Zusammenfassung der Ressource
Auditoria de sistemas
unidad 3. control interno
- Cap. 1. generalidades de control
Anlagen:
- lecc. 1.concepto de control
Anmerkungen:
- Control es verificar que todo ocurra de acuerdo a las reglas establecidas y las
órdenes impartidas
- lecc.2. clasificación de los controles
- preventivos
Anmerkungen:
- Son aquellos que reducen la frecuencia con que ocurren las causas del
riesgo, permitiendo cierto margen de violaciones.
- detectivos
Anmerkungen:
- Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. Son los mas importantes para el auditor.
- correctivos
Anmerkungen:
- Ayudan a la investigación y corrección de las causas del riesgo. La
corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la
implantación de controles detectivos sobre los controles correctivos, debido
a que la corrección de errores es en si una actividad altamente propensa a
errores.
- lecc.3. objetivos de control
- se adopta para establecer estandares
- medir su cumplimiento
- evaluar el alcance real de los planes y programas
- con su adopción ayuda en la
protección y salvaguarda de los bienes
- lecc. 4.elementos y utilidad del control
Anmerkungen:
- Conocer los elementos fundamentales del control, permite identificar la forma
de utilizar el control interno en las empresas y así poder aplicar ese
conocimiento al control interno en sistemas, y más concretamente a las
aplicaciones especificas de auditoria de sistemas computacionales
- El control en las instituciones tiene una razón de ser, de acuerdo con los planes
y programas de cada empresa, ya que inicialmente nos permite establecer los
estándares que ayudarán a obtener la información necesaria para evaluar el
cumplimiento adecuado de los planes y programas previamente definidos; más
tarde, con la información recopilada, ayudará a comparar lo que se alcanzó
realmente contra lo esperado; por último, esta evaluación sirve para
retroalimentar con mejoras y correcciones los planes y programas que servirán
de base para el futuro.
- elementos
- Una característica medible
y controlable para la que se
conocen estándares
- Un medio (instrumento
censor) para medir las
características
- Un medio para comparar los
resultados reales con los
estándares y evaluar las diferencias
- Un medio para efectuar
cambios en el sistema a fin de
ajustarlos a las necesidades
- utilidad de control
- Permite diseñar y establecer las
normas, estándares y criterios de
medición para poder evaluar el
cumplimiento de planes y programas.
- Ayuda a evaluar el cumplimiento y
desempeño de las funciones, actividades y
tareas de los integrantes de una empresa,
comparando lo alcanzado contra lo esperado
- Permite medir la eficiencia y
eficacia en el cumplimiento de las
operaciones de una empresa, al
comparar lo realmente alcanzado
contra lo esperado.
- Contribuye a la detección de
fallas y desviaciones, así como
a la corrección de errores en el
desempeño de las actividades y
operaciones de una empresa.
- Ayuda a modificar los
planes y programas como
consecuencia de la
valoración de los resultados
- Retroalimenta la
planeación y programación
de las empresas
- lecc.5. caracteristicas, ciclo de aplicación del control
- caracteristicas
Anmerkungen:
- Para que el control en las empresas sea verdaderamente efectivo, es
obligatorio considerar algunas de sus características fundamentales al momento
de establecerlo. Entre algunas de esas características están
- oportuno
Anmerkungen:
- Ésta característica es la esencia del control, debido a que es la presentación
a tiempo de los resultados obtenidos con su aplicación; es importante
evaluar dichos resultados en el momento que se requieran, no antes porque
so desconocerían sus verdaderos alcances, ni después puesto que ya no
servirían para nada.
- cuantificable
Anmerkungen:
- Para que verdaderamente se puedan comparar los resultados alcanzados
contra los esperados, es necesario que sean medíbles en unidades
representativas de algún valor numérico para así poder cuantificar,
porcentual o numéricamente lo que se haya alcanzado.
- calificable
Anmerkungen:
- Así como los valores de comparación deben ser numéricos para su
cuantificación, en auditoria en sistemas computacionales, se dan casos de
evaluaciones que no necesariamente deben ser de tipo numérico, ya que,
en algunos casos específicos, en su lugar se pueden sustituir estas
unidades de valor por conceptos de calidad o por medidas de cualidad;
mismas que son de carácter subjetivo, pero pueden ser aplicados para
evaluar el cumplimiento, pero relativos a la calidad; siempre y cuando en la
evaluación sean utilizados de manera uniforme tanto para planear como
para medir los resultados.
- confiable
Anmerkungen:
- Para que el control sea útil, debe señalar resultados correctos sin
desviaciones ni alteraciones y sin errores de ningún tipo, a fin de que se
pueda confiar en que dichos resultados siempre son valorados con los
mismos parámetros.
- estandares
y normas de
evaluacion
Anmerkungen:
- Al medir los resultados alcanzados, éstos deberán compararse de acuerdo
con los estándares y normas previamente establecidos, a fin de contemplar
las mismas unidades para planear y controlar; con esto se logra una
estandarización que permite valorar adecuadamente los alcances obtenidos.
- ciclo de aplicación
Anmerkungen:
- Para que el control sea aplicado correctamente, las organizaciones deben
establecer un ciclo adecuado que va desde el establecimiento en planes y
programas iniciales hasta su culminación en la retroalimentación
- Determina objetivos y estrategias
- Planea programas
- Determina cargas de trabajo
- Asigna los recursos
requeridos a las
cargas de trabajo
- Adquiere/delega autoridad
para utilizar recursos
- Desempeña el trabajo
- Compara el desempeño con el plan
- Compara los objetivos
alcanzados con los
objetivos deseados
- Compara el programa alcanzado
con el programa planeado
- cap.2. control interno
Anmerkungen:
- El control interno es la adopción de una serie de medidas que se establecen en
las empresas, con el propósito de contar con instrumentos tendientes a proteger
la integridad de los bienes institucionales y así ayudar a la administración y
cumplimiento correctos de las actividades y operaciones de las empresas. Con
la implantación de tales medidas se pueden conseguir los siguientes beneficios:
- Proteger y salvaguardar los bienes de la empresa y a su personal.
Prevenir y, en su caso, descubrir la presencia de fraudes, robos y
acciones dolosas.
Obtener la información contable, financiera y administrativa de manera
confiable y oportuna.
Promover el desarrollo correcto de las funciones, operaciones y
actividades de la empresa.
- lecc.1.
definición
y objetivos
del control
interno
- definicion
Anmerkungen:
- El control interno es el establecimiento de los mecanismos y estándares de
control que se adoptan en las empresas, a fin de ayudarse en la administración
correcta de sus recursos, en la satisfacción de sus necesidades de seguridad,
en la salvaguarda y protección de los activos institucionales, en la ejecución
adecuada de sus funciones, actividades y operaciones, y en el registro correcto
de sus operaciones contables y reportes de resultados financieros; todo ello
para el mejor cumplimiento del objetivo institucional."
- El control interno es el
establecimiento de los
mecanismos y estándares de
control que se adoptan en las
empresas, a fin de ayudarse en
la administración correcta de
sus recursos, en la satisfacción
de sus necesidades de
seguridad, en la salvaguarda y
protección de los activos
institucionales, en la ejecución
adecuada de sus funciones,
actividades y operaciones, y en
el registro correcto de sus
operaciones contables y
reportes de resultados
financieros; todo ello para el
mejor cumplimiento del objetivo
institucional."
- objetivos
- Establecer la
seguridad y
protección de
los activos de
la empresa.
- Incrementar
la eficiencia
y eficacia en
el desarrollo
de las
operaciones
y actividades
de la
empresa.
- Establecer y
hacer cumplir las
normas, políticas
y procedimientos
que regulan las
actividades de la
empresa.
- Implantar los
métodos, técnicas y
procedimientos que
permitan desarrollar
adecuadamente las
actividades, tareas
y funciones de la
empresa.
- Evitar o
reducir
fraudes
- Salvaguarda
contra el
desperdicio
y contra la
insuficiencia
- Comprobar la
corrección y
veracidad de
los informes
contables
- Salvaguardar
los activos de
la empresa
- Promover la
eficiencia en
operación y
fortalecer la
adherencia a
las normas
fijadas por la
administración
- lecc..2.
importancia y
métodos del
control interno
para la auditoria
Anmerkungen:
- Todas las empresas, sean publicas, privadas, deben contar con instrumentos
adecuados de control que les permitan llevar su administración con eficiencia y
eficacia. Por esta razón es tan importante contar con un control interno en la
empresa, para satisfacer sus expectativas en cuanto a la salvaguarda y
custodia de sus bienes, a la promoción de la confiabilidad, oportunidad y
veracidad de sus registros contables y la emisión de su información financiera,
a la implantación correcta de los métodos, técnicas y procedimientos que le
permitan desarrollar adecuadamente sus actividades, tareas y funciones, así
como al establecimiento y cumplimiento de las normas, políticas y
procedimientos que regulan sus actividades.
- importancia
- El establecimiento de un
sistema de control interno
facilita a las autoridades de
la empresa la evaluación y
supervisión y, en su caso, la
corrección de los planes,
presupuestos y programas
que determinarán el rumbo
a seguir en la institución, de
acuerdo con la misión,
visión y objetivos de ésta.
Con sólo cumplir lo anterior
se justificaría la importancia
del control interno
- métodos
- métodos de
cuestionario
Anmerkungen:
- en el cual se evalúan, por medio de cuestionarios, los
procesos, rutinas y medidas básicas de la empresa, tanto las fundamentales y
las principales como las secundarias con las que se llevan a cabo las
actividades de la empresa
- ventajas
- Representa un
ahorro de tiempo.
- Por su amplitud cubre con
diferentes aspectos, lo que
contribuye a descubrir si
algún procedimiento se
alteró o descontinuó.
- Es flexible para
conocer la mayor
parte de las
características del
control interno.
- desventajas
- El estudio de dicho
cuestionario puede
ser laborioso por su
extensión
- Muchas de las
respuestas si son
positivas o
negativas resultan
intrascendentes si
no existe una idea
completa del
porque de estas
respuestas
- Su empleo es el
más generalizado,
debido a la rapidez
de la aplicación.
- método
gráfico
Anmerkungen:
- en el cual se hace la evaluación de los mismos aspectos, pero
mediante esquemas, gráficos, cuadros, flujos de operación y demás aspectos
esquemáticos que ayudan a entender visualmente este control interno.
- cartas
maestras
- Las cartas
maestras
presentan las
relaciones
existentes entre
los principales
departamentos.
- cartas
suplementarias
- Las cartas
suplementarias
muestran cada
una, la estructura
de departamento
en forma más
detallada.
- ventajas
- Proporciona
una rápida
visualización
de la
estructura
del negocio.
- desventajas
- Pérdida de
tiempo cuando
no se está
familiarizado a
este sistema
- Dificultad para realizar
pequeños cambios o
modificaciones ya que
se debe elaborar de
nuevo.
- método
mixto
- que es la combinación de los
dos anteriores, ya que
interroga por medio de
cuestionarios y complementa
los procesos, rutinas, y
procedimientos de la empresa
por medio de graficas,
cuadros y diagramas
- lecc.3.
elementos
del control
interno
- Ambiente de control
- define al conjunto de circunstancias que enmarcan el accionar de una
entidad desde la perspectiva del control interno y que son por lo tanto
determinantes del grado en que los principios de este último imperan
sobre las conductas y los procedimientos organizacionales.
- Evaluación de riesgos
- El control interno ha sido pensado esencialmente para limitar
los riesgos que afectan las actividades de las organizaciones
- Actividades de control
- Están constituidas por los procedimientos específicos establecidos
como un reaseguro para el cumplimiento de los objetivos, orientados
primordialmente hacia la prevención y neutralización de los riesgos
- Información y comunicación
- informacion
- permiten identificar, recoger, procesar y divulgar datos relativos a los
hechos o actividades internas y externas, y funcionan muchas veces como
herramientas de supervisión a través de rutinas previstas a tal efecto.
- comunicación
- permiten identificar, recoger, procesar y divulgar datos relativos a los
hechos o actividades internas y externas, y funcionan muchas veces como
herramientas de supervisión a través de rutinas previstas a tal efecto.
- Supervisión o monitoreo
- actividades continuas
- son aquellas incorporadas a las actividades normales y recurrentes
que, ejecutándose en tiempo real y arraigadas a la gestión, generan
respuestas dinámicas a las circunstancias sobrevinientes
- evaluaciones puntuales.
- Su alcance y frecuencia están determinados por la
naturaleza e importancia de los cambios y riesgos que éstos
conllevan, la competencia y experiencia de quienes aplican
los controles, y los resultados de la supervisión continuada
- Son ejecutados por los propios responsables de las
áreas de gestión (autoevaluación), la auditoria interna
(incluidas en el planeamiento o solicitadas
especialmente por la dirección), y los auditores externos.
- La tarea del evaluador es averiguar
el funcionamiento real del sistema
- Responden a una determinada metodología, con técnicas y
herramientas para medir la eficacia directamente o a través de la
comparación con otros sistemas de control probadamente buenos
- El nivel de documentación de los controles varía
según la dimensión y complejidad de la entidad.
- lecc.4. principiode control interno
- division del trabajo
- Consiste en dividir entre varias personas o departamentos
una operación determinada de forma tal que esta no se
inicie ni termine en la misma persona o departamento, lo
que posibilita que los segundos verifiquen y conozcan el
trabajo que realizaron los primeros
- objetivos
- lograr que el trabajo de la contabilidad y otras operaciones
estén tan subdivididas que ninguna persona tenga el control
completo de los cobros e ingresos, los pagos, las compras,
los gastos, la confección de las nóminas y las ventas.
- descubrir errores y fraudes
- fijación de responsabilidad
- consiste en que toda persona, departamento, etc. tenga
fijada documentalmente y conozca la responsabilidad, no
solo de sus funciones si no de la relacionada con los
medios y recursos que tienen a su cargo, sus atribuciones,
facultades y responsabilidades en relación con estos.
- cargo y descargo
- directamente relacionados con ceder
y aceptar la responsabilidad de un
recurso en cada operación o
transacción, debe quedar
absolutamente claro, mediante la firma
en los documentos correspondientes,
quien recibe y quien entrega, en qué
cantidad y qué tipo de recurso.
- lecc.5. el control interno y la practica de la auditoria
- el auditor requiere de evidencias suficientes; estas se presentan
como evidencias primarias y evidencias corroboradas.
- mientras más consistente sea la evidencia primaria,
se requiere menos evidencia corroborativa o viceversa
- mientras menos confiable sea la evidencia primaria
se requerirá mayor evidencia corroboradora
- Cuando el control interno es débil el auditor puede subsanar tal situación
aumentando el volumen y la variedad de las pruebas corroboradoras para
determinar la confiabilidad de las cuentas u operaciones sujetas a examen
- cap.3. control interno informatico
- lecc.1. objetivos del control interno informatico
- Controlar que todas las actividades se realizan cumpliendo
los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
- Asesorar sobre el
conocimiento de las normas.
- Colaborar y apoyar el trabajo de Auditoria Informática,
así como de las auditorias externas al Grupo
- Definir, implantar y ejecutar mecanismos y controles para
comprobar el logro de los grados adecuados del servicio
informático, lo cual no debe considerarse como que la
implantación de los mecanismos de medida y la responsabilidad
del logro de esos niveles se ubique exclusivamente en la función
de Control Interno, sino que cada responsable de objetivos y
recursos es responsable de esos niveles, así como de la
implantación de los medios de medida adecuados
- lecc.2. elementos del control interno informatico
- Controles internos sobre la
organización del área de informática.
Anmerkungen:
- Al instalar este elemento de control interno informático, se busca determinar si
la estructura de organización del área de sistemas computacionales es la más
apropiada para que estos funcionen con eficacia y eficiencia en la empresa;
esto se logra mediante el diseño adecuado de cargos, unidades de trabajo,
líneas de autoridad y canales de comunicación, complementados con la
definición correcta de funciones y actividades, la asignación de responsabilidad
y la definición clara de los perfiles de cargos
- Controles internos sobre el análisis,
desarrollo e implementación de sistemas
Anmerkungen:
- Para cumplir con este elemento de control interno informático, es necesario
utilizar alguna de las metodologías para el análisis y diseño de sistemas. La
metodología general para el desarrollo de sistemas (análisis, diseño,
programación, pruebas y correcciones, documentación, capacitación,
implementación y mantenimiento) garantiza el análisis, desarrollo e
implementación correctos de cualquier sistema.
- Controles internos sobre la operación del sistema
Anmerkungen:
- Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la
operación de dichos sistemas. Su existencia ayuda a verificar el cumplimiento
de los objetivos del control interno tales como:
Establecer la seguridad y protección de la información, del sistema de
cómputo y de los recursos informáticos de la empresa.
Promover la confiabilidad, oportunidad y veracidad de la captura de
datos, su procesamiento en el sistema y la emisión de informes.
- Controles internos sobre los procedimientos de entrada de datos,
el procesamiento de información y la emisión de resultados
Anmerkungen:
- La adopción de estos controles en el área de sistematización es de gran ayuda
en el procesamiento de información.
Para lograr la eficiencia y eficacia al establecer este elemento en la captura de
datos, es necesario tener bien establecidos aquellos métodos, procedimientos
y actividades que regularan la entrada de datos al sistema, verificar que los
datos sen procesados de manera oportuna, evaluar la veracidad de los datos
que se introducen al sistema y proporcionar la información que se requiere en
las demás áreas de la empresa.
- Controles internos sobre la seguridad del área de sistemas
Anmerkungen:
- se encuentra la seguridad de sus recursos
informáticos, del personal, de la información, de sus programas, etc., esto se
puede lograra a través de medidas preventivas o correctivas, o mediante el
diseño de programas de prevención de contingencias para la disminución de
riesgos. Dentro de los principales aspectos de este elemento se encuentran:
- fisica
- logica
- de las bases de datos
- en la operación
- lecc.3. control interno y auditoria
Anmerkungen:
- Personal interno
Conocimientos especializados en tecnología de la
información y verificación del cumplimiento de controles
internos, normativa y procedimientos establecidos por la
dirección de informática y la dirección general para los
sistemas de información.
- control
interno
informatico
- Análisis de
los controles
en el día a día
- Informa a la
dirección del
departamento
de informática
- Solo
personal
interno
- El alcance de
sus funciones
es sobre el
departamento
de informática
- auditor
informatico
- Análisis de
un momento
informático
determinado
- Informa a la
dirección
general de la
organización
- Personal
Interno y/o
externo
- Tiene cobertura
sobre todos los
componentes de
los sistemas de
información de la
organización
- lecc.4. necesidad de una auditoria informatica
Anmerkungen:
- Las empresas sienten la necesidad de realizar una auditoria cuando presentan
indicios de: descoordinación y desorganización, mala imagen e insatisfacción
de los usuarios, debilidades económico-financiero y de Inseguridad
- Síntomas de
descoordinación y
desorganización
Anmerkungen:
- No coinciden los objetivos
de la Informática de la Compañía y de la propia Compañía.
- Los estándares de productividad se
desvían sensiblemente de los
promedios conseguidos habitualmente
Anmerkungen:
- (Puede ocurrir con algún cambio
masivo de personal, o en una reestructuración fallida de alguna área o en la
modificación de alguna Norma importante).
- Síntomas de mala imagen e
insatisfacción de los usuarios
Anmerkungen:
- No se atienden
las peticiones de cambios de los usuarios. Ejemplos: cambios de Software
en los terminales de usuario, resfrecamiento de paneles, variación de los
ficheros que deben ponerse diariamente a su disposición, etc.. No se
reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente. No se cumplen en todos los casos los plazos de
entrega de resultados periódicos. Pequeñas desviaciones pueden causar
importantes desajustes en la actividad del usuario, en especial en los
resultados de Aplicaciones críticas y sensibles.
- Síntomas de debilidades económico-financieras
Anmerkungen:
- Incremento desmesurado
de costos. Necesidad de justificación de Inversiones Informáticas (la
empresa no está absolutamente convencida de tal necesidad y decide
contrastar opiniones). Desviaciones Presupuestarias significativas. Costos
y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
- Síntomas de Inseguridad
Anmerkungen:
- Evaluación de nivel de riesgos (Seguridad
Lógica, Seguridad Física, Confidencialidad). Continuidad del Servicio. Es un
concepto aún más importante que la Seguridad. Establece las estrategias
de continuidad entre fallos mediante Planes de Contingencia Totales y
Locales. Centro de Proceso de Datos fuera de control. Si tal situación
llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón
por la cual, en este caso, el síntoma debe ser sustituido por el mínimo
indicio.
- lecc.5. inplantación de un sistema de controles internos
- entorno real
Anmerkungen:
- esquema de la red, descripción de la configuración
hardware de comunicaciones, descripción del software que se utiliza
como acceso a las telecomunicaciones, control de red, situación general
de los ordenadores de entornos de base que soportan aplicaciones
críticas y consideraciones relativas a la seguridad de la red.
- configuración del ordenador base
Anmerkungen:
- Configuración del soporte físico, en
torno del sistema operativo, software con particiones, entornos( pruebas
y real ), bibliotecas de programas y conjunto de datos
- Procesos de transacciones, sistemas
de gestión de base de datos y
entornos de procesos distribuidos.
Anmerkungen:
- Procesos de transacciones, sistemas de
gestión de base de datos y entornos de procesos distribuidos.
- productos y herramientas
Anmerkungen:
- Software para desarrollo de programas,
software de gestión de bibliotecas y para operaciones automáticas
- seguridad del ordenador base
Anmerkungen:
- Identificar y verificar usuarios, control
de acceso, registro e información, integridad del sistema, controles de
supervisión, etc.
- habra que definir
- gestion de sistema de información
Anmerkungen:
- políticas, pautas y normas
técnicas que sirvan de base para el diseño y la implantación de los
sistemas de información y de los controles correspondientes.
- administracon de sistemas
Anmerkungen:
- Controles sobre la actividad de los
centros de datos y otras funciones de apoyo al sistema, incluyendo la
administración de las redes.
- seguridad
Anmerkungen:
- incluye las tres clases de controles fundamentales
implantados en el software del sistema, integridad del sistema,
confidencialidad (control de acceso) y disponibilidad.
- gestion del cambio
Anmerkungen:
- separación de las pruebas y la producción a nivel
del software y controles de procedimientos para la migración de
programas software aprobados y probados.