2011 ii cap 01 - fundamentos control interno

Introducción

SI/TI

Introducción

La información viaja a través del ciberespacio sin ninguna

restricción de tiempo, distancia y velocidad.

• Aumento de la dependencia de la información, así como de los sistemas

que proporcionan dicha información.

• Aumento de la vulnerabilidad, así como un amplio espectro de

amenazas (como las amenazas del ciberespacio y la lucha por la

información).

Auditoría - Concepto

Actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. • Contenido: una opinión. • Condición: profesional. • Justificación: sustentada en determinados procedimientos. • Objeto: una determinada información obtenida de un cierto elemento o

sujeto de análisis. • Finalidad: determinar si presenta adecuadamente la realidad o ésta

responde a las expectativas que le son atribuidas.

Clases de Auditoría

Financiera. El objeto de esta es revisar las cuentas anuales, y

su finalidad es presentar la realidad de dichas cuentas.

Informática. Su objeto es la revisión de sistemas de

información, recursos informáticos, planes de contingencia, etc.

La finalidad es comprobar la operatividad, según las normas

establecidas.

Clases de Auditoría

Gestión. Su objeto es la dirección, y su finalidad es

comprobar la eficacia, eficiencia y economía.

Cumplimiento. El objeto es comprobar las normas

establecidas. La finalidad es ver que las operaciones se

adecuan a estas normas.

Control Interno

Control Interno Informático

El control interno informático controla diariamente que todas las

actividades del sistemas de información sean realizadas

cumpliendo los procedimientos, estándares y normas fijados

por la Dirección de la Organización y/o la Dirección de

Informática, así como los requerimientos legales.

• La misión del Control Interno Informático es asegurarse de que las

medidas que se obtienen de los mecanismos implantados por cada

responsable sean correctas y validas

Objetivos del Control Interno

• Controlar que todas las actividades se realicen cumpliendo los

procedimientos, normas y asegurarse del cumplimiento de las normas

legales.

• Asesorar sobre el conocimiento de las normas.

• Colaborar y apoyar el trabajo de Auditoría Informática, así como de las

auditorías externas.

• Definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los grados adecuados del servicio informático.

Auditoría Informática

Proceso de recoger, agrupar y evaluar evidencias para

determinar si un sistema informatizado salvaguarda los activos,

mantiene la integridad de los datos, lleva a cabo eficazmente

los fines de la organización y utiliza eficientemente los

recursos.

Auditoría Informática

La auditoría informática sustenta y confirma la consecución de

los objetivos tradicionales de la auditoría, los cuales son:

• Objetivos de protección de activos e integridad de datos.

• Objetivos de gestión que abarcan, no solamente los de protección de

activos sino también los de eficacia y eficiencia.

Funciones del Auditor Informático

• Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informáticas, así como en las

fases análogas de realización de cambios importantes.

• Revisar y juzgar los controles implantados en los sistemas informáticos

para verificar su adecuación a las órdenes e instrucciones de la

Dirección, requisitos legales, protección de confidencialidad y cobertura

ante errores y fraudes.

• Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de

los equipos e información.

Funciones del Auditor Informático

• Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informáticas, así como en las

fases análogas de realización de cambios importantes.

• Revisar y juzgar los controles implantados en los sistemas informáticos

para verificar su adecuación a las órdenes e instrucciones de la

Dirección, requisitos legales, protección de confidencialidad y cobertura

ante errores y fraudes.

• Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de

los equipos e información.

Auditoría Informática

Control Interno Informático Auditor Informático

Similitudes Personal Interno. Conocimientos especializados en Tecnologías de la Información. Verificación del Cumplimiento de Controles internos, normativas y

procedimientos establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.

Diferencias Análisis de los controles en el día a día.

Informa a la Dirección del Departamento de Informática.

Solo personal Interno. El alcance de sus funciones es

únicamente sobre el Departamento de Informática.

Análisis de un momento informático determinado.

Informa a la Dirección General de la Organización.

Personal Interno y/o externo. Tiene cobertura sobre todos los

componentes de los sistemas de información de la organización.

Sistema de Control Interno

Informático

Definición

Se puede definir el control interno como cualquier actividad o

acción realizada manual y/o automáticamente para prevenir,

corregir errores o irregularidades que puedan afectar al

funcionamiento de un sistema.

Objetivos de los Controles Informáticos

• Controles preventivos, para tratar de evitar el hecho.

• Controles detectivos, cuando fallan los preventivos, para tratar de

conocer cuanto antes el evento.

• Controles correctivos, facilitan la vuelta a la normalidad cuando se han

producido incidencias.

Perspectivas del Control

UBICACIÓN EN EL FLUJO DEL PROCESO

Entrada Proceso Salida

Oportunidad Preventivo Detectivo Correctivo

Co

sto

Re

pe

rcu

sió

n

Sistema de Control Interno - Actores

Determinará las pautas generales y

trazará los lineamientos para la

ejecución del Sistema de CI.

Operará las directrices trazadas por la

Gerencia y las contenidas en la norma

sobre el Sistema de Control Interno,

mediante la aplicación de herramientas

administrativas diseñadas para este

fin.

Como eje central del Sistema de CI,

debe realizar todas y cada una de sus

acciones atendiendo los conceptos de

autocontrol y auto evaluación,

apoyando las actividades orientadas a

fortalecer el funcionamiento del

sistema del organismo al cual

pertenece.

• Tienen el conocimiento

corporativo de la

Organización.

•Mirada objetiva,

independiente e imparcial.

•No tiene intereses creados.

•Planea en conjunto el S.C.I

de la Organización.

•Hace evaluación integral

de los planes y programas.

• Tiene una mirada

estratégica.

•Profundiza en los procesos

riesgosos de la institución

para determinar acciones.

DEPARTAMENTO DE

CONTROL INTERNO GERENCIA

JEFE DE

DEPARTAMENTO

FUNCIONARIO

Beneficio del Control Interno

Lograr que las piezas del motor funcionen armónica y sincronizadamente, de tal manera que cumpla su objetivo de generar el movimiento. • Ayudar a los directivos al logro razonable de las metas y objetivos

institucionales. • Integrar e involucrar al personal con los objetivos de control. • Ayudar al personal a medir su desempeño y por ende, a mejorarlo. • Contribuir a evitar el fraude. • Facilitar a los directivos la información de cómo se han aplicado los

recursos y cómo se han alcanzado los objetivos.

Contrato de Auditoria

Auditoría Informática

Comprende la revisión y la evaluación independiente y objetiva,

por parte de personas independientes y teóricamente

competentes del entorno informático de una entidad abarcando

todas o algunas de sus áreas, los estándares y procedimientos

en vigor, su idoneidad y el cumplimiento de estos, de los

objetivos fijados, los contratos y las normas legales aplicables,

el grado de satisfacción de usuarios y directivos, los controles

existentes y análisis de los riesgos relacionados con la

informática.

Auditoría de Sistemas de Información

ISACA (Information Systems Audit and Control Association). • Cualquier auditoría que abarca la revisión y evaluación de todos los

aspectos (o alguna sección/área) de los sistemas automatizados de

procesamiento de información, incluyendo procedimientos relacionados

no automáticos, y las interrelaciones entre ellos.

ISO 9000:2000 - Auditoría

Proceso sistemático, independiente y documentado para

obtener evidencias y evaluarlas de manera objetiva con el fin

de determinar el alcance al que se cumplen los procedimientos

o requisitos contra los que se compara la evidencia.

Partes de un Contrato de Auditoría

Empresa Auditada.

Auditor Informático.

Terceras personas.

Informe de Auditoría

Constituye el producto final del trabajo de auditoría y la única

documentación que va a llegar a quien la ha encargado. • Sus objetivos principales consisten en permitir al que revisa entender el

trabajo realizado, las circunstancias que afectan a su fiabilidad y las

conclusiones de la auditor, así como prevenir una interpretación errónea

del grado de responsabilidad asumido por el auditor.