Mdulo: I Unidad: I Semana: 1

AUDITORIA DE SISTEMAS CONTABLES

CPC. ARANDA PONTE JAIME

 TTULO DEL TEMA

CONTROL INTERNO YAUDITORA

INFORMTICA
 ORIENTACIONES

Estimados alumnos, se recomienda

la lectura del libro de texto para
reforzar las clases, adems de
revisar los enlaces interesantes y
responder las autoevaluaciones.
 CONTENIDOS TEMTICOS

COSO
Los sistemas de control interno
Vulnerabilidades y ataques sobre los
sistemas y equipos.
Sistema de Control Interno

Modelo de Gobierno TI
 Sistema de Control Interno
Modelo de Gobierno TI
Sarbanes US Securities
Oxley & Exchange
COSO Commission

COBIT - ISO 38000

Seguridad de la Informacin ISO

27000
C
Desarrollo Tecnologa
M Explotacin
Aplicaciones y Comuni-
M TI ISO 20000
de Negocios caciones
I ITIL ITSM
Gestin de Servicios
ISO9
00x Sistemas de Calidad

Gestin de Proyectos PMI

ITSGA
Planificacin Estratgica TI

Gestin de Continuidad del Negocio ISO

22301

ITSGA: Information Technology Strategic. Generic Actions

Sistema de Control Interno

Mapa de
Procesos y
Recursos

Evaluacin de Modelo de
Controles GESTIN DEL Riesgos
RIESGO

Modelo de
Controles
 Qu es C.O.S.O?
Committee of Sponsoring Organizatin of the Treadway Commission

C O S O
 Qu es COSO?
Organizacin voluntaria del sector privado,
establecida en los EEUU, dedicada a proporcionar
orientacin a la gestin ejecutiva a las entidades de
gobierno sobre los aspectos fundamentales de
organizacin de este, la tica empresarial, control
interno, gestin del riesgo empresarial, el fraude, y
la presentacin de informes financieros. COSO ha
establecido un modelo comn de control interno
contra el cual las empresas y organizaciones
pueden evaluar sus sistemas de control.

En esta presentacin se expondr exclusivamente lo

relativo al Control Interno.
ESTADOS UNIDOS
 CASO ENRON
Caso de fraude financiero muy sonado a
nivel mundial.
Era una de las empresas mas grandes de
Estados Unidos, dispona de un gran futuro
comercial.
El fraude financiero se descubri cuando se
presento por quiebra endeudado 30.000
Millones de dlares
Presentar informacin financiera falsa
mostrando utilidades de mas o menos 1.000
Millones de dlares
 CASO ENRON
Ocultamiento de pasivos abismales
Consultora ANDERSEN (una de las firmas mas
importantes del mundo)
Por consecuencia de estos fraudes se vot en
el congreso las Leyes Sarbenes Oxley.
SANCIONES:
Seis aos de prisin para ANDREW FASTON
acusado de crear una serie de manejos
fraudulentos para disimular las perdidas
millonarias.
Adems de juicios a los ejecutivos implicados
 Informe COSO.
COSO I COSO II

Enterprise
Internal Risk
Control - Management
Integrated - Integrated
Framework Framework
 Informe COSO.
Hace ms de una dcada el Committee of
Sponsoring Organizations of the Treadway
Commission, conocido como COSO, public
el Internal Control - Integrated Framework
(COSO I) para facilitar a las empresas a
evaluar y mejorar sus sistemas de control
interno. Desde entonces sta metodologa se
incorpor en las polticas, reglas y
regulaciones y ha sido utilizada por muchas
compaas para mejorar sus actividades de
control hacia el logro de sus objetivos.
 Hacia fines de
Informe COSO.
Septiembre de 2004, como
respuesta a una serie de escndalos, e
irregularidades que provocaron prdidas
importante a inversionistas, empleados y otros
grupos de inters, nuevamente el Committee of
Sponsoring Organizations of the Treadway
Commission, public el Enterprise Risk
Management - Integrated Framework (COSO II) y
sus Aplicaciones tcnicas asociadas, el cual
ampla el concepto de control interno,
proporcionando un foco ms robusto y extenso
sobre la identificacin, evaluacin y gestin
integral de riesgo.
 Informe COSO.
Este nuevo enfoque no sustituye el marco de
control interno, sino que lo incorpora como parte
de l, permitiendo a las compaas mejorar sus
prcticas de control interno o decidir encaminarse
hacia un proceso ms completo de gestin de
riesgo.
 A nivel organizacional, este
Informe
A
documento destaca la
necesidad de que la alta
direccin y el resto de la
organizacin comprendan
cabalmente la trascendencia del
control interno, la incidencia del
mismo sobre los resultados de
la gestin, el papel estratgico a
conceder a la auditora y
esencialmente la consideracin
del control como un proceso
integrado a los procesos
operativos de la empresa y no
como un conjunto pesado,
compuesto por mecanismos
burocrticos.
COSO.
nivel regulatorio o
normativo, el Informe COSO ha
pretendido que cuando se
plantee cualquier discusin o
problema de control interno,
tanto a nivel prctico de las
empresas, como a nivel de
auditora interna o externa, o
en los mbitos acadmicos o
legislativos, los interlocutores
tengan una referencia
conceptual comn, lo cual
hasta ahora resultaba
complejo, dada la multiplicidad
de definiciones y conceptos
divergentes que han existido
sobre control interno.
 Informe COSO.
Objetivos

Facilitar un
Establecer una
modelo en base al
definicin comn
de control interno cual las empresas
que responda a las y otras entidades,
necesidades de las cualquiera sea su
distintas partes. tamao y
naturaleza, puedan
evaluar sus
sistemas de
control interno
 Control Interno.
Proceso realizado por el consejo de
directores, administradores y otro personal
de una entidad, diseado para proporcionar
seguridad razonable mirando el
cumplimiento de los objetivos en las
suiguientes categoras:

Efectividad y eficiencia de las operaciones.

Confiabilidad de la informacin financiera.
Cumplimiento de las leyes y regualciones
aplicables.
 Control Interno
El Control Interno puede juzgarse efectivo en cada
una de las categorias anteriores respectivamente,
si quienes lo llevan a cabo tienen seguridad
razonable sobre que:

Comprenden la extension en la cual se estn obteniendo los

objetivos de las operaciones de la entidad.
Los EEFF publicados se estan preparando confiablemente.
Se est cumpliendo con las leyes y regulaciones aplicables.

Ya que el Control Interno es un proceso, su

efectivida es un estado o condicin del mismo en
uno o ms puntos a travs del tiempo
 ESTRUCTURA DE COSO I
COSO I

AMBIENTE DE CONTROL

EVALUACION DE RIESGO

ACTIVIDAD DE CONTROL

INFORMACION COMUNICACIONAL

MONITOREO
 AmbienteComponentes
de Control. del Control Interno.
Es el fundamento de todos los dems
componentes del control interno,
proporcionando disciplina y estructura.
Valoracin de Riesgos.
Identificacin y anlisis de los riesgos
relevantes para la consecucin de los objetivos,
constituyendo una base para determinar cmo
se deben administrar los riesgos.
Actividades de Control.
Polticas y procedimientos que ayudan a segurar
que las directivas administrativas se lleven a
cabo.
 Componentes del Control Interno.
Informacin y Comunicacin.
Identificacin, obtencin y comunicacin de informacin
pertinente en una forma y en un tiempo que le permita a
los empleados cumplir con sus responsabilidades.

Monitoreo.
Proceso que valora el desempeo de sistema en el
tiempo.
 Definicin de Riesgo
Es la probabilidad que ocurra un
determinado evento que puede tener
efectos negativos para la institucin.

Riesgos es uno de los cinco componentes

del Marco de Control Interno COSO.
 Gestin de Riesgo.
Todas las organizaciones
independientemente de su tamao,
naturaleza o estructura, enfrentan riesgos

LOS OBJETIVOS DE LA GESTION DE

RIESGO SON IDENTIFICAR, CONTROLAR Y
ELIMINAR LAS FUENTES DE RIESGOS.
 COSO II

Administracin
de riesgo de la
empresa ERM
Estructura
Losdel COSO II. del
8 componentes
coso II estn
interrelacionados entre si.
Estos procesos debe ser
efectuados por el
director, la gerencia y los
dems miembros del
personal de la empresa a
lo largo de su
organizacin
Los 8 componentes estn
alineados con los 4
objetivos.
Donde se consideran las
actividades en todos los
niveles de la organizacin
 La administracin de riesgos de la empresa (ERM)
COSO describe en su marco basado en principios tales
como:
La definicin de administracin de riesgos
de la empresa
Los principios crticos y componentes de un
proceso de administracin de riesgo
corporativo efectivo.
Pautas para las empresa, para que ellas
sean capaces de administrar sus riesgos.
Criterios para determinar si la
administracin de riesgo de la empresa es
efectiva
 Conceptos claves de el COSO II
Administracin del riesgo en la determinacin de la
estrategia
Eventos y riesgo
Apetito o tolerancia al riesgo
Visin de portafolio de riesgo
Descripcin de Componente del
COSO II.
 Ambiente interno
Sirve como la base fundamental para los otros
componentes del ERM, dndole disciplina y
estructura.
Dentro de la empresa sirve para que los
empleados creen conciencia de los riesgos que
se pueden presentar en la empresa
 Establecimientos de objetivos.

Es importante para que la empresa prevenga

los riesgo, tenga una identificacin de los
eventos, una evaluacin del riesgo y una
clara respuesta a los riesgos en la empresa.
La empresa debe tener una meta clara que
se alineen y sustenten con su visin y
misin, pero siempre teniendo en cuenta
que cada decisin con lleva un riesgo que
debe ser previsto por la empresa
 Identificacin de eventos

Se debe identificar los eventos que afectan

los objetivos de la organizacin aunque
estos sean positivos, negativos o ambos,
para que la empresa los pueda enfrentar y
proveer de la mejor forma posible.
La empresa debe identificar los eventos y
debe diagnosticarlos como oportunidades o
riesgos. Para que pueda hacer frente a los
riesgos y aprovechar las oportunidades.
 Actividades de control
Son las polticas y procedimientos para asegurar que
las respuesta al riesgo se lleve de manera adecuada
y oportuna.
Tipo de actividades de control:
Preventiva, detectivas, manuales, computarizadas o
controles gerenciales
 Una vez evaluado el riesgoRespuesta
la gerenciaalidentifica
riesgo y evala
posibles repuestas al riesgo en relacin al las
necesidades de la empresa.
Las respuestas al riesgo pueden ser:
Evitarlo: se discontinan las actividades que generan
riesgo.
Reducirlo (mitigar): se reduce el impacto o la
probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de
ocurrencia al transferir o compartir una porcin del
riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.
 Informacin y comunicacin

La informacin es necesaria en todos los

niveles de la organizacin para hacer frente a
los riesgos identificando, evaluando y dando
respuesta a los riesgos.
La comunicacin se debe realizar en sentido
amplio y fluir por toda la organizacin en
todo los sentidos.
Debe existir una buena comunicacin con los
clientes, proveedores, reguladores y
accionistas.
 Monitoreo.
Sirve para monitorear que el proceso de administracin
de los riesgos sea efectivo a lo largo del tiempo y que
todos los componentes del marco ERM funcionen
adecuadamente.
El monitoreo se puede medir a travs de:
Actividades de monitoreo continuo
Evaluaciones puntuales
Una combinacin de ambas formas
 COSO y Auditoria Interna.

La auditoria interna se considerar entonces

como una parte del sistema de control.

Informe COSO es una herramienta utilizada

por la Auditoria interna para realizar el control
interno de la empresa.

La responsabilidad de los Auditores Internos

en este proceso es la de revisar el Control
implementado.
Procesos de Negocio: SCI: Procesos
Relacionados con el cliente externo.
Ejm.: Ventas, Produccin, Investigacin y
Desarrollo, Post Venta, etc.
Procesos de Soporte:
Aseguramiento de recursos.
Cumplimiento de obligaciones
legales y normas internas.

Ejm: Finanzas, Contabilidad, Sistemas, RRHH, Legales,

Gestin de Riesgos, inmuebles, etc.
Procesos de Gestin:
Relacionados con la direccin, planificacin.
 SCI: Procesos
Polticas: Que se permite hacer (Reglas)
Normas : Quien realiza qu , en la organizacin (Incl.
Requisitos)
Proceso : Cmo se realizan las actividades (Incl. Recursos)

Ciclo de vida de los productos.

Conjunto de actividades:
-Secuenciales en el tiempo con un
inicio y un fin (Output de la ltima
actividad).
-Eventos Mltiples (Output es la
suma de los outputs de las
actividades)
 SCI: Recursos
.. Involucra recursos como
Instalaciones y Activos
Infraestructura Tecnolgica
Explotacin Tecnolgica
Recursos Humanos
Pueden ser .
Tangibles:
Computadoras, Redes, Servidores, Salas de Computo,
Equipos, manuales, libros, discos, etc.

Intangibles:
Informacin, Seguridad y salud del personal, privacidad de
usuarios, contraseas, imagen pblica, etc.
 Vulnerabilidades
Debilidades o deficiencias en los
procesos, sistemas o recursos.
Fallas en el diseo de sistemas o procesos

Controles inadecuados o insuficientes

Control de acceso (lgicos y fsicos)

Falta de Mantenimiento

Personal sin conocimiento

Desactualizacin de sistemas crticos

 Amenazas / Ataques
Hechos que pueden producir daos
sean en forma fortuita o intencionada

Desastres Naturales

Errores Humanos y Procedimentales

Errores Tecnolgicos: Hardware y Software

Actos Malintencionados

Entorno de la Empresa: Competidores

 Amenazas
Provocados por la naturaleza

Lluvias, inundaciones,
terremotos, rayos, etc.
 Ataques
Provocados por el hombre

Hackers, Escucha
crackers, electrnica
piratas.

Virus. Ataques
fsicos
 Proporciones

20%

80%

Externos Internos
 Procedencia de los ataques
Externa. Competidores.
Usuarios.
Delincuentes.

Interna. Administrativos.
Ingenieros.
Operadores.
Programadores.
Auxiliares.
 Posibles acciones de los
competidores

sabotaje

espionaje
robo de
programas
soborno
 Posibles acciones de los
usuarios

Obtencin de
informacin.

Entrega de informacin
a competidores.
 Infeccin viral

Archivo Transmisin Reproduccin INFECCIN

Infectado
Tendencias de los ataques
Tendencias de los ataques
Posibles acciones de los
administrativos

Falsificar
informacin.

Entrega de informacin
a externos.
Posibles acciones de los
ingenieros

Activar
defectos.

Acceder a los sistemas

de seguridad.
Posibles acciones de los
operadores

Copiar
archivos.

Destruir archivos.
Posibles acciones de los
programadores

Robar
programas o
datos.

Introducir fallas.

113
Posibles acciones de los
auxiliares

Vender reportes o
duplicados.

Buscar informaciones
 SCI: Riesgo

Posibilidad que ocurra un

evento que pueda afectar el
logro de los objetivos de la
organizacin.
Se mide en trminos de
impacto y probabilidad.
Riesgo del Negocio:
SCI: Riesgos
Pueden afectar la viabilidad del
negocio o empresa a largo plazo.

Riesgo Inherente: Riesgo antes de considerar la

efectividad de los sistemas de control (Riesgo Total).

Riesgo de Control: Posibilidad de que los controles

vigentes, no puedan detectar o evitar errores o
irregularidades significativas en forma oportuna.

Riesgo Residual: Riesgo no considerado dentro de los

sistemas de control implantados.

Pueden ser
Riesgos internos: Operacional, Crditos, etc.
Riesgos externos: Normativos, Mercado, Naturales, etc.
 SCI: Riesgos
Modelo de Riesgos.
Se debe implantar mecanismos para identificar,
analizar y gerenciar los riesgos.

Cuadro de valoracin de factores de riesgos

Recursos o Factores que inciden como probabilidad o impacto en el riesgo
Procesos
(Aplicativos) Importancia Volumen de Antigedad de Nivel de Complejidad Nmero de Conocimiento Nivel de
en el negocio operaciones Aplicativo Mantenimiento de Aplicacin Incidencias de Usuarios Reclamos

Afiliacin de
Clientes
Ventas

Compras y
Proveedores
Almacenes

RRHH

Contabilidad

Produccin
 SCI: Riesgos
Matriz de Riesgos Valoracin

Crtico No
Alto A A NA aceptable

Alto M M A A NA
Impacto

B M M
Medio B
RI SG O A

Bajo T
E
Bajo B B M

Mnimo
Tolerante T B B M

Remota Improbable Ocasional Probable Frecuente

Probabilidad
 SCI: Riesgos
Riesgos de Informacin (Bsicos)

Prdida de confidencialidad
Prdida de integridad
Prdida de disponibilidad
Prdida de Activos
 SCI: Controles
COSO Actividades de Control
Es el conjunto integrado de estructuras,
polticas, procedimientos, mtodos, procesos y
recursos, que permiten mitigar los riesgos a
los que est expuesto una organizacin, en
funcin a sus objetivos y metas.

Pueden ser:
Manuales o Automticas
Por operacin, diaria, semanal, mensual,
eventual, etc.
 Tipos:
SCI: Controles
Controles Preventivos.
Para evitar hechos no deseados, antes de empezar un proceso,
se implementan para incrementar la calidad de los procesos y
para eliminar los problemas en origen
Controles Correctivos
Para corregir hechos no deseados que han ocurrido, y que son
difciles de identificar previamente.
Controles Detectivos
Identifica desviaciones antes de concluir un proceso, detectando
errores difciles de definir y predecir y cuyas consecuencias no
suelen ser muy relevantes
Controles Directivos
Para provocar o promover que sucedan hechos deseados, esta
orientado al seguimiento de indicadores de resultados internos.
 SCI: Controles
Niveles
1. Seguimiento, supervisin de los controles generales o
especficos, como:
Auditora Interna
Comits de control
2. Generales, afectan de forma generalizada a un grupo de
procesos, como:
Segregacin de Funciones
Polticas y procedimientos
Control de Accesos y Control de Cambios
Seleccin y formacin de personal
Controles fsicos sobre activos y registros.
 SCI: Controles
Niveles
3. Especficos, mecanismos que permiten prevenir,
detectar y corregir los riesgos, como:
Autorizaciones.
Verificaciones y reclculos
Documentos y registros adecuados.
Conciliaciones
Chequeos independientes.
Comparacin de registros con activos

Todo control debe generar evidencia y

se valora su efectividad para mitigar
el riesgo (deben existir los mnimos necesarios)
 SCI: Controles
COSO Ambiente de Control
Se refiere a la actitud y las acciones del Directorio y la Gerencia con
respecto a la importancia del control dentro de la organizacin.

El entorno de control proporciona la disciplina y la estructura para

lograr los objetivos principales del sistema de control interno.

Incluye los siguientes elementos :

Integridad y valores ticos.
Estilo de operacin y filosofa de la gerencia.
Estructura organizacional
Asignacin de autoridad y responsabilidades
Polticas y prcticas de recursos humanos
Compromiso de competencias del personal.
Comit de Auditoria
 SCI: Controles
COSO Informacin y Comunicacin
Informacin estructurada y oportuna para
que los gerentes evalen los resultados de
gestin versus los objetivos (desempeo).

Seguridad: Confidencialidad, Disponibilidad e Integridad

Clasificacin:
Definir estndares para adoptar proteccin adecuada, puede ser
Pblica, Privada, Confidencial y secreta
 SCI: Evaluacin de Controles
COSO Monitoreo
Todo el proceso debe ser supervisado y actualizado
segn necesidades, a fin de que el sistema reaccione
dinmicamente.

Se deben realizar evaluaciones peridicas o

puntuales del funcionamiento de los controles, por:
Los propios responsables
Control Interno
Auditoria interna
Auditoria externa.
 SCI: Evaluacin de Controles

La evaluacin debe considerar

Que se realicen como se disearon
Validar la efectividad: Disminuya el riesgo
Que est actualizado
Que aporten valor agregado
 Sistema de Control Interno - Coso
Monitoreo continuo por la administracin
Evaluaciones internas (Propias y
Auditora)
Evaluaciones Externas
Comunicacin interna y
externa, a todos los niveles.
Informacin gerencial y
financiera.
Informacin operativa, de
control y supervisin
Calidad de la informacin.
Medios de comunicacin.
Definicin de Objetivos
Revisin de procesos
asociados
Anlisis de Riesgos
Valoracin de Riesgos
Cumplimiento de Objetivos
Polticas y Procedimientos
Anlisis efectuados por la
Direccin
Procesamiento de
informacin
Controles fsicos y lgicos
Indicadores de rendimiento
Segregacin de funciones
Filosofa y Estilo de la Direccin.
Estructura Organizacional
Consejo de Administracin y
Comits.
Asignacin de Autoridad y
Responsabilidad
Administracin de los Recursos
COMPONENTES Humanos.
Integridad y Valores ticos.
 Sistema de Control Interno
Amenazas
Vulnerabilidades

Procesos y
Recursos
No existe .
R de Control

Inherente
Deficientes .
Inadecuados . Pto. Mitigacin
R Residual

Evaluacin Valoracin y A

Impacto
de Controles GESTIN DEL Matriz de
M

RIESGO Riesgos
B

Probabilidad

Valoracin Riesgos
Rec. o Factores probabilidado impacto riesgo
Procesos

Import Volu Antiged Conoci Recl

ancia men ad mien amo s

Implantar Afiliacin de
Clientes
Alto

Alto
Medi
o

Medi
Alto

Alto
Bajo

Bajo
Med
io

Med
RRHH
o io

Preventivos .
Controles Contabilid ad Alto Medi
o
Alto Bajo Med
io

Detectivos . Seguridad
Alto Medi Alto Bajo Med
Produccin
o io

Correctivos .
Directivos .
 Sistema de Control Interno
Conclusiones
No existe ninguna organizacin a salvo
de ataques a sus sistemas informticos.

No existe sistema informtico, ni

organizacin absolutamente seguros.

Tiene componente subjetivo

Existe un juicio personal sobre el nivel
de riesgo aceptable y lo que
constituye una amenaza
GRACIAS