EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Controles Internos
Son los mecanismos que aseguran un
funcionamiento apropiado de los procesos de la
compaa.
"Cada sistema y proceso de la compaa existe
por alguna razn especfica de negocio. El
Auditor debe ver la existencia de riesgos a
stos propsitos y entonces asegurar que los
controles
internos
estn
colocados
convenientemente para mitigar los riesgos"

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
La responsabilidad de Control es claramente una tarea de la
administracin y comprende la planeacin, organizacin y
direccin. El Auditor debe asegurar que el sistema de control
interno sea efectivo y funcione como se estableci.
En la planeacin se definen los objetivos y las metas, adems
se seleccionan los mtodos para utilizar los recursos.
En la organizacin la recoleccin de los recursos requeridos y
disponerlos de tal forma para que los objetivos sean
alcanzados.
El proceso de direccin de la administracin incluye la
autorizacin, instruccin y monitoreo del desempeo as
como la comparacin peridica del desempeo actual con el
planeado.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

En el medio ambiente de los SI, es preciso que:

Se asegure que los sistemas funcionen como se

desee,
Se mantenga la integridad y confidencialidad de
los datos,
los sistemas
requieran,

estn

disponibles

cuando

se

se provea la exactitud , precisin y completitud

de los datos y
el acceso se
autorizadas.

garantice

slo

las

partes

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Las decisiones de la administracin pueden ser

clasificadas
como
Estratgicas,
Tcticas
y
Operacionales y las decisiones de cualquier nivel son
impactadas
por el diseo del SI, mismo que
proporciona lo fundamental para esa TD. El Auditor
entonces debe asegurar que el sistema de control
interno sea efectivo y funcione como es deseado.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

El nivel de control necesario ser afectado por

todo el conjunto de objetivos.
Los objetivos corporativos y las metas son
declaraciones de intentos de la organizacin y
generalmente muy amplios mientras que los
objetivos de la administracin define de que
manera
se
alcanzarn
los
objetivos
y
normalmente stos son muy detallados. Los
controles
internos
estn
diseados
para
asegurar que los programas para asegurar los
objetivos
de
la
administracin
sean
adecuadamente planeados y ejecutados.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
Los objetivos Operativos conducen el quehacer de da a da y
pueden entrar en conflicto entre ellos, por ejemplo, entre
necesidad de confidencialidad y de disponibilidad, similarmente
entre la eficiencia y eficacia del procesamiento de los datos. La
priorizacin de los objetivos operativos conduce el desarrollo de
controles y afectar el final del sistema de controles.
Si asuminos que la organizacin opera en un medio ambiente de
alta seguridad, los objetivos de control pudieran ser aquellos
donde permanentemente se pierde informacin y deben ser
preferidos a los controles donde slo se tenga fuga por goteo de
informacin. En un medio ambiente de baja seguridad la
disponibilidad puede ser el factor clave y la prdida de
confidencialidad podra ser de menor importancia. La evaluacin
de este perfil de riesgo es la que dicta el rumbo que tomarn la
estructura del control interno y por lo tanto el trabajo de
auditora.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
Consideraciones Costo/Beneficio

Los objetivos deben tomar en consideracin el costo de

cumplirlo. 'Tan rpido como sea posible implica cero
controles mientras que No errors implica controles
internos fuertes que abarcan todos los aspectos de la
calidad. Los Controles deben ser prcticos , tiles,
factibles y compatibles con las metas de operatividad y
control. Para justificar los controles debe existir un
equilibrio entre costo y beneficio. Todos los costos de los
recursos de los controles se establecen en trminos de
dinero, personal, poder del computador y tiempo, el
control implica siempre un balance costo-beneficio.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
Objetivos del Control Internos: En conjunto abarcan:

Confiabilidad e Integridad de Informacin. Si la administracin

no puede confiar en la fiabilidad y la integridad
de la
informacin conservada y procesada con el SI, entonces la
informacin se considerar sospechosa y en algunos casos,
sta podr ser perjudicial a la organizacin hasta perder el SI.
Cumplimiento con las polticas, Planes, Procedimientos, Leyes
y Regulaciones. Las leyes y regulaciones son impuestas
externamente stas deben ser cumplidas. Sistemas de
Informacin inadecuados puden dejar de advertir cuando se
contravienen las leyes resultando en prdidas por multas o
inhabilitaciones. Las polticas internas de planeacin y
procedimientos deben ser evaluados de vez en cuando para
redefinir los controles.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
Proteccin de Bienes. La prdida de bienes es tpicamente uno
de los riesgos ms visibles que genera los controles ms
visibles. Tambin se deben considerar los no visibles como
custodia duplicada, segregacin de tareas y tcnicas de
autenticacin.
Eficacia y Eficiencia de Operaciones. La eficacia involucra el
logro de los objetivos establecidos y deber ser el enfoque
escencial de todas las operaciones y controles. Se requiere el
monitoreo constante para ver si los objetivos de TI estn
alineados a la organizacin, ya que con el paso del tiempo
stos pueden contraponerse. La eficiencia es clasificada como
una medida de la optimizacin de los escasos recursos e
incluye la reduccin de desperdicio, as como la minimizacin
de subutilizacin de los recursos. Con estos objetivos de
control en mente, la administracin puede estructurar el
sistema de controles internos para mejorar la probabilidad de
alcanzar los objetivos.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
Los Controles pueden ser:
PREVENTIVOS, DETECTIVOS CORRECTIVOS
y tienen implementaciones Administrativas, Tcnicas y Fsicas.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Los Controles Preventivos detienen que un evento suceda.

Desde el punto de vista terico, los controles preventivos
son siempre preferidos por razones obvias. Sin embargo,
cuando se lleva a cabo la auditora, es importante
entender que los controles preventivos no siempre son una
solucin efectiva en cuanto al costo. Existen otros tipos de
control que son ms sensibles desde el punto de vista
costo-beneficio. Algunos de este tipo incluyen restricciones
a
usuarios,
requerimientos
para
passwords
y
autorizaciones de transacciones separadas.
Los controles Detectivos registran un evento despus de
que este ha sucedido. Por ejemplo, registran las entradas
de todas las actividades llevadas a cabo en el sistema.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS
Los controles Reactivos estn entre los preventivos y
detectivos. stos no preveen que un evento suceda, pero
poseen una manera sistemtica de detectar cuando suceden y
corrigen la situacin. Por tal razn a veces se les llama
controles correctivos.
Controles Directivos. Son diseados para producir resultados
positivos y animar hacia conductas de comportamiento
aceptables.
Controles Compensatorios. Pueden ser vistos cuando existe una
debilidad en un control este puede ser compensado por otro.
En general, los administradores y auditores siempre deben
tener en mente que un bajo control es barato para implementar
pero le puede costar a la organizacin, mientras que el sobre
control es caro y a la postre paralizante.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Sistemas de Control Interno

El medio ambiente de control es toda la infrestructura
donde los elementos de control funcionan y establece las
condiciones donde los controles internos operaran. Aqu
se encuentran la estructura de la organizacin. Esta
define la responsabilidad individual del administrador, el
conjunto de lmites de autoridad y permite asegurar una
segregacin de actividades apropiada. Si la estructura
organizacional es inapropiada, con exceso de concesin
de privilegios a individuos o si la segregacin de
actividades es pobre, la efectividad de los controles
individuales puede ser debilitada irreparablemente.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Es imposible implementar segregacin de actividades en

un sistema computacional usando derechos de acceso de
detalle, si a un individuo se le han dado derechos de
acceso a travs de actividades incompatibles como parte
de un procedimiento de operacin normal. El marco de
control incluye las polticas y procedimientos que
describen la cobertura de una funcin, sus actividades,
interelaciones con otros departamentos, as como las
influencias externas de leyes y regulaciones, clientes,
acuerdos sindicales y su ambiente competitivo. Las
estructuras implementan controles que pueden ser
complejos o simples. Las grandes organizaciones tienden a
definir marcos de control altamente estructurados,
mientras que las pequeas frecuentemente utilizan
contacto personal entre sus empleados.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Elementos de Control Interno

Las estructuras de control deben ser diseadas para
asegurar:

Segregacin de actividades: Controles para

asegurar que aquellos que manejan fsicamente los
bienes no sean los mismos que registran los
movimientos de los bienes. Con los sistemas de
computacin modernos esto normalmente se
alcanza con la combinacin de: identificacin de
usuarios, autentificacin de usuarios, y autorizacin
de usuarios.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Competencia e Integridad de personas. La base

del sistema de control es la gente que lo hace
cumplir. Para que los controles sean efectivos, las
personas que ejercen el control deben ser aptos
y
lo suficientemente honestos para que los
controles tengan consistencia. Esto significa que
seguir simplemente los procedimientos en un
ambiente de sistemas de informacin moderno es
inadecuado, y se requiere un alto grado de
riesgo
y de conciencia de
control para
garantizar que los controles funcionen segn lo
previsto.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Niveles apropiados de autoridad. Un error comn en las

estructuras de control es conceder demasiados
privilegios en los lmites de control. Las concesiones de
privilegios deben ser lo extrictamente necesarias.
Obviamente se requiere de un gran esfuerzo de las
personas que asignan los privilegios y ste deber
identificar plenamente cuando es una necesidad y
cuando es slamente un deseo. Desafortunadamente
en muchos lugares el control de acceso se limita a la
autentificacin de usuarios sin restricciones en todas
las reas funcionales del SI.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Accountability (Rendicin de Cuentas). Para todas

las decisiones, transacciones y acciones tomadas,
deben existir controles de tal forma que permitan
saber quin hizo qu con un aceptable grado de
confidencialidad. Para esto normalmente se usa
control de bitcora pistas de auditora. Mantener
simplemente
los
logs
puede
salir
contraproducente debido a que la organizacin
tiene un sentido faso de seguridad, los logs y
trails deben ser analizados a fondo.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Recursos Suficientes.
Los controles que se
procuran con recursos inadecuados normalmente
fallan cada vez que llega la fatiga y el estress.
Los recursos adecuados incluyen mano de obra,
financiamiento,
equipos,
materiales
y
metodologa. La administracin frecuentemente
subestima el costo de los recursos para
implementar controles y los ASI comnmente
recomendern controles sin tener en mente el
costo y las limitaciones de recursos de los
administradores para implementar los controles.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Supervisin y Revisin. La supervisin adecuada

es fundamental para la implementacin de los
controles. Desafortunadamente las personas no
hacen lo que se espera sino lo que se
inspecciona.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Sistemas Manuales y Automatizados

Junto con los SI existen componentes primarios de software
que pueden adicionarse o substraerse del control.
Software de: Sistemas , Aplicacin y de Usuario Final.
Para asegurar el control en la organizacin existen algunos
campos de control:

Controles Generales
computacin

de

SI.

El

medio

ambiente

de

Operaciones de Computadoras. Operaciones del da ada.

Seguridad Fsica / Lgica. Instalaciones, staff, sw hw / datos,
sw
Control de Cambio
funcioanmiento.

de

Programas.

Correccin

Desarrollo de Sistemas. Eficacia, Eficiencia y Econmico.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Los Sistemas de Aplicacin tienen sus propios grupos de

controles integrados que son principalmente orientados
al negocio. Generalmente incluyen objetivos de control
como: Exactitud y Precisin (accuracy), Completitud y
Autorizacin. Adems el auditor puede encontrar
Controles Compensatorios, donde controles dbiles en
una rea puede ser compensado por medio de otros
controles.
Los controles se pueden clasificar en discrecionales y nodiscrecionales. Los discrecionales son los que estn
sujetos a la discrecin humana. Por ejemplo la revisin de
firmas por un supervisor. Los no-discrecionales son
provedos por el sistema y no pueden ser anulados, estos
incluyen por ejemplo el uso de PIN (Personal Identification
Numbers)

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Otra clasificacin puede ser voluntaria y obligatoria. Los

controles voluntarios son escogidos por la organizacin
para soportar su negocio, mientras que los obligatorios son
aquellos requeridos por la ley y regulaciones.
Los controles pueden ser manuales automticos.
Los controles pueden ser SI generales y de aplicacin. Los
de aplicacin tienen que hacerse junto con la funcin del
negocio y los de SI generales son controles sobre la
funcin de SI.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Un control puede ser preventivo, discrecional,

voluntario, manual, general si ste:

Previene errores

Puede ser cambiado u omitido

No se requiere por ley

Es llevado a cabo por un humano

Maneja el medio ambiente en cual otro control

opera.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Objetivos de Control y Riesgos. Todos los ambientes

computacionales enfrenta una variedad de riesgos,
entre los cuales se incluye peligros como:

Fraude

Interrupcin del negocio

Errores

Insatisfaccin del Cliente

Imagen pblica pobre

Uso de recursos ineficaz e ineficiente

Todo esto es controlado por una variedad de Objetivos

de Control que maneje reas amenazadas especficas.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Objetivos de Control Generales. Estos objetivos, generales

por naturaleza, cubre la mayor parte de los aspectos de la
integridad de la informacin, seguridad de la computadora y
cumplimiento con polticas, planes, reglas, leyes y
regulaciones.
Objetivos de Transacciones y Datos. El procesamiento de
transacciones y el manejo de los datos son tambin sujetos
de procedimientos de control en cada etapa del
procesamiento. En la fase de entrada los ejemplos tpicos
de objetivos de control podran ser:
(Todas las
transacciones)

Que inicialmente se registran terminan.

Son completadas con precisin y exactitud

Se ingresan slo una vez.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Los mtodos de entrada podran inclur combinacin de

de entradas en lnea, entradas en batch, entradas de
sistemas de interfases e intercambio de datos
electrnicos. Los controles de este tipo tpicamente son:

Uso de documentos prenumerados

Conciliacin de totales de control

Validacin de datos en todas sus formas

Bitacora de actividades

Escaneo de docuementos

Autorizacin de acceso

Cancelacin de Documentos

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

En la fase de procesamiento los ejemplos tpicos de

objetivos de control tenemos:

Las transacciones aprobadas son aceptadas y

procesadas
Todas las transacciones rechazadas son
reportadas, corregidas y re-ingresadas
Todas las transacciones son procesadas slo una
vez
Todas las transacciones son procesadas con
precisin y exactitud

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Los tipos de procesamiento pueden ser batch,

actualizacin interactiva (tiempo real), as mismo el
procesamiento batch en lnea, aqu los controles tpicos
son:
Totales de control
Balance programado
Segregacin de
actividades
Acceso restringido

Etiquetas de archivo

Reportes de excepcin
Error Logs
Pruebas de Sensibilidad

Controlde Actualizaciones
concurrentes

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

En la fase de salida ejemplos tpicos de objetivos de

control podran ser :

Garanta de que los datos de entrada y

procesamiento se hayan presentado en la salida
La salida est disponible slo a personal autorizado.

La salida podra inclur impresin en papel, salida de

archivos para
procesamiento posterior generar
respuestas en lnea. Los controles en esta fase son:

Seguimiento de Auditora Completo

Distribucin de los registros de salida

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Objetivos de Control de Programas:

El desarrollo y ejecucin de programas estn sujetos a
sus propios objetivos de control y procedimientos. Los
objetivos de control podran inclur aseguramiento:

Integridad de programas y procesamiento

Prevencin de cambios no deseados

Garantizar control de desarrollo y diseo adecuado

Garantizar Pruebas adecuadas

Transferencia de programas controladas

Mantenimiento contnuo de sistemas

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Los controles tpicos alrededor del desarrollo de

programas se podra inclur:

Uso de un Ciclo de Vida de Desarrollo de Sistemas

formal (SDLC)
Involucramiento de Usuarios | Documentacin
Adecuada

Planes de Prueba formales | Conversin Planeada

Uso de Revisiones post-implementacin

Establecimiento de la funcin de Calidad (QA)

Involucramiento de Auditores Internos

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Si los objetivos de control anteriores son dirigidos

adecuadamente y se llevan a cabo los controles
entonces
el
riesgo
con
los
sistemas
computacionales se vern minimizados.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Gobierno Corporativo de TIC

La importancia de un buen gobierno ha sido
internacionalmente una consigna. ste ha sido manejado
como
requerimiento de la economa global para
transparencia y
rendicin de cuentas de los lderes
organizacionales.
El gobierno corporativo involucra mecanismos de direccin
y control de la empresa. Esto involucra mecanismos que
la administracin del negocio sostiene bajo su
responsabilidad
para
su
desempeo
y
conducta
corporativa. El gobierno provee el framework para que
los objetivos de la compaa sean implantados adems de
los medios para alcanzar estos objetivos y el respectivo
seguimiento de los resultados obtenidos.

EL PROCESO DE AUDITORA

CONTROLES INTERNOS

Gobierno Corporativo de TIC

Un buen gobierno asegura que la direccin y la
administracin persiga los objetivos superiores de la
compaa y de sus socios. Adems facilita su vigilancia.
El gobierno corporativo descansa en el medio ambiente
legal, regulatorio e institucional, incluye factores como
tica del negocio y conciencia corporativa del medio
ambiente e intereses de la comunidad en el cual la
organizacin opera, dado que esto puede tener un impacto
en su reputacin y capacidad de seguir operando a largo
plazo.