Beruflich Dokumente
Kultur Dokumente
CURSO
TEMA
CONTROLES GENERALES
FACULTAD :
ESCUELA
ALUMNOS :
FACULTAD DE INGENIERIA
:
MAYO 2013
TACNA PERU
1. Introduccin
En una auditora basada en el anlisis de los riesgos, el estudio y revisin de los sistemas de
informacin en los que se sustenta la gestin de una entidad (empresa o fundacin pblica,
ayuntamiento, administracin de la comunidad autnoma, etc.) se ha convertido en una actividad de
importancia creciente, en la medida en que esa gestin se basa fundamentalmente en unos sistemas
de informacin que, en general, han ido adquiriendo una complejidad cada vez mayor, lo que ha
generado una serie de nuevos riesgos de auditora (inherentes y de control) que deben ser
considerados en la estrategia de auditora.
Muy esquemticamente, las etapas de una auditora ejecutada con el enfoque basado en el anlisis de
los riesgos son:
Informe
Procedimientos sustantivos.
Una vez adquirido un conocimiento general de la entidad, y antes de iniciar la revisin de los procesos
y aplicaciones de gestin significativos a los efectos de la auditora financiera y de sus controles, se
debe revisar la situacin de los controles generales, ya que el grado de confianza en los mismos
determinar la posterior estrategia de auditora.
En un entorno informatizado de complejidad media o alta, la revisin de los controles generales (CGTI)
requerir, normalmente, la colaboracin de un experto en auditora de sistemas de informacin y la
aplicacin de una metodologa especfica.
La norma de referencia en nuestro pas es la Norma Tcnica de Auditora del ICAC sobre la auditora
de cuentas en entornos informatizados (MF401). En el anexo de esta norma se definen y se establecen
una serie de categoras de CGTI y los objetivos de control relacionados.
La revisin de los CGTI (y de los controles de aplicacin) es un procedimiento indispensable para
reducir los riesgos de auditora a un nivel aceptable.
En entornos informatizados complejos, no ser posible concluir sobre la razonabilidad de las cuentas
examinadas sin haber revisado los CGTI salvo que se incurra en un riesgo global de auditora muy
elevado, no asumible desde un punto de vista tcnico.
2. Objetivos de esta etapa de la auditora
En este documento vamos a centrarnos en el estudio de la etapa de revisin de los controles generales,
que tiene los siguientes objetivos:
Nivel de la entidad
Los controles a este nivel se reflejan en la forma de funcionar de una organizacin, e incluyen
polticas, procedimientos y otras prcticas de alto nivel que marcan las pautas de la organizacin.
Son un componente fundamental del modelo COSO y deben tener en cuenta las operaciones TI
que respaldan la informacin financiera.
El ambiente o entorno de control y el compromiso con comportamientos ticos es una filosofa de
trabajo que debe emanar de arriba hacia abajo, desde los altos puestos directivos hacia el resto de
la organizacin. Es esencial que el tono adecuado de control sea marcado por los mximos
responsables de la entidad, que se enve un mensaje a toda la organizacin de que los controles
deben ser tomados en serio.
Los controles a nivel de entidad tienen influencia significativa sobre el rigor con el que el sistema
de control interno es diseado y opera en el conjunto de los procesos. La existencia de unos CGTI
rigurosos a este nivel, como son, por ejemplo, unas polticas y procedimientos bien definidos y
comunicados, con frecuencia sugieren un entorno operativo TI ms fiable.
En sentido contrario, las organizaciones con unos controles dbiles a este nivel es ms probable
que tengan dificultades a la hora de realizar actividades de control regularmente. Por consiguiente,
la fortaleza o debilidad de los controles a nivel de entidad tendr su efecto en la naturaleza,
extensin y momento en que se realicen las pruebas de auditora.
La capacidad de la direccin para eludir controles (management override) y un pobre tono de control
(que se manifiesta a nivel de la entidad) son dos aspectos comunes en un mal comportamiento
corporativo.
La identificacin de los CGTI debe integrarse en la evaluacin general de controles realizada a nivel
de entidad. Una slida comprensin de los controles a este nivel por parte del auditor, proporciona
una buena base para evaluar los controles relevantes relacionados con la informacin contable y
financiera en el nivel de los procesos de gestin.
Un proceso
Es establecido por el consejo de administracin, la administracin y el personal de una entidad
Diseado para proporcionar un aseguramiento razonable
El modelo COSO cambi la estructura de control de tres elementos (incluidos en el SAS 55) a
cinco componentes integrados:
Monitoreo
Informacin y Comunicacin
Actividades de Control
Ambiente de Control
Para comprender esta estructura de control desde otra perspectiva, vea la figura 1 del anlisis
del dominio de informacin.
Figura
2: Dominio del Proceso de Anlisis
Para poder realizar un diagnstico del control interno, se requiere de personal calificado, en su mayora
auditores, que lleven a cabo una auditora dentro de la organizacin para poder dar observaciones u
oportunidades de mejora a sus controles. La realizacin de la auditora en sistemas de informacin
implantados evitar los fraudes realizados con ayuda del computador y proporcionar informacin
confiable. La evaluacin del control interno, hace algunos aos, estuvo enfocada al control llevado a
cabo a nivel contable, ya que se deseaba analizar y detectar los posibles riesgos del control interno en
diferentes reas operativas, administrativas, contables y en auditora externa, para aplicar los
procedimientos, alcances y pruebas de los estados financieros.
Existen despachos que se especializan en realizar proyectos referentes al diagnstico del control
interno de las tecnologas de informacin en las organizaciones, y cada uno de ellos lleva su propia
metodologa; sin embargo, la mayora se basa en la metodologa COBIT.
4. Interrelacin de los controles generales con los controles de aplicacin
Los CG ayudan a asegurar el correcto funcionamiento de los sistemas de informacin mediante la
creacin de un entorno adecuado para el correcto funcionamiento de los controles de aplicacin.
Una evaluacin favorable de los CGTI da confianza al auditor sobre los controles de aplicacin
automatizados integrados en las aplicaciones de gestin (controles de aplicacin).
La eficacia de los controles generales es un factor significativo a la hora de determinar la eficacia de los
controles de aplicacin incluyendo los controles manuales de usuario. Sin unos controles generales
efectivos, los controles de aplicacin pueden dejar de ser efectivos ya que resultar mucho ms fcil
eludirlos. Por ejemplo, la emisin y revisin manual de un informe especial de elementos no
coincidentes puede ser un control de aplicacin efectivo; no obstante, dicho control dejar de ser
efectivo si los controles generales permitiesen realizar modificaciones no autorizadas de los programas,
de forma que determinados elementos quedasen excluidos deliberadamente de manera indebida del
informe revisado.
Unos CGTI ineficaces pueden impedir que los controles de aplicacin funcionen correctamente y
permitir que se den manifestaciones errneas significativas en las cuentas anuales y que stas no sean
detectadas. Por ejemplo, garantizar la seguridad de las bases de datos se considera un requisito
indispensable para que la informacin financiera sea fiable. Sin seguridad a nivel de base de datos, las
entidades estaran expuestas a cambios no autorizados en la informacin financiera.
El reto con los CGTI consiste en que estos controles casi nunca afectan a la informacin financiera
directamente, pero tienen un efecto generalizado y permanente en todos los controles internos. Es decir,
si un CGTI importante falla (p. ej. un control de restriccin de acceso a programas y datos), tiene un
efecto dominante en todos los sistemas que dependen de l, incluidas las aplicaciones financieras (por
consiguiente, sin estar seguros de que solamente los usuarios autorizados tienen acceso a las
aplicaciones financieras o a las bases de datos subyacentes, no se puede concluir que nicamente
aquellos usuarios con autorizacin iniciaron y aprobaron transacciones).
Si no existieran controles generales o no fueran efectivos, sera necesario adoptar un enfoque de
auditora basado exclusivamente en procedimientos sustantivos.
5. Categoras de controles generales
Tomando como base la categorizacin establecida la NTAEI (MF401), la Sindicatura de Cuentas tras
la experiencia adquirida en los trabajos de auditora de sistemas de informacin realizados en los
ltimos cinco aos (desde que se incorpor esta metodologa en los trabajos de fiscalizacin) ha
agrupado los CGTI en cinco categoras, de acuerdo con el esquema bsico mostrado en la Tabla 1, en
la que tambin se sealan las principales subcategoras y, esquemticamente, algunos de los controles
ms usuales que pueden incluirse en las mismas.
Tabla 1: Categoras de controles generales
Categoras de controles
A. Marco organizativo
Control licenciamiento software
B. Gestin de cambios
en aplicaciones y
sistemas
C. Operaciones de los
sistemas de
informacin
Operaciones TI
Inventario de hardware y software
Procedimientos de control de la actividad
Gestin de incidencias
Antivirus
Seguridad fsica
Controles de acceso fsico a la entidad
Controles de acceso fsico al CPD
Servicios externos
D. Controles de acceso a
datos y programas
E. Continuidad del
servicio
de continuidad
Plan de recuperacin de desastres Plan
de continuidad de la actividad
Pruebas peridicas
Centros alternativos de procesamiento
La carencia de unas normas tcnicas de auditora de general aceptacin para la revisin de los
CGTI en las auditoras provoca que los CGTI se agrupen en categoras diferentes no existiendo
unanimidad en cuanto a la clasificacin o categoras a establecer de dichos controles tal como
se ilustra en la figura 3:
Llevar a cabo una auditora de tecnologas de informacin requiere un mnimo de conocimientos sobre
temas tecnolgicos y sus impactos.
Existen diferentes tipos de auditoras:
Al ciclo de vida de sistemas
A un sistema en operacin
A controles generales del computador
A la administracin de la funcin informtica
Auditora a las microcomputadoras aisladas
Auditora de redes
El control interno informtico controla diariamente que todas las actividades de los sistemas de
informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la
direccin de la organizacin y/o direccin de informtica, as como los requerimientos legales.
Controles Generales
El propsito de los controles generales de TI es establecer un marco de referencia de control global
sobre las actividades de TI y proporcionar un nivel razonable de certeza de que se logran los objetivos
globales del control interno como son: efectividad, eficiencia, confidencialidad, integridad, disponibilidad,
cumplimiento y confiabilidad de la informacin financiera.
Los controles generales de TI pueden incluir:
Preinstalacin. Se refiere al acondicionamiento fsico y medidas de seguridad en el rea donde se
localiza el equipo de cmputo y a la capacitacin de personal y adquisicin o desarrollo de sistemas.
Controles de organizacin y administracin. Diseados para establecer un marco de referencia
organizacional sobre las actividades de TI, incluyendo: Polticas y procedimientos relativos a
funciones de control
Segregacin apropiada de funciones incompatibles (por ejemplo, preparacin de transacciones de
entrada a los sistemas, diseo y programacin de sistemas y operaciones de cmputo)
Desarrollo de sistemas de aplicacin y control de mantenimiento. Diseados para proporcionar
certeza razonable de que los sistemas se desarrollan y mantienen de manera eficiente y autorizada.
Tambin estn diseados para establecer control sobre:
Pruebas, conversin, implementacin y documentacin de sistemas nuevos y revisados
Cambios a sistemas
Acceso de documentacin de sistemas
Adquisicin de sistemas de aplicacin de terceros
Verificacin de controles sobre los cambios en la configuracin o estandarizacin de sistemas
integrados
Controles de operacin de cmputo y de seguridad. Diseados para controlar la operacin de los
sistemas y proporcionar certeza razonable de que:
Los sistemas son usados para propsitos autorizados nicamente
El acceso a las operaciones de cmputo es restringido a personal autorizado
Slo se usan programas autorizados
Los errores de procesamiento son detectados y corregidos
Controles de software de sistemas. Diseados para proporcionar certeza razonable de que el
software del sistema (sistema operativo) se adquiere o desarrolla de manera autorizada y eficiente,
incluyendo:
Autorizacin, aprobacin, anlisis, diseo, pruebas tcnicas, pruebas de usuario, implementacin,
liberacin y documentacin de software de sistemas nuevos y modificaciones del software de sistemas
Restriccin de acceso a software y documentacin de sistemas slo a personal autorizado
Controles de entrada de datos y programas (control de acceso). Diseados para proporcionar
certeza razonable de que:
Est establecida una estructura de autorizacin sobre las transacciones que se alimentan al sistema
El acceso a datos y programas est restringido a personal autorizado
Hay otras salvaguardas que contribuyen a la continuidad del procesamiento de TI y a promover
razonables prcticas de control, manuales o automatizadas, durante una interrupcin del sistema
principal. stas pueden incluir:
Respaldo de datos y programas de cmputo en otro sitio
Procedimientos de recuperacin para usarse en caso de robo, prdida o destruccin intencional o
accidental
Provisin para procesamiento externo en caso de desastre
Procedimientos y controles alternos durante el incidente de interrupcin
7.
Los controles relevantes a menudo respaldan ms de un objetivo de control. Por ejemplo, los
controles de acceso respaldan la integridad y validez de las transacciones financieras, las
valoraciones contables, la segregacin de tareas, etc. En la mayora de los casos, resulta efectivo
hacer una combinacin de controles relevantes a fin de alcanzar un objetivo concreto o bien una
serie de objetivos, para no depender demasiado de un solo control.
Los controles que hacen frente directamente a los riesgos significativos son con frecuencia
relevantes. Por ejemplo, el riesgo de acceso no autorizado es un riesgo significativo para la mayora
de entidades; por tanto, los controles de seguridad que previenen o detectan accesos no
autorizados son importantes.
Los controles preventivos son por regla general ms eficientes que los detectivos. Por lo tanto, los
controles preventivos se consideran a menudo relevantes. Por ejemplo, prevenir que se produzca
un fraude es mucho mejor que simplemente detectarlo despus de que haya ocurrido.
Los controles automatizados son ms fiables que los controles manuales. Por ejemplo, los controles
automatizados que obligan al usuario a cambiar peridicamente de contrasea son ms fiables que
las normas genricas que no son de uso forzoso. Los procesos manuales tambin estn expuestos
a errores humanos.
Para cada CGTI que se haya identificado como relevante, el auditor debe disear procedimientos para
analizar la efectividad de su diseo para realizar la actividad de control, considerando el riesgo TI y los
objetivos de la auditora. Si se concluye que el diseo es eficaz se disearn procedimientos de
auditora para verificar si est implementado y en funcionamiento durante todo el periodo auditado.
8.
Evaluacin de las incidencias detectadas
Las incidencias detectadas en la revisin de los CGTI se clasifican de la siguiente forma:
10
o detectar errores o irregularidades en un plazo razonable. Pueden ser deficiencia de diseo del
control (cuando un control necesario para alcanzar el objetivo de control no existe o no est
adecuadamente diseado) o deficiencias de funcionamiento (cuando un control adecuadamente
diseado no opera tal como fue diseado o la persona que lo ejecuta no lo realiza eficazmente).
Una debilidad material es una deficiencia significativa en el control interno o una combinacin de
ellas, respecto de las que existe una razonable posibilidad de que una manifestacin errnea
significativa en las cuentas anuales no sea prevenida o detectada y corregida en plazo oportuno.
Para determinar si una deficiencia de control, individualmente o junto con otras, constituye una
deficiencia significativa o una debilidad material, el auditor considerar varios factores, incluyendo los
siguientes:
La probabilidad de que una persona pueda obtener acceso no autorizado o ejecutar actividades no
autorizadas o inapropiadas en sistemas crticos de la entidad o archivos que puedan afectar a la
informacin con impacto en las cuentas anuales. Esto puede incluir:
(1) la habilidad para tener acceso a sistemas en los que residen aplicaciones crticas y que
posibilita a usuarios no autorizados a leer, aadir, borrar, modificar o extraer informacin
financiera, bien directamente o a travs de la utilizacin de software no autorizado;
(2) la habilidad para acceder directamente y modificar ficheros que contengan informacin
financiera; o
(3) la habilidad para asignar derechos de acceso a las aplicaciones a usuarios no autorizados, con
la finalidad de procesar transacciones no autorizadas.
La naturaleza de los accesos no autorizados que pueden conseguirse (por ejemplo: limitados a
programadores del sistema o de las aplicaciones o a administradores del sistema; a todos los
usuarios; a alguien externo a travs de acceso no autorizados por Internet) o la naturaleza de las
actividades no autorizadas o inadecuadas que pueden llevarse a cabo.
La probabilidad de que importes de las cuentas anuales estn afectados de forma significativa.
El riesgo de que la direccin de la entidad pueda burlar los controles (por ejemplo, mediante
derechos de acceso excesivos).
Adems al evaluar las deficiencias de un CGTI deben hacerse otras consideraciones adicionales:
11
combinado de las deficiencias de control relacionadas con las solicitudes de nuevos accesos y las
revisiones de los derechos de acceso en una aplicacin contable, cuestiona la validez de los
permisos de acceso en esa aplicacin y en consecuencia plantea dudas sobre la validez de las
transacciones dentro del sistema de informacin.
9. Conclusiones
Para que un equipo de profesionales logre obtener un resultado homogneo, como si lo hiciera
uno solo, es habitual el uso de metodologas en las empresas auditoras/consultoras
profesionales, las cuales son desarrolladas por los ms expertos para conseguir resultados
homogneos en equipos de trabajo heterogneos.
La proliferacin de metodologas en el mundo de la auditora y el control informticos se puede
observar en los primeros aos de la dcada de los ochenta, paralelamente al nacimiento y
comercializacin de determinadas herramientas metodolgicas (como el software de anlisis
de riesgos).Pero el uso de mtodos de auditora es casi paralelo al nacimiento de la informtica,
en lo que existen muchas disciplinas, cuyo uso de metodologas constituyen una prctica
habitual. Una de ellas es la seguridad de los sistemas de informacin. ste y no otro, debe ser
el campo de actuacin de un auditor informtico del siglo XXI.
El objetivo de todas las actividades del control de TI es asegurar la proteccin de los recursos
informticos y mejorar la eficiencia de los procesos que ya estn establecidos en la
organizacin; lo que derivar en una mayor exactitud en los reportes financieros, adems de
que proveer seguridad a todos aquellos relacionados con la empresa.
Los controles generales de la tecnologa de informacin, sin importar que se trate de controles
preventivos, detectivos o correctivos, son parte importante en la evaluacin del control interno
en las empresas y representan, por su cobertura alrededor de los procesos de negocio,
controles clave que asegurarn el cumplimiento de los objetivos del control interno, as como
los de la informacin.
12