03 Riesgo y control interno2021

Vista previa del material en texto

Universidad de Buenos Aires
Facultad de Ciencias Económicas
Facultad de Ciencias Ciencias Económicas
Departamento de Sistemas
Auditoria y seguridad de los sistemas de información
Agosto 2021
Todas las imágenes fueron obtenidas de Google Imágenes 
1
1
No todas las cualidades que hay que tener para realizar un buen desarrollo del sistema caen en disciplinas que sean del campo exclusivo de la computación.
EXISTE SISTEMA DE INF. AUN CUANDO NO HAYA COMPUTADORAS
Temas: 
Análisis de Riesgos
Control Interno en General
Control Interno Informático
2
2
No todas las cualidades que hay que tener para realizar un buen desarrollo del sistema caen en disciplinas que sean del campo exclusivo de la computación.
EXISTE SISTEMA DE INF. AUN CUANDO NO HAYA COMPUTADORAS
Objetivos: 
 Concepto de riesgo y su vinculación con los controles 
 Distinguir diferencias y relaciones entre control interno y auditoría 
 Distinguir diferencias entre control y control interno. 
 Identificar las características del control interno.
 Diferencias y relación entre control interno informático y auditoria de sistemas
3
3
No todas las cualidades que hay que tener para realizar un buen desarrollo del sistema caen en disciplinas que sean del campo exclusivo de la computación.
EXISTE SISTEMA DE INF. AUN CUANDO NO HAYA COMPUTADORAS
Riesgo es la posibilidad de que algo desagradable acontezca. 
Se asocia generalmente a una decisión que conlleva a una exposición o a un tipo de peligro. 
Los factores que componen el riesgo son la amenaza y la vulnerabilidad.
Riesgo –definición-
4
4
Algunas definiciones asociadas al Riesgo
Amenaza: Persona o cosa vista como posible fuente de peligro.
Vulnerabilidad: situación creada que por falta de controles puede concretarse una amenaza.
Riesgo: Probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad.
Impacto: Evaluación del efecto del riesgo.
5
5
Riesgos- acciones-
Podemos: 
	evitarlos, 
	transferirlos, 
	reducirlos 
	asumirlos.
6
6
Clasificación de los riesgos
Riesgo inherente: Susceptibilidad de un elemento a errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control.
Riesgo de control: Riesgo de que los sistemas de control en uso no puedan prevenir o detectar errores o irregularidades significativos en forma oportuna.
Riesgo de detección: Riesgo de que a través de la aplicación de procedimientos de auditoria no se descubran errores o irregularidades significativas si las hubiera.
7
7
EVALUACION DE LOS SISTEMAS
Análisis de Riesgos - Metodología
1.      Cuestionario
2.      Identificar riesgos
3.      Determinar probabilidad de ocurrencia
4.      Calcular impacto
5.      Identificar medidas y costo
6.     Simulaciones (un Wath if ... para definir un plan de contramedidas).
7.      Creación de informes
8
8
 
VER DE HACER UN SOFTWARE DE ANÁLISIS DE RIESGO. 
¿Cómo reducir los riesgos?
Los controles son las medidas adoptadas para reducir los riesgos a niveles aceptables
9
9
CONTROLES 
Definición
Consiste en verificar que las actividades que realizan las organizaciones se efectúen como se planeó para corregir cualquier desviación.
10
10
CONTROL INTERNO-Definición s/ COSO*
Es un proceso llevado a cabo por personal de distintas áreas de la empresa, diseñado con el objeto de proporcionar un grado razonable de seguridad en cuanto a la consecución de objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia en las operaciones
 Fiabilidad de la información financiera
 Cumplimiento de leyes y normas aplicables 
11
*(COSO=Commitee of Sponsoring Organizations of the Treadway Commission-EEUU. Informe publicado en 1992. 
11
PROCESO: Es un continuo que se extiende por todas las actividades de la Organización.
Esta integrado a los procesos de negocio
Apoya la tendencia de búsqueda de calidad.
Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse.
PERSONAS: Condiciona el accionar ya que determina formas de trabajo.
SEGURIDAD RAZONABLE: No total ni definitiva.
CONTROL INTERNO –Definición cont.-
Conjunto de normas, controles, consideraciones y aspectos a tener en cuenta por el propio ente que los ha de adoptar, cuyo objetivo es:
 evitar la comisión de errores y fraudes
 ganar seguridad y confiabilidad en la operatoria de la empresa
Sin que ello signifique pérdida de eficiencia operativa
12
12
PROCESO: Es un continuo que se extiende por todas las actividades de la Organización.
Esta integrado a los procesos de negocio
Apoya la tendencia de búsqueda de calidad.
Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse.
PERSONAS: Condiciona el accionar ya que determina formas de trabajo.
SEGURIDAD RAZONABLE: No total ni definitiva.
CONTROL INTERNO –Componentes- 
(multidireccionales, repetitivos, permanentes, interrelacionados)
 ENTORNO DE CONTROL
 EVALUACION DE RIESGOS
 ACTIVIDADES DE CONTROL
 INFORMACION Y COMUNICACION
 SUPERVISION
13
13
PROCESO: Es un continuo que se extiende por todas las actividades de la Organización.
Esta integrado a los procesos de negocio
Apoya la tendencia de búsqueda de calidad.
Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse.
PERSONAS: Condiciona el accionar ya que determina formas de trabajo.
SEGURIDAD RAZONABLE: No total ni definitiva.
Es una actividad PREVENTIVA Y CONTINUA
Se debe adaptar ante cambios en el entorno que impliquen cambios en los procedimientos.
CONTROL INTERNO Aspectos a resaltar
 Es preventivo y continuo
 Unido a los sistemas de la organización
 Incorporado al diseño de la estructura
 No es esporádico ni externo
 Implica eficacia en los procedimientos, eficiencia operativa y seguridad en la información
 Relación costo/beneficio
 Flexibilidad
14
14
PROCESO: Es un continuo que se extiende por todas las actividades de la Organización.
Esta integrado a los procesos de negocio
Apoya la tendencia de búsqueda de calidad.
Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse.
PERSONAS: Condiciona el accionar ya que determina formas de trabajo.
SEGURIDAD RAZONABLE: No total ni definitiva.
Preguntas disparadoras para determinar las características del control interno (preventivo, etc.).
 
Por ejemplo preguntar si se pudieron prevenir algunos desfalcos observados (p ej. robo de mercadería).
 
 
Control interno de los novios (contrato que se basa en la confianza. José Maria Peña dice que lo primero por lo que me paga la DGI es por desconfiar. 
CONTROL INTERNO-para recordar-
El procesamiento electrónico de datos no afecta los objetivos del control interno, pero afecta el enfoque para la evaluación del mismo y el tipo de evidencia de auditoría que se obtiene
15
15
PROCESO: Es un continuo que se extiende por todas las actividades de la Organización.
Esta integrado a los procesos de negocio
Apoya la tendencia de búsqueda de calidad.
Permite reducir costos (porque introducir costos implica ver que funciones pueden obviarse.
PERSONAS: Condiciona el accionar ya que determina formas de trabajo.
SEGURIDAD RAZONABLE: No total ni definitiva.
CONTROL INTERNO Normas Generales
 Formación de un Ambiente de Control
 Evitar Zonas disputadas y Tierras de nadie
 Formalizar las operaciones por escrito
 Niveles de autorización de operaciones
 Separación de funciones. Control Cruzado
 Prenumeración de formularios
 Control de correlatividad numérico / cronológico
16
16
CONTROL INTERNO Normas Generales
 Análisis de riesgo-conveniencia
 El sector que ejerce control no debe depender del sector controlado
 Custodia de los formularios sin usar
 Importancia de los archivos
 Rotación de personal en áreas sensibles
 Evitar rotación interna acelerada
 Registraciones claras, adecuadas y al día
17
17
CONTROL INTERNO
Ambiente de Control-puntos a analizar-
 Filosofía y estilo de conducción
 Estructura, reglamentos y manuales
 Integridad, valores éticos y competencia profesional
 Documentaciónde políticas
 Normas de asignación de responsabilidades
 Normas sobre administración de personal
 Canales de comunicación
18
18
CONTROL INTERNO
Protección de Activos-puntos a analizar-
 Servicio de vigilancia
 Protección contra incendio
 Mantenimiento preventivo
 Separación de funciones
 Política de seguros
 Formularios prenumerados
19
19
CONTROL INTERNO
Protección de Activos-puntos a analizar-
 Depósito total de ingresos monetarios
 Un cheque por cada egreso
 Cheques con más de una firma
 Régimen de autorizaciones
20
20
CONTROL INTERNO
Información adecuada-puntos a analizar-
 Manual de cuentas
 Sumatoria de información analítica igual a la sintética
 Uniformidad en las instrucciones
 Información cruzada
 Comparación de datos actuales contra históricos
21
21
CONTROL INTERNO
Información adecuada-puntos a analizar-
 Comparación de información propia con la de terceros
 Información constante
 Comparación de información real contra pronosticada
 Formularios prenumerados
22
22
CONTROL INTERNO
Eficiencia Operativa-puntos a analizar-
 Perfil profesional
 División del trabajo
 Manuales de funciones
 Medios materiales y tecnológicos
23
23
CONTROL INTERNO
Adhesión a las políticas-puntos a analizar-
 Manuales de Organización
 Organigrama
 Manual de funciones
 Manual de procedimientos
24
24
CONTROL INTERNO INFORMATICO
Definición
Es cualquier actividad o acción realizada manual o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.
25
25
¿Qué diferencias y similitudes reconoce entre auditoria Informatica y controles internos informaticos.
CONTROLES INTERNO INFORMATICO
Deben ser: 
 Completos, 
 Simples, 
 Fiables, 
 Revisables, 
 Adecuados 
 Rentables. 
26
26
 
Hay controles que están integrados con el software.
 
CONTROL INTERNO INFORMATICO
Clasificación 
 Preventivos. Son medidas anteriores a la entrada al procesamiento. Rechazan los inválidos y obliga a su corrección.
 Detectivos. Advierten sobre errores ocurridos. Provoca un informe sobre la falla obligando a corregir el procedimiento
 Correctivos. Comprenden las acciones que permiten a un sistema recuperar su capacidad de procesamiento
27
27
Tipos de Controles 
 Controles Generales. Se enfocan a la organización general del Departamento de Sistemas, a las normas y procedimientos y a las funciones del personal del área.
 Controles de aplicación. Son interiores de cada sistema y tienen el objetivo de lograr integridad y confiabilidad de la información, mediante la autorización y validación correspondiente.
28
28
 
Hay controles que están integrados con el software.
 
Ejemplos de Controles Generales
 Organización del área de sistemas
 Normas y procedimientos de análisis, programación y operación. 
 Seguridad física y lógica
 Validez de la información procesada
 Comunicaciones
 Continuidad de la operatoria 
 Relación con proveedores externos
29
29
 
Hay controles que están integrados con el software.
 
Ejemplos de Controles de Aplicación
 Ingreso/salida de datos
 Almacenamiento y acumulación de datos 
 Acceso a registros
 Documentación
 Resguardo de archivos
 Mantenimiento de sistemas 
 Seguridad lógica
Interfases
30
30
 
Hay controles que están integrados con el software.
 
31
31
 
Hay controles que están integrados con el software.
 
image1.jpeg
image2.png
image3.jpeg
image4.png