METODOLOGIA PARA LA EVALUACION DEL CONTROL INTERNO EN SISTEMAS DE

INFORMACION (AUDITORIA AL AMBIENTE DE CONTROL EN CENTROS DE CÓMPUTO).

La presente metodología ofrece un ordenamiento lógico de las Fases y actividades que deberán
cumplirse para realizar la evaluación de los controles en un sistema P.E.D. Se proveen los
elementos necesarios para la evaluación específica de los diferentes recursos que se utilicen en
las Transacciones o Procesos que conforman un sistema operativo. Esta característica permite
analizar cada recurso (elementos humanos o materiales que participan en el P.E.D.) en su
ambiente de funcionamiento e identificar las Amenazas potenciales a que está expuesto y los
Riesgos que podrían generarse si tales amenazas se materializan. Este análisis también permite la
identificación de los controles requeridos para la protección de todos los recursos considerados.
La identificación de controles permite precisión en las evaluaciones y ofrece un soporte para hacer
las recomendaciones pertinentes y realizar el seguimiento en la implantación de los controles
requeridos.

FASE 0. PLANEACION DEL PROYECTO.

0.1. Selección de empresa.

0.2. elaboración del proyecto de Auditoria.
0.3. Aprobación del proyecto.
0.4. Organización de los Papeles de Trabajo.

FASE 1. CONOCIMIENTO DEL SISTEMA.

1.1. Aspectos Legales y Políticas internas. Es el marco de referencia para la evaluación. Se

debe crear un Archivo permanente con copias de documentos, decretos, circulares, etc.
1.2. Características del sistema operativo. (Organigrama del área, Manual de funciones,
Manual de procedimientos del sistema, Manual de Aplicación, Manual del Usuario,
Informes de Auditoria realizadas anteriormente, Opiniones de los usuarios con relación al
funcionamiento de los controles del sistema.
1.3. Características de los equipos. Inventario. Funcionarios autorizados para manejar los
equipos. Seguridad física y lógica de los equipos. Procedimientos de seguridad física.
1.4. Identificación de los recursos y transacciones Identificar y codificar los recursos y
transacciones que participan en el P.E.D. A los recursos y transacciones identificados
debe asignárseles un peso o importancia de acuerdo a su papel en el P.E.D. Los recursos
son los elementos humanos o materiales que participan en la realización de los procesos
que conforman una Transacción. La protección de los Recursos del Sistema Operativo es
un objetivo del sistema de control. Las transacciones son los eventos lógicos que suceden
durante la “vida” de una operación. Una transacción puede dividirse en procesos y estos a
su vez pueden dividirse en sub-procesos.

EJEMPLO CODIFICACION DE RECURSOS

A ARCHIVOS MAGNETICOS

AI Archivos de Impresión
AI01 Liquidación de Nómina
AIO2 Cheques de Empleados
AM Archivos Maestros
AMO1 Datos Básicos Empleados
AMO2 Acumulados Anuales
AMO3 Conceptos de Pago

D Archivos Documentarios
DC Carpetas
DC01 Carpeta de Empleado
DC02 Reporte Nuevos Empleados

E Empleados
EA Empleados Administrativos
EA01 Gerente General

P Programa de Computador
PC Captura y Actualización
PC01 Creación/Cambio datos básicos
PI Impresión
PI01 Devengos y Deducciones

QS Servidor
QT Terminales
QT01 Terminal 5269

EJEMPLO CODIFICACION DE TRANSACCIONES

100 Ingreso de nuevos Empleados

110. Diligenciamiento de formularios
120. Firma del contrato
130. Digitación de datos
140. Archivo de documentos

200 Manejo de novedades

210. Preparación de novedades
220. Digitación de novedades
230. Revisión de inconsistencias
240. Archivo de documentos

300 Liquidación de nómina

310. Liquidación de prenómina
320. Corrección de inconsistencias
330. Liquidación definitiva
340. Generación de reportes
350. Generación de cheques

400 Pago de Nómina

410. Firma de cheques
429. Entrega de cheques
430. Archivo de recibos

500 Contabilización de nómina

510. Preparación del movimiento
 520. Elaboración comprobante resumen

600 Cambio de datos básicos

610. Generación de novedades
620. Preparación de reportes
630. Digitación de datos
640. Revisión de datos
650. Archivo de documentos

700 Operaciones Generales

710. Generación de copias de respaldo
720. Almacenamiento de copias de respaldo

FASE 2. ANALISIS DE AMENAZAS Y RIESGOS

2.1. Identificación de las amenazas. Las amenazas son los “peligros” potenciales sobre los
recursos del sistema. Las amenazas generan los Riesgos. Una amenaza puede generar
uno o varios riesgos. Solo deben considerarse aquellas amenazas que sean
representativas de la situación o ambiente en que operan los Recursos. No es necesario
que el auditor “invente” las Amenazas. Existen listas de conceptos que pueden ser
utilizadas. El esfuerzo del Auditor debe encaminarse al análisis de las Amenazas que sean
aplicables al sistema considerado. La primera letra del Código de la Amenaza corresponde
al Grupo de los Recursos afectados.

EJEMPLO DE CODIFICACION DE AMENAZAS.

AMENAZAS SOBRE EQUIPOS

Q100 Mantenimiento deficiente

Q105 Equipos ubicados en sitios inseguros
Q110 Ausencia de control de acceso

AMENAZAS SOBRE DOCUMENTOS FUENTE

F100 Transacción no autorizada

F105 Transacción autorizada en forma incorrecta
F110 Inexistencia de instrucciones escritas
F115 Diseño deficiente de documentos fuente.

AMENAZAS SOBRE ARCHIVOS MAGNETICOS

A100 Ausencia de documentación del diseño

A105 Falta de copias de respaldo
A110 Acceso no controlado
A130 Cambio de datos sin pista de Auditoria
AMENAZAS SOBRE PROGRAMAS DE COMPUTADOR

P100 Inexistencia de documentación

P105 Falta de copias de respaldo
P110 Acceso no controlado a programas fuente
P130 Lógica o cálculos incorrectos.

OTRAS AMENAZAS A LOS SISTEMAS DE INFORMACION

 El crecimiento en compatibilidad entre los diferentes sistemas de computación

incrementa los riesgos de seguridad.
 La difusión de conexiones entre computadoras personales a grandes equipos,
sistemas multiusuario, y redes de computadoras implica que muchas personas
disponen de medios para acceder a los recursos de información de las empresas.
 El uso creciente de la tecnología induce a una mayor dependencia de los sistemas y
mayores problemas, cuando este uso no está controlado.
 La interrupción del servicio se califica como el daño con más frecuencia potencial.
 Incompletos planes de contingencia para operar en situaciones de desastre.
 El personal de sistemas puede llegar a ser la mayor amenaza para la organización, si
no tiene procedimientos claramente definidos en su contratación.
 Las organizaciones confían cada día más en los recursos de computación.
 En la práctica, la necesidad de tener seguridad está reconocida como una prioridad,
sin embargo el nivel de seguridad utilizado es bajo.
 La escasez de conocimientos tecnológicos y/o comprensión por parte de la
administración, crea un alto y delicado grado de complacencia.
 Muchos usuarios no están acostumbrados o no son conscientes de las diferencias
entre requisitos de seguridad y acciones que se deben tomar para satisfacer esos
requisitos.
 Los requisitos de seguridad de los usuarios son independientes de la tecnología.
 La identificación de requisitos esenciales de seguridad es básica para una política
efectiva de seguridad.
 La creencia de que el delito por computadora es algo que no sucederá es de
frecuente ocurrencia.
 La falta de presupuesto hace difícil revisar si los recursos disponibles están siendo
utilizados en forma eficiente.
 El intruso autorizado (secretaria, supervisor, administrador), con acceso legítimo a una
parte del sistema.
 Funcionalidad antes que control.
 Violaciones de seguridad por el punto más débil.

2.2. Identificación de los riesgos. Los riesgos son los hechos que pueden ocurrir si llegan a
materializarse las amenazas a que están expuestos los recursos del sistema. La utilización
de recursos de computación (Software y Hardware) crea nuevos conceptos de riesgo en la
evaluación de un sistema de información. Los riesgos mas relevantes son: Daño físico o
destrucción de Recursos. Pérdida por Fraude o desfalco. Extravío de documentos fuente,
 archivos o informes. Robo o hurto de dispositivos o medios de almacenamiento.
Interrupción de las operaciones del negocio. Revelación o pérdida de Integridad de los
datos. Ineficiencia de las operaciones. Errores u omisiones en documentos fuente, archivos
o informes del sistema.

EJEMPLO DE CODIFICACION DE RIESGOS:

01. FRAUDE/DESFALCO
02. PERDIDA / EXTRAVÍO
03. ROBO/ HURTO
04. INTERRUPCIONES
05. MULTAS / SANCIONES.
06. INEFICIENCIA.
07. DAÑO/DESTRUCCION.
08. ERRORES/OMISIONES

En el siguiente cuadro se presentan ejemplos de los conceptos descritos con los cuales podrá
aclararse un poco mas la diferencia entre Amenazas y los Riesgos.

AMENAZA RECURSO RIESGO

1. DOCUMENTOS 1. DOCUMENTOS 1. FRAUDE/DESFALCO
ARCHIVADOS EN FUENTE 2. PERDIDA/EXTRAVIO
FORMA INSEGURA 2. INFORMES 3. ROBO/HURTO
IMPRESOS 4. DAÑO DESTRUCCION
3. PROGRAMAS DE
COMPUTADOR
2. ACCESO NO 1. INFORMES 3. ROBO/HURTO
RESTRINGIDO A IMPRESOS 7. DAÑO/DESTRUCCION
ARCHIVOS DE
INFORMES

2.3. Relación entre Recursos/Amenazas/ Riesgos. Este es uno de los aspectos mas
importantes en el proceso de evaluación. La relación entre estos elementos debe
establecerse a partir de la observación de los recursos en su ambiente real de
funcionamiento. Es importante obtener evidencias sobre la ocurrencia de Amenazas y
Riesgos en la realidad. Aunque son muchas las amenazas potenciales sobre los recursos,
es necesario asegurarse de considerar solo aquellas que sean aplicables en el ambiente
real en que estos operan. Debe tenerse presente que a cada terna de Re/Am/Ri,
considerada deben asignarse uno o mas controles.

Ejemplo de Relación entre Recursos/Amenazas/ Riesgos.

AUDITORES Y SISTEMAS LTDA

LACTEOS PURACE LTDA
SISTEMA: CENTRO DE COMPUTO
RELACION REC/ AMENAZA/RIESGO
OCTUBRE 16 DE 2017
CODIGO Descripción COD COD
RECURSO AMEN RIES
QSO1 SERVIDOR PRINCIPAL Q100 05
06
08
QT TERMINAL Q105 02
03
07
AM ARCHIVO MAESTRO A110 02
03

AUDITORES Y SISTEMAS LTDA

LACTEOS PURACE LTDA
SISTEMA: NÓMINA
RELACION TRANS/ RIESGO
OCTUBRE 16 DE 2017
CODIGO Descripción COD
TRANSACCION RIES
130 DIGITACION DE DATOS 01
02
03
04
05

FASE 3. ANALISIS DE CONTROLES

3.1. Identificación de los controles requeridos. Los controles son las medidas orientadas a
Disuadir, Prevenir o Detectar las amenazas, corregir las situaciones generadas y recuperar
las pérdidas ocasionadas. Existen listas de controles que el Auditor puede utilizar. El
esfuerzo del Auditor debe orientarse a la selección de los controles aplicables según el
Recurso analizado y las Amenazas o Riesgos contra las que se desea protegerlo. El primer
dígito del Código del Control corresponde a la identificación del Grupo al que pertenece el
Recurso protegido. En este paso se crean los controles que el Auditor considera
necesarios.

EJEMPLO DE CODIFICACION DE CONTROLES

CONTROLES SOBRE ARCHIVOS MAGNETICOS

A01 Documentación del Diseño de los Archivos

A02 Copias de respaldo
A03 Registro de Acceso y utilización de Archivos
A06 Verificación periódica del contenido
A07 Informes de Verificación.

CONTROLES SOBRE DOCUMENTOS EMPLEADOS

E01 Segregación de funciones de generación y aprobación

E05 Manual de Funciones
E06 Capacitación a los empleados

CONTROLES SOBRE DOCUMENTOS FUENTE

F01 Definición de atributos para aprobación

F06 Tráfico debidamente identificado
F08 Verificación de datos
CONTROLES SOBRE PROGRAMAS DE COMPUTADOR

P01 Documentación de Programas

P02 Copias de respaldo de programas fuente
P07 Rutinas de Validación en programas de captura

CONTROLES SOBRE EQUIPOS

Q01 Mantenimiento preventivo

Q02 Ubicación de equipos en sitios seguros
Q07 Pólizas de Seguro por daños en equipos

3.2. Relación entre recursos, amenazas, riesgos y controles. La relación con los controles debe
establecerse para cada terna Rec/Amen/Riesgo. Identificada. Para cada terna pueden
existir uno o varios controles. Para establecer las relaciones ya deben estar creados los
controles. Se crean las relaciones con los controles que el Auditor considera necesarios.
Un mismo control puede ser aplicable a varios recursos. Para establecer la existencia y
suficiencia de los controles, el Auditor debe saber cuáles controles existen y cuáles no.

AUDITORES Y SISTEMAS LTDA

LACTEOS PURACE LTDA
SISTEMA: CENTRO DE COMPUTO
RELACION REC/ AMENAZA/RIESGO/CONTROL
OCTUBRE 16 DE 2017
CODIGO Descripción COD COD COD
RECURSO AMEN RIES CONTROL
QSO1 SERVIDOR PRINCIPAL Q100 05 Q01
06 EO6
08 FO8
QT TERMINAL Q105 03 Q02
02 Q07
07
AM ARCHIVO MAESTRO A110 02 A02
03 A03

AUDITORES Y SISTEMAS LTDA

LACTEOS PURACE LTDA
SISTEMA: NÓMINA
RELACION TRANS/ RIESGO/CONTROL
OCTUBRE 16 DE 2017

CODIGO Descripción COD COD

TRANSACCION RIES CONTROL
130 DIGITACION DE 01 E01
 DATOS 02 F06
04 A02
05 F08
07 A03

3.3. Análisis de la cobertura de los controles requeridos. El análisis de cobertura tiene como
propósito determinar si los controles que el Auditor identificó como necesarios proveen una
protección adecuada de los recursos. Para el análisis de cobertura se utilizan las Matrices
de relación. 1) MATRIZ DE RECURSOS/RIESGOS/CONTROL, matriz que se elabora a
partir del Informe de la Relación Recurso/Amenaza/Riesgo/Control. 2) MATRIZ DE
TRANSACCION /RIESGO/CONTROL, matriz que se elabora a partir del Informe de la
Relación Transacción/Riesgo/Control.

FASE 4. EVALUACION DE LOS CONTROLES.

4.1. Objetivos de la evaluación. En la fase 3 se identificaron los Controles que el Auditor

considera necesarios para la protección de los recursos. Pero esos controles están implantados. Si
están implantados,¿ funcionan y son suficientes ?. La evaluación tiene como objetivos: a) Verificar
la existencia de los controles requeridos. b) Determinar la operatividad y suficiencia de los
controles existentes.
NOTA: La prueba de todos los controles puede resultar bastante dispendiosa. Por esta razón, el
Auditor debe orientar su trabajo a la evaluación de los controles que protegen los recursos o
transacciones mas relevantes. Para esta selección se utilizan los Pesos o importancia asignados
en Matriz de relación.

4.2 Plan de pruebas de los controles. Una vez seleccionados los Recursos o
Transacciones mas relevantes se organiza el trabajo de las pruebas. La preparación del Plan
asegura un trabajo más ordenado y objetivo. La elaboración del Plan incluye la selección del Tipo
de prueba a realizar. Deben solicitarse con anticipación al área respectiva, todos los elementos
necesarios para la prueba.

4.3 Prueba de los controles. Generales: a) Manual de Políticas, b) Manual de la Operación, c)

Manual de funciones, d) Manual Técnico de la Aplicación, e) Manual del Usuario. Prueba de
controles Manuales. a) Preparación de documentos fuente b) Autorización de Transacciones c)
Custodia de documentos fuente, d) Manejo de archivos documentarios. La verificación de los
controles Manuales puede realizarse mediante la selección de u grupo de transacciones históricas

4.4 Análisis de resultados. Los resultados deben analizarse para determinar: a) Si el resultado
es concluyente o se requieren pruebas adicionales. b) El nivel de cobertura de los Controles
existentes. Para el análisis de Resultados deben utilizarse las Matrices de Relación. La
comparación de las Matrices de Controles Requeridos y Controles Existentes es de gran ayuda en
la sustentación de las recomendaciones. Los controles se califican como Eficaces, Aceptables o
Débiles, según los resultados de las pruebas. Los resultados de la Pruebas dan lugar a las
RECOMENDACIONES de la Auditoria.

FASE 5. EL INFORME DE AUDITORIA. Contenido: INTRODUCCION. Objetivo y contenido del

Informe de Auditoria. OBJETIVOS DE LA AUDITORIA. Objetivos establecidos en el Proyecto.
ALCANCE. Alcance y cobertura de la evaluación realizada. OPINION. Resumen de la opinión del
Auditor con relación a la suficiencia del Control Interno del sistema evaluado. HALLAZGOS. Se
presentan los hallazgos mas relevantes de la evaluación. RECOMENDACIONES. Deben
estipularse claramente los objetivos de las recomendaciones.

FASE 6. SEGUIMIENTO DE LAS RECOMENDACIONES. Informe de seguimiento. El trabajo del

Auditor no termina con la entrega del Informe a la Alta Gerencia. El Auditor debe hacer el
seguimiento de los controles recomendados hasta lograr su implantación. Periódicamente debe
generarse el Informe de seguimiento para aquellos controles que cumplan su fecha estimada. Las
áreas deben responder a aquellos controles para los cuales de manera repetida se posterga su
implantación. Periódicamente se preparan Informes para la Gerencia indicando el estado de
implantación de las recomendaciones de Auditoria.

Los elementos presentados en el cuadro anterior no están asociados en relación uno a uno de
manera directa o sea que pueden combinarse de diferentes formas.
Por ejemplo:

A) Una amenaza puede generar varios riesgos para un mismo Recurso.

B) Amenazas diferentes pueden originar riesgos diferentes para un Recurso
C) Amenazas diferentes pueden originar un mismo Riesgo para un Recurso

En consecuencia, la identificación de los controles necesarios para proteger un determinado

recurso implica la evaluación del recurso en su ambiente de funcionamiento para identificar las
Amenazas a que está expuesto y los Riesgos que ellas podrían generar. Podemos decir entonces
que existen controles no solo para las Amenazas sobre un recurso, sino también para los Riesgos
potenciales.

Es muy importante tener en consideración que la identificación de una Amenaza siempre lleva
implícita la identificación de uno o varios riesgos potenciales. Además, siempre que para un
Recurso se identifiquen Amenazas o Riesgos será necesario identificar uno o varios controles para
su protección.

No es muy significativo hablar de Amenazas sobre Recursos sin la identificación de los controles
correspondientes.

CLASIFICACION DE LOS CONTROLES.

El objetivo principal de una evaluación de auditoria es la identificación de los controles requeridos

para proteger los recursos que están comprometidos en el sistema operativo evaluado.

Los controles pueden clasificarse según su cobertura, naturaleza, propósito y estado.

A). SEGÚN SU COBERTURA.

CONTROLES GENERALES. Son los que se aplican a mas de un sistema operativo.

CONTROLES PARTICULARES. Son los que se aplican a un determinado sistema operativo.
CONTROLES ESPECIFICOS. Son los que aplican a un determinado recurso o grupo de recursos
en un sistema operativo.

B). SEGÚN SU NATURALEZA.

CONTROLES MANUALES. Son los que deben ser aplicados por los recursos humanos que
participan en la administración del sistema operativo.
CONTROLES AUTOMATICOS. Normalmente, son los controles incorporados en los programas de
computador.

C). SEGÚN SU PROPÓSITO.

CONTROLES DISUASIVOS. Son medidas orientadas a desanimar a las personas para que no
lleven a cabo acciones que podrían transformarse en amenazas para los recursos protegidos.
CONTROLES PREVENTIVOS. Son las medidas encaminadas a evitar una amenaza. Los controles
preventivos están ubicados en tal forma que entren en operación cuando los controles disuasivos
no han funcionado.

CONTROLES DETECTIVOS. Son las medidas orientadas a detectar la presencia de las

amenazas.

CONTROLES CORRECTIVOS. Son las medidas aplicables en el momento en que se haya

materializado una amenaza, o sea cuando ya se está ante la presencia del riesgo.

CONTROLES RECUPERATIVOS. Como su nombre lo indica, son las medidas orientadas a

recuperar o compensar las consecuencias de los riesgos acaecidos.

D). POR SU ESTADO.

CONTROLES IMPLANTADOS. Son las medidas resultantes de la evaluación aceptadas por los
administradores del sistema y efectivamente colocadas en práctica.

CONTROLES POR IMPLANTAR. Son las medidas resultantes de la evaluación de Auditoria,

aceptadas por los administradores del sistema y que están en proceso de implantación.

CONTROLES DESCARTADOS. Son aquellos controles que luego de su análisis la administración

del área operativa decide no implantar. El hecho de que la administración decida no implantar un
determinado control no significa que la Auditoria deba acogerse a esta decisión. Si fuera el caso, la
auditoria deberá insistir en su recomendación. Es importante que se tenga una documentación
permanente de estos controles para evidenciar las recomendaciones en caso de que llegaran a
materializarse las amenazas o riesgos que se pretendían proteger.
Para la aceptación de los controles se utilizan tres (3) categorías que son: EFECTIVO,
ACEPTABLE, DEBIL.

A continuación una gráfica que integra los controles según su propósito.

 CONTROLES
DISUASIVOS
CAUSA CAUSA
POTENCIAL POTENCIAL

CONTROLES
PREVENTIVOS
AMENAZA

CONTROLES
DETECTIVOS

RECURSO

CONTROLES
CORRECTIVOS
RIESGO

CONTROLES
IMPACTO IMPACTO RECUPERATIVOS

Los siguientes ejemplos ilustran de manera más amplia los conceptos analizados.

Ejemplo 1.

RECURSO ANALIZADO: Archivo Magnético.

AMENAZA: Acceso no autorizado a comandos del sistema.

CAUSAS POTENCIALES: Acciones mal intencionadas, negligencia.

RIESGO: Daño o destrucción.

CONSECUENCIAS: Interrupción de las Operaciones.

CONTROLES APLICABLES.

DISUASIVOS.
 Manual de seguridad que establece los comandos del sistema y las personas autorizadas
para utilizarlos.
 Código de Ética de los operarios del sistema.

PREVENTIVOS.
  Verificación automática de acceso a los comandos del sistema.

DETECTIVOS.
 Verificación periódica del contenido de los archivos magnéticos.

CORRECTIVOS.
 Copias de respaldo de los archivos magnéticos.

RECUPERATIVOS.
 Pólizas de seguros que cubren los costos asociados con la reconstrucción de archivos
magnéticos.

EJEMPLO 2.

RECURSO ANALIZADO. Documentos Fuente.

AMENAZA. Diseño deficiente.

CAUSA POTENCIAL. Ausencia de estándares.

RIESGO. Errores y Omisiones, ineficiencia.

CONSECUENCIAS. Mayores costos de operación.

CONTROLES.

DISUASIVOS. Estándares para diseño de documentos fuente.

PREVENTIVOS. Centralización del diseño de documentos fuente.

DETECTIVOS. Verificación periódica de diseños elaborados.

CORRECTIVOS. Procedimientos autorizados para manejo de errores.

MATRICES DE RELACION.

Las matrices de relación, conocidas como Matrices de Controles, constituyen una herramienta de
gran valor en el proceso de evaluación, especialmente cuando se pretende determinar la
suficiencia en la cobertura de los controles identificados para proteger los recursos de una
transacción o la Transacción como un todo.

Su gran valor radica en que permite visualizar de manera gráfica al interrelación existente entre los
Recursos o las Transacciones, los Riesgos identificados para el sistema y los controles que el
Auditor considera deben existir para su protección. Así mismo, una vez realizada la verificación de
los controles existentes, las Matrices permiten visualizar la situación real de la exposición de los
Recursos o las Transacciones.

Las Matrices de Relación más utilizadas son las de Transacciones/Riesgos y la de

Recursos/Riesgos. En los dos casos se utilizan las columnas de la matriz para ubicar los riesgos y
las filas se utilizan para reflejar las Transacciones o los Recursos. En ambos casos, las celdas de
cruce entre filas y columnas se utilizan para colocar los códigos asignados a los controles (que
deben existir o que existen) relacionados con cada pareja de Transacción/Riesgo o
Recurso/Riesgo.

Es importante tener en cuenta que el análisis de cobertura de los controles no puede hacerse
tomando en cuenta la cantidad de controles ubicados en cada celda de cruce. Existen casos en
que la situación no amerita un control especial o casos en los cuales un solo control puede ser
suficiente para proteger la situación detectada. El análisis utilizando matrices de relación de be
estar complementado con la evaluación de la suficiencia y propósito de cada control identificado.

AUDITORES Y SISTEMAS LTDA

LACTEOS PURACE LTDA
SISTEMA: CENTRO DE COMPUTO
MATRIZ DE CONTROL
RECURSOS/ RIESGO/CONTROL
OCTUBRE 16 DE 2017

RIESGOS P FRAUD PER ROBO/ INTE MULTAS INEFI DAÑO ERRORES/

E/ DIDA/ HURTO RRUP / CIENC DESTRUC OMISIONES
E
DES EXTRAVIO CIONES SANCION IA CIONES
S FALCO ES
RECURSO
0 01 02 03 04 05 06 07 08
QS01 Q01 EO6 FO8

QT

AM

AUDITORES Y SISTEMAS LTDA

LACTEOS PURACE LTDA
SISTEMA: NÓMINA
MATRIZ DE CONTROL
TRANS/ RIESGO/CONTROL
OCTUBRE 16 DE 2017

RIESGOS P FRAUD PER ROBO/ INTE MULTAS INEFI DAÑO ERRORES/

E/ DIDA/ HURTO RRUP / CIENC DESTRUC OMISIONES
E
DES EXTRAVIO CIONES SANCION IA CIONES
S FALCO ES
TRANSAC
0 01 02 03 04 05 06 07 08
130 E01 F06 A02 A03 F08

TERMINOLOGÍA.

OPERACIONES. Son los hechos económicos o administrativos resultantes del desarrollo social
de una determinada empresa.
TRANSACCIONES. Son los eventos lógicos que suceden durante la “vida” de una operación. Una
transacción puede dividirse en procesos y estos a su vez pueden dividirse en sub-procesos.
PROCESOS. Son las etapas o pasos ordenados que conforman una Transacción.
RECURSOS. Son los elementos humanos o materiales que participan en la realización de los
procesos que conforman una Transacción. La protección de los Recursos del Sistema Operativo es
un objetivo del sistema de control.
AMENAZAS. Es el “peligro” potencial a que están expuestos los recursos.
RIESGOS. Son los eventos resultantes de la ocurrencia o materialización de las amenazas.
Normalmente los riesgos son amparados bajo la cobertura de una póliza de seguros.
CONTROLES. Son las medidas, normas y procedimientos q que se disponen para proteger los
recursos contra las amenazas a que están expuestos y contra los riesgos que estas puedan
generar.
Los controles también están orientados a corregir las situaciones resultantes y recuperar las
pérdidas provenientes.