Auditoria de Sistemas de

Informacin Revisin de
Controles
Abril 2016

Controles Internos

Los Controles internos estn constituidos por:

Polticas
Procedimientos
Practicas
Estructuras Organizaciones

Implementados para reducir los RIESGOS en la

organizacin

Controles Internos

Dan certeza razonable a la Gerencia de que se

alcanzarn los objetivos de negocio, adems de
prevenir , detectar y corregir eventos de riesgos.

La Alta Direccin es responsable de establecer una

cultura apropiada para facilitar un sistema efectivo y
eficiente del control interno y monitorear la
efectividad del sistema de control interno.

Controles Internos

Aspectos Claves:

Que debera lograrse? y

Qu debera evitarse?

Controles Internos
Clasificacin de controles de acuerdo a su aplicacin:

Preventivo

Detectivo

Correctivo

Controles Internos
Preventivo
Detecta problemas antes de aparezcan
Monitorea las operacin y las entradas
Intentan predecir problemas potenciales y realizan
ajustes
Evitan que ocurra un error, omisin o acto malicioso.
Ejemplo: Emplear personal calificado para el control
de acceso fsico

Controles Internos
Detectivo
Detectan la ocurrencia de un error, omisin o acto
fraudulento.
Informan en forma inmediata a la ocurrencia del
hecho.
Ejemplo: Alarmas automticas y sistemas de
monitoreo

Controles Internos
Correctivo
Minimizar el impacto de la amenaza
Remediar problemas descubiertos por los controles
detectivos
Corregir procesos futuros
Ejemplo: Planificacin de Contingencia,
procedimientos de respaldo, procedimiento de nueva
ejecucin

Revisin de Controles
1.

Identificacin de Controles

Generales
Aplicacin global en todo el mbito de la
empresa
Conocimiento general
Referentes propios, locales e internacionales
Los refrendan los rganos de gobierno y control
Polticas y procedimientos organizacionales de
seguridad para asegurar el uso apropiado de
los activos de TI

Revisin de Controles
1.

OIdentificacin de Controles

Especficos
Propios de determinados procesos o
corresponden a las caractersticas de
funcionamiento de determinado recurso
Estn sujetos a conocimiento especializado
Referentes propios, locales e internacionales o
de la industria
Los refrendan las sociedades especializadas
profesionales o acadmicas.

Revisin de Controles
2.

Evaluacin de Controles

Diseo

Revisin de Controles
2.

Evaluacin de Controles

Revisin de Controles
2.

Evaluacin de Controles

Efectividad

Si el control no fue probado a travs de

una muestra, el auditor deber calificar
el control segn la escala cualitativa,
soportado en su anlisis y evidencias

Si el control fue probado a travs de una

muestra, calificarlo en funcin al % de
cumplimiento

El puntaje resultante,
determinar la variacin del
Riesgo Residual
(A ser informado a ROP)

Revisin de Controles
2.

Evaluacin de Controles

Revisin de Controles
2.

Evaluacin de Controles
Se debe aplicar la
metodologa de
muestreo para
todas las pruebas
de efectividad, sin
embargo si la
naturaleza del
control no
permite evaluarlo
por muestra, los
motivos deben
estar
documentados en
el EWP

Ejemplo de
muestra por
cantidad de
transacciones o
elementos

CONTROLES DE UN SI
Los procedimientos de control de SI incluyen:
Estrategia y direccin
Organizacin general y gestin
Acceso a los recursos de TI, incluyendo datos y programas
Metodologa de desarrollo y cambios en los sistemas
Procedimientos de operaciones
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de la calidad (QA)
Controles de acceso fsico
BCP DRP
Redes y comunicaciones
Administracin de base de datos
Proteccin y mecanismos de deteccin contra ataques internos y
externos.

CONTROLES DE APLICACIN
1.

Controles de Entrada / Origen

Autorizacin de entrada de datos

Firmas en formularios por lotes o documentos

de origen
Controles de acceso en lnea
Contraseas (passwords)
Identificacin de Terminal o de Estacin de
Trabajo
Documentos Fuente

CONTROLES DE APLICACIN
1.

Controles de Entrada / Origen

Controles de procesamiento por lotes y de balance

Valor monetario total

Total de elementos
Total de documentos
Totales de comprobacin (Hash Totals)

CONTROLES DE APLICACIN
1.

Controles de Entrada / Origen

Controles de procesamiento por lotes y de balance
Los tipos de balance de lotes incluyen:
Registros del lote
Cuentas de control
Reconciliaciones hechas por el computador

CONTROLES DE APLICACIN
1.

Controles de Entrada / Origen

Reporte y Manejo de Errores
Rechazar solo las transacciones que tengan errores
Rechazar todo el lote de las transacciones
Mantener el lote en espera
Aceptar el lote y marcar las transacciones que contienen
errores

Las tcnicas de control en el ingreso de datos

incluyen:

Registro de transacciones
Reconciliacin de los datos

CONTROLES DE APLICACIN
1.

Controles de Entrada / Origen

Documentacin
Procedimientos para la correccin de errores: registro de
errores, correcciones oportunas, ingreso de los datos
corregidos, aprobacin de las correcciones, archivo en
suspenso, archivo de error, validacin de las correcciones.
Anticipacin
Registro (Log) de trasmisin
Cancelacin de los documentos fuente
Integridad de Procesamiento por lotes en los sistemas en
lnea o en sistemas de base de datos

CONTROLES DE APLICACIN
2.

Procedimientos y Controles de Procesamiento

Procedimiento de validacin y edicin de datos
Controles de procesamiento

Reclculos manuales
Edicin
Totales de ejecucin en ejecucin (run to run totals)
Controles programados

CONTROLES DE APLICACIN
Procedimientos y Controles de Procesamiento

2.

Verificacin de razonabilidad de los valores calculados

Verificaciones de lmite sobre los valores calculados
Reconciliacin de los totales de los archivos
Reportes de excepcin

CONTROLES DE APLICACIN
2.

Procedimientos y Controles de Procesamiento

Procedimientos de Control de Archivos de datos

Parmetros de control del sistema

Datos vigentes
Datos principales/ datos de balance
Archivos de transaccin

CONTROLES DE APLICACIN
3.

Controles de Salida

Registro y almacenamiento de formularios negociables,

sensibles y crticos en un lugar seguro.
Generacin automatizada de instrumentos negociables,
formularios y firmas.
Distribucin de reportes.
Balance y conciliacin
Manejo de error de salida
Retencin de reporte de salida
Verificacin de recepcin de reportes.