MATERIAL DE APOYO PRIMER EXAMEN PARCIAL CURSO:

AUDITORÍA 5
NOVENO SEMESTRE, ÁREA PROFESIONAL, ESCUELA DE
CONTADURÍA PÚBLICA Y AUDÍTORIA.
_________________________________________________________________________
PARTICIPACIÓN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS
VENTAJAS DE UN DESARROLLO A LA MEDIDA
● Se desarrolla tomando en cuenta sus necesidades
● Lleva los módulos que usted requiera
● La interfaz de usuario se desarrolla como usted la desee
● Se desarrolla en las tecnologías que usted desee (si esto es relevante para usted)
● Se desarrollan los reportes que usted necesite
SU IMPORTANCIA
La participación del Auditor en el desarrollo de sistemas es muy importante y puede darse
identificando, sugiriendo, implementando y evaluando los controles que sean necesarios,
desde diferentes campos de actuación:
• Consultor en Sistemas
• Auditor Externo
• Auditor Interno
SU OPORTUNIDAD
La participación del auditor interno en el desarrollo de sistemas debe darse precisamente
en el desarrollo del mismo, a efecto de que los controles que se consideran necesarios,
sean incorporados en las diferentes fases o etapas del desarrollo, ya que una vez
funcionando el sistema, es más difícil y costoso efectuar las modificaciones.
Para que la auditoría interna esté en condiciones de hacer un trabajo efectivo, son
necesarios los aspectos mínimos siguientes:
1 Respaldo total de la administración
2 Comunicación fluida y permanente con el departamento de PED
3 Personal de auditoría interna con suficientes conocimientos (por lo menos teóricos al
principio) en materia de PED.
METODOLOGÍA PARA EL DESARROLLO DE SISTEMAS
La metodología utilizada para el desarrollo de sistemas consiste en dividir el esfuerzo en
fases o etapas, claramente definidas, pueden clasificarse así:
Planificación del sistema
1 Investigación preliminar
2 Estudio de factibilidad
3 Planificación inicial
4 Desarrollo de sistemas
1 Desarrollo de modelos solución
2 Diseño del modelo elegido
3 Programación y prueba
Implantación del sistema
1 Preparación de la implantación
2 Implantación operativa
3 Revisión post-implantación y seguimiento
PAPEL DEL AUDITOR INTERNO EN LAS DISTINTAS ETAPAS DEL DESARROLLO DE
SISTEMAS
● Solicitud del Usuario:
Conocer y verificar la necesidad y sus objetivos.
● Estudio de Factibilidad:
Conocer el dictamen que justifica el proyecto. Planear la participación de la auditoria.
● Análisis del Sistema:
Determinar los controles de que debe constar el nuevo sistema.
● Diseño del Sistema:
Precisar que el proyecto sea acorde con las necesidades del usuario y que cuente con los
controles suficientes.

● Programación:

Definir que el programa contemple todos los controles analizados anteriormente.

● Implantación:

Probar el sistema con sus propios datos y con las pruebas en paralelo que se realicen para
garantizar la efectividad del sistema.

● Documentación del Sistema:

Constatar que la documentación se encuentre completa y debidamente formalizada,
revisando las medidas de seguridad adoptadas.
 GRADO DE INTERVENCIÓN DE LOS INVOLUCRADOS EN LA CONSTRUCCIÓN DE
UN SISTEMA PED
ADMON. P.PED USUARIOS A.I.
PLANIFICACIÓN DEL SISTEMA
- INVESTIGACIÓN PRELIMINAR S P P S
- ESTUDIO DE FACTIBILIDAD S P P M
- PLANIFICACIÓN INICIAL P P M M

DESARROLLO DEL SISTEMA

- DESARROLLO DE MODELOS SOLUCIÓN M P M M
- DISEÑO DEL MODELO ELEGIDO P P P P
- PROGRAMACIÓN Y PRUEBA S P S S

IMPLANTACIÓN DEL SISTEMA

- PREPARACIÓN DE LA IMPLANTACIÓN M P P P
- IMPLANTACIÓN OPERATIVA P P P P
- REVISIÓN POST - IMPLANTACIÓN Y
SEGUIMIENTO M M P P

MARCO CONCEPTUAL DE LA METODOLOGÍA PARA REALIZAR AUDITORÍAS DE

SISTEMAS COMPUTACIONALES
PLANEACIÓN Proceso que nos dirá que se hará y de qué manera.
PROGRAMA Son cursos de acción detallados que señalan los pasos específicos
que habrán de realizarse para lograr los objetivos.
PRESUPUESTO Estimación programada de los ingresos y egresos.
TIEMPO Duración de las actividades a realizarse.
POLÍTICAS Acciones que condicionan y gobiernan al logro de un objetivo.
PLAN DE TRABAJO Representación gráfica en la que se muestran las actividades a
realizarse así como el tiempo estimado necesario para ello.
METODOLOGÍA PARA REALIZAR AUDITORÍAS EN SISTEMAS COMPUTACIONALES

1. PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

✓ Identificar el origen de la auditoria.

✓ Realizar una visita preliminar al área que será evaluada.
✓ Establecer los objetivos de la auditoria
✓ Determinar los puntos que serán evaluados en la auditoría.
✓ Identificar los métodos, herramientas, instrumentos y procedimientos.
✓ Asignar los recursos y sistemas computacionales para la auditoria.

2. EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

✓ Realizar las acciones programadas.

✓ Aplicar los instrumentos y herramientas programadas.
✓ Identificar y elaborar los documentos de desviaciones encontradas.
✓ Elaborar el dictamen preliminar.
✓ Integrar el legajo de los papeles de trabajo.

3. DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

✓ Analizar la información y elaborar un informe de situaciones encontradas
✓ Elaborar el dictamen final
✓ Presentar el informe de auditoría

1ERA ETAPA –PLANEACIÓN-

1 IDENTIFICAR EL ORIGEN DE LA AUDITORIA

✓ Por solicitud expresa de procedencia interna
✓ Por solicitud expresa de procedencia externa
✓ Por riesgos y contingencias informáticas
✓ Por resultados obtenidos de otras auditorias

2 REALIZAR UN VISITA PRELIMINAR AL AREA A EVALUAR

✓ Contacto inicial con funcionarios y empleados
✓ Identificación de la problemática de área
✓ Prever los objetivos iniciales
✓ Calcular los recursos y personas necesarias
 3 ESTABLECER LOS OBJETIVOS DE AUDITORIA
✓ Objetivos Generales
✓ Objetivos Particulares
✓ Objetivos Específicos (Auditoría Sistemas)

4 DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS

✓ Funciones y Actividades Del Personal
✓ Áreas Administrativas del Centro de Computo
✓ Los Sistemas, Equipos, Instalaciones y Componentes
✓ La seguridad que tienen los Sistemas de Información
5 ELABORAR PLANES, PROGRAMAS Y PRESUPUESTO
✓ Documento formal con el contenido de los planes
✓ Documento formal de los programas de auditoria
✓ Elaborar el presupuesto para la auditoria

6 SELECCIONAR METODOS, HERRAMIENTAS Y PROCEDIMIENTOS NECESARIOS

✓ Cuestionarios
✓ Flujo gramas
✓ Muestreo, etc.

7 ASISGNAR RECURSOS
✓ Humanos, Materiales y Económicos

IDENTIFICAR EL ORIGEN DE LA AUDITORÍA POR SOLICITUD EXPRESA

PROCEDENCIA INTERNA

Surge como petición de alguien que pertenece a la empresa para poder llevar a cabo
una evaluación del área de sistemas; que generalmente se encomienda a un
auditor externo.

DENTRO DE LAS PERSONAS QUE PUEDEN SOLICITAR:

✓ Accionistas, socios y dueños
✓ Por orden de dirección general
✓ Gerencias o deptos. a nivel superior
✓ Funcionarios de otros niveles

DENTRO DE LAS PERSONAS QUE PUEDEN SOLICITAR.....

✓ Por orden de las gerencias o departamentos a nivel superior.
✓ A solicitud de funcionarios y empleados de otros niveles.
✓ Por solicitud expresa de procedencia externa.
✓ Por mandato de autoridades judiciales.
✓ Por mandato de autoridades fiscales.
✓ Por revisiones de autoridades sociales y de trabajo.
✓ Por revisiones de otras autoridades.
✓ Por solicitud de acreedores y proveedores.
✓ Por solicitud de distribuidores y desarrolladores de software.
✓ A petición de empresas externas.
✓ Como consecuencia de emergencias y condiciones especiales.
✓ De incidencia interna.
✓ De incidencia externa.
✓ Por riesgos y contingencias informáticas.
✓ Riesgos y contingencias del personal informático.
 ✓ Riesgos y contingencias físicas.
✓ Riesgos y contingencias operativas (lógicas)
✓ Riesgos y contingencias de software.
✓ Riesgos y contingencias en las bases de datos.
✓ Otros riesgos y contingencias en el área informática.
✓ Por la carencia de planes de contingencia.
✓ Por la elaboración de planes de contingencia.
✓ Por la aplicación de los planes de contingencia.
✓ Por resultados obtenidos de otras auditorías.
✓ Como parte de un programa integral de auditoría.
✓ Realizar una visita preliminar al área que será evaluada.
✓ Visita preliminar de arranque.
✓ Contacto inicial con funcionarios y empleados del área.

REALIZAR UNA VISITA PRELIMINAR AL AREA QUE SERA EVALUADA

1. Visita Preliminar de arranque

2. Contacto inicial con funcionarios y empleados del área
3. Identificación preliminar de la problemática de sistemas:
✓ para identificar las posibles dificultades
4. Prever los objetivos iniciales de la auditoría.
✓ anticipar los objetivos que pueden satisfacerse con la auditoría
5. Calcular los recursos y personas necesarias para la auditoría
✓ Recursos de carácter humano, informático, material, técnico y económico.

ESTABLECER LOS OBJETIVOS DE LA AUDITORÍA

1. Objetivo General
✓ Fin Global que se pretende alcanzar.
2. Objetivos Particulares
✓ Fines individuales que se pretenden alcanzar.
3. Objetivos Individuales
✓ Es la determinación en forma detallada de los fines que se pretende alcanzar.

DETERMINAR LOS PUNTOS QUE SERAN EVALUADOS EN LA AUDITORIA

1. Evaluación de las funciones y actividades del personal del área de sistemas.

2. Evaluación de la seguridad de los sistemas de información.
3. Evaluación de la información, documentación y registros de los sistemas.
4. Evaluación de los sistemas, equipos, instalaciones y componentes

4 EVALUACIÓN DE LOS SISTEMAS, EQUIPOS, INSTALACIONES Y

COMPONENTES
4.1 Evaluación de los recursos humanos del área de sistemas.
4.2 Evaluación del hardware.
4.3 Evaluación del software.
4.4 Evaluación de la información y las bases de datos.
4.5 Evaluación de otros recursos.
 5. DETERMINAR LOS RECURSOS QUE SERÁN UTILIZADOS EN LA AUDITORÍA
5.1 Personal para la auditoría de sistemas.
5.2 Personal del área que será evaluada.
5.3 Apoyo de los sistemas y equipos técnicos e informáticos.
5.4 Apoyos materiales y administrativos
5.5 Recursos Económicos
5.6 Otros apoyos

ELABORACION DE PLANES, PROGRAMAS Y PRESUPESTOS PARA REALIZAR LA

AUDITORIA

✓ Elaborar el documento formal de los planes de trabajo para la auditoría

● Carátula de identificación del plan de auditoría.
● Índice de contenido.
● Definición de objetivos.
● Delimitación de estrategias para el desarrollo de la auditoría.
● Planes de Auditoría.
● Definición de normas, políticas y lineamientos para el desarrollo de la
auditoría.

✓ Contenido de los planes para realizar la auditoría.

● Definir los objetivos finales de la auditoría.
● Establecer las estrategias para realizar la auditoría.
● Diseñar las etapas, eventos y tareas en que se dividirá la auditoría.
● Calcular la duración de las tareas y eventos para satisfacer los objetivos de la
auditoría.
● Distribuir los recursos que serán utilizados en las diferentes etapas.
● Confeccionar los planes concretos para la auditoría.

✓ Elaborar el documento formal de los programas de auditoría.

● Gráfica del programa de actividades.
● Definición de las etapas y eventos que se deben llevar a cabo.
● Definición de las actividades y tareas.

✓ Elaborar los programas de actividades para realizar la auditoría.

● Definir de manera precisa las etapas de la auditoría.
● Identificar concretamente los eventos que se deben llevar a cabo en cada
etapa de la auditoría.
● Delimitar lo más claramente posible las actividades, tareas y acciones para
cada evento.

✓ Elaborar los programas de actividades para realizar la auditoría

● Distribuir los recursos que serán utilizados en las diferentes etapas, eventos,
actividades y tareas.
● Calcular la duración de las etapas, actividades y tareas planeadas para la
auditoría.
● Determinar las fechas de inicio y fin de las etapas, actividades y tareas.
✓ Elaborar los presupuestos para la auditoría.
● Asignación de los costos de los recursos.
● Control de los costos de los recursos.
● Seguimiento y control de los planes, programas y presupuestos.

IDENTIFICAR Y SELECCIONAR LOS MÉTODOS, HERRAMIENTAS, INSTRUMENTOS Y

PROCEDIMIENTOS NECESARIOS PARA LA AUDITORIA

ESTABLECER LA GUÍA DE PONDERACIÓN DE LOS PUNTOS QUE SERAN

EVALUADOS

✓ La técnica de ponderación es un método especial que nos sirve para valorar cada
una de las partes importantes del área de sistemas.
✓ El propósito de esta herramienta es buscar un equilibrio entre las áreas que tienen
mayor peso y trascendencia, con aquellas que tienen poco peso e importancia en la
evaluación.

PUNTOS IMPORTANTES PARA REALIZAR LA AUDITORIA DE SISTEMAS

COMPUTACIONALES

Someter a consenso de los demás participantes de auditoria el documento de ponderación.

Elaborar la guía de auditoría.

✓ Determinar las áreas y puntos concretos que serán evaluados en el
ambiente de sistemas.
✓ Seleccionar los métodos, procedimientos, herramientas e instrumentos de
evaluación.

Elaborar los documentos necesarios para hacer la auditaría.

✓ Diseño de instrumentos y herramientas de recopilación.
✓ Diseño de cuestionarios.
✓ Diseño de guías para realizar entrevistas.
✓ Diseño de formularios para encuestas.
✓ Diseño de modelos y formatos para los inventarios del área de sistemas
✓ Diseñar los métodos e instrumentos de muestreo.
✓ Diseñar los instrumentos especiales de evaluación de sistemas.
✓ Determinar los puntos que serán evaluados con pruebas.
✓ Diseñar las pruebas para la evaluación.
✓ Diseñar los instrumentos y herramientas para pruebas de evaluación.

Establecer los métodos y procedimientos que serán utilizados en la auditoria.

Determinar las técnicas y procesos específicos que serán utilizados en la auditoria.

Elaborar los documentos formales para los procedimientos, métodos, herramientas

e instrumentos que serán utilizados en la auditoria.
DISEÑAR LOS SISTEMAS, PROGRAMAS Y MÉTODOS DE PRUEBAS PARA LA
AUDITORIA

✓ Determinar los puntos de interés, programas, bases de datos, archivos y sistemas

que serán evaluados mediante programas y pruebas de cómputo.
✓ Diseño y aplicación de las pruebas, programas y sistemas que nos puedan ayudar
a evaluar el funcionamiento de los sistemas computacionales.
✓ Diseñar, aplicar y evaluar los resultados de los programas, métodos y pruebas de
simulación al sistema.
✓ Diseñar otros instrumentos de recopilación así como también de revisión.

2a. ETAPA EJECUCION DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES

3a. ETAPA DICTAMEN DE LA AUDITORIA DE SISTEMAS COMPUTACIONALES

La información y elaborar un informe de situaciones detectadas

✓ Analizar los papeles de trabajo

✓ Señalar las Situaciones encontradas
✓ Comentar las situaciones encontradas con el personal de las a reas afectadas
✓ Realizar las modificaciones necesarias
✓ Elaborar un documento de situaciones relevantes

Elaborar el Dictamen Final

✓ Analizar la información y elaborar un documento de desviaciones detectadas.

✓ Elaborar el informe y el dictamen formales.
✓ Comentar el informe y el dictamen con los directivos del área.
✓ Realizar las modificaciones necesarias.
Pasos para Presentar el Informe de Auditoría
1. La carta de presentación
2. El dictamen de la Auditaría
3. El informe de situaciones relevantes
4. Anexos y Cuadros Adicionales
5. Elaboración del dictamen final
6. Integración del informe de Auditaría
7. Presentación del informe de Auditaría
8. Integración de los papeles de trabajo

CASO PRÁCTICO SOBRE LA METODOLOGÍA DE UNA AUDITORIA EN SISTEMAS

PRIMERA ETAPA

El día 1 de febrero de 2004, la Junta Directiva de la Empresa S-3 “101”, S. A., solicita a la
firma de Auditores Externos Robledo, Soto y Asociados para que realice una Auditoria en
Informática.

VISITA PRELIMINAR

El día 5 de febrero, el socio Juan Soto encargado de la auditoria, realiza una visita
preliminar a la empresa XY con el propósito de tener contacto con los funcionarios,
empleados y usuarios del área de sistemas.

OBJETIVO

Evaluar la utilización y aprovechamiento del equipo, las instalaciones y mobiliarios del

centro de cómputo, así como del uso de sus recursos técnicos y materiales para el
procesamiento de la información.

PUNTOS A EVALUAR

● La seguridad física del hardware y del personal del área de sistemas.

● El aprovechamiento del hardware y software.
● Las funciones y actividades del personal del área de sistemas.

PROGRAMA DE AUDITORÍA

Actividades a Realizar
● Evaluación de los lenguajes, programas y demás software utilizados en la empresa.
● Evaluar el control para evitar el robo de información.
● Evaluar los Manuales de operación y procedimientos del sistema.
● Evaluar el control de acceso al sistema así como la restricción del acceso a
personas no autorizadas al centro de cómputo.
● Evaluar el nivel de prevención de virus y protección de programas piratas.
● Evaluar la organización del departamento de sistemas.
● Evaluar la capacitación del personal de sistemas y de los usuarios.
● Determinar la actualización periódica respecto a cambios en tecnología informática.
● Evaluar la correcta operación de la información que se ingresa en los sistemas, así
como los resultados que se desean obtener.
● Revisión del inventario del software, licencias y componentes internos y externos.
 ● La auditoría será realizada por 1 encargado y dos auxiliares.
● El tiempo estimado para la realización del trabajo de campo son 3 semanas y 2 para
la emisión del informe.
● Los honorarios que se cobrarán ascenderán a Q.50, 000 más IVA.

INSTRUMENTOS Y HERRAMIENTAS NECESARIOS

● Cuestionarios
● Entrevistas
● Observación
● Conteo físico (Inventario)
● Inspección
● Confirmación
● Comparación

SEGUNDA ETAPA

Ejecución de la auditoria
● El trabajo de campo fue realizado del 8 al 28 de febrero.
● El dictamen preliminar fue realizado del 2 al 5 de marzo y presentado para su
discusión el 8 de ese mismo mes.

TERCER ETAPA

● Luego de la discusión del informe, se le hicieron las modificaciones necesarias.

● El 17 de marzo, se presentó el informe definitivo a la junta directiva de la Empresa
XY, S. A.

ESTUDIO Y EVALUACIÓN DE CONTROL INTERNO EN INFORMATICA

DEFINICIÓN CONTROL INTERNO

El Control Interno conforme COSO “es un proceso integrado a los procesos, y no un

conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado por el
consejo de la administración, la dirección y el resto del personal de una entidad, diseñado
con el objeto de proporcionar una garantía razonable para el logro de objetivos incluidos en
las siguientes categorías:
– Eficacia y eficiencia de las operaciones (salvaguarda de activos).
– Confiabilidad de la información financiera.
– Cumplimiento de las leyes, reglamentos y políticas
– Cumplimiento de los planes estratégicos
QUÉ?

Control Interno
Proceso efectuado por la Dirección, la alta Gerencia y el resto del personal.

PARA QUÉ?
Proporcionar un grado de seguridad razonable en cuanto a la consecución de los
Objetivos
¿EN QUÉ NIVEL?
Eficacia y eficiencia de las operaciones

Confiabilidad de la Información Financiera Cumplimiento de las Leyes y normas

establecidas

Cumplimiento de planes estratégicos

ASPECTOS A CONSIDERAR
• Es un proceso:
✓ No es un hecho aislado, es un conjunto de actividades realizadas de forma
continua
✓ Resulta efectivo cuando está integrado en la estructura y cultura de la entidad
• Aplicado al definir la estrategia:

ASPECTOS IMPLÍCITOS EN LA DEFINICIÓN DE CONTROL INTERNO

ASPECTOS A CONSIDERAR

• Al referirse al control interno como un proceso, se hace referencia a una cadena de

acciones extendida a todas las actividades, inherentes a la gestión e integrados a
los demás procesos básicos de la misma: planificación, ejecución y supervisión.
• Tales acciones se hallan incorporadas (no añadidas) a la infraestructura de la
entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas de
calidad.

DEFINICIÓN CONTROL INTERNO –ELEMENTOS-

COMO PROCESO

* El control interno es un proceso, es decir, un medio para alcanzar un fin y no un fin en sí

mismo.
* No es un evento o circunstancia sino una serie de acciones que permean en las
actividades de una organización.
* Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e
integradas a los demás procesos básicos de la misma: planificación, ejecución y
supervisión.
* Los controles deben constituirse “dentro” de la infraestructura de la Organización y no
“sobre ella”.

ES LLEVADO A CABO POR LA DIRECCIÓN Y EL RESTO DEL PERSONAL

* Lo llevan a cabo las personas que actúan en todos los niveles, no se trata solamente de
manuales de organización y procedimientos. Cada individuo dentro de la Organización
tiene algún rol respecto al control interno.
* Es ejecutado por la gente de una Organización a través de lo que ellos hacen y dicen. La
gente diseña los objetivos de la entidad y establece los mecanismos de control.
* La Dirección es responsable de la existencia de un eficaz y eficiente sistema de control.
Aunque los directores tienen como obligación primaria la vigilancia del control, también
proporcionan directrices y aprueban ciertas transacciones y políticas.

PROPORCIONA UNA SEGURIDAD RAZONABLE

* Sólo puede aportar un grado de seguridad razonable, no la seguridad total, a la
conducción.
* No asegura con certeza el cumplimiento de los objetivos de la Organización, sino que
contribuye a ello.
* No importa lo bien diseñado que esté el sistema de control, lo más que se puede esperar
es que proporcione una seguridad razonable.

EFICACIA DEL SISTEMA DE CONTROL INTERNO

La eficacia del control interno se puede dar en tres niveles distintos.

* Dispone de la información adecuada sobre hasta qué punto se están logrando los
objetivos operacionales de la Unidad.
* Se prepara de forma fiable la información financiera de la misma.
* Se cumplen las leyes y normativa a las que se encuentra sujeta. Si bien el control interno
es un proceso, su eficacia es el estado o la situación del proceso en un momento dado.
*Está pensado para facilitar la consecución de objetivos ESTRATEGICOS en una o más de
las categorías señaladas las que, al mismo tiempo, suelen tener puntos en común.

METODOS DE EVALUACIÓN DEL CONTROL INTERNO

La evaluación del control interno se puede realizar mediante:

● Descripciones narrativas
● Cuestionarios especiales
● Diagramas de flujo

LA ADMINISTRACIÓN DE RIESGOS

• Es uno de los nuevos vocablos que han emergido en el ambiente empresarial

durante los últimos años, esto significa la aplicación de metodologías de gestión de
riesgo en todos los aspectos del negocio, incluyendo la creación de ganancias, así
como la prevención de pérdidas.
• Es en una herramienta que ayuda en el proceso de toma de decisiones. No sólo
convierte la incertidumbre en oportunidad, sino que evita el suicidio financiero y
catástrofes de graves consecuencias.

EVENTOS, RIESGOS Y OPORTUNIDADES

• “Un evento es un incidente o acontecimiento procedente de fuentes internas o

externas que afecta la consecución de objetivos y que puede tener un impacto
negativo o positivo o de ambos tipos a la vez.
• Se dice o se define el riesgo: como la posibilidad de que un evento ocurra y que
provocará que se afecte negativamente el logro de los objetivos que se han
establecido.”
• Los eventos pueden tener un impacto negativo o positivo en la consecución de los
objetivos, o de ambos tipos a la vez. Los que tienen un impacto negativo
representan riesgos que puedan impedir creación de valor o erosionar el valor
existente.
• Los eventos con impacto positivo pueden compensar los impactos negativos o
representar oportunidades, que derivan de la posibilidad de que ocurra un
 acontecimiento que afecte positivamente al logro de los objetivos, ayudando a la
creación de valor o a su conservación. La dirección canaliza las oportunidades que
surgen, para que reinviertan en la estrategia y el proceso de definición de objetivos y
formula planes que permitan aprovecharlas.

QUÉ ES RIESGO?

● Es la probabilidad de que un impacto adverso afecte los resultado o el capital de

nuestra empresa.
● El Riesgo se mide en términos de impacto y probabilidad.

- Probabilidad de ocurrencia.
- Impacto de las consecuencias potenciales.

IMPACTO:
Consecuencia (s) de un evento, expresado ya sea en términos cualitativos o cuantitativos.
También es llamado Severidad.

PROBABILIDAD:
La posibilidad de la ocurrencia de un evento que usualmente es aproximada mediante una
distribución estadística. En ausencia de información suficiente, se puede aproximar
mediante métodos cualitativos.

• El riesgo comienza con la formulación de estrategias y definición de objetivos.

• El riesgo no representa una situación puntual única (por ejemplo, el resultado más
probable). Sino más bien, una gama de resultados posibles.
• Los riesgos pueden estar relacionados con el hecho de evitar que sucedan cosas
negativas o pueden garantizar que ocurran eventos positivos.
• Los riesgos son inherentes a todos los aspectos de la vida; es decir, siempre hay
incertidumbre, hay uno o más riesgos.

Marcos de Control (Estándares Internacionales) para la Evaluación del Control

Interno en el Mundo

• KING Sudáfrica
• Cadbury Gran Bretaña
• Co. Co. Canadá
• COSO USA**
• Vienot Francia
• Peters Holanda

• ** El Marco COSO ha sido adoptado en los EE.UU, por el Banco Mundial y

otros organismos financieros a través Del mundo.
EL INFORME COSO
COSO: COmmittee of Sponsoring Organizations of the Treadway Commission)
El Sistema Integrado de Control Interno, es un informe que establece una definición común
de control interno y proporciona un estándar mediante el cual las organizaciones pueden
evaluar y mejorar sus sistemas de control.
Surge como una forma de solucionar la diversidad de conceptos, definiciones e
interpretaciones existentes en torno al control interno.
Formada por cinco organizaciones:
1. Financial Executives International
2. Institute of Internal Auditors
3. American Institute of Certified Public Accountants
4. Institute of Management Accountants
5. American Accounting Association
Reconocido como el estándar internacional para un marco integrado de control interno.
EL INFORME COSO
Existen en la actualidad 3 versiones del Informe COSO.
• La versión del 1992: COSO I : Marco Integrado de Control Interno
• La versión del 2004: COSO II ERM –Enterprise Risk Managment: Gestión Integral
de Riesgos
• Julio de 2006: COSO III: Control Interno sobre el Reporte Financiero- Guía para
empresas pequeñas públicas

Componentes del COSO-ERM

DEFINICIÓN DE ERM
• Es un proceso dinámico
• Realizado por personas
• Aplicado como parte de un establecimiento de estrategias
• Aplicado a través de toda la empresa
• Diseñado y enfocado a identificar eventos, no solamente riesgos
• Diseñado para mantener acciones y administrar riesgo dentro del apetito de riesgo
• Proporciona seguridad razonable a la Dirección y Junta Directiva
• Enfoque: El logro de objetivos
BENEFICIOS DE COSO ERM
• Proporciona un marco integral del control interno y herramientas de valuación para
evaluar el sistema de control
• Alinea el apetito de riesgo con la estrategia corporativa
• Proporciona respuestas integradas a los múltiples riesgos
• Mejora el nivel de las respuestas al riesgo
• Reduce la posibilidad de sorpresas y pérdidas
• Identifica y administra los riesgos a nivel corporativo
• Prepara a la empresa para tomar ventaja de las oportunidades
 • Ayuda a mejorar el uso del capital disponible
COMPONENTES CLAVES DEL ERM

ASPECTOS BASICOS A CUBRIR EN LA EVALUACIÓN DEL CONTROL INTERNO

INFORMÁTICO

1. ORGANIZACIÓN DEL DEPARTAMENTO

ASPECTOS A CUBRIR
1.1 Diagrama de organización
1.2 Presupuesto de personal
1.3 Diagrama de configuración del sistema
1.4 Control sobre paquetes de software
1.5 Existencia de:
- Contratos con los proveedores
- Definición de características técnicas
1.6 Existencia de reporte de todos los programas y aplicaciones en uso.

2. SEGUROS, CONTRATOS, MANTENIMIENTOS Y FIANZAS

ASPECTOS A CUBRIR
2. 1 Pólizas de seguros
Equipos
Programas
Medios de almacenamiento
2.2 Riesgos cubiertos
2.3 Vigencia de seguros
2.4 Contratos de proveedores
Condiciones de uso del equipo
Uso de tiempo CPU
Uso de paquetes
 Respaldo y garantía ofrecida
Soporte técnico
2.5 Servicios de mantenimiento
2.6 Fianzas de fidelidad

3. MANUALES DE ORGANIZACIÓN

ASPECTOS A CUBRIR
3.1 Existencia de manuales de normas y procedimientos
- Para cada puesto del centro de procesamiento.
3.2 Separación de funciones entre:
Operación del computador.
Análisis
Programación
3.3 Accesos restringidos a los programadores para operar el sistema.
3.4 Acceso restringido a operadores del computador a:
Datos
Diseño de archivos
Diseño de registros

4. POLITICAS DE SEGURIDAD
ASPECTOS A CUBRIR
4.1 Existencia de planes de contingencia.
4.2 Convenios de respaldo de equipos.
4.3 Instrucciones para usos de locales alternos
4.4 Conocimiento con indicación de archivos críticos.
4.5 Prioridades para recuperación de registros.
4.6 Existencia fuera del centro de:
Programas fuentes
Copias actualizadas de los principales archivos
Copias del sistema operativo
Procedimientos de programas operativos
Planes de contingencia
Documentación de programas.
4.7 Políticas de respaldo
4.8 Contraseña para operar el sistema
4.9 Existencia documentada de investigación de procesos.
5. SISTEMAS Y MEDIDAS DE SEGURIDAD

ASPECTOS A CUBRIR
5.1 Procedimientos escritos del sistema de seguridad.
5.2 Localización del centro
5.3 Acceso al centro
5.4 Construcción del edificio
5.5 Registro para el ingreso de personas
5.6 Uso de gafetes de identificación
5.7 Vigilancias y alarmas
5.8 Dispositivos para detectar:
Calor, fuego, y humo, imanes
5.9 Existencia de extinguidores
5.10 Estado de equipo de aire acondicionado
5.11 Localización de cables de electricidad e interruptores
5.12 Entrenamiento de personal para atender emergencias
5.13 Otros.

6. PROGRAMAS DE CAPACITACIÓN

ASPECTOS A CUBRIR
6.1 Plan de capacitación constante para el personal
6.2 Registro de adiestramiento que se ha dado a cada persona.
6.3 Programas de rotación de funciones
6.4 Control sobre trabajo y desempeño del personal.

7. RECEPCIÓN DE TRABAJOS

ASPECTOS A CUBRIR
7.1 Que la recepción de trabajo se efectúe en base a:
Ordenes de trabajo
Registros adecuados
Volantes.
7.2 Comprobar que los registros de recepción contengan:
Hora de recepción.
Número correlativo de orden de trabajo
Descripción del trabajo
Copias en que solicita el reporte.
7.3 Existencia de cifras de control
7.4 Persona autorizada para entregar trabajos

8. CONTROL DE CALIDAD

ASPECTOS A CUBRIR
8.1 Cotejo de totales entrada/salida
8.2 Verificación de listados de errores o inconsistencias
8.3 Estadísticas por aplicación de errores detectados
8.4 Norma sobre la calidad de impresión exactitud de los datos
8.5 Número de copias de los reportes (autorizadas)

9. DESPACHO DE TRABAJOS

ASPECTOS A CUBRIR
9.1 Directorio de usuarios
9.2 Lista de usuarios autorizados para retirar información
9.3 Controles sobre el envío de reportes
9.4 Chequeos para asegurar que el reporte producido corresponda con el solicitado
9.5 Control sobre las órdenes de trabajo no retiradas
9.6 Protección de la información previa entrega al usuario

10. CAPTURA DE DATOS

ASPECTOS A CUBRIR
10.1 Forma de recepción de los trabajos
10.2 Criterios para asignar tareas
Experiencia del personal en determinados trabajos
Cargas de trabajo
Grado de dificultad de trabajo
10.3 Formas de reportar los errores detectados en la captura
10.4 Protección de documentos fuente
10.5 Supervisión del personal

11. PROCESO DE DATOS

ASPECTOS A CUBRIR
11.1 Formas de controlar las órdenes de trabajo
11.2 Existencias de los manuales de operación de cada aplicación
11.3 Reportes de tiempos utilizados
11.4 Registros del mantenimiento de equipos

12. CINTOTECA

ASPECTOS A CUBRIR
12.1 Accesos a la cintoteca
– Control sobre el contenido de cada archivo
– Uso de etiquetas internas
– Existencia de un registro de todos los dispositivos de almacenamiento
– Directorios del contenido de archivos
– Procedimientos de control sobre:
Cintas
Discos
Otros
Control sobre:
– Antigüedad, condiciones de uso y estado de los dispositivos de
almacenamiento.
– Control sobre el préstamo de dispositivos de almacenamiento.

PLANIFICACIÓN

A – ACTIVIDADES PREVIAS
A – ACTIVIDADES DEL SERVICIO
T – MATRIZ DE RIESGOS
A – OBJETIVOS
A – ALCANCE
A – PRESUPUESTOS (COSTO)
T – PROGRAMAS DE AUDITORIA
T – CONOCIMEIENTO DE TI
A – DEPARTAMENTOS DE ENTREGA DE INFORME (FECHA, DIRIGIDO)
T – CUESTIONARIOS A UTILIZAR