GRUPO MILLENNIALS CIENCIAS ECONÓMICAS USAC

MATERIAL DE APOYO, PRIMER PARCIAL, CURSO:

AUDITORIA V
NOVENO SEMESTRE, ESCUELA DE AUDITORIA
________________________________________________________________________________

¿Qué es un sistema?
Es un conjunto de elementos o partes que se integran o relacionan para producir un resultado.
Sistema de Información: Es el conjunto de elementos y procedimientos íntimamente ligados que inter
actuando entre sí con las demás partes de la organización, llevan a cabo al cabo el proceso de
captación de datos y entrega de información, con el objeto de proporcionar conocimientos necesarios
a las personas indicadas, para la toma de decisiones.

Tipos Sistemas de Información

 Manual
 Mecánico
 Electromecánico
 Electrónico

¿Qué es la informática? Información + Automática

Conjunto de conocimientos científicos y técnicos que hacen posibles el procedimiento automático de

los datos, mediante el uso de computadores, para producir información útil y significativa para el
usuario.

¿Qué es un sistema informático?

Es el conjunto que resulta de la integración de cuatro elementos:

 Hardware
 Software
 Datos
 Personas

Estos componentes se relacionan (dando origen a los procesos) haciendo posible el procesamiento
automático de los datos, a través de ordenadores, para producir información útil.

¿Qué es un ordenador?

Es una maquina o dispositivo físico programable, que se utiliza para procesamiento de datos y generar
información. Sus principales características:

 Responde, de manera precisa, a un conjunto especifico de instrucciones.

 Puede ejecutar una lista de instrucciones pre-grabadas.
Proceso Electrónico de Datos

Consiste en la transformación de datos, (que no son útiles por si mismos)a través de un proceso a fin
de obtener un producto (información) que es útil sin transformaciones posteriores. Transformación vía
medios electrónicos para nuestro caso computadoras. Esto trae como beneficio el proceso rápido y
económico de enormes cantidades de datos.

Para lograr el objetivo de procesar la enorme cantidad de datos es necesarios el perfeccionamiento

de los procedimientos. Esto requiere un esfuerzo intenso para asegurar que el procedimiento es
operable y claro antes de automatizarlo. La gran utilización de la planeación actual de los sistemas y
procedimientos y del análisis de los procedimientos como sistemas, es que con frecuencias se
programa en equipos de PED.

Ciclo Básico del PED

Consiste en un método sistemático para manejar datos y obtener la información deseada y esta
constituido por tres etapas:

ENTRADA
PROCESO SALIDA

 Entrada
Consiste en la recopilación de todos los datos requeridos, ordenándolos en una forma adecuada
para su procesamiento, En esta etapa los datos deben registrarse de una manera adecuada
para el sistema de procesamiento que se utilice (anotaciones a mano en libros, tarjetas
perforadas, cintas de papel perforada, diskettes, etc.)
 Proceso
Es la etapa en la cual se realizan o ejecutan todos los cálculos o pasos necesarios con los datos
de entrada. En esta etapa se realizan labores como: Clasificación, Cálculo, comparación y
análisis.
 Salida
Es el resultado del procesamiento de datos o representación de la información deseada.

Ciclo Extendido del PED

Se conoce así al ciclo básico más otras dos etapas que son:

1. Documentos Fuentes
2. Almacenamiento de datos.

Documentos Fuente: Se refiere al origen y la forma como se registra pudiendo ser grande, pequeño,
manuscrito, impreso, etc. (Tarjetas de tiempo, órdenes de compra, órdenes de venta, facturas, etc.)
Almacenamiento de Datos: Al finalizar el ciclo de procesamiento o dentro del mismo, es un punto
donde se obtienen resultados intermedios, se almacenan datos de manera que se puedan recuperar
rápidamente.

El método de procesamiento y el tiempo que se desee conservar los datos determinan el tipo de
almacenamiento.

Documentos
Fuentes

Entrada Proceso Salida

Almacenamiento
de Datos

Origen y Evolución de la Auditoria

 Ley Británica de Sociedades Anónimas de 1862, reconoce la Auditoría como profesión.

 Crecimiento del desarrollo de las actividades comerciales y financieras.
 Requerimiento de la constante vigilancia y evaluación.
 Requerimiento de opinión independiente de resultados.
 Alcance de la evaluación y diagnóstico de las operaciones contables-financieras.
 Medir la eficiencia y eficacia de los objetivos económicos-financieros de la empresa.
 Determinar el análisis, verificación y evaluación del desarrollo de las actividades financieras.
 Evaluación administrativa.
 Revisión Integral.
 Revisión especializada de áreas y actividades específicas.
 Auditoria en Sistemas Computacionales
Auditoria

Un proceso sistemático para obtener y evaluar evidencia de una manera objetiva respecto de las
afirmaciones concernientes a actos económicos y eventos para determinar el grado de
correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los
usuarios interesados.

Origen y Desarrollo

 Evolución del comercio

 Surgimiento de la contabilidad
 Surgimiento de la Auditoria.

Naturaleza

La auditoría está encargada de la revisión de los estados financieros, de las política de dirección, y de
procedimientos específicos que relacionados entre sí forman al base para obtener suficiente evidencia
acerca del objeto de la revisión, con el propósito de poder expresar una opinión de poder expresar una
opinión profesional acerca de todo ello.

Importancia

La necesidad del examen de estados financieros es indispensable para:

 Administradores
 Inversionistas
 Proveedores-Acreedores
 Instituciones Bancarias y Financieras

Objetivos

 Obtención de información y razonabilidad de los estados financieros

 Establecer la aplicación adecuada de los recursos
 Promover la eficiencia operativa
 Permitir al CPA emitir una opinión independiente

Auditoria Socio- Auditoria Socio- Auditoria Socio-

Etapa Años laboral-cipiente laboral-tradicional laboral-ampliada
(Aproxima.) hasta 1985 1985-1995 desde 1995
Medición y mejora de la Estrategia adecuada
Objetivo  Control eficiencia en la gestión de los RR.HH. a los
de RR.HH. objetivos de la
empresa clima laboral
 Legal  Económico  Estrategia
Ámbito  Contable  Legal  Económico
 Contable  Legal
 Contable
 Cerrado y estático, se Abierto y dinámico. Se Abierto, dinámico y
analiza la empresa sin analiza el con elevada
considerar el exterior funcionamiento de la incertidumbre. Se
Enfoque ni los cambios de empresa en analiza el
entorno.. comparación con funcionamiento de la
competidores. empresa en
comparación con un
futuro deseable.

Pasado. Revisión de Presente. Revisión del Futuro, gestión de

Horizonte de Estudio documentación funcionamiento actual recursos y
histórica y comparación con el capacidades
pasado. presentes y
necesarias.

Informe de Informe de medición Informe de

Resultado cumplimientos o de la proporcionalidad recomendación de
incumplimientos entre recursos planes estratégicos
consumidos y para conseguir llegar a
resultados obtenidos. un futuro deseable.

Calidad del Trabajo del Contador Público los fundamentos ¿Qué es la calidad?

La calidad es el grado en el que un conjunto de características inherentes de un producto o de un

servicio, sistema o proceso cumple con los requisitos, de los clientes y otras partes interesadas.

E n el caso del contador público el código de ética de IFAC establece el principio de que:

Una característica que identifica a la profesión contable es que asume la responsabilidad de actuar en
interés público. En consecuencia, la responsabilidad de un profesional de la contabilidad no consiste
exclusivamente en satisfacer las necesidades de un determinado cliente o de la entidad para la que
trabaja.

Auditoria del PED enfoque tradicional

sobre el control, planificación, la adecuación, eficacia y seguridad de la función computacional en la

empresa. También se dice que “es el examen discontinuo de un sistema computacional, o del servicio
computacional a petición de su dirección para mejorar la rentabilidad, la seguridad y la eficacia”.

Por ello, la Auditoría de PED es la verificación del control en 3 áreas que son:

 Aplicaciones y mantenimiento de las mismas

 Desarrollo de Sistemas

 Operaciones de la Instalación
 Las aplicaciones incluyen todas las funciones de información del negocio, en cuyo procesamiento
interviene un computador. Los sistemas de aplicación abarcan uno o más departamentos de la
organización, así como la operación del computador y el desarrollo del sistema.

Auditoria Informática

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado

salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos.

Auditoria en Sistemas Computacionales

 Controles Generales
 Controles Específicos
 TAAC´s

Objetivos de la Auditoria Informática

La Auditoria Informática sustenta y confirma la consecución de los objetivos tradicionales de auditoria:

1. Objetivos de protección de activos e integridad de datos

2. Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los
de eficacia y eficiencia.

¿Qué es la Auditoria de Tecnologías de Información A.T.I?

Es un cuerpo de conocimientos, normas, técnicas y buenas prácticas dedicadas a la evaluación y

aseguramiento de la calidad, seguridad, razonabilidad y disponibilidad de la información tratada y
almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía
con que la administración de un ente están manejando dicha información y todos los recursos físicos
y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y
almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican
técnicas de auditoría de general aceptación y conocimiento técnico específico.

El Rol de la Auditoria de TI en la Empresa

El auditor de sistemas debe jugar un rol proactivo a través de todas las etapas del proceso de
sistematización del negocio.

Adicionalmente debe apoyar a la Auditoría Financiera en su proceso de obtención de evidencia y

validación de procedimientos de control a través del uso de C.A.A.T * (Computer Audit Assisted
Technologies) y del computador.

Los servicios de Auditoría de Tecnologías de Información se encuentran orientados al mercado pro-

activo y preventivo, brindándole a nuestros clientes evaluaciones de sus controles, que sirvan para el
fortalecimiento de su seguridad e infraestructura tecnológica.
Objetivos Específicos de la Auditoria de TI.

 La información y la tecnología es el activo más valioso del nuevo milenio.

 La información puede constituirse en una ventaja competitiva de la empresa frente a terceros.
Su uso inadecuado puede convertirse en la peor amenaza.
 La información es la memoria y conocimiento de la empresa. Base de su desarrollo y
adaptación futura.
 Todo lo que la rodea (la información) y la soporta, debe estar adecuadamente asegurado y
controlado. Hablamos de equipos, personas y programas de computador.
 Es necesario determinar si los recursos informáticos están siendo utilizados de manera más
efectiva, eficiente y económica.
 Es de vital importancia evaluar si los sistemas de negocios que posee la empresa tienen
involucrados los CONTROLES suficientes que garanticen una información libre de errores,
fraudes, alteración o falta de disponibilidad. Es decir, que dicha información está realmente
segura y protegida del acceso no autorizado, daño intencional o destrucción por parte de
terceros o personal de la empresa.
 Se hace necesario mantener servicios de monitoreo de nuevas tecnologías, de forma que estas
se adquieran y utilicen en beneficio de los objetivos de la empresa, generando ventajas
competitivas y beneficios tangibles frente a terceros.
 Solo la experiencia continuada, real, exitosa, el conocimiento acumulado de muchos años en
procesos de sistematización de todo tipo y el uso de estándares y metodologías de reconocido
valor técnico, garantizan que la tecnología informática, y la información en si misma, están
siendo adecuadamente utilizadas y aseguradas.

Funciones del Auditor Informático

 Participar en las revisiones durante y después del diseño, realización, implantación y

explotación de aplicaciones informáticas, así como en las fases análogas de realización de
cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su
adecuación a las órdenes e instrucciones de la dirección, requisitos legales, protección de
confidencialidad y cobertura ante errores y fraudes.
 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

Auditoría Financiera

 La auditoría está encargada de la revisión de los estados financieros, de las políticas de

dirección y de procedimientos específicos que relacionados entre sí forman la base para
obtener suficiente evidencia acerca del objeto de revisión, con el propósito de poder expresar
una opinión profesional sobre todo ello.

Auditoria Interna

La AI es la denominación de una serie de procesos y técnicas, a través de las cuales se da una

seguridad de primera mano a la dirección respecto a los empleados de su propia organización a partir
de la observación en el trabajo respecto a: si los registros e informes (financieros contables o de otra
naturaleza) reflejan las operaciones actuales y los resultados adecuada y rápidamente en cada
división, departamento u otra unidad, y si éstos se están llevando fuera de los planes, políticas o
procedimientos de los cuales la auditoría es responsable.

Auditoria Operacional

 Es una valoración independiente de las diversas operaciones y controles dentro de una

organización para determinar si se llevan a cabo políticas y procedimientos aceptables, si se
siguen las normas establecidas, si se utilizan los recursos de forma eficaz y económica y si los
objetivos de la organización se han alcanzado.

Auditoria interna y auditoria operacional

 La AO no es diferente a la AI, es una mera aplicación de las técnicas modernas de auditoría

interna a todas las actividades de una empresa. El enfoque y la orientación auditoria en las
áreas financiera y operativa es lo que caracteriza a la AO.

 La AO es una forma a través de la cual los auditores internos enfocan sus trabajos, analizan
los asuntos de su competencia y consideran los resultados, adoptando las técnicas y enfoques
desde la perspectiva de un director.

Sistema de la necesidad de la Auditoria en Informatica

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases:

1.) Síntomas de descoordinación y desorganización:

 No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

 Los estándares de productividad se desvían sensiblemente de los promedios conseguidos

habitualmente.

Puede ocurrir con algún cambio masivo de personal, o en una reestructuración fallida de alguna área
o en la modificación de alguna Norma importante.

2.) Síntomas de mala imagen e insatisfacción de los usuarios:

 No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en

los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben
ponerse diariamente a su disposición, etc.

 No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El

usuario percibe que está abandonado y desatendido permanentemente.

 No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones críticas y sensibles.
3.) Síntomas de debilidades económico-financieras:

 Incremento desmesurado de costes.

 Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente

convencida de tal necesidad y decide contrastar opiniones).

 Desviaciones Presupuestarias significativas.

 Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de

Proyectos y al órgano que realizó la petición).

4.) Síntomas de Inseguridad:

 Evaluación de nivel de riesgos

 Seguridad Lógica

 Seguridad Física

 Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los
datos de personal son especialmente confidenciales]

 Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las
estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

 Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser
sustituido por el mínimo indicio.

Ecuación del Riesgo

R=V*A*I

Riesgo

Probabilidad de que las amenazas actúen sobre los activos causando daños o perdidas.

Vulnerabilidad

Debilidad o falta de control que permitiría o facilitara que una amenaza actué contra un activo

Amenaza

Circunstancia o evento que puede explotar intencionalmente o no, una vulnerabilidad especifica.

Impacto

Daño causado en un activo como resultado de la explotación de una vulnerabilidad por una
amenaza.
Activo

Componente o funcionalidad susceptible de ser atacado deliberada o accidentalmente con

consecuencias para el organismo entidad o sistema los activos pueden ser físicos, lógicos,
recursos humanos, y capital tangible e intangible.

Riesgos

Los riesgos afectan la capacidad de la organización de sobrevivir, competir con éxito o

mantenerse con una fortaleza financiera adecuada, la imagen pública positiva o la calidad de
productos o servicios que brinda.

Riesgo es una medida de la incertidumbre.

“El nivel de exposición a las incertidumbres que una empresa debe entender y efectivamente
administrar para lograr alcanzar sus objetivos y crear valor para sus interesados”.

CLASIFICACIÓN DE LOS FACTORES DE RIESGO

Riesgos externos:

Desarrollos tecnológicos que en caso de no adoptarse provocarían obsolescencia organizacional,

cambios en las necesidades y expectativas de la demanda, condiciones macroeconómicas tanto a
nivel internacional como nacional, condiciones microeconómicas, competencia elevada con otras
organizaciones, dificultad para obtener crédito o costos elevados del mismo, complejidad y elevado
dinamismo del entorno de la organización, y reglamentos y legislación que afecten negativamente a la
organización.

Riesgos externos:

• Riesgos económicos: cambios que pueden impactar las finanzas, la disponibilidad de capital, y
barreras al acceso competitivo.

• Ambiente natural: catástrofes naturales o causadas por el ser humano, o cambios climáticos
que puedan generar cambios en las operaciones, reducción en la disponibilidad de materia
prima, perdida de sistemas de información, resaltando la necesidad de planes de contingencia.

• Factores regulatorios: nuevos estándares, regulaciones y leyes que impliquen cambios en las
políticas y estrategias operativas y de reporte de la entidad.

• Operaciones extranjeras: cambios en el gobierno o leyes de países extranjeros que afecten a

la entidad.

• Factores sociales: cambios en las necesidades y expectativas de los clientes que puedan
afectar el desarrollo de los productos, procesos de producción, servicio al cliente, precios o
garantías.
 • Factores tecnológicos: desarrollos que pueden afectar la disponibilidad y uso de la información,
costos de infraestructura y la demanda de los servicios basados en la tecnología.

Riesgos internos:

• Riesgos referentes a la información financiera, a sistemas de información defectuosos, a pocos

o cuestionables valores éticos del personal, a problemas con las aptitudes, actitudes y
comportamiento del personal
• Infraestructura: decisiones sobre el uso de recursos de capital que pueden afectar las
operaciones y la disponibilidad de la infraestructura.
• Estructura de la administración: cambios en las responsabilidades de la administración que
puedan afectar los controles que se llevan a cabo en la organización.
• Personal: calidad del personal contratado y los métodos de capacitación y motivación que
puedan influir en el nivel de control de conciencia dentro de la entidad, y vencimiento de
contratos que puedan afectar la disponibilidad de personal.
• Acceso a los activos: naturaleza de las actividades de la entidad y acceso de empleados a los
activos, que puedan contribuir a la malversación de activos.
• Tecnología: alteraciones en los sistemas de información que puedan afectar los procesos de la
entidad.

Clasificación Categorías de Riesgo

En Implementing Turnbull – A Boardroom Briefing se ha desarrollado la siguiente clasificación en

cuatro categorías de riesgo:

 De negocio,
 Financieros,
 De cumplimiento,
 Operacionales y otros.

Niveles de Riesgos

Los riesgos pueden ser apreciados en tres niveles:

Ø Estratégico:

Esta apreciación de riesgos se utiliza como guía de la organización durante un prolongado

período de tiempo (hasta diez años). Dicho procedimiento es usualmente realizado por la
Dirección y Alta Gerencia.

Ø Proceso / programa / procesos:

Esta apreciación de riesgos es utilizada, desarrollada y gerenciada durante el período actual de

la organización. El gerente del proceso, programa o proceso es la persona que inicialmente
tiene la responsabilidad de la apreciación.
 Ø Operacional:

Utilizado en las operaciones diarias. Es la apreciación es usualmente realizada por el nivel de

supervisión o por individuos o equipos de trabajos designados para tal tarea.

Identificación de Riesgo

El riesgo no puede ser medido, priorizado o gerencia hasta que el mismo haya sido identificado. En
la realización de los pronósticos a corto y mediano plazo, en el planeamiento estratégico es apropiado
efectuar la identificación de los riesgos de negocio.

¿Qué preguntas podemos hacernos a efectos de realizar dicha identificación de riesgos?:

 ¿Qué no nos gustaría ver aparecer en la prensa?

 ¿Qué problemas han tenido nuestros competidores en años recientes?
 ¿Cuáles son los tipos de fraude a los cuales nuestro negocio puede ser susceptible?
 ¿Cuáles son los mayores riesgos legales y regulatorios a los cuales nuestro negocio está
expuesto?
 ¿Qué riesgos provienen de los procesos de negocio?

Análisis de Riesgos

Una vez identificados los riesgos es necesario analizar los mismos. El proceso de análisis de riesgos
comprende:

 Medir el riesgo,
 Administrar los mismos

Enfoque de escenario de amenazas

Si el mayor propósito del escenario es la amenaza de fraude, el escenario de cómo puede ser realizado
debe cubrir los siguientes tres elementos:

 Robo: cómo el activo puede ser robado

 Ocultamiento: cómo el ladrón puede ser ocultado o no descubierto.
 Conversión: Cómo el ladrón puede convertir el activo a su uso personal.

Si el escenario de amenaza es utilizado para auditar o evaluar fraude y cuestiones de seguridad, se

convierte en un blueprint para el crimen.

Mediciones de Riesgos

 Una vez que los riesgos y las consecuencias son identificados, el próximo paso es medir los
riesgos.
 Medir riesgos es difícil debido a su naturaleza intangible.
 Los gerentes prefieren pensar en términos cualitativos más que en términos cuantitativos.
 Para algunos gerentes, definir riesgos en una escala de tres niveles (bajo, medio y alto) es
suficiente para sus necesidades
Métodos para Medir Riesgos

Hay diferentes enfoques para medir riesgos y consecuencias:

 Estimaciones de probabilidad y funciones de pérdidas esperadas:

La aplicación de probabilidades a los valores de los activos para determinar la exposición a
pérdidas.
 Factores de riesgos:
El uso de factores observables
 Matrices de medición:
El uso de matrices de amenazas y componentes para evaluar consecuencias y control

Patton, Evans y Lewis describen 19 de los más populares factores de riesgo utilizados por
auditores:

1. Calidad de los controles internos

2. Competencia de la gerencia
3. Integridad de la gerencia
4. Tamaño de la unidad
5. Cambios en los sistemas contables
6. Complejidad de las operaciones
7. Liquidez de los activos
8. Cambios en el personal clave
9. Condiciones económicas de la unidad
10. Rápido crecimiento
11. Extensión del uso de la computadora
12. Tiempo desde la última auditoría
13. Presión en la gerencia para alcanzar los objetivos
14. Extensión de las relaciones gubernamentales
15. Nivel de ética en los empleados
16. Planes de auditoría de los auditores externos
17. Exposición política
18. Necesidad de mantener una apariencia de independencia del auditor interno
19. Distancia de las oficinas centrales

Estrategias de Administración Riesgos

1. Eliminar.

La Gerencia intenta abandonar el proceso, teniendo en cuenta que no puede manejar los riesgos de
dicho proceso adecuadamente. Tratará de prohibirlo, pararlo, eliminarlo, etc.

2. Retener.

La Gerencia tratará de mantener el proceso, aceptando los riesgos involucrados en el mismo. En dicha
estrategia se encuentran la aceptación del nivel de riesgos, la propia asegurabilidad, el contrapeso con
otros procesos, etc.
3. Reducir.

La Gerencia intentará reducir los riesgos a niveles aceptables para retener los mismos. En este caso
la Gerencia tratará de diversificar los riesgos o controlar los mismos.

4. Transferir.

La Gerencia intentará involucrar a un tercero en la administración de sus propios riesgos. P.E. los
seguros, reaseguros, acciones de cobertura y de indemnización, la secularización, el compartir
riesgos, el outsourcing de determinados procesos, etc.

5. Explotar.

La Gerencia intentará transformar el riesgo como efecto negativo en una oportunidad y desarrollo para
la empresa. P.E. la expansión de operaciones, la creación de otros procesos o productos, el rediseño
de procesos o productos, la reorganización, la renegociación, etc.

Ambiente Débil de Control Propicio para el Fraude:

 Poca o ninguna restricción física en el acceso al equipo

 Carencia de un Depto. de auditoría interna

 Control absoluto sobre las actividades desarrolladas por el PED

 Falta de documentación sobre los sistemas y programas en producción.

 Errores corregidos mediante solicitudes verbales

 Cambios en línea a los datos contenidos en el sistema

 Poco o ningún control sobre el uso de reportes elaborados por el PED

 Uso del PED en horario nocturno, sin ninguna supervisión sobre las funciones que se realizan.

 Poco o ningún control sobre el consumo y circulación de suministros.

 Los Deptos usuarios no revisan la información procesada y preparada por el PED

 Solicitudes verbales de cambios de programas. Programas fuente que permanecen en el

sistema.

 Presencia en el directorio de programas ajenos a la producción de la empresa.

 Poca o ninguna rotación de personal, ausencia de planes de vacaciones, etc.

 Procesamiento de datos fuera del ámbito de la empresa, con gran flujo de documentos e
información sin ningún control.
Definición de Control

“Control” puede usarse de diferentes formas: comprobación, examen, inspección, verificación,

dirección, gobierno, mando.

En el campo de la administración de empresas se suele utilizar ambos significados:

 Acto aislado y simple de verificación (sentido estricto)

 Función de la dirección de empresas (sentido amplio).

“Es una medida y corrección del desempeño de las actividades de los subordinados para asegurar
que los objetivos y planes de la empresa, diseñados para lograrlo, se están llevando a cabo.”

Control Interno Definicion

El Control Interno conforme COSO “es un proceso integrado a los procesos, y no un conjunto de
pesados mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de la
administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar una garantía razonable para el logro de objetivos incluidos en las siguientes categorías:

 Eficacia y eficiencia de las operaciones (salvaguarda de activos).

 Confiabilidad de la información financiera.

 Cumplimiento de las leyes, reglamentos y políticas.

 Cumplimiento de los planes estrategicos

Función de Control

 Control es todo lo que tiende a evitar errores.

 Control es todo lo que tiende a minimizar riesgos.

Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de una organización
obtengan los objetivos previstos, dentro de los límites prefijados. No se limita exclusivamente a verificar
en qué medida se logra un objetivo.

El control íntegramente considerado debe considerar que los actos logren los resultados previstos y
no solamente señalar las eventuales desviaciones.

El control es la suma de factores deliberadamente dispuestos por la organización con el fin de:
Condicionar cada acto, asegurando que sea realizado de un modo determinado.

 Determinar la medida en que cada acto dio el resultado previsto.

 Informar los resultados y las eventuales desviaciones, retroalimentando de esta manera todo el
proceso.
Proceso Básico del control

 Establecimiento de Normas
 Evaluación de la Actuación
 Corrección de las Desviaciones
Requisitos que deben Cumplir los controles

Deben reflejar la naturaleza y necesidades de la empresa

 Deben reportar prontamente las desviaciones

 Deben ser futuristas
 Deben señalar excepciones
 Deben ser objetivos
 Deben ser flexibles
 Deben ser económicos
 Deben ser comprensibles
 Deben conducir a la acción correctiva.

Las labores de control se enfrentan siempre a fuerte oposición:

 Por parte de los eficientes y honestos, porque lo consideran innecesario, inhibitorio o

degradante,

 De los deficientes, porque no se percatan de su utilidad

 y por parte de los deshonestos, porque les estorba.”

ASPECTOS A CONSIDERAR

Es un proceso:

 No es un hecho aislado, es un conjunto de actividades realizadas de forma continua

 Resulta efectivo cuando está integrado en la estructura y cultura de la entidad
 Aplicando al definir la estrategia:
Misión y visión, Objetivo a estratégicos, Objetivos de negocios Y Objetivos divisiones procesos

Aspecto Implícito en la definición de control interno

1. CI es un proceso
2. Ci lo llevan a cabo las personas
3. Ci facilita la consecución de objetivos
4. CI solo puede aportar un grado razonable de seguridad
Riesgos que Amenazan la Información

Internos

 Robos de (Papeleria y Utiles, Recursos, Informacion de Datos, Programas).

 Sabotaje
 Detruccion de (Datos y/o recursos, voluntaria o involuntaria)
 Huelgas
 Fraude

Externos

 Naturales (Temblor, Incendio, inundación, Tormenta)

 Humanos (Robo, Sabotaje, Motines sociales, Fraude)
 Materiales (Desperfectos en el equipo, Fallas de Energias)

Clasificación de los Controles

Por su naturaleza

· GENERALES (VARIOS SISTEMAS)

· MANUALES (USO DE HUMANWARE)
· AUTOMATICOS (INCORPORADOS

Por su efecto:

· DISUASIVOS
· DE EVIDENCIA
· PREVENTIVOS
· DETECTIVOS
· CORRECTIVOS
· RECUPERATIVOS

Por su estado:

· RECOMENDADOS
· DESCARTADOS
· IMPLANTADOS
 Controles en Función del Momento del Incidente

PREVENTIVOS DETECTIVOS RECUPERATIVOS

 Guardias de seguridad  Antivirus  Restauración de
 Concientización  Alarmas Backups
 Políticas de Seguridad  Sistemas de  Antivirus
 Firewalls monitoreo  Sistema de
 IDS restauración

Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas de error.

Características:

 Reducen la frecuencia de errores

 Previenen operaciones no autorizadas
 Son sutilmente incorporados en los procesos
 Son los de más bajo costo.

Autorización:

La iniciación de una transacción o la ejecución de un proceso se limita a los individuos autorizados

para ello.

Custodia Segura:

A los activos de información se les aplican medidas de seguridad similares a las de los activos
tangibles, tales como efectivo, valores negociables, etc

Forma Pre numeradas:

En las formas individuales se pre imprimen números consecutivos a fin de permitir la detección
posterior de su pérdida o mala colocación.

Forma Preimpresas:

Los elementos fijos de información se anotan por anticipado en las formas y, en algunos casos, en un
formato que permite el procesamiento directo por el computador, a fin de prevenir errores en la
anotación de datos repetitivos.

Documento de Retorno:

Es un documento producido por el computador, con el objeto de que vuelva a entrar al sistema.

Endoso:

Marcar una forma o un documento a fin de dirigir o restringir su uso posterior en el procesamiento.
Cancelación

Marcar o identificar los documentos de las transacciones a fin de prevenir su uso posterior una vez
que han cumplido su función.

Controles Detectivos

 Estos no impiden que ocurra una causa de error, sino que acciona la alarma después de
que haya ocurrido.
 Pueden impedir la continuidad de un proceso
 No impiden que ocurra un error, pero dan la alarma después que haya ocurrido
 Requieren de ciertos gastos operativos moderados.
 En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Controles Correctivos

 Estos no impiden que ocurra una causa de error, sino que acciona la alarma después de
que haya ocurrido.
 Pueden impedir la continuidad de un proceso
 No impiden que ocurra un error, pero dan la alarma después que haya ocurrido
 Requieren de ciertos gastos operativos moderados.
 En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

CUESTIONARIO
¿Qué aspectos se deben considerar al momento de desarrollar un software?
 El volumen de trabajo
 El presupuesto que dispongo.
 Si tengo el equipo necesario

¿Cómo puede ser la participación del CPA en el desarrollo e implementación de un software?

Como consultor en sistemas, auditor externo o interno.

¿Qué condiciones necesita la auditoría interna para realizar un trabajo efectivo?

 Respaldo de la administración
 Comunicación con el departamento de IT
 Tener los conocimientos suficientes en IT

¿Cuál es la metodología para el desarrollo de sistemas?

 Planificación
 Desarrollo
 Implementación

¿Qué es planeación?
Es el proceso que nos indica que se hará y de qué manera
¿Qué es programa?
Son cursos de acción detallados que señalan los pasos específicos que habrán de realizarse para
lograr los objetivos.

¿Qué es presupuesto?
Es la estimación programada de los ingresos y egresos.
¿Cuál es la metodología para realizar una auditoría de sistemas computacionales?
 Planeación
 Ejecución
 Dictamen

¿Cuáles son los pasos para realizar una planeación?

 Identificar el origen de la auditoría
 Realizar una visita preliminar
 Establecer los objetivos
 Determinar los puntos a evaluar
 Identificar los métodos, herramientas e instrumentos a realizar
 Asignar los recursos

¿Cuáles son los pasos para realizar la ejecución?

 Realizar las acciones programadas
 Aplicar los instrumentos y herramientas
 Identificar y elaborar los documentos con las desviaciones encontradas.
 Elaborar el dictamen preliminar
 Integrar el legajo de los papeles de trabajo

¿Qué es un evento?
Es un incidente o acontecimiento procedente de fuentes internas o externas que afectan la
consecución de los objetivos de la entidad.

¿Qué es riesgo?
Es la posibilidad de que un evento ocurra y que afecte negativamente el logro de los objetivos.

¿Qué es impacto?
Es la consecuencia de un evento, expresado en términos cualitativos o cuantitativos.
¿Cuáles son las etapas de la administración del riesgo?

 Identificación
 Medición o evaluación
 Control
 Monitoreo

¿Qué es control interno?

Son los procesos implementados y mantenidos por la administración para poder alcanzar sus
objetivos.
¿Cuáles son los objetivos del control interno?
 Eficiencia y eficacia de los procesos
 Confiabilidad en la información
 Cumplimiento de leyes y reglamentos

¿Qué es COSO?
Es el que establece un estándar mediante el cual las organizaciones pueden evaluar y mejorar
sus sistemas de control interno.

¿Cuáles son los beneficios de implementar el sistema COSO?

 Proporcionar un marco integral del control interno y herramientas de valuación para el sistema
de control
 Proporciona respuestas integradas a los múltiples riesgos
 Mejor el nivel de las respuestas al riesgo
 Reduce la posibilidad de sorpresas
 Ayuda a mejorar el uso del capital disponible

¿Cuáles son los componentes claves del COSO?

 Ambiente de control
 Establecimiento de objetivos
 Evaluación de riesgos
 Respuestas al riesgo
 Actividades de control
 Información y comunicación
 Monitoreo

¿Cuáles son los métodos para evaluar el control interno?

 Descripciones narrativas
 Cuestionarios
 Diagramas de flujo
¿Qué es seguridad informática?
Son las condiciones y características de los sistemas de procesamiento de datos y su
almacenamiento para garantizar su confidencialidad, integridad y disponibilidad.

¿Qué es el análisis de riesgo?

Es el que determina los componentes de un sistema que requiere protección e identifica las amenazas
que lo ponen en peligro.

¿Cómo se logra reducir los riesgos?

Por medio de la implementación de medidas de protección, con base a los resultados del análisis y
de la clasificación del riesgo.
¿Cuáles son los aspectos básicos a cubrir en la evaluación del control interno
informático?
 Organización del departamento
 Seguros, contratos y fianzas
 Manuales de organización
 Políticas de seguridad
  Sistemas y medidas de seguridad
 programas de capacitación
 Recepción de trabajos
 Control de calidad
 Despacho de trabajo
 Captura de datos
 Proceso de datos
 Cintoteca

Subraye la respuesta correcta.

1. Esta Característica Es La Esencia Del Control, Debido A Que Es La Presentación A Tiempo De

Los Resultados Obtenidos Con Su Aplicación.
 Oportuno.
 Confiable,
 Procesamiento

2. Para Que Verdaderamente Se Pueda Comparar Los Resultados Alcanzados Contra Los
Esperados Es Necesario Que Sea Medible.
Cuantificables
Calificable
Confiable

3. Característica Que Permite Que Los Resultados Obtenidos Sean Medidos De Acuerdo A Su
Calidad.
 Calificable.
 Cuantificable
 Retroalimentación

4. Característica Que Señala Resultados Correctos Sin Desviaciones Ni Alteraciones Y Sin

Errores De Ningún Tipo.
 Confiable.
 Resultados
 Calificable

5. Característica Que Permite Medir Los Resultados Alcanzados, Estos Deberán Compararse De
Acuerdo Con Los Estándares Y Normas Previamente Establecidos.
 Estándares Y Normas De Evaluación.
 Resultados
 Calificable

6. Conjunto De Elementos Interrelacionados que Pretenden Satisfacer Un Fin:

 Sistema.
 Humaware
7. Mencione el Ciclo de Control Como Sistema.
Entrada, Proceso, Salida Y Retroalimentación.

8. Son Los Insumos De La Información O La Recopilación De Datos.

 Elementos De Entrada.
 Elementos De Salida
 Elementos De Resultados

9. Con Los Elementos De Entrada Podemos hacer El Análisis De Esa Información Para Comparar
Lo Real Contra Lo Que Se Esperaba Alcanzar.
 Procesamiento
 Retroalimentación
 Resultados

10. Son Las Conclusiones Que Se Obtuvieron Del Procesamiento De La Información.

 Resultados.
 Evaluación
 Dictamen

11. Toma Las Medidas Necesarias Para Poder Corregir Las Posibles Desviaciones Si Es Que La
Hubo:
 Retroalimentación.
 Evaluación
 Control Interno

12. Es Una Función De La Gerencia que Tiene Por Objeto Salvaguardar Y Preservar Los Bienes
De La Empresa.
 Control Interno.
 Diagramas
 Flujogramas

13. ¿Cuáles Son Los Métodos Para Evaluar El Control Interno?

 Descripciones Narrativas
 Cuestionarios
 Diagramas De Flujo
 Todas Son Correctas

14. ¿Cuáles Son Los Objetivos Del Control Interno?

 Eficiencia Y Eficacia De Los Procesos
 Confiabilidad En La Información
 Cumplimiento De Leyes Y Reglamentos
 Todas Son Correctas
 Ninguna es Correcta

15. ¿Cuáles Son Las Etapas De La Administración Del Riesgo?

 Identificación Y Medición O Evaluación
 Control Y Monitoreo
 Eficiencia Y Eficacia
 A Y B Son Correctas
 16. ¿Cuáles son las ramas de la auditoria?
 Independiente e interna
 Gubernativa e interna
 A y b con correctas
 Ninguna es correcta

17. ¿Cuál es el ciclo básico de control?

 Establecimiento de normas
 Evaluación de la acción
 Corrección de las desviaciones
 Todas son correctas

18. ¿Qué riesgos o amenazas tiene estar expuesto la información?

 Sabotaje
 Destrucción de datos
 Virus
 Ninguna es correcta

19. ¿Cuáles son los dos elementos del ciclo extendido del procesamiento de datos?
 Documento fuente y almacenaje
 Salida y proceso
 Entrada y almacenamiento
 Ninguna es correcta.

20. ¿Cuáles son los niveles de riesgos que se pueden encontrar en el control interno de la
empresa?
 Estratégico y operacional
 Estratégico y programas
 Sustantivos

GRUPO MILLENNIALS / FEBRERO 2022