AUDITORIA DE SISTEMAS

22

CONTENIDOS:

CONTROL INTERNO
CONTROL INTERNO INFORMATICO
CONTROL INTERNO Y LA AUDITORIA
COBIT

23

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

Esta referido fundamentalmente a la adopcin

de medidas preventivas, que tienen como
finalidad salvaguardar los bienes de la
empresa. Busca evitar acciones nefastas como
sabotajes, fraudes y otro tipo de situaciones
que lleven a inestabilidad o desaparicin del
negocio.

24

Carlos Muoz Razzo

El control interno es la adopcin de una serie de
medidas que se establecen en las empresas, con
el propsito de contar con instrumentos
tendientes a salvaguardar la integridad de los
bienes institucionales y as ayudar a la
administracin para el cumplimiento correcto de
las actividades y operaciones de las empresas.

25

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

Jos Antonio Echenique :

El control interno comprende el plan de
organizacin y todos los mtodos y
procedimientos que en forma coordinada se
adoptan en un negocio para salvaguardar sus
actividades, verificar la razonabilidad y
confiabilidad de su informacin financiera,
promover la eficiencia operacional y proveer la
adherencia a las polticas prescritas por la
administracin

26

Algo es claro y evidente, la nueva economa

ha obligado a las empresas a realizar
cambios. Algunos de estos cambios, se
pueden resumir en:
Restructuracin de los procesos empresariales
(BPR: Business Process Re-engineering).
Gestin de la calidad (TQM).
Redimensionamiento por reduccin o crecimiento
hasta el nivel correcto.
Outsourcing.
Descentralizacin.
27

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

Los grandes cambios en las empresas, no

siempre son voluntarios, estos
generalmente responden a fuerzas externas
que presionan a la empresa.
Ante esta situacin, las empresas deben
evaluar sus sistemas de control interno de
manera permanente. Para enfrentar y
manejar estas fuerzas, se hace necesaria la
adopcin de la tecnologa disponible.
Empr
esas

28

Los Sistemas de informacin constituyen un

soporte fundamental para poner en marcha
las estrategias planteadas por la alta
direccin. Lo que origina tambin un
aumento de las necesidades de control y
auditoria. Es en este escenario que
aparecen dos conceptos fundamentales: El
control interno informtico y la Auditoria
informtica.
Empresa
s

29

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

Alianzas
Estratgicas

Globalizacin

Empresas

Desaparicin
de nichos de
mercados

Competencia

30

Es un proceso realizado por la direccin, gerencia y otros

empleados de la entidad, para proporcionar seguridad
razonable, respecto a si estn logrndose los objetivos
siguientes:
1. Promover la efectividad, eficiencia y economa en las
operaciones y, la calidad en los servicios.
2.Proteger y conservar los recursos pblicos contra
cualquier
prdida,
despilfarro,
uso
indebido,
irregularidad o acto legal
3.Cumplir las leyes, reglamentos y otras normas
gubernamentales
4.Elaborar informacin financiera vlida y confiable,
presentada con oportunidad.
5.Promover una Cultura de Integridad, Transparencia y
Responsabilidad den la Funcin Pblica, cautelando el
correcto desempeo de los funcionarios y servidores.

31

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

En las entidades gubernamentales realizan

la
funcin
de
control
interno
los
funcionarios y servidores de la entidad de
acuerdo a sus niveles de responsabilidad.

32

QUIN EVALUA EL CONTROL INTERNO?

Los auditores de la entidad (OCI) de la Contralora

General de la Repblica y las SOAs, mediante
auditoras o exmenes especiales.

33

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

Se encarga de que el control de las

actividades informticas, se realicen
cumpliendo los estndares fijados por la
organizacin. Este control debe tener carcter
preventivo, detectivo y correctivo.

34

Las medidas preventivas son aquellas

orientadas a la prevencin de riesgos o
situaciones anmalas a las fijadas en la
institucin. Un ejemplo de esto es prevenir
accesos no deseados a las aplicaciones.

35

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

Las medidas detectivas son aquellas que

muestran evidencia de incumplimiento o
intentos de quebrantar los estndares fijados.
Podramos citar como situacin ilustrativa la
revisin de la bitcora de accesos fallidos a
las aplicaciones con el fin de detectar horas y
equipos desde donde se hace los intentos
fallidos de acceso.

36

Las medidas correctivas se orientan a

recuperarnos ante la vulnerabilidad de las
medidas preventivas. Van a ser evaluadas por
su efectividad y tiempos de respuesta.
Ejemplo de esto es las medidas orientadas a
recuperase de los daos ocasionados por un
acceso no deseado.

37

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

El control interno informtico, suele ser un

staff de la Direccin del departamento de
informtica y esta dotado de las personas y
medios materiales proporcionados a los
cometidos que se le encomienden. En nuestro
pas la constitucin de este staff va a
depender de la magnitud de la organizacin.

38

OBJETIVOS:
Control de las actividades orientadas al
cumplimiento de los procedimientos y normas
fijados por la organizacin as como el
cumplimiento de las normas legales.
Asesorar al personal de la organizacin sobre el
conocimiento de las normas.
Colaborar y apoyar el trabajo de auditoria
Informtica.
Definir, implantar y ejecutar mecanismos y
controles as como establecer responsabilidades en
la evaluacin y ejecucin de las medidas
preventivas.
39

Ms. Ing. Alberto Mendoza De los Santos

AUDITORIA DE SISTEMAS

TIPOS: Segn los objetivos se clasifica en:

Controles preventivos: para tratar de evitar el
hecho, como un software de seguridad que impida
los accesos no autorizados al sistema.

40

TIPOS
Controles detectivos: cuando fallan los preventivos
para tratar de conocer cuanto antes el evento. Por
ejemplo, el registro de intentos de accesos no
autorizados, el registro de la actividad diaria para
detectar errores u omisiones, etc.

41

Ms. Ing. Alberto Mendoza De los Santos

10

AUDITORIA DE SISTEMAS

TIPOS
Controles correctivos: facilitan la vuelta a la
normatividad cuando se han producido incidencias.
Por ejemplo, la recuperacin de un archivo daado
a partir de las copias de seguridad.

42

El control interno Informtico y la auditora

Informtica, tienen similitudes en sus
objetivos profesionales. Son campos anlogos
que propician una transicin natural entre
ambas disciplinas. Sin embargo existen
diferencias que conviene resaltar.

43

Ms. Ing. Alberto Mendoza De los Santos

11

AUDITORIA DE SISTEMAS

CONTROL INTERNO Y AUDITORIA

Poltica de Seguridad

Plan de Seguridad

Normas y Procedimientos

Medidas Tecnolgicas implantadas

FORMACION Y MENTALIZACION

44

AUDITORA
INFORMATICA

CONTROL INTERNO
INFORMATICO
SIMILITUDES

Conocimientos especializados en Tecnologa de la Informacin.

Verificacin del cumplimiento de controles internos, normativa y
procedimientos establecidos por la direccin de informtica y la
Direccin General para los sistemas de informacin.

DIFERENCIAS

Anlisis de los controles en

el da a da.
Informa a la Direccin del
Departamento de
Informtica.
Slo personal interno.
El alcance de sus funciones
es nicamente para el
Departamento de
Informtica.

Anlisis de un momento informtico

determinado.
Informa a la Direccin General de la
Organizacin.
Personal interno y/o externo.
Tiene cobertura sobre todos los
componentes de los sistemas de
informacin de la Organizacin.

45

Ms. Ing. Alberto Mendoza De los Santos

12

AUDITORIA DE SISTEMAS

ENTIDADES QUE LO REPRESENTAN

Reconocida como lder mundial

en el gobierno, control y
evaluacin de TI.

Ms. Ing. Alberto Mendoza De los Santos

13

AUDITORIA DE SISTEMAS

Control
OBjectives
for Information
and Related Technology
(Objetivos de Control para Tecnologa de la
Informacin y Tecnologas relacionadas)

COBIT es un modelo de gestin y control de TI, con

el objetivo de consensuar: los riesgos del negocio,
las necesidades de control, y los aspectos
tecnolgicos, mediante la entrega de buenas
prcticas aplicables a una estructura lgica de
procesos y actividades.

Ms. Ing. Alberto Mendoza De los Santos

14

AUDITORIA DE SISTEMAS

Investigar, desarrollar, publicitar y promover un

actualizado, confiable e internacionalmente
aceptado conjunto de Objetivos para el control de
TI, a ser utilizados en el desarrollo habitual de las
operaciones tanto por gerentes del negocio, como
por auditores.

Dependencia creciente del negocio frente a la

informacin
La Tecnologa soporta la cuasi totalidad de los
procesos del negocio
Los desarrollos constantes en TI y en las prcticas
de negocio
La responsabilidad por el uso de la tecnologa se
extiende en la organizacin
Los cambios ms importantes se realizan pero
igual contina la presin hacia el cambio
Nivel de inversiones en tecnologa

Ms. Ing. Alberto Mendoza De los Santos

15

AUDITORIA DE SISTEMAS

Constante aumento de vulnerabilidades y un

amplio espectro de amenazas.
Potencial de TI para efectuar cambios profundos en
las organizaciones, crear nuevas oportunidades de
negocios y reducir los costos
Incremento de la necesidad de contar con un
modelo adecuado de gobernabilidad corporativa
(corporate governance)

Gerentes

decisiones de inversin en TI
equilibrar riesgo y control de las inversiones
benchmarking entre la situacin de TI actual y la

deseada

Usuarios

obtencin de una seguridad adecuada sobre los

productos y servicios de TI que ellos adquieren,
internamente y externamente

Auditores

fundamentar las opiniones vertidas a la gerencia en

materia de control interno
aconsejar sobre los controles mnimos necesarios

Ms. Ing. Alberto Mendoza De los Santos

16

AUDITORIA DE SISTEMAS

El enfoque del control en TI se lleva a cabo

visualizando la informacin necesaria para
dar soporte a los procesos de negocio y
considerando a la informacin como el
resultado de la aplicacin combinada de
recursos relacionados con las TI que deben
ser administrados por procesos de TI.

Dominios

Procesos
Actividades
o tareas

Agrupacin natural de procesos,

normalmente corresponden a un
dominio o una responsabilidad
organizacional
Conjuntos o series de actividades
unidas con delimitacin o cortes de
control.
Acciones requeridas para lograr un
resultado medible. Las actividades
tienen un ciclo de vida mientras
que las tareas son discretas.

Ms. Ing. Alberto Mendoza De los Santos

17

AUDITORIA DE SISTEMAS

La Gerencia: para apoyar sus decisiones de

inversin en TI y control sobre el rendimiento de
las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: quienes obtienen una
garanta sobre la seguridad y el control de los
productos que adquieren interna y externamente.

Los Auditores : para soportar sus opiniones

sobre los controles de los proyectos de TI , su
impacto en la organizacin y determinar el control
mnimo requerido.
Los Responsables de TI: para identificar los
controles que requieren en sus reas

Ms. Ing. Alberto Mendoza De los Santos

18

AUDITORIA DE SISTEMAS

Provee un renovado y autorizado Framework de

Administracin y gobierno para la informacin
empresarial y tecnologa relacionada.
Integra las mejores guas y framewoks de ISACA.
Se alinea con otros Frameworks y estndares de
buenas prcticas.

Ms. Ing. Alberto Mendoza De los Santos

19

AUDITORIA DE SISTEMAS

La informacin es un recurso clave para toda

la empresa.
La informacin es creada, usada, retenida,
revelada y destruida.
La tecnologa juega un rol clave en estas
acciones.
La tecnologa est penetrando en todos los
aspectos de los negocios y la vida personal.

Las empresas y sus ejecutivos, se esfuerzan

para:
Mantener informacin de calidad para soportar las
decisiones de negocio.
Generar valor para el negocio a partir de las
inversiones en TI.
Alcanzar la excelencia operacional a travs de la
aplicacin de Tecnologa de manera fiable y
eficiente.
Mantener el riesgo asociado a TI en un nivel
aceptable.
Optimizar el costo de tecnologa y servicios de TI.

Ms. Ing. Alberto Mendoza De los Santos

20

AUDITORIA DE SISTEMAS

Ms. Ing. Alberto Mendoza De los Santos

21