AUDITORÍA DEL PROCESAMIENTO ELECTRÓNICO DE DATOS - Joel Manso

Vista previa del material en texto

UNIDAD 7: AUDITORÍA DEL PROCESAMIENTO ELECTRÓNICO DE DATOS
Bibliografía:
- Vázquez y Caniggia, “La Empresa. Procedimientos Básicos, Cursogramas y Control Interno”, Cap. 6
7.1 CONCEPTOS DE CONTROL EN SISTEMAS DE INFORMACIÓN
RIESGO
El riesgo es el potencial que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasione pérdidas o daño a los activos. El impacto o severidad del riesgo es proporcional de la pérdida o daño y a la frecuencia estimada de la amenaza para el negocio.
Elementos:
· Amenazas a los procesos y o activos y vulnerabilidades de los mismos.
· Impacto sobre los activos basados en las amenazas y vulnerabilidades.
· Probabilidades de amenazas.
El proceso de administración del riesgo comienza identificando los objetivos de negocios, los activos de información y los sistemas de información subyacentes o recursos de información que generan, almacenan, usan o manipulan los activos críticos para lograr estos objetivos. El mayor grado de esfuerzo de administración del riesgo debe estar dirigido a los que se consideran más sensitivos o críticos para la organización.
En la etapa de mitigación de riesgos, el estudio de las contramedidas debería realizarse mediante un análisis costo-beneficio, donde los controles para mitigar los riesgos son seleccionados para reducirlos hasta un nivel aceptable para la gerencia.
La fase final se relaciona con los niveles de supervisión del desempeño de los riesgos que están siendo administrados cuando se identifican cambios significativos en el ambiente que provocarían una reevaluación del riesgo, garantizando cambios a su ambiente de control.
PAUTAS DE CONTROL
Las pautas de control son las políticas, los procedimientos, prácticas y estructuras organizacionales para reducir el riesgo.
Clasificación de los Controles
	CLASE
	FUNCIÓN
	EJEMPLOS
	PREVENTIVOS
	- Detectar problemas antes que surjan,
- Monitorear tanto las operaciones como el ingreso de datos,
- Tratar de predecir los problemas potenciales antes que ocurran y hacer ajustes,
- Impedir que ocurra un error, una omisión o un acto malicioso.
	1. Emplear sólo personal calificado.
2. Segregar las unciones.
3. controlar el acceso a las instalaciones.
4. Usar documentos bien diseñados.
5. Establecer procedimientos adecuados para autorizar transacciones.
6. Verificaciones programadas de edición.
7. Uso de software de control de acceso que permita que sólo el personal autorizado tenga acceso a archivos sensitivos.
	DE DETECCIÓN
	- Controles que detectan que ha ocurrido un error, una omisión o acto malicioso y lo reportan.
	1. Totales brutos.
2. Puntos de verificación en los trabajos de producción.
3. Controles de eco en las telecomunicaciones.
4. Verificación doble de los cálculos.
5. Realización periódica de reportes de transacciones con variaciones.
6. Reportes de cuentas vencidas.
7. Funciones de auditoría interna.
	CORRECTIVOS
	- Minimizar l impacto de una amenaza.
- Remediar problemas descubiertos por controles de detección.
- Identificar causa de un problema.
- Corregir los errores que surjan de un problema.
- Modificar el o los sistemas de procesamiento para minimizar en el futuro.
	1. Planeación de contingencias.
2. Procedimientos de copias de seguridad.
3. Procedimientos de nueva ejecución de programas.
OBJETIVOS DEL CONTROL INTERNO
Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado implementando procedimientos de control en una actividad en particular. Es el medio por el cual se alcanzan los objetivos de control y que incluyen:
· Controles internos contables que están dirigidos, en primer lugar, a las operaciones de contabilidad. Ellos se ocupan de salvaguardar los activos y de la fiabilidad de los registros financieros.
· Controles operativos que se ocupan de las operaciones, funciones y actividades cotidianas y aseguran que la operación esté cumpliendo los objetivos del negocio.
· Controles administrativos que se ocupan de la eficiencia operativa en un área funcional y el acatamiento de las políticas gerenciales, incluyendo controles operativos. Éstos pueden describirse como que se ocupan específicamente de la eficiencia operativa y del acatamiento de las políticas organizativas.
Funciones de Control:
· Salvaguarda de los activos de tecnología de información. La información en los sistemas automatizados es preservada de accesos impropios y se mantiene actualizada.
· Garantía de la integridad de los entornos operativos generales, que incluyen administración de red y operaciones.
· Cumplimiento de las políticas corporativas o requisitos legales. Los requerimientos de los usuarios son satisfechos en tiempo y forma, así como también las políticas y requerimientos organizativos, las leyes y las reglamentaciones aplicables.
· Garantía de la integridad de los entornos sensitivos y críticos del sistema de aplicación, incluyendo información contable/financiera y administrativa a través de:
1. Autorización en el ingreso. Cada transacción es autorizada e ingresada una sola vez.
2. Exactitud e integridad en el procesamiento de las transacciones. Todas las transacciones son registradas e ingresadas en la computadora en el período correcto.
3. Confiabilidad de las actividades generales de procesamiento de información 
4. Exactitud, integridad y seguridad de la información de salida.
5. Integridad de la base de datos.
· Desarrollo de planes de continuidad de negocio y recuperación de desastres.
· Desarrollo de un plan de manejo y respuesta de incidencias.
CObIT (Objetivos de Control para la Tecnología de la Información y Tecnologías Relacionadas) es el marco principal de la industria para los objetivos de control de los Sistemas de Información y buenas prácticas relacionadas en el respaldo del gobierno, control y aseguramiento para la información y sus tecnologías relacionadas. CObIT es un marco con un conjunto de 34 objetivos de control de alto nivel que representan los procesos de Tecnología Informática agrupados en cuatro dominios:
1. Planeamiento y organización: cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de la información puede contribuir de la mejor manera al logro de los objetivos del negocio. La consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Deberán establecerse una organización y una infraestructura tecnológica apropiadas.
2. Adquisición e implementación: para llevar a cabo la estrategia de Tecnología Informática, las soluciones deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Cubre los cambios y el mantenimiento realizado a los sistemas existentes.
3. Entrega y soporte: entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Incluye el procesamiento de los datos por sistemas de aplicación frecuentemente calificados como controles de aplicación.
4. Monitoreo y evaluación: todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
CObIT combina los principios contenidos en los modelos referenciales existentes conocidos mediante una lista de requerimientos:
· Requerimientos de calidad 	calidad, costo y entrega de servicio.
· Requerimientos fiduciarios 	efectividad y eficiencia de operaciones, confiabilidad de la información, 					cumplimiento de las leyes y regulaciones.
· Requerimientos de seguridad 	confidencialidad, integridad, disponibilidad.
· Efectividad: la información relevante debe ser pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
· Eficiencia: provisión de información a través de la utilización óptima de recursos.
· Confidencialidad: protecciónde la información sensible contra divulgación no autorizada.
· Integridad: precisión y suficiencia de la información, así como a su validez de acuerdo con los valores y expectativas del negocio.
· Disponibilidad: de la información cuando ésta es requerida por el proceso de negocio, ahora y en el futuro. Salvaguarda de los recursos necesarios y capacidades asociadas.
· Cumplimiento: de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios está sujeto.
· Confiabilidad de la Información: provisión de información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de informes financieros y de cumplimiento.
Recursos de Tecnología Informática:
AUDITORÍA INTERNA Y OPERATIVA	1
UNIDAD 7: AUDITORÍA DEL PRECESAMIENTO ELECTRÓNICO DE DATOS
· 
· Datos
· Aplicaciones
· Tecnología
· Instalaciones
· Personal
PROCEDIMIENTOS DE CONTROL GENERAL
· Políticas y procedimientos organizacionales de seguridad lógica para asegurar la debida autorización de las transacciones y actividades.
· Políticas generales para el diseño y uso de documentos y registros adecuados para ayudar a asegurar el debido registro de las transacciones.
· Procedimientos y funciones para asegurar las salvaguardas adecuadas sobre el acceso a, y el uso de, archivos e instalaciones.
· Políticas de seguridad física para todos los centros de datos.
PROCEDIMEINTOS DE CONTROL DE LOS SISTEMAS DE INFORMACIÓN
· Estrategia y dirección,
· Organización y administración general,
· Acceso a los datos y programas,
· Metodologías de desarrollo de sistemas y control de cambios,
· Operaciones de procesamiento de datos,
· Programación de sistemas y funciones de apoyo técnico,
· Procedimientos de garantía de calidad de procesamiento de datos,
· Controles físicos de acceso,
· Planificación de continuidad/recuperación de desastre del negocio,
· Redes y comunicaciones,
· Administración de la base de datos.
Etapas de la Auditoría
	Sujeto de la auditoría
	Identificar el área que será auditada.
	Objetivo de la auditoría
	Identificar el propósito de la auditoría.
	Alcance de la auditoría
	Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión.
	Planificación de la auditoría preliminar
	Identificar las habilidades y recursos técnicos que se necesitan. Identificar las fuentes de información para probarlas o revisarlas tales como cuadros funcionales de flujo, políticas, estándares, procedimientos y documentos de trabajo preliminares de auditora. Identificar las ubicaciones o las instalaciones que serán auditadas.
	Procedimientos de auditoría y pasos para la recolección de datos
	Identificar y seleccionar el método de auditoría para verificar y probar los controles. Identificar una lista de personas para entrevistar. Identificar y obtener políticas, estándares y directrices de los departamentos, para su revisión. Desarrollar instrumentos y metodología de auditoría para comprobar y verificar el control.
	Procedimientos para evaluar la prueba o revisar los resultados
	Organización específica.
	Procedimientos para comunicarse con la gerencia
	Organización específica.
	Elaboración del informe
	Identificar los procedimientos de revisión del seguimiento. Identificar los procedimientos para evaluar/comprobar la eficiencia y la eficacia operacional. Identificar los procedimientos para comprobar los controles. Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.
PRUEBAS DE CUMPLIMIENTO VS. PRUEBAS SUSTANTIVAS
La identificación de los puntos clave de control permitirá desarrollar un entendimiento preliminar a través de pruebas de cumplimiento de esos controles para determinar si están funcionando como se esperaba. Los resultados de estas pruebas de cumplimiento permitirán diseñar las pruebas sustantivas.
Los procedimientos llamados pruebas de cumplimiento implican la recolección de evidencias con el fin de comprobar el cumplimiento de una organización con procedimientos de control, mientras que los procedimientos llamados pruebas sustantivas implican la recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información.
Una prueba de cumplimiento determina si los controles están siendo aplicados en una forma que cumpla con las políticas y los procedimientos de la gerencia. El objetivo amplio de cualquier prueba de cumplimiento es proveer una garantía razonable de que un control en particular sobre el cual pensamos basarnos está operando como se percibió en la evaluación preliminar.
Una prueba sustantiva fundamenta la integridad de un proceso real. Provee evidencias de la validez y de la corrección de los balances en los estados financieros y las transacciones que respaldan estos balances.
EVIDENCIA
La evidencia es cualquier información usada para determinar si la entidad o los datos que están siendo analizados cumplen con los criterios u objetivos establecidos. Las conclusiones deben estar basadas en evidencia suficiente, relevante y competente.
Los determinantes para evaluar la confiabilidad de las evidencias incluyen:
· Independencia del proveedor de la evidencia. La evidencia obtenida de fuentes externas es más confiable que la obtenida dentro de la organización.
· Calificación de la persona que suministra la información o evidencia. Siempre se debe considerar las calificaciones de las personas que suministran la información.
· Objetividad de la evidencia. La evidencia objetiva es más confiable que la evidencia que requiere opinión o interpretación considerable.
· Tiempo de disponibilidad de la evidencia. Se debe considerar el tiempo durante el cual la información existe o está disponible para determinar la naturaleza, el tiempo y el grado de prueba sustantiva.
SEGREGACION DE FUNCIONES
La segregación de funciones evita la posibilidad que una sola persona pueda ser responsable de funciones diversas y críticas de tal forma que pudieran ocurrir errores o apropiaciones indebidas y no ser detectadas oportunamente en el curso normal de los procesos de negocios.
Cuando las funciones están segregadas, se pueden restringir los accesos a la computadora, la biblioteca de datos de producción, los programas de producción, la documentación de programación, el sistema operativo y sus utilitarios asociados.
Los controles de segregación de funciones más comunes son:
· 
· Autorización de transacción,
· Custodia de archivos,
· Acceso de datos,
· Formularios de autorización,
· Tablas de autorización de usuarios.
En una empresa pequeña, donde la reducida planta de personal impide una eficiente segregación de funciones, se pueden implementar controles compensatorios para mitigar el riesgo resultante de tal situación:
· 
· Pistas de auditoría,
· Conciliación,
· Reportes de excepción,
· Registros de transacciones,
· Revisiones de supervisión,
· Revisiones independientes.
ASPECTOS A TENER EN CUENTA EN EL CONTROL DE UNA INSTALACIÓN DE PROCESAMIENTO DE INFORMACIÓN
Indicadores de los problemas potenciales que pudieran estar generándose:
· 
· Actitudes desfavorables para el usuario final
· Costos excesivos
· Presupuesto excedido
· Proyectos demorados
· Rotación elevada del personal
· Personal inexperto
· Errores frecuentes de hardware/software
· Lista excesiva de solicitudes de usuarios en espera
· Tiempo demorado de respuesta de computadora
· Numerosos proyectos de desarrollo abortados o suspendidos
· Compras de hardware/software sin soporte o sin autorización
· Frecuentes ampliaciones de capacidad de hardware/software
· Extensos reportes de excepciones
· Reportes de excepciones a los que no se dio seguimiento
· Poca motivación
· Ausencia de planes de contingencia
· Confianza en uno o dos miembros claves del personal
· Falta de entrenamiento adecuado
7.2 CONTROLES Y SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
CONTROLES GENERALES Y DE APLICACIÓN
Las pruebas de funcionamiento sobre los controles generales de la infraestructura tecnológica son realizadas para determinar si la organizacióndispone de controles adecuados y confiables para asegurar que los controles automáticos y manuales de los distintos aplicativos funcionan adecuadamente a lo largo del tiempo.
Una evaluación efectiva de dichos controles debe concluir que los procesos relacionados con los sistemas de información están funcionando como un todo y no como elementos individuales y aislados e implica asegurar que los mismos funcionan en forma correcta durante el período de tiempo objeto de evaluación.
Los controles se encuentran agrupados en seis objetivos de control que cubren todos los aspectos específicos del entorno informático.
1. Implementación de mecanismos que protegen el acceso a las aplicaciones y a la información.
a. Las políticas de seguridad de la información clasifican la información según su criticidad y sensibilidad, establecen de forma clara la asignación y alcance de las responsabilidades y definen lineamientos que permiten asegurar un nivel de seguridad adecuado.
b. Las configuraciones de seguridad que se incluyen en las aplicaciones y sistemas informáticos se modifican de acuerdo con las políticas de la empresa, verificando que dichos cambios sean realizados sólo por quienes están autorizados y sean registrados.
c. La trazabilidad de las acciones de los usuarios se encuentra garantizada mediante un identificador único para cada usuario.
d. Los permisos excepcionales sólo se otorgan al personal autorizado, su uso debe quedar registrado y su actividad supervisada por personal independiente para garantizar la inexistencia de acciones fraudulentas o maliciosas.
e. La información transmitida por canales no seguros debe viajar encriptada.
f. Las computadoras personales, fijas o portátiles, deben bloquearse luego de un período establecido de inactividad.
g. La identidad de los usuarios se verifica al acceder al sistema. Debe implementarse una política de contraseñas fuerte contemple una serie de medidas que garanticen la inviolabilidad razonable de los accesos.
h. La actividad de intentos de acceso no autorizados o los accesos a información sensible debe monitorearse y registrarse. El análisis periódico de estos registros permite tomar medidas correctivas.
i. Los propietarios de datos y procesos autorizan los tipos de accesos a los diferentes tipos de información.
j. Los movimientos de personal deben informarse a efectos de mantener actualizadas las tablas de permisos.
k. El acceso físico a áreas restringidas se encuentra controlado a efectos que sólo sea permitido al personal autorizado.
l. La instalación de cualquier tipo de software debe contar con su correspondiente licencia, en articular, aquella correspondiente a aplicativos antivirus o que eviten el acceso de código malicioso.
m. El acceso a los recursos de información así como a las conexiones a Internet se hallan restringidas y protegidas mediante herramientas de seguridad perimetral.
2. La implementación de nuevos sistemas y las modificaciones de los existentes se realiza de manera apropiada y están alineados con las necesidades de tratamiento de información de la organización.
3. La información existente que migra a los nuevos sistemas es completa e integra el análisis de la integridad de la información de los procesos de conversión/migración de datos de los sistemas, o estructuras de datos, antiguos a los nuevos se realiza mediante mecanismos de seguimiento específicos que permiten garantizar la corrección de la información en el sistema destino. Los resultados se deben documentar y conservar durante un tiempo prudencial la información de origen.
4. Las modificaciones y cambios en el software y dispositivos de red, las bases de datos y/o software de base se realizan de la manera adecuada.
a. La realización de cambios en la infraestructura tecnológica de la empresa, luego de revisada y aprobada por la Dirección, se debe informar y coordinar con todas las partes involucradas para garantizar el éxito de la modificación. Asimismo, se debe prever la eventual vuelta atrás de los cambios.
b. Los cambios a implementar deben probarse en un entorno especialmente preparado para ello, restringido sólo al personal autorizado, de acuerdo con los planes de prueba previstos y documentando los resultados.
c. Las responsabilidades asociadas a la administración de los sistemas, software, bases de datos y dispositivos de redes, están debidamente definidas y asignadas.
d. La capacitación del personal técnico se realiza mediante planes de formación para la utilización de los sistemas o elementos de la infraestructura tecnológica.
e. La documentación técnica de soporte se encuentra actualizada, a fin de facilitar el mantenimiento del software de base, bases de datos y dispositivos de red y minimizar la dependencia de personas concretas.
5. Los programas, aplicaciones y sistemas se ejecutan tal y como está planificado, y las desviaciones respecto a lo programado se identifican y resuelven.
a. La documentación de los procedimientos para la operación y explotación de sistema tiene en cuenta planificación de tareas, seguimiento y respuesta de incidentes de seguridad, disponibilidad, integridad y procesamiento de la información.
b. La información del procesamiento de los sistemas y las pistas de auditoría se preservan durante un período que permitan su revisión, análisis y, eventualmente, la reconstrucción cronológica de los eventos ocurridos.
c. La documentación de los sistemas debe asegurar el procesamiento completo, correcto y oportuno de la información.
d. Todo aplicable a los Programas Desarrollados por el Usuario, aún cuando haya sido desarrollado con herramientas de su entorno.
6. La planificación, organización de los servicios informáticos y gestionas todas las áreas de responsabilidad relevantes para el reporting financiero.
a. El alineamiento entre las necesidades del usuario, la funcionalidad soportada en los sistemas y la gestión de los sistemas por parte de las áreas técnicas, debe estar garantizado por mecanismos de coordinación.
b. Todo aplicable a los Programas Desarrollados por el Usuario, aún cuando haya sido desarrollado con herramientas de su entorno.
c. Las funciones y responsabilidades están claramente definidas, documentadas y se han comunicado a los interesados. Existe una adecuada segregación de funciones en los casos que resulta relevante.
d. La función de seguimiento de los servicios contratados garantiza el cumplimiento efectivo de las políticas, normas, procedimientos, estándares y requerimientos de control interno vigentes en la empresa y realiza un control específico se seguridad, disponibilidad e integridad del procesamiento de información en sistemas gestionados/operados por terceros.
Los controles generales de Tecnología Informática son actividades de control que proveen razonable seguridad de alcanzar los objetivos de control relacionados con el procesamiento de información financiera dentro del ambiente computarizado. Aspectos:
· 
· Acceso a programas y datos
· Desarrollo de aplicaciones y administración de cambios
· Operaciones de procesamiento
· Soporte de base de datos, redes y software de base
· Software de usuario final
Los controles de aplicación están incluidos dentro de las aplicaciones para prevenir o detectar transacciones no autorizadas y tienen por finalidad asegurar la integridad, exactitud, autorización y validez de las transacciones durante el procesamiento de las aplicaciones, así como también asegurar las interfases con otros sistemas funcionan correctamente y que todos los ingresos y salidas de información son íntegros y correctos. Controles de aplicación:
· Controles de ingreso y validación de datos
· Chequeos lógicos y/o de razonabilidad
· Balanceo de totales
· Controles de integridad
· Controles de acceso y autorización
· Segregación de funciones
· Controles de salida y de reporte
· Prevención/detección de transacciones fraudulentas.
Los responsables por la corrección y oportunidad de la emisión de los reportes financieros, deben verificar el cumplimiento de los aspectos más relevantes relacionados con la seguridaden plataformas, el desarrollo, el mantenimiento y la seguridad de las aplicaciones.
1. Aspectos relacionados con la seguridad en plataformas.
· Existencia de estándares que definan los parámetros mínimos de seguridad para cada plataforma.
· Existencia de procedimientos formales para la administración de la seguridad lógica y física.
· Adecuados mecanismos de registro y monitoreo de eventos de seguridad.
· Existencia de un circuito de notificación de las bajas de personal de planta y contratado.
· Adecuada administración de usuarios críticos.
2. Aspectos relacionados con el desarrollo y mantenimiento de aplicaciones.
· Existencia de un procedimiento de aseguramiento de la calidad para verificar la validez de las modificaciones a programas.
· Adecuado modelo de puesta en producción y separación de ambientes, el personal de desarrollo no debe tener acceso al ambiente de producción ni el personal operativo debe tener acceso al ambiente de desarrollo.
· Formalización de las pruebas de sistemas por parte de los usuarios finales.
3. Aspectos relacionados con la seguridad de las aplicaciones.
· Asignación de la propiedad de los datos para gestionar la seguridad.
· Existencia de procedimientos para la revisión periódica de accesos otorgados a los usuarios finales.
· Adecuada segregación de funciones.
· Separación de ambientes entre los entornos de desarrollo y producción.
· Existencia de procedimientos de validación de los cambios realizados sobre los documentos electrónicos.
SEGREGACIÓN DE FUNCIONES Y ACCESOS CRÍTICOS
La elaboración de matrices de segregación de funciones y accesos críticos de aplicativos constituyen una referencia insoslayable al momento de probar los controles automáticos y manuales identificados.
En el ámbito de la segregación de funciones, las operaciones de mantenimiento de archivos de datos maestros son incompatibles con todas las funciones transaccionales referidas a la generación, modificación, aprobación o registro de las operaciones de negocio a través del mismo sistema aplicativo. El personal jerárquico de las compañías no debe poseer perfiles de usuarios que tengan posibilidad de acceder a la realización de funciones transaccionales, debiendo poseer solamente funciones de aprobación de operaciones, de acuerdo con los niveles establecidos en cada compañía, y consulta de archivos o emisión de informes en los sistemas aplicativos.
Las incompatibilidades se clasifican según la importancia de las acciones a llevar a cabo, sea porque permiten sortear controles automáticos establecidos o porque podrían posibilitar la realización de acciones fraudulentas, en cuyo caso se las considerará de alta criticidad.
En el rango de la criticidad alta, nos estamos refiriendo a aquellas transacciones que, contemplando un control automático que detenga el flujo de una operación, permita a los usuarios continuarlo. Las operaciones que puedan ser consideradas fraudulentas son aquellas que permitan evitar controles:
a. Integridad: transacciones que permiten realizar una operación y eliminar el registro de su realización, son incompatibles entre sí, debiendo se ejecutadas por distintas personas.
b. Validez: transacciones que permiten registrar todas las etapas de una operación que no haya ocurrido o que carezca de validez.
c. Registro: transacciones que, estando relacionados con el manejo de fondos, custodia o existencia física de bienes y/o modificación de registros de derechos u obligaciones con terceras partes, permitan favorecer a terceros en detrimento de los bienes de la compañía.
En cuanto a los accesos críticos, deben ser restringidos y monitoreados periódicamente.
POLÍTICA DE CONTRASEÑAS
La segregación de funciones y el control de accesos críticos sólo pueden implementarse mediante la implementación de una adecuada política de seguridad que permita identificar en forma unívoca al responsable de ejecutar una acción determinada. La única forma de evitar el uso inadecuado de esas identificaciones es la utilización de contraseñas. Atributos de las contraseñas:
· 
· Longitud mínima
· Complejidad
· Palabras prohibidas en las contraseñas
· Período de caducidad
· Historial
· Mecanismo de encriptación
· Número de intentos hasta generar bloqueo
· Imposibilidad de desbloqueo automático
· Longitud del identificador de usuario físico
METODOLOGÍA DE TRABAJO
1. Iniciar el proyecto y evaluar riesgos
	a. Formar el equipo de proyecto y uniformar objetivos
· Establecer las obligaciones y los propósitos, así como también la estructura del proyecto.
· Determinar miembros clave de la compañía y recursos externos para participar en el proyecto.
· Desarrollar el proyecto y el plan de comunicaciones a los involucrados.
	b. Determinar el alcance y el enfoque
· Utilizando los estados contables como base, fijar el alcance y enfoque mediante la determinación de los ciclos y las áreas funcionales de transacciones financieras clave, diagramando ciclos a rubros de los estados contables.
· Determinar y acordar cuentas y procesos críticos analizando la materialidad en las unidades de negocio y riesgos cualitativos.
· Obtener consenso respecto de la cobertura para todas las unidades operativas/de negocios internacionales y nacionales y sus funciones y procesos.
· Determinar una función o unidad de negocios para utilizar en la ejecución de prueba piloto, si correspondiera.
· Establecer el cronograma del proyecto.
	c. Evaluar el riesgo y priorizar áreas clave
· Evaluar el riesgo asociado con cuentas clave de los estados contables y priorizar, en consecuencia, los ciclos y las áreas funcionales a fines.
	d. Establecer la madurez prevista de controles internos
· Basados en el riesgo relativo, establecer la madurez requerida para cada ciclo y área funcional de las transacciones financieras, de acuerdo con su importancia.
2. Documentar y evaluar el diseño de controles
	a. Desarrollar estándares y modelos de documentación basadas en COSO y CObIT que facilitarán la 	determinación de controles clave utilizando
· Matrices de Objetivos de Control y sus riesgos para cada Proceso y Ciclo de Negocio.
· Descripciones generales de Procesos/Ciclos.
· Diagramas de Flujo panorámicos de Procesos/Ciclos.
3. Comunicar estándares de la documentación al equipo de proyecto
	a. Inventariar la documentación existente
· A través de revisiones y entrevistas, determinar y acumular la documentación existente para las entidades y unidades de negocios que corresponda.
· Hacer un inventario de los problemas de controles conocidos, con importancia para la presentación de información financiera.
· Reunir documentación de controles internos para cada componente del COSO
	b. Documentar y evaluar el diseño de controles
· Documentar los controles de cada proceso de negocio en las matrices desarrolladas previamente.
· Documentar los flujos de cada Proceso/Ciclo definidos como críticos en la etapa de inicio del proyecto.
	c. Efectuar análisis de brechas
· Determinar el estado actual de los controles internos y asignar la clasificación de madurez, “en el estado en que se encuentran” para las actividades de control.
· Identificar ausencias de documentación y de diseño y/o implementación de controles.
· Revisar la documentación con respecto a la eficacia de diseño y determinar dónde es adecuado o puede mejorarse el diseño de controles.
	d. Crear un registro de acciones para corregir las brechas
· Desarrollar un registro de acciones para corregir las brechas.
· Revisar el registro de acciones y desarrollar consenso respecto de las prioridades de corrección.
· Establecer un plan, asignando responsabilidades y cronograma para las gestiones de corrección.
4. Corregir las brechas
	a. Preparar un plan para las gestiones de corrección.
	b. Efectuar el seguimiento de las acciones tendientes a corregir las deficiencias identificadas.
	c. Reevaluar la eficiencia operativa y/o diseño de controles.
5. Probar la eficacia operativa
	a. Desarrollar estándares de prueba
· Desarrollar estándares y modelos de la documentación para facilitar la revisión de la eficacia operativa.
· Identificarlos controles claves
· Considerar los requerimientos de documentación de pruebas, las dimensiones de la misma y la determinación y manejo de excepciones/desvíos.
	b. Desarrollar plan de prueba
· 
· Probar controles clave
· Determinar tipo de control
· Determinar categoría de control
· Determinar método de control
· Determinar tipo de evaluación por efectuarse.
· Completar y distribuir el plan de prueba
	c. Efectuar prueba de eficacia operativa
· Efectuar el plan de prueba utilizando estándares de documentación
· Determinar excepciones de las pruebas/desvíos, y acciones posteriores.
	d. Crear un registro de acciones con respecto a las deficiencias de control identificadas
· Desarrollar un registro de acciones para capturar los problemas de eficacia operativa.
· Revisar el registro de acciones y desarrollar consenso con respecto a las prioridades para la corrección.
· Establecer un plan, asignando responsabilidades y cronograma para las gestiones de corrección.
6. Preparar el informe de los controles internos sobre la presentación de información financiera.
· Documentar las afirmaciones sobre la presentación de información financiera.
· Proporcionar las afirmaciones requeridas
Existe la necesidad que los profesionales de ciencias económicas participen activamente del proceso integral de gestión de los sistemas de información desde el aspecto inicial con el ingreso de los datos, su registro, su procesamiento hasta la generación de información a ser considerada en la toma de decisiones.
Es necesario avanzar en el diseño de procedimientos de control interno para poder reaccionar a tiempo y prevenir, en la medida de lo posible, o corregir los desvíos que se pudieren producir.
Como consecuencia de ello, las empresas tomaron conciencia de la necesidad de revisar integralmente su modelo de control, entendiendo como tal al proceso diseñado para dar un grado de seguridad razonable acerca del cumplimiento de los objetivos de negocio en cuanto a la efectividad y eficiencia de las operaciones, confiabilidad en la emisión de la información contable y cumplimiento con las leyes, normas y regulaciones aplicables.
La tecnología puede facilitar, acelerar, dar nuevas oportunidades o permitir desarrollar alternativas inviables de procesos de negocios antes de su aparición, pero no puede garantizar la solidez del modelo de negocio ni la transparencia de gestión. Para ello es necesario diseñar primero un buen modelo de negocio y una vez implementado, un proceso de control interno que permita garantizar la fidelidad de la información suministrada.
Un buen análisis ayuda a identificar los riesgos y vulnerabilidades que permitan determinar los controles que se necesitan para mitigar esos riesgos o, eventualmente, eliminarlos, si su criticidad así lo requiere.
La generación de negocios efectivos, sustentables, exitosos estará centrada en sistemas de información basados en el uso intensivo de tecnología.