Vous êtes sur la page 1sur 75

Módulo: I Unidad: I Semana: 1

AUDITORIA DE SISTEMAS
CONTABLES

Mg. Jorge Luis Aguilar Alcalde


TÍTULO DEL TEMA

CONTROL INTERNO Y AUDITORÍA


INFORMÁTICA
ORIENTACIONES

• Estimados alumnos, se recomienda


la lectura del libro de texto para
reforzar las clases, además de
revisar los enlaces interesantes y
responder las autoevaluaciones.
CONTENIDOS TEMÁTICOS

• COSO
• Los sistemas de control interno
• Vulnerabilidades y ataques sobre los
sistemas y equipos.
Sistema de Control Interno

Modelo de Gobierno TI
Sistema de Control Interno
Modelo de Gobierno TI
Sarbanes US Securities
Oxley & Exchange
COSO Commission

COBIT - ISO 38000

Seguridad de la Información ISO


27000
C
Desarrollo Tecnología
M Explotación
Aplicaciones y Comuni-
M TI ISO 20000
de Negocios caciones
I ITIL ITSM
Gestión de Servicios
ISO9
00x Sistemas de Calidad

PMI
Gestión de Proyectos
ITSGA
Planificación Estratégica TI

Gestión de Continuidad del Negocio ISO


22301

ITSGA: Information Technology Strategic. Generic Actions


Sistema de Control Interno

Mapa de
Procesos y
Recursos

Evaluación de Modelo de
Controles GESTIÓN DEL Riesgos
RIESGO

Modelo de
Controles
¿Qué es C.O.S.O?

Committee of Sponsoring Organizatión of the Treadway Commission

C O S O
¿Qué es COSO?
• Organización voluntaria del sector privado,
establecida en los EEUU, dedicada a proporcionar
orientación a la gestión ejecutiva a las entidades de
gobierno sobre los aspectos fundamentales de
organización de este, la ética empresarial, control
interno, gestión del riesgo empresarial, el fraude, y
la presentación de informes financieros. COSO ha
establecido un modelo común de control interno
contra el cual las empresas y organizaciones
pueden evaluar sus sistemas de control.

– En esta presentación se expondrá exclusivamente lo


relativo al Control Interno.
ESTADOS UNIDOS
CASO ENRON
• Caso de fraude financiero muy sonado a
nivel mundial.
• Era una de las empresas mas grandes de
Estados Unidos, disponía de un gran futuro
comercial.
• El fraude financiero se descubrió cuando se
presento por quiebra endeudado 30.000
Millones de dólares
• Presentar información financiera falsa
mostrando utilidades de mas o menos 1.000
Millones de dólares
CASO ENRON
• Ocultamiento de pasivos abismales
• Consultora ANDERSEN (una de las firmas mas
importantes del mundo)
• Por consecuencia de estos fraudes se votó en
el congreso las Leyes Sarbenes Oxley.
SANCIONES:
• Seis años de prisión para ANDREW FASTON
acusado de crear una serie de manejos
fraudulentos para disimular las perdidas
millonarias.
• Además de juicios a los ejecutivos implicados
Informe COSO.

COSO I COSO II

Enterprise
Internal Risk
Control - Management
Integrated - Integrated
Framework Framework
Informe COSO.

• Hace más de una década el Committee of


Sponsoring Organizations of the Treadway
Commission, conocido como COSO, publicó
el Internal Control - Integrated Framework
(COSO I) para facilitar a las empresas a
evaluar y mejorar sus sistemas de control
interno. Desde entonces ésta metodología se
incorporó en las políticas, reglas y
regulaciones y ha sido utilizada por muchas
compañías para mejorar sus actividades de
control hacia el logro de sus objetivos.
Informe COSO.
• Hacia fines de Septiembre de 2004, como
respuesta a una serie de escándalos, e
irregularidades que provocaron pérdidas
importante a inversionistas, empleados y otros
grupos de interés, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission, publicó el Enterprise Risk
Management - Integrated Framework (COSO II) y
sus Aplicaciones técnicas asociadas, el cual
amplía el concepto de control interno,
proporcionando un foco más robusto y extenso
sobre la identificación, evaluación y gestión
integral de riesgo.
Informe COSO.

• Este nuevo enfoque no sustituye el marco de


control interno, sino que lo incorpora como parte
de él, permitiendo a las compañías mejorar sus
prácticas de control interno o decidir encaminarse
hacia un proceso más completo de gestión de
riesgo.
Informe COSO.
• A nivel organizacional, este A nivel regulatorio o
documento destaca la normativo, el Informe COSO ha
necesidad de que la alta pretendido que cuando se
dirección y el resto de la plantee cualquier discusión o
organización comprendan problema de control interno,
cabalmente la trascendencia del tanto a nivel práctico de las
control interno, la incidencia del empresas, como a nivel de
mismo sobre los resultados de auditoría interna o externa, o
la gestión, el papel estratégico a en los ámbitos académicos o
conceder a la auditoría y legislativos, los interlocutores
esencialmente la consideración tengan una referencia
del control como un proceso conceptual común, lo cual
integrado a los procesos hasta ahora resultaba
operativos de la empresa y no complejo, dada la multiplicidad
como un conjunto pesado, de definiciones y conceptos
compuesto por mecanismos divergentes que han existido
burocráticos. sobre control interno.
Informe COSO.

Objetivos

Facilitar un
Establecer una
modelo en base al
definición común
de control interno cual las empresas
que responda a las y otras entidades,
necesidades de las cualquiera sea su
distintas partes. tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Control Interno.
• Proceso realizado por el consejo de
directores, administradores y otro personal
de una entidad, diseñado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
suiguientes categorías:

– Efectividad y eficiencia de las operaciones.


– Confiabilidad de la información financiera.
– Cumplimiento de las leyes y regualciones
aplicables.
Control Interno
• El Control Interno puede juzgarse efectivo en cada
una de las categorias anteriores respectivamente,
si quienes lo llevan a cabo tienen seguridad
razonable sobre que:

– Comprenden la extension en la cual se están obteniendo los


objetivos de las operaciones de la entidad.
– Los EEFF publicados se estan preparando confiablemente.
– Se está cumpliendo con las leyes y regulaciones aplicables.

• Ya que el Control Interno es un proceso, su


efectivida es un estado o condición del mismo en
uno o más puntos a través del tiempo
ESTRUCTURA DE COSO I

COSO I

AMBIENTE DE CONTROL

EVALUACION DE RIESGO

ACTIVIDAD DE CONTROL

INFORMACION COMUNICACIONAL

MONITOREO
Componentes del Control Interno.
• Ambiente de Control.
– Es el fundamento de todos los demás
componentes del control interno,
proporcionando disciplina y estructura.
• Valoración de Riesgos.
– Identificación y análisis de los riesgos
relevantes para la consecución de los objetivos,
constituyendo una base para determinar cómo
se deben administrar los riesgos.
• Actividades de Control.
– Políticas y procedimientos que ayudan a segurar
que las directivas administrativas se lleven a
cabo.
Componentes del Control Interno.
• Información y Comunicación.
– Identificación, obtención y comunicación de información
pertinente en una forma y en un tiempo que le permita a
los empleados cumplir con sus responsabilidades.

• Monitoreo.
– Proceso que valora el desempeño de sistema en el
tiempo.
Definición de Riesgo

• Es la probabilidad que ocurra un


determinado evento que puede tener
efectos negativos para la institución.

• Riesgos es uno de los cinco componentes


del Marco de Control Interno COSO.
Gestión de Riesgo.

• Todas las organizaciones


independientemente de su tamaño,
naturaleza o estructura, enfrentan riesgos

• LOS OBJETIVOS DE LA GESTION DE


RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
COSO II

“Administración
de riesgo de la
empresa” ERM
Estructura del COSO II.
• Los 8 componentes del
coso II están
interrelacionados entre si.
Estos procesos debe ser
efectuados por el
director, la gerencia y los
demás miembros del
personal de la empresa a
lo largo de su
organización
• Los 8 componentes están
alineados con los 4
objetivos.
• Donde se consideran las
actividades en todos los
niveles de la organización
La administración de riesgos de la empresa (ERM)
COSO describe en su marco basado en principios tales
como:

• La definición de administración de riesgos


de la empresa
• Los principios críticos y componentes de un
proceso de administración de riesgo
corporativo efectivo.
• Pautas para las empresa, para que ellas
sean capaces de administrar sus riesgos.
• Criterios para determinar si la
administración de riesgo de la empresa es
efectiva
Conceptos claves de el COSO II

• Administración del riesgo en la determinación de la


estrategia
• Eventos y riesgo
• Apetito o tolerancia al riesgo
• Visión de portafolio de riesgo
Descripción de Componente del
COSO II.
Ambiente interno

• Sirve como la base fundamental para los otros


componentes del ERM, dándole disciplina y
estructura.
• Dentro de la empresa sirve para que los
empleados creen conciencia de los riesgos que
se pueden presentar en la empresa
Establecimientos de objetivos.

• Es importante para que la empresa prevenga


los riesgo, tenga una identificación de los
eventos, una evaluación del riesgo y una
clara respuesta a los riesgos en la empresa.
• La empresa debe tener una meta clara que
se alineen y sustenten con su visión y
misión, pero siempre teniendo en cuenta
que cada decisión con lleva un riesgo que
debe ser previsto por la empresa
Identificación de eventos

• Se debe identificar los eventos que afectan


los objetivos de la organización aunque
estos sean positivos, negativos o ambos,
para que la empresa los pueda enfrentar y
proveer de la mejor forma posible.
• La empresa debe identificar los eventos y
debe diagnosticarlos como oportunidades o
riesgos. Para que pueda hacer frente a los
riesgos y aprovechar las oportunidades.
Actividades de control

• Son las políticas y procedimientos para asegurar que


las respuesta al riesgo se lleve de manera adecuada
y oportuna.
• Tipo de actividades de control:
• Preventiva, detectivas, manuales, computarizadas o
controles gerenciales
Respuesta al riesgo
• Una vez evaluado el riesgo la gerencia identifica y evalúa
posibles repuestas al riesgo en relación al las
necesidades de la empresa.
• Las respuestas al riesgo pueden ser:
• Evitarlo: se discontinúan las actividades que generan
riesgo.
• Reducirlo (mitigar): se reduce el impacto o la
probabilidad de ocurrencia o ambas
• Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porción del
riesgo.
• Aceptarlo: no se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.
Información y comunicación

• La información es necesaria en todos los


niveles de la organización para hacer frente a
los riesgos identificando, evaluando y dando
respuesta a los riesgos.
• La comunicación se debe realizar en sentido
amplio y fluir por toda la organización en
todo los sentidos.
• Debe existir una buena comunicación con los
clientes, proveedores, reguladores y
accionistas.
Monitoreo.

• Sirve para monitorear que el proceso de administración


de los riesgos sea efectivo a lo largo del tiempo y que
todos los componentes del marco ERM funcionen
adecuadamente.
• El monitoreo se puede medir a través de:
– Actividades de monitoreo continuo
– Evaluaciones puntuales
– Una combinación de ambas formas
COSO y Auditoria Interna.

• La auditoria interna se considerará entonces


como una parte del sistema de control.

• Informe COSO es una herramienta utilizada


por la Auditoria interna para realizar el control
interno de la empresa.

• La responsabilidad de los Auditores Internos


en este proceso es la de revisar el Control
implementado.
SCI: Procesos
Procesos de Negocio:
Relacionados con el cliente externo.
Ejm.: Ventas, Producción, Investigación y
Desarrollo, Post Venta, etc.
Procesos de Soporte:
Aseguramiento de recursos.
Cumplimiento de obligaciones
legales y normas internas.

Ejm: Finanzas, Contabilidad, Sistemas, RRHH, Legales,


Gestión de Riesgos, inmuebles, etc.
Procesos de Gestión:
Relacionados con la dirección, planificación.
SCI: Procesos
Políticas: Que se permite hacer (Reglas)
Normas : Quien realiza qué , en la organización (Incl.
Requisitos)
Proceso : Cómo se realizan las actividades (Incl. Recursos)

Ciclo de vida de los productos.


Conjunto de actividades:
- Secuenciales en el tiempo con un
inicio y un fin (Output de la última
actividad).
- Eventos Múltiples (Output es la
suma de los outputs de las
actividades)
SCI: Recursos
….. Involucra recursos como
• Instalaciones y Activos
• Infraestructura Tecnológica
• Explotación Tecnológica
• Recursos Humanos
Pueden ser ….
Tangibles:
Computadoras, Redes, Servidores, Salas de Computo,
Equipos, manuales, libros, discos, etc.

Intangibles:
Información, Seguridad y salud del personal, privacidad de
usuarios, contraseñas, imagen pública, etc.
Vulnerabilidades
Debilidades o deficiencias en los
procesos, sistemas o recursos.
• Fallas en el diseño de sistemas o procesos

• Controles inadecuados o insuficientes

• Control de acceso (lógicos y físicos)

• Falta de Mantenimiento

• Personal sin conocimiento

• Desactualización de sistemas críticos


Amenazas / Ataques
Hechos que pueden producir daños
sean en forma fortuita o intencionada

• Desastres Naturales

• Errores Humanos y Procedimentales

• Errores Tecnológicos: Hardware y Software

• Actos Malintencionados

• Entorno de la Empresa: Competidores


Amenazas
Provocados por la naturaleza

Lluvias, inundaciones,
terremotos, rayos, etc.
Ataques
Provocados por el hombre

Hackers, Escucha
crackers, electrónica
piratas.

Virus. Ataques
físicos
Proporciones

20%

80%

Externos Internos
Procedencia de los ataques
• Externa. Competidores.
Usuarios.
Delincuentes.

• Interna. Administrativos.
Ingenieros.
Operadores.
Programadores.
Auxiliares.
Posibles acciones de los
competidores

sabotaje

espionaje
robo de
programas
soborno
Posibles acciones de los
usuarios

Obtención de
información.

Entrega de información
a competidores.
Infección viral

Archivo Transmisión Reproducción INFECCIÓN


Infectado
Tendencias de los ataques
Tendencias de los ataques
Posibles acciones de los
administrativos

Falsificar
información.

Entrega de información
a externos.
Posibles acciones de los
ingenieros

Activar
defectos.

Acceder a los sistemas


de seguridad.
Posibles acciones de los
operadores

Copiar
archivos.

Destruir archivos.
Posibles acciones de los
programadores

Robar
programas o
datos.

Introducir fallas.

11 3
Posibles acciones de los
auxiliares

Vender reportes o
duplicados.

Buscar informaciones
SCI: Riesgo

Posibilidad que ocurra un


evento que pueda afectar el
logro de los objetivos de la
organización.
Se mide en términos de
impacto y probabilidad.
SCI: Riesgos
Riesgo del Negocio: Pueden afectar la viabilidad del
negocio o empresa a largo plazo.

Riesgo Inherente: Riesgo antes de considerar la


efectividad de los sistemas de control (Riesgo Total).

Riesgo de Control: Posibilidad de que los controles


vigentes, no puedan detectar o evitar errores o
irregularidades significativas en forma oportuna.

Riesgo Residual: Riesgo no considerado dentro de los


sistemas de control implantados.

Pueden ser
Riesgos internos: Operacional, Créditos, etc.
Riesgos externos: Normativos, Mercado, Naturales, etc.
SCI: Riesgos
Modelo de Riesgos.
Se debe implantar mecanismos para identificar,
analizar y gerenciar los riesgos.

Cuadro de valoración de factores de riesgos


Recursos o Factores que inciden como probabilidad o impacto en el riesgo
Procesos
(Aplicativos) Importancia Volumen de Antigüedad de Nivel de Complejidad Número de Conocimiento Nivel de
en el negocio operaciones Aplicativo Mantenimiento de Aplicación Incidencias de Usuarios Reclamos

Afiliación de
Clientes

Ventas

Compras y
Proveedores

Almacenes

RRHH

Contabilidad

Producción
SCI: Riesgos

Matriz de Riesgos – Valoración

Crítico No
Alto A A NA
aceptable
Impacto

Alto
M M A A NA

Medio
B B M M A

Bajo
RIESGO
T Bajo B B M

Mínimo
Tolerante T B B M

Remota Improbable Ocasional Probable Frecuente

Probabilidad
SCI: Riesgos

Riesgos de Información (Básicos)

• Pérdida de confidencialidad
• Pérdida de integridad
• Pérdida de disponibilidad
• Pérdida de Activos
SCI: Controles
COSO – Actividades de Control
“Es el conjunto integrado de estructuras,
políticas, procedimientos, métodos, procesos y
recursos, que permiten mitigar los riesgos a
los que está expuesto una organización, en
función a sus objetivos y metas.”

Pueden ser:
• Manuales o Automáticas
• Por operación, diaria, semanal, mensual,
eventual, etc.
SCI: Controles
Tipos:
• Controles Preventivos.
Para evitar hechos no deseados, antes de empezar un proceso,
se implementan para incrementar la calidad de los procesos y
para eliminar los problemas en origen
• Controles Correctivos
Para corregir hechos no deseados que han ocurrido, y que son
difíciles de identificar previamente.
• Controles Detectivos
Identifica desviaciones antes de concluir un proceso, detectando
errores difíciles de definir y predecir y cuyas consecuencias no
suelen ser muy relevantes
• Controles Directivos
Para provocar o promover que sucedan hechos deseados, esta
orientado al seguimiento de indicadores de resultados internos.
SCI: Controles
Niveles
1. Seguimiento, supervisión de los controles generales o
específicos, como:
Auditoría Interna
Comités de control
2. Generales, afectan de forma generalizada a un grupo de
procesos, como:
Segregación de Funciones
Políticas y procedimientos
Control de Accesos y Control de Cambios
Selección y formación de personal
Controles físicos sobre activos y registros.
SCI: Controles
Niveles
3. Específicos, mecanismos que permiten prevenir,
detectar y corregir los riesgos, como:
Autorizaciones.
Verificaciones y recálculos
Documentos y registros adecuados.
Conciliaciones
Chequeos independientes.
Comparación de registros con activos

Todo control debe generar evidencia y


se valora su efectividad para mitigar
el riesgo (deben existir los mínimos necesarios)
SCI: Controles
COSO – Ambiente de Control
Se refiere a la actitud y las acciones del Directorio y la Gerencia con
respecto a la importancia del control dentro de la organización.

El entorno de control proporciona la disciplina y la estructura para


lograr los objetivos principales del sistema de control interno.

Incluye los siguientes elementos :


• Integridad y valores éticos.
• Estilo de operación y filosofía de la gerencia.
• Estructura organizacional
• Asignación de autoridad y responsabilidades
• Políticas y prácticas de recursos humanos
• Compromiso de competencias del personal.
• Comité de Auditoria
SCI: Controles
COSO – Información y Comunicación
“Información estructurada y oportuna para
que los gerentes evalúen los resultados de
gestión versus los objetivos (desempeño).”

Seguridad: Confidencialidad, Disponibilidad e Integridad


Clasificación:
Definir estándares para adoptar protección adecuada, puede ser
Pública, Privada, Confidencial y secreta
SCI: Evaluación de Controles
COSO – Monitoreo
“Todo el proceso debe ser supervisado y actualizado
según necesidades, a fin de que el sistema reaccione
dinámicamente.”

Se deben realizar evaluaciones periódicas o


puntuales del funcionamiento de los controles, por:
• Los propios responsables
• Control Interno
• Auditoria interna
• Auditoria externa.
SCI: Evaluación de Controles

La evaluación debe considerar


• Que se realicen como se diseñaron
• Validar la efectividad: Disminuya el riesgo
• Que esté actualizado
• Que aporten valor agregado
Sistema de Control Interno - Coso

• Monitoreo continuo por la administración


• Evaluaciones internas (Propias y
Auditoría)
• Evaluaciones Externas
• Políticas y Procedimientos
• Análisis efectuados por la
• Comunicación interna y Dirección
externa, a todos los niveles. • Procesamiento de
• Información gerencial y información
financiera. • Controles físicos y lógicos
• Información operativa, de • Indicadores de rendimiento
control y supervisión • Segregación de funciones
• Calidad de la información.
• Medios de comunicación.

• Filosofía y Estilo de la Dirección.


• Estructura Organizacional
• Consejo de Administración y
• Definición de Objetivos Comités.
• Revisión de procesos • Asignación de Autoridad y
asociados Responsabilidad
• Análisis de Riesgos • Administración de los Recursos
• Valoración de Riesgos COMPONENTES Humanos.
• Cumplimiento de Objetivos • Integridad y Valores Éticos.
Sistema de Control Interno
Amenazas
Vulnerabilidades

Procesos y
Recursos
No existe .
R de Control

Inherente
Deficientes .
Inadecuados . Pto. Mitigación
R Residual

Evaluación Valoración y A

Impacto
de Controles GESTIÓN DEL Matriz de
M

RIESGO Riesgos
B

Probabilidad

Valoración Riesgos
Rec. o Factores probabilidad o impacto riesgo
Procesos

Import Volu Antigüed Conoci Recl


ancia men ad mien amo
s

Implantar Afiliación
de Clientes
Alto Medi
o
Alto Bajo Med
io

Alto Medi Alto Bajo Med


RRHH

Controles
o io

Preventivos .
Contabilid Alto Medi Alto Bajo Med
ad o io

Detectivos . Seguridad
Alto Medi Alto Bajo Med
Producción
o io

Correctivos .
Directivos .
Sistema de Control Interno
Conclusiones
• No existe ninguna organización a salvo
de ataques a sus sistemas informáticos.

• No existe sistema informático, ni


organización absolutamente seguros.

• Tiene componente subjetivo


Existe un juicio personal sobre el nivel
de riesgo aceptable y lo que
constituye una amenaza
GRACIAS