Beruflich Dokumente
Kultur Dokumente
Agenda
Gobierno de IT
Relacin Gobierno Corporativo
Gobierno IT
Criterios de Evaluacin Aspectos IT
2
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
El rol de la Tecnologa de la
Informacin
Para la mayora de las organizaciones, IT es dominante
en los procesos de negocio y de control interno. Hay
muy pocos controles que no dependan de algn modo
de IT.
Las Aplicaciones de Sistemas son comnmente
utilizadas para iniciar, registrar, procesar e informar
transacciones de negocio.
Controles relevantes de IT: incluidos en aplicaciones
financieras (controles de aplicacin), como as tambin
los de infraestructura de IT.
3
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Fallas Operacionales
Problemas e incidentes
Administracin de datos
IT Governance - Objetivos
Direccionar los esfuerzos de IT, para asegurar
que se cumplen los siguientes objetivos:
5
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
6
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
UK and EU Data
Protection Act
Hong Kong
Privacy Ordinance
Electronic
Communications
and Transactions
Act
Promotion of
Access To
Information Act
Interception of
Communications
Act
King II Guidelines
Guidelines for
the Protection of
Computer
Processed
Personal Data
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Marco de Control
COSO - marco de control estndar de Control
Interno
COSO no provee una gua especfica de controles
de IT.
Algunas fuentes reconocidas para suplementar
COSO en temas de IT son:
CobiT (Control Objectives for Information
Technology)
ISO 17799 - 27001
8
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Ambiente de Control
El ambiente de control de IT es parte
del ambiente de control general.
El tone at the top debe existir en IT
desde el nivel del CIO.
Se deben establecer responsabilidades
y dueos de los controles
especficamente
Deben existir polticas y procedimientos
de los controles de IT formalmente
documentados.
Evaluacin de Riesgos
Debe existir un proceso de evaluacin de
riesgos de IT.
Los riesgos de IT incluyen temas como
seguridad, operaciones, disponibilidad,
etc., que impactan en la confiabilidad de
ICFR.
La alta gerencia debe entender el
impacto de los riesgos de IT relacionados
con los controles de IT.
Informacin y Comunicacin
Implementacin de infraestructura,
estndares y procesos que soporten las
comunicaciones.
Oportuna generacin de informes para la
Gerencia
Accesibilidad a las polticas,
procedimientos, descripciones de
puestos de trabajo y responsabilidades
de IT.
Correcta consolidacin y comunicacin
de reportes e informacin financiera.
Monitoreo
Se deben monitorear los controles
internos de IT para evaluar
constantemente la efectividad del diseo
y su aplicacin.
Se debe controlar que la documentacin
de IT sea adecuada.
Deben existir auditorias internas del rea
de IT
Debe existir un proceso de control y
monitoreo de las actividades de
remediacin y escalamiento.
Monitoreo de seguridad continuo.
9
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Violaciones de seguridad
Disponibilidad inconsistente
Interfaces demasiado complejas
Sistemas sin soporte
Inesperado aumento en volumen de transacciones
Cambios excesivos a los programas
Sistemas no documentados
Sistemas customizados en exceso
Confianza excesiva en controles manuales
Implementaciones no estandarizadas
Conversiones problemticas de datos
Controles del ambiente de IT inconsistentes
Implementacin de tecnologas nuevas y no probadas
Importante rotacin de los puestos claves del rea de IT
10
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
11
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Operaciones de Sistemas de
Informacin
Seguridad de la Informacin
Implementacin y
Mantenimiento
de Sistemas de Aplicacin
Implementacin y soporte de
Base de Datos
Soporte de Red
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
12
13
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Controles de Aplicacin
14
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Cuenta
Cuenta Significativa
Significativa del
del Balance
Balance
Balance
Balance
(A\R)
(A\R)
Estado
Estado de
de
Resultados
Resultados
G/L
G/L
Inventarios
Inventarios
Otros
Otros
Clases
Clases de
de Transacciones
Transacciones
Ventas
Ventas
Devoluciones
Devoluciones
Cancelaciones
Cancelaciones
Procesos
Procesos de
de Negocio
Negocio
Proceso
Proceso de
de Ventas
Ventas
Reporte
Reporte Financiero
Financiero
Proceso
Proceso Adm.
Adm. A\R
A\R
Etapas
Etapas del
del Proceso
Proceso
Inicio
Inicio
Registro
Registro
Procesamiento
Procesamiento
Reporte
Reporte
Controles
Controles de
de Aplicacin
Aplicacin
Seg.
Seg. De
De Funciones
Funciones
Soporte Software
De Base
Seguridad
Seguridad
Integridad
Integridad de
de Datos
Datos
Integridad
Integridad
Controles
Controles Generales
Generales
Operaciones
Operaciones
Desarr. Y Mant. De
Aplicaciones
Validacin
Validacin
Soporte
Soporte de
de Redes
Redes
Impl.
Impl. YY soporte
soporte de
de
base
base de
de datos
datos
15
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Ejemplo 2:
17
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Deficiencias en Controles
Generales del Computador
Tres situaciones en las que una deficiencia de control al nivel
de controles generales podra subir al nivel de una debilidad
material
19
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Repaso de lo Discutido
20
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.
Gracias!
Alfredo Angel Pagano
apagano@deloitte.com
21
XI CLAI Argentina 2006 - Todos los derechos reservados por el Instituto de Auditores Internos de Argentina.