Auditoria de sistemas unidad 3. control interno

Attachments:

• Auditoria de sistemas unidad 3. control interno_1

1. lecc. 1.concepto de control

   Annotations:

   • Control es verificar que todo ocurra de acuerdo a las reglas establecidas y las órdenes impartidas
2. lecc.2. clasificación de los controles
   1. preventivos

      Annotations:

      • Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
   2. detectivos

      Annotations:

      • Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor.
   3. correctivos

      Annotations:

      • Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
3. lecc.3. objetivos de control
   1. se adopta para establecer estandares
   2. medir su cumplimiento
   3. evaluar el alcance real de los planes y programas
   4. con su adopción ayuda en la protección y salvaguarda de los bienes
4. lecc. 4.elementos y utilidad del control

   Annotations:

   • Conocer los elementos fundamentales del control, permite identificar la forma de utilizar el control interno en las empresas y así poder aplicar ese conocimiento al control interno en sistemas, y más concretamente a las aplicaciones especificas de auditoria de sistemas computacionales
   • El control en las instituciones tiene una razón de ser, de acuerdo con los planes y programas de cada empresa, ya que inicialmente nos permite establecer los estándares que ayudarán a obtener la información necesaria para evaluar el cumplimiento adecuado de los planes y programas previamente definidos; más tarde, con la información recopilada, ayudará a comparar lo que se alcanzó realmente contra lo esperado; por último, esta evaluación sirve para retroalimentar con mejoras y correcciones los planes y programas que servirán de base para el futuro.
   1. elementos
      1. Una característica medible y controlable para la que se conocen estándares
      2. Un medio (instrumento censor) para medir las características
      3. Un medio para comparar los resultados reales con los estándares y evaluar las diferencias
      4. Un medio para efectuar cambios en el sistema a fin de ajustarlos a las necesidades
   2. utilidad de control
      1. Permite diseñar y establecer las normas, estándares y criterios de medición para poder evaluar el cumplimiento de planes y programas.
      2. Ayuda a evaluar el cumplimiento y desempeño de las funciones, actividades y tareas de los integrantes de una empresa, comparando lo alcanzado contra lo esperado
      3. Permite medir la eficiencia y eficacia en el cumplimiento de las operaciones de una empresa, al comparar lo realmente alcanzado contra lo esperado.
      4. Contribuye a la detección de fallas y desviaciones, así como a la corrección de errores en el desempeño de las actividades y operaciones de una empresa.
      5. Ayuda a modificar los planes y programas como consecuencia de la valoración de los resultados
      6. Retroalimenta la planeación y programación de las empresas
5. lecc.5. caracteristicas, ciclo de aplicación del control
   1. caracteristicas

      Annotations:

      • Para que el control en las empresas sea verdaderamente efectivo, es obligatorio considerar algunas de sus características fundamentales al momento de establecerlo. Entre algunas de esas características están
      1. oportuno

         Annotations:

         • Ésta característica es la esencia del control, debido a que es la presentación a tiempo de los resultados obtenidos con su aplicación; es importante evaluar dichos resultados en el momento que se requieran, no antes porque so desconocerían sus verdaderos alcances, ni después puesto que ya no servirían para nada.
      2. cuantificable

         Annotations:

         • Para que verdaderamente se puedan comparar los resultados alcanzados contra los esperados, es necesario que sean medíbles en unidades representativas de algún valor numérico para así poder cuantificar, porcentual o numéricamente lo que se haya alcanzado.
      3. calificable

         Annotations:

         • Así como los valores de comparación deben ser numéricos para su cuantificación, en auditoria en sistemas computacionales, se dan casos de evaluaciones que no necesariamente deben ser de tipo numérico, ya que, en algunos casos específicos, en su lugar se pueden sustituir estas unidades de valor por conceptos de calidad o por medidas de cualidad; mismas que son de carácter subjetivo, pero pueden ser aplicados para evaluar el cumplimiento, pero relativos a la calidad; siempre y cuando en la evaluación sean utilizados de manera uniforme tanto para planear como para medir los resultados.
      4. confiable

         Annotations:

         • Para que el control sea útil, debe señalar resultados correctos sin desviaciones ni alteraciones y sin errores de ningún tipo, a fin de que se pueda confiar en que dichos resultados siempre son valorados con los mismos parámetros.
      5. estandares y normas de evaluacion

         Annotations:

         • Al medir los resultados alcanzados, éstos deberán compararse de acuerdo con los estándares y normas previamente establecidos, a fin de contemplar las mismas unidades para planear y controlar; con esto se logra una estandarización que permite valorar adecuadamente los alcances obtenidos.
   2. ciclo de aplicación

      Annotations:

      • Para que el control sea aplicado correctamente, las organizaciones deben establecer un ciclo adecuado que va desde el establecimiento en planes y programas iniciales hasta su culminación en la retroalimentación
      1. Determina objetivos y estrategias
      2. Planea programas
      3. Determina cargas de trabajo
      4. Asigna los recursos requeridos a las cargas de trabajo
      5. Adquiere/delega autoridad para utilizar recursos
      6. Desempeña el trabajo
      7. Compara el desempeño con el plan
      8. Compara los objetivos alcanzados con los objetivos deseados
      9. Compara el programa alcanzado con el programa planeado

Annotations:

• El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumentos tendientes a proteger la integridad de los bienes institucionales y así ayudar a la administración y cumplimiento correctos de las actividades y operaciones de las empresas. Con la implantación de tales medidas se pueden conseguir los siguientes beneficios:
• Proteger y salvaguardar los bienes de la empresa y a su personal. Prevenir y, en su caso, descubrir la presencia de fraudes, robos y acciones dolosas. Obtener la información contable, financiera y administrativa de manera confiable y oportuna. Promover el desarrollo correcto de las funciones, operaciones y actividades de la empresa.

1. lecc.1. definición y objetivos del control interno
   1. definicion

      Annotations:

      • El control interno es el establecimiento de los mecanismos y estándares de control que se adoptan en las empresas, a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los activos institucionales, en la ejecución adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional."
      1. El control interno es el establecimiento de los mecanismos y estándares de control que se adoptan en las empresas, a fin de ayudarse en la administración correcta de sus recursos, en la satisfacción de sus necesidades de seguridad, en la salvaguarda y protección de los activos institucionales, en la ejecución adecuada de sus funciones, actividades y operaciones, y en el registro correcto de sus operaciones contables y reportes de resultados financieros; todo ello para el mejor cumplimiento del objetivo institucional."
   2. objetivos
      1. Establecer la seguridad y protección de los activos de la empresa.
      2. Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades de la empresa.
      3. Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las actividades de la empresa.
      4. Implantar los métodos, técnicas y procedimientos que permitan desarrollar adecuadamente las actividades, tareas y funciones de la empresa.
      5. Evitar o reducir fraudes
      6. Salvaguarda contra el desperdicio y contra la insuficiencia
      7. Comprobar la corrección y veracidad de los informes contables
      8. Salvaguardar los activos de la empresa
      9. Promover la eficiencia en operación y fortalecer la adherencia a las normas fijadas por la administración
2. lecc..2. importancia y métodos del control interno para la auditoria

   Annotations:

   • Todas las empresas, sean publicas, privadas, deben contar con instrumentos adecuados de control que les permitan llevar su administración con eficiencia y eficacia. Por esta razón es tan importante contar con un control interno en la empresa, para satisfacer sus expectativas en cuanto a la salvaguarda y custodia de sus bienes, a la promoción de la confiabilidad, oportunidad y veracidad de sus registros contables y la emisión de su información financiera, a la implantación correcta de los métodos, técnicas y procedimientos que le permitan desarrollar adecuadamente sus actividades, tareas y funciones, así como al establecimiento y cumplimiento de las normas, políticas y procedimientos que regulan sus actividades.
   1. importancia
      1. El establecimiento de un sistema de control interno facilita a las autoridades de la empresa la evaluación y supervisión y, en su caso, la corrección de los planes, presupuestos y programas que determinarán el rumbo a seguir en la institución, de acuerdo con la misión, visión y objetivos de ésta. Con sólo cumplir lo anterior se justificaría la importancia del control interno
   2. métodos
      1. métodos de cuestionario

         Annotations:

         • en el cual se evalúan, por medio de cuestionarios, los procesos, rutinas y medidas básicas de la empresa, tanto las fundamentales y las principales como las secundarias con las que se llevan a cabo las actividades de la empresa
         1. ventajas
            1. Representa un ahorro de tiempo.
            2. Por su amplitud cubre con diferentes aspectos, lo que contribuye a descubrir si algún procedimiento se alteró o descontinuó.
            3. Es flexible para conocer la mayor parte de las características del control interno.
         2. desventajas
            1. El estudio de dicho cuestionario puede ser laborioso por su extensión
            2. Muchas de las respuestas si son positivas o negativas resultan intrascendentes si no existe una idea completa del porque de estas respuestas
            3. Su empleo es el más generalizado, debido a la rapidez de la aplicación.
      2. método gráfico

         Annotations:

         • en el cual se hace la evaluación de los mismos aspectos, pero mediante esquemas, gráficos, cuadros, flujos de operación y demás aspectos esquemáticos que ayudan a entender visualmente este control interno.
         1. cartas maestras
            1. Las cartas maestras presentan las relaciones existentes entre los principales departamentos.
         2. cartas suplementarias
            1. Las cartas suplementarias muestran cada una, la estructura de departamento en forma más detallada.
         3. ventajas
            1. Proporciona una rápida visualización de la estructura del negocio.
         4. desventajas
            1. Pérdida de tiempo cuando no se está familiarizado a este sistema
            2. Dificultad para realizar pequeños cambios o modificaciones ya que se debe elaborar de nuevo.
      3. método mixto
         1. que es la combinación de los dos anteriores, ya que interroga por medio de cuestionarios y complementa los procesos, rutinas, y procedimientos de la empresa por medio de graficas, cuadros y diagramas
3. lecc.3. elementos del control interno
   1. Ambiente de control
      1. define al conjunto de circunstancias que enmarcan el accionar de una entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en que los principios de este último imperan sobre las conductas y los procedimientos organizacionales.
   2. Evaluación de riesgos
      1. El control interno ha sido pensado esencialmente para limitar los riesgos que afectan las actividades de las organizaciones
   3. Actividades de control
      1. Están constituidas por los procedimientos específicos establecidos como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la prevención y neutralización de los riesgos
   4. Información y comunicación
      1. informacion
         1. permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto.
      2. comunicación
         1. permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades internas y externas, y funcionan muchas veces como herramientas de supervisión a través de rutinas previstas a tal efecto.
   5. Supervisión o monitoreo
      1. actividades continuas
         1. son aquellas incorporadas a las actividades normales y recurrentes que, ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las circunstancias sobrevinientes
      2. evaluaciones puntuales.
         1. Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios y riesgos que éstos conllevan, la competencia y experiencia de quienes aplican los controles, y los resultados de la supervisión continuada
         2. Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la auditoria interna (incluidas en el planeamiento o solicitadas especialmente por la dirección), y los auditores externos.
         3. La tarea del evaluador es averiguar el funcionamiento real del sistema
         4. Responden a una determinada metodología, con técnicas y herramientas para medir la eficacia directamente o a través de la comparación con otros sistemas de control probadamente buenos
         5. El nivel de documentación de los controles varía según la dimensión y complejidad de la entidad.
4. lecc.4. principiode control interno
   1. division del trabajo
      1. Consiste en dividir entre varias personas o departamentos una operación determinada de forma tal que esta no se inicie ni termine en la misma persona o departamento, lo que posibilita que los segundos verifiquen y conozcan el trabajo que realizaron los primeros
      2. objetivos
         1. lograr que el trabajo de la contabilidad y otras operaciones estén tan subdivididas que ninguna persona tenga el control completo de los cobros e ingresos, los pagos, las compras, los gastos, la confección de las nóminas y las ventas.
         2. descubrir errores y fraudes
   2. fijación de responsabilidad
      1. consiste en que toda persona, departamento, etc. tenga fijada documentalmente y conozca la responsabilidad, no solo de sus funciones si no de la relacionada con los medios y recursos que tienen a su cargo, sus atribuciones, facultades y responsabilidades en relación con estos.
   3. cargo y descargo
      1. directamente relacionados con ceder y aceptar la responsabilidad de un recurso en cada operación o transacción, debe quedar absolutamente claro, mediante la firma en los documentos correspondientes, quien recibe y quien entrega, en qué cantidad y qué tipo de recurso.
5. lecc.5. el control interno y la practica de la auditoria
   1. el auditor requiere de evidencias suficientes; estas se presentan como evidencias primarias y evidencias corroboradas.
   2. mientras más consistente sea la evidencia primaria, se requiere menos evidencia corroborativa o viceversa
   3. mientras menos confiable sea la evidencia primaria se requerirá mayor evidencia corroboradora
   4. Cuando el control interno es débil el auditor puede subsanar tal situación aumentando el volumen y la variedad de las pruebas corroboradoras para determinar la confiabilidad de las cuentas u operaciones sujetas a examen

1. lecc.1. objetivos del control interno informatico
   1. Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
   2. Asesorar sobre el conocimiento de las normas.
   3. Colaborar y apoyar el trabajo de Auditoria Informática, así como de las auditorias externas al Grupo
   4. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y la responsabilidad del logro de esos niveles se ubique exclusivamente en la función de Control Interno, sino que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados
2. lecc.2. elementos del control interno informatico
   1. Controles internos sobre la organización del área de informática.

      Annotations:

      • Al instalar este elemento de control interno informático, se busca determinar si la estructura de organización del área de sistemas computacionales es la más apropiada para que estos funcionen con eficacia y eficiencia en la empresa; esto se logra mediante el diseño adecuado de cargos, unidades de trabajo, líneas de autoridad y canales de comunicación, complementados con la definición correcta de funciones y actividades, la asignación de responsabilidad y la definición clara de los perfiles de cargos
   2. Controles internos sobre el análisis, desarrollo e implementación de sistemas

      Annotations:

      • Para cumplir con este elemento de control interno informático, es necesario utilizar alguna de las metodologías para el análisis y diseño de sistemas. La metodología general para el desarrollo de sistemas (análisis, diseño, programación, pruebas y correcciones, documentación, capacitación, implementación y mantenimiento) garantiza el análisis, desarrollo e implementación correctos de cualquier sistema.
   3. Controles internos sobre la operación del sistema

      Annotations:

      • Este elemento se encarga de verificar y vigilar la eficiencia y eficacia en la operación de dichos sistemas. Su existencia ayuda a verificar el cumplimiento de los objetivos del control interno tales como: Establecer la seguridad y protección de la información, del sistema de cómputo y de los recursos informáticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captura de datos, su procesamiento en el sistema y la emisión de informes.
   4. Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados

      Annotations:

      • La adopción de estos controles en el área de sistematización es de gran ayuda en el procesamiento de información. Para lograr la eficiencia y eficacia al establecer este elemento en la captura de datos, es necesario tener bien establecidos aquellos métodos, procedimientos y actividades que regularan la entrada de datos al sistema, verificar que los datos sen procesados de manera oportuna, evaluar la veracidad de los datos que se introducen al sistema y proporcionar la información que se requiere en las demás áreas de la empresa.
   5. Controles internos sobre la seguridad del área de sistemas

      Annotations:

      • se encuentra la seguridad de sus recursos informáticos, del personal, de la información, de sus programas, etc., esto se puede lograra a través de medidas preventivas o correctivas, o mediante el diseño de programas de prevención de contingencias para la disminución de riesgos. Dentro de los principales aspectos de este elemento se encuentran:
      1. fisica
      2. logica
      3. de las bases de datos
      4. en la operación
3. lecc.3. control interno y auditoria

   Annotations:

   • Personal interno Conocimientos especializados en tecnología de la información y verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección de informática y la dirección general para los sistemas de información.
   1. control interno informatico
      1. Análisis de los controles en el día a día
      2. Informa a la dirección del departamento de informática
      3. Solo personal interno
      4. El alcance de sus funciones es sobre el departamento de informática
   2. auditor informatico
      1. Análisis de un momento informático determinado
      2. Informa a la dirección general de la organización
      3. Personal Interno y/o externo
      4. Tiene cobertura sobre todos los componentes de los sistemas de información de la organización
4. lecc.4. necesidad de una auditoria informatica

   Annotations:

   • Las empresas sienten la necesidad de realizar una auditoria cuando presentan indicios de: descoordinación y desorganización, mala imagen e insatisfacción de los usuarios, debilidades económico-financiero y de Inseguridad
   1. Síntomas de descoordinación y desorganización

      Annotations:

      • No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
   2. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente

      Annotations:

      • (Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante).
   3. Síntomas de mala imagen e insatisfacción de los usuarios

      Annotations:

      • No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.
   4. Síntomas de debilidades económico-financieras

      Annotations:

      • Incremento desmesurado de costos. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). Desviaciones Presupuestarias significativas. Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).
   5. Síntomas de Inseguridad

      Annotations:

      • Evaluación de nivel de riesgos (Seguridad Lógica, Seguridad Física, Confidencialidad). Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia Totales y Locales. Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.
5. lecc.5. inplantación de un sistema de controles internos
   1. entorno real

      Annotations:

      • esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
   2. configuración del ordenador base

      Annotations:

      • Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos
   3. Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

      Annotations:

      • Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.
   4. productos y herramientas

      Annotations:

      • Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas
   5. seguridad del ordenador base

      Annotations:

      • Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.
   6. habra que definir
      1. gestion de sistema de información

         Annotations:

         • políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.
      2. administracon de sistemas

         Annotations:

         • Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
      3. seguridad

         Annotations:

         • incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
      4. gestion del cambio

         Annotations:

         • separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.