros 2.4 Contratos de proveedores Condiciones de uso del equipo Uso de tiempo CPU Uso de paquetes

Respaldo y garantía ofrecida Soporte técnico 2.5 Servicios de mantenimiento 2.6 Fianzas de fidelidad 3. MANUALES DE ORGANIZACIÓN ASPECTOS A CUBRIR 3.1 Existencia de manuales de normas y procedimientos - Para cada puesto del centro de procesamiento. 3.2 Separación de funciones entre: Operación del computador. Análisis Programación 3.3 Accesos restringidos a los programadores para operar el sistema. 3.4 Acceso restringido a operadores del computador a: Datos Diseño de archivos Diseño de registros

4. POLITICAS DE SEGURIDAD ASPECTOS A CUBRIR 4.1 Existencia de planes de contingencia. 4.2 Convenios de respaldo de equipos. 4.3 Instrucciones para usos de locales alternos 4.4 Conocimiento con indicación de archivos críticos. 4.5 Prioridades para recuperación de registros. 4.6 Existencia fuera del centro de: Programas fuentes Copias actualizadas de los principales archivos Copias del sistema operativo Procedimientos de programas operativos Planes de contingencia Documentación de programas. 4.7 Políticas de respaldo 4.8 Contraseña para operar el sistema 4.9 Existencia documentada de investigación de procesos. 5. SISTEMAS Y MEDIDAS DE SEGURIDAD ASPECTOS A CUBRIR 5.1 Procedimientos escritos del sistema de seguridad. 5.2 Localización del centro 5.3 Acceso al centro 5.4 Construcción del edificio 5.5 Registro para el ingreso de personas 5.6 Uso de gafetes de identificación 5.7 Vigilancias y alarmas 5.8 Dispositivos para detectar: Calor, fuego, y humo, imanes 5.9 Existencia de extinguidores 5.10 Estado de equipo de aire acondicionado

5.11 Localización de cables de electricidad e interruptores 5.12 Entrenamiento de personal para atender emergencias 5.13 Otros. 6. PROGRAMAS DE CAPACITACIÓN ASPECTOS A CUBRIR 6.1 Plan de capacitación constante para el personal 6.2 Registro de adiestramiento que se ha dado a cada persona. 6.3 Programas de rotación de funciones 6.4 Control sobre trabajo y desempeño del personal. 7. RECEPCIÓN DE TRABAJOS ASPECTOS A CUBRIR 7.1 Que la recepción de trabajo se efectúe en base a: Ordenes de trabajo Registros adecuados Volantes. 7.2 Comprobar que los registros de recepción contengan: Hora de recepción. Número correlativo de orden de trabajo Descripción del trabajo Copias en que solicita el reporte. 7.3 Existencia de cifras de control 7.4 Persona autorizada para entregar trabajos

8. CONTROL DE CALIDAD ASPECTOS A CUBRIR 8.1 Cotejo de totales entrada/salida 8.2 Verificación de listados de errores o inconsistencias 8.3 Estadísticas por aplicación de errores detectados 8.4 Norma sobre la calidad de impresión exactitud de los datos 8.5 Número de copias de los reportes (autorizadas)

9. DESPACHO DE TRABAJOS ASPECTOS A CUBRIR 9.1 Directorio de usuarios 9.2 Lista de usuarios autorizados para retirar información 9.3 Controles sobre el envío de reportes 9.4 Chequeos para asegurar que el reporte producido corresponda con el solicitado 9.5 Control sobre las órdenes de trabajo no retiradas 9.6 Protección de la información previa entrega al usuario 10. CAPTURA DE DATOS ASPECTOS A CUBRIR

10.1 Forma de recepción de los trabajos 10.2 Criterios para asignar tareas Experiencia del personal en determinados trabajos Cargas de trabajo Grado de dificultad de trabajo 10.3 Formas de reportar los errores detectados en la captura 10.4 Protección de documentos fuente 10.5 Supervisión del personal 11. PROCESO DE DATOS ASPECTOS A CUBRIR 11.1 Formas de controlar las órdenes de trabajo 11.2 Existencias de los manuales de operación de cada aplicación 11.3 Reportes de tiempos utilizados 11.4 Registros del mantenimiento de equipos

12. CINTOTECA ASPECTOS A CUBRIR 12.1 Accesos a la cintoteca – Control sobre el contenido de cada archivo – Uso de etiquetas internas – Existencia de un registro de todos los dispositivos de almacenamiento – Directorios del contenido de archivos – Procedimientos de control sobre: Cintas Discos Otros Control sobre: – Antigüedad, condiciones de uso y estado de los dispositivos almacenamiento. – Control sobre el préstamo de dispositivos de almacenamiento.

PLANIFICACIÓN A – ACTIVIDADES PREVIAS A – ACTIVIDADES DEL SERVICIO T – MATRIZ DE RIESGOS A – OBJETIVOS A – ALCANCE A – PRESUPUESTOS (COSTO) T – PROGRAMAS DE AUDITORIA T – CONOCIMEIENTO DE TI A – DEPARTAMENTOS DE ENTREGA DE INFORME (FECHA, DIRIGIDO) T – CUESTIONARIOS A UTILIZAR

de