Universidad de Oriente

Núcleo Sucre- Carúpano

Escuela de administración

Bachilleres: Facilitador:

Ana Gabriela Silva Zaida Agreda

Adolfo Rivas

José Félix Marcano

Introducción
En Venezuela, los sistemas de computación se utilizan en las empresas para
realizar procesos administrativos rutinarios, como la nómina y la contabilidad. Para
esto, las organizaciones contratan empresas especializadas en el diseño e
instalación de los sistemas. Un sistema informático es un conjunto de funciones
interrelacionadas que procesa y almacena información. Para ello, se utilizan
periféricos de entrada, como el teclado, y de salida, como el monitor. La
computación es importante porque permite resolver problemas complejos y
automatizar tareas. Esto ha llevado a avances significativos en la vida moderna,
como el uso de robots en fábricas para incrementar la producción y la calidad de
los productos
1. ¿Como operan los sistemas de computación?

Los sistemas de computación: se utilizan en las auditorías de sistemas para

analizar la infraestructura de la tecnología de información (TI) de una empresa. El
objetivo es evaluar el estado de la seguridad, identificar vulnerabilidades y mejorar
la protección de los recursos informáticos.

Los sistemas informáticos son los sistemas encargados de recibir, guardar y

procesar información para posteriormente entregar resultados a partir de ello.

Son sistemas complejos y presentes en diversos ámbitos, ya que engloba a todo

aquello que contiene una división física (hardware) y otra lógica (software).

1. Definición de sistema informático: Un sistema informático es un conjunto de

elementos físicos y lógicos capaz de guardar y procesar información. La parte
física alude al hardware (todo lo tangible) y la parte lógica alude al software
(todo lo intangible).

También, es posible incluir al personal informático (personas encargadas en

manejar a los ordenadores) dentro del sistema, haciéndolo parte fundamental de
la estructura.

2. Componentes de un sistema informático: Hardware; El hardware

comprende las partes físicas de un sistema informático. Es decir, todo aquello
que se puede tocar.

Un ejemplo de un hardware de un sistema informático sería un ordenador, el cual,

si se refiere a uno simple, podría contener los siguientes elementos:

 Pantalla.

 Placa base, también llamada tarjeta madre o placa principal.

 Procesador, también llamado microprocesador.

 Tarjetas de expansión.

 Módulos de ram.

 Fuente de alimentación, también llamada fuente de potencia o fuente de

poder.

 Unidad de disco duro (HDD), también llamada unidad de disco rígido. O

unidad de estado sólido (SSD).

 Teclado.
  Ratón, también llamado mouse.

3. Software: El software comprende las partes lógicas de un sistema

informático. Es decir, todo aquello que no se puede tocar. Este segmento es el
responsable de enviar instrucciones al hardware para ejecutar una diversidad
de tareas. En pocas palabras, esta sección es la que interactúa con la parte
la física de un sistema para que su funcionamiento sea posible.

4. El software contiene los siguientes elementos:

 Software del sistema: Es todo aquello que es indispensable para el manejo

de un sistema, por lo tanto, son elementos que un dispositivo o máquina debe
poseer para poder funcionar: sistema operativo, controladores del sistema,
BIOS, línea de comandos, cargador de arranque (bootloader), hipervisor,
interfaz gráfica de usuario (GUI), utilidades y herramientas de programación.

 Software de aplicación: Se refiere a las diversas aplicaciones o programas

que un sistema puede utilizar: navegador web, juegos, editor de imágenes,
reproductor de videos, antivirus, procesador de texto, calculadoras.

2. El control interno en el sistema de computación

3. Sistema de control interno (SCI): El control interno consiste en los procesos

necesarios para evaluar los riesgos que pueden ser perjudiciales para una
organización y evitarlos mediante la adhesión a un conjunto de normas. La
incorporación de un software de control interno en una organización es
fundamental para el cumplimiento de la normativa aplicable internacionalmente
(por ejemplo, el marco COSO) o leyes nacionales (por ejemplo, MaRisk en
Alemania).

4. Revisión y evaluación del control interno

control interno: El ambiente interno de control es el entorno que influye en los

integrantes de una organización y en el control de sus actividades. Este ambiente
es la base de la administración de riesgos corporativos, pues proporciona
disciplina y estructura, además, impacta en todos los componentes de la gestión
de riesgos.

El control interno está compuesto por planes, métodos, principios, normas,

procedimientos y mecanismos que permiten verificar y evaluar todas las
operaciones que lleva a cabo la compañía, así mismo, identificar de qué manera
se almacena la información y los recursos de la misma y si esto cumple con los
objetivos.

Es aquí donde se decide establecer una metodología para proteger a la

organización y su reputación, previniendo así cualquier tipo de riesgo que la pueda
poner en peligro o que impida el cumplimiento de sus objetivos.

Y contar con una herramienta tecnológica como Pirani ayuda a las empresas a
identificar, evaluar, controlar y monitorear más fácil y eficientemente los riesgos a
los que están expuestas.

Adicional, es importante tener presente que esta es una labor que involucra a
todo el personal de la compañía.

Metodología que puedes aplicar

 Conocer a profundidad los procesos que lleva a cabo la empresa para su

desarrollo habitual.

 Identificar las irregularidades que se están presentando.

 Investigar cómo está el funcionamiento actual de los controles internos y de

qué manera estos influyen en la información financiera y en la información
general de la empresa.

 Identificar si una falla en uno de estos controles puede afectar las

operaciones de la compañía.

 Definir los propósitos de cada uno de los controles.

 Llevar a cabo pruebas que permitan conocer si el funcionamiento de los

controles es el adecuado.

 Evaluar la efectividad de los controles.

Pasos a poner en marcha para la evaluación de controles

Revisión general: En esta etapa se busca realizar una identificación general a

través de documentos, entrevistas, reuniones de los gestores o personas
encargadas para conocer en detalle cómo está planteado el sistema de control.

Revisión detallada: Acá se busca realizar una identificación de información más

profunda por medio de los manuales organizacionales, de procedimientos,
inspecciones y entrevistas más directas con los responsables para conocer cómo
funciona cada uno de los controles establecidos.
Evaluación preliminar: En esta etapa se verifica si los controles planteados son los
adecuados y están surgiendo el efecto esperado y de no ser así poder realizar
mejoras o cambios para obtener los resultados esperados.

Ventajas de evaluar el control interno

 Protege los recursos y procesos de la empresa con el fin de que se

implementen los procesos necesarios para mitigar los riesgos que puedan
aparecer.
 Busca que las operaciones sean eficaces y eficientes por medio de la
ejecución de funciones que ya están establecidas para garantizar el
correcto funcionamiento de la compañía.
 Permite que todas las actividades que se realizan estén enfocadas al
cumplimiento de objetivos organizacionales.
 Permite que se lleve a cabo los adecuados controles, monitoreo y
evaluación de la gestión de riesgos.
 Da la posibilidad de que se definan estrategias enfocadas a la prevención
de riesgos y su vez de identificar y corregir las amenazas que hacen
presenten de la compañía.

¿Qué es el estudio y evaluación del control interno?

Al realizar la auditoría de control interno se trata de que todo funcione y para ello
son necesarios unos elementos: la supervisión constante del sistema de control,
que representa un análisis cada cierto tiempo para indicar su buen
funcionamiento. También acciones de control que sean proporcionales a los
objetivos específicos y los riesgos que implican cada proceso de la empresa.

El objetivo del auditor en una auditoría interna es formar una opinión sobre los
estados financieros de la entidad, por lo que no tiene la obligación de investigar y
encontrar situaciones a informar, sin embargo debe estar al tanto de ellas a través
de la evaluación de los elementos de la estructura del control interno, de la
aplicación de procedimientos de auditoría sobre saldos o transacciones o de
alguna otra manera dentro del curso de la revisión.

Objetivos del control interno: Los objetivos del control interno permiten conocer
qué es el estudio y evaluación del control interno, estos pueden agruparse en
cuatro categorías:

Estratégicos.

Información financiera.
 Operaciones.

Cumplimiento de las leyes y reglamentos.

¿Cómo se realiza el estudio y evaluación del control interno?

Algo muy importante para entender qué es el estudio y evaluación del control
interno es cómo se lleva a cabo. La realización de este estudio y evaluación de
control interno se hace en el proceso de auditoría. El boletín 3050 es una
herramienta utilizada para la auditoría y el objetivo de este es dar a conocer los
procedimientos recomendados para llevar a cabo y documentar el estudio y
evaluación del control interno precisamente durante el proceso de una auditoría.

En la realización de este estudio y evaluación hay cinco componentes clave para

el control interno.

El entorno de control: Este es el principal entre los demás componentes de control

interno. Al momento de la auditoría se considera la integridad, el compromiso con
la competencia y estructura organizacional.

Valoración del riesgo: En este componente el auditor evalúa cuáles son los riesgos
de negocio y procesos que tiene la empresa al igual que la probabilidad de
ocurrencia.

Sistemas de información: El auditor analiza los sistemas como parte del proceso
de control interno y considera las transacciones realizadas y las fuentes de
información utilizadas. Presta particular atención a los sistemas relacionados con
el proceso de información financiera como las ventas, compras, nóminas, etc.

Actividades de control: Estas son las políticas y procedimientos que aseguran que
se cumplan las normas administrativas. Pueden ser de tipo preventivo, de
detección, de compensación y de dirección.

Monitoreo: Le permite a la directiva de la empresa saber si el control interno es

eficaz, si se está implementando adecuadamente o si necesita modificarse.

Conocer qué es el estudio y evaluación del control interno permite fortalecer a las
compañías y las impulsa a conseguir sus objetivos, previene pérdidas de recursos,
mejora la ética, facilita el aseguramiento de los reportes, incrementa confianza de
inversionistas, reduce riesgos y es aplicable independientemente del tamaño o tipo
del negocio.

[Link]
interno
10 pasos para evaluar controles internos y detectar deficiencias

Evaluar controles internos es esencial para la salud financiera y operativa de

cualquier organización. Las empresas e instituciones dependen de sistemas cada
vez más complejos para generar los tipos de datos que respaldan su gestión
financiera y operativa. Si hay un fallo en el sistema, ya sea en el diseño o en la
operación, las empresas se exponen a importantes riesgos financieros, incluidos
fraude, corrupción y pérdida de activos. Si bien algunos riesgos son inevitables,
los controles internos ayudan a mitigarlos y, por lo tanto, se encuentran entre las
herramientas más importantes disponibles para una gestión eficaz del riesgo.

Los controles internos están diseñados para proporcionar una seguridad razonable
sobre el logro de los objetivos de una empresa en tres áreas clave: la confiabilidad
de los informes financieros, la eficacia y eficiencia de las operaciones y el
cumplimiento de las leyes aplicables. y regulaciones. Existe una deficiencia en el
control interno cuando un control no permite a la gerencia o a los empleados
prevenir, detectar y corregir errores de manera oportuna.

No identificar o corregir las deficiencias de control puede ser desastroso, dañar la

integridad de los informes financieros, erosionar la confianza del público y de los
inversores y desestabilizar a la organización. En este artículo, explicamos cómo
evaluar controles internos, brindando 10 consejos sobre cómo evaluar controles
internos de forma adecuada.

¿Cómo evaluar controles internos y detectar fallos en ellos?

Como respuesta a los incidentes e infracciones que han afectado a empresas de

grandes dimensiones, los gobiernos han promulgado regulaciones severas que
imponen requisitos estrictos especialmente en las áreas financieras y contables.

Estos requisitos tienen algo en común: proporcionar informes sobre controles

internos por parte de los auditores. Por supuesto, las organizaciones necesitan
construir una estructura de procesos adecuada para evaluar controles internos
que puedan ser certificados y avalados por cualquier auditor o compañía auditora.

Los controles internos son los procedimientos o protocolos que la organización

diseña e implementa para asegurar que se cumplan las normas y se sigan las
mejores prácticas contables, financieras y comerciales, generalmente aceptadas.

Para evaluar controles internos es preciso comprender que estos pueden ser
físicos, electrónicos, financieros o híbridos. Los fallos en los controles, por otra
parte, pueden estar relacionadas con el diseño inicial, fallos de capacitación o
ausencia de aplicación del control. También es posible que se detecte que
sencillamente el control falta. Es preciso diseñarlo, implementarlo, capacitar a las
personas y verificar su efectividad.

¿Cómo se evalúan las deficiencias de los controles internos?

La globalización y la Transformación Digital agregan complejidad a los auditores

encargados de evaluar controles internos. El desafío puede enfrentarse con éxito
siguiendo estas recomendaciones.

1. Identificar y evaluar el contexto que rodea al control

Tiene sentido pensar que para evaluar algo, es importante saber dónde opera, en
qué condiciones y bajo qué reglas. Esto es identificar un contexto, un contorno, un
entorno en el que funciona el control. Algunas condiciones para tener en cuenta en
este punto son la cultura ética existente, la capacidad tecnológica y la capacitación
o competencia de los empleados.

2. Evaluar los riesgos: El control está ahí porque fue diseñado para contener una
amenaza. Los riesgos mutan, evolucionan, se transforman, aparecen y
desaparecen. Algunos riesgos son específicos, otros generales y comunes a toda
la industria. Todos estos aspectos deben ser calificados al evaluar controles
internos. Un control puede existir, estar bien diseñado, pero ser inoperante tan
solo porque el riesgo para el que fue implementado desapareció.

3. Evaluar actividades paralelas de control: Los controles trabajan de la mano, o

de forma paralela, con otras acciones asistenciales que colaboran para que el
control sea efectivo. La evaluación de controles necesita identificar esas
actividades, verificar su procedencia, su eficacia, su funcionamiento y su utilidad.

4. Verificar el apoyo tecnológico y de comunicaciones:La operación del control

necesita herramientas tecnológicas y vías de comunicación eficientes para
alcanzar el objetivo. Los controles electrónicos por su entorno, tienen una mayor
dependencia de la tecnología para operar, que los físicos. Los últimos, por otra
parte, necesitan en mayor proporción de una adecuada comunicación. Dos
factores sin duda esenciales en la evaluación.

5. Comprobar los procesos de seguimiento y supervisión: Evaluar controles

internos es una última etapa de verificación. Antes existen procesos intermedios
de seguimiento y supervisión que ayudan a encontrar problemas antes de la
llegada del auditor. Cuando estos procesos o procedimientos no se aplican, no
existen o son defectuosos, el trabajo final del auditor será mucho más arduo y
complejo.

10 pasos para evaluar controles internos y detectar deficiencias

Seguir las recomendaciones iniciales para evaluar controles internos allanará el
camino del auditor o área responsable. Los 10 pasos para desarrollar la tarea son:

1. Agrupar los controles que se evalúan: Algunos criterios para indexar los
controles y facilitar así la tarea son: área en la que opera el control, carácter (físico
o electrónico), importancia, departamento a cargo…

2. Priorizar los controles: Con una lista elaborada con base en el primer paso, el
siguiente paso es priorizar de acuerdo con el impacto negativo del riesgo sobre el
que opera el control, los incidentes o infracciones reportados o la evidencia
recopilada por los auditores en anteriores auditorías.

3. Hacer seguimiento a las recomendaciones de auditoría: El objetivo de una

auditoría, más allá de identificar problemas y señalarlos, es indicar las soluciones,
recomendarlas y, por supuesto, formular las acciones necesarias. La tarea del
auditor puede ser mucho más relevante en la etapa posterior, verificando la
implementación de las acciones señaladas y su eficacia.

4. Diferenciar los fallos humanos de las deficiencias de los controles: En todas las
auditorías es usual encontrar problemas que, al investigar su causa raíz,
evidencian un error humano, un fallo de comunicación acertada del proceso o
deficiencias de capacitación, pero no del control. La tarea aquí consiste en
identificar esos eventos.

5. Identificar el origen de la deficiencia. El fallo de un control puede ser estructural,

relacionada con el diseño, u operacional, vinculada a la ejecución incorrecta. La
errada ejecución, no vinculada a las causas descritas en el ítem anterior, pueden
originarse en falta de herramientas adecuadas, personal no competente,
negligencia o circunstancias coyunturales, únicas, presentadas de forma
ocasional.

6. Clasificar el impacto negativo de las deficiencias: Al evaluar controles internos,

en este paso, ya existe una lista de deficiencias, que pueden ser definidas sin
lugar a duda como problemas de los controles. No todas ellas tienen el mismo
impacto. No todas son tan graves. Un indicador confiable para priorizar las
deficiencias es el valor del daño financiero que ocasionaron o pueden ocasionar.

7. Calificar la evidencia recopilada: Cuando parece que el trabajo concluye, aún es

posible agregar un nuevo elemento de confiabilidad: revisar, evaluar y calificar la
confiabilidad de la evidencia, los informes, los documentos y las entrevistas,
recopiladas para realizar la auditoría.

8. Evaluar las infracciones de cumplimiento ocasionadas: En este punto, la tarea

del auditor toma un rumbo alterno, pero de gran importancia. Al margen del daño
financiero o del riesgo, aun no inmediato, identificado al evaluar controles internos,
hay unas consecuencias sobre la capacidad de cumplimiento, en muchas áreas,
de la organización. Estas deben ser identificadas y señaladas y priorizadas.

9. Proponer procedimientos de auditoría alternativos para controlar los riesgos:

Evaluar controles internos es una tarea que se desarrolla de forma periódica. El
dinamismo de los riesgos así lo exige. El auditor puede proponer procedimientos
de auditoría alternos, adicionales, para atender con eficiencia y oportunidad los
eventos que pueden presentarse entre una evaluación y otra. El objetivo es reducir
al mínimo el nivel de exposición de riesgo de la organización.

10. Recomendar la implementación de una plataforma tecnológica: Los controles

internos son muy importantes en la Gestión de Riesgos, en todos los niveles. Las
organizaciones que invierten en tecnología tendrán mayores oportunidades de
tener éxito en este propósito. La efectividad de un control suele depender del
apoyo tecnológico o de suministro de información confiable y oportuno que
encuentre.

Evaluación del control interno en una auditoría información financiera: Una de las
actividades propias del trabajo de auditoría es la evaluación de la estructura de
control interno de un cliente, labor que inicia en la etapa de planificación de
auditoría y continúa a lo largo del ejercicio. Normalmente, se inicia con entrevistas
a la alta dirección y posteriormente a otros empleados, acerca de los
procedimientos de control interno y posteriormente, se hace un análisis o revisión
de la autoevaluación que hace la administración sobre el funcionamiento de sus
controles internos. Estas actividades iniciales orientan al auditor acerca de cuánto
puede confiar en los registro, informes y resultados del cliente. También es una
orientación para elegir qué técnicas de auditoría utilizar, identificar las áreas de
riesgo que requieren más atención y decidir cuántos de los registros del cliente
será necesario revisar.

¿Qué se entiende por controles internos?

Los controles internos son estándares operativos que un cliente utiliza para
asegurarse de que la empresa funciona bien. Los controles internos establecidos
para cada tipo de cuenta financiera se estructuran de forma ligeramente diferente.
Por ejemplo, un control interno para la nómina implicaría asegurarse de que
ningún empleado ficticio (inexistente) está recibiendo cheques de pago. Un buen
control interno para evitar errores en la nómina es tener una clara separación de
funciones entre quien efectúa los registros contables y quien efectúa los pagos.
Este tipo de estándar operativo suele crearse por esfuerzo grupal: la junta directiva
o el consejo de administración, la alta dirección y los empleados del área control
interno participan en el tema. Los objetivos del control interno pueden sintetizarse
en:

La fiabilidad de sus estados financieros

La eficacia y eficiencia de la forma en que opera el negocio

Cumplimiento de las leyes y regulaciones, tales como la presentación de

declaraciones de impuestos, las normas sobre un lugar de trabajo seguro y la
protección del medio ambiente, por ejemplo.

Los controles internos son importantes para la administración pues así dispone de
información financiera confiable para tomar decisiones empresariales acertadas y
salvaguardar sus activos. Además, la eficacia y eficiencia con que opera el
negocio tiene un efecto directo en los resultados finales.

Ahora bien, independientemente del tipo de negocio que esté auditando, el auditor
debe observar si existen algunas medidas básicas pero importantes de control
interno:

Segregación de funciones: Esta es siempre la primera característica de los buenos

controles internos porque proporciona un sistema de controles y equilibrios. Tener
más de un empleado trabajando en una tarea contable específica reduce la
probabilidad de que un empleado falsifique el sistema de contabilidad y cometa
algún fraude.

Manuales de funciones y procedimientos: Estas descripciones deben detallar los

deberes y responsabilidades de todos los empleados.

Niveles de autorización: Es importante que ciertos empleados que pueden

comprometer a la empresa en compras, ventas y ciertas transacciones financieras
requieran autorizaciones de niveles superiores para proceder.

Evaluaciones internas de gestión: Este procedimiento de monitoreo refleja el

compromiso de la dirección de mantener registros contables precisos y asegurarse
que la empresa cumple con los controles internos.

Componentes de un sistema de control interno: Existen diversos modelos de

control interno. Uno de los más conocidos es el modelo del Comité de
Organizaciones Patrocinadoras de la Comisión Treadway (Conocido como
COSO). Su propósito es ayudar a las organizaciones a evaluar y mejorar sus
sistemas de control interno. Desde su aparición en 1992, ha sufrido algunas
modificaciones, pero su base ha permanecido. Los elementos que considera este
modelo (algunos ampliados con el tiempo), son:
Entorno o ambiente de control: Se refiere a la actitud de la empresa, la dirección y
el personal con respecto a los controles internos. El entorno de su cliente no es
muy bueno si, por ejemplo, durante las entrevistas con la gerencia y el personal, el
auditor ve una falta de controles efectivos o nota que las auditorías anteriores
muestran muchos errores.

Evaluación de riesgos: El auditor debe evaluar si la administración ha identificado

sus áreas con más riesgo y ha implementado controles para detectar errores o
fraudes que podrían resultar en errores materiales (errores que hacen que los
ingresos netos cambien significativamente).

Actividades de control: Estas son las políticas y procedimientos que ayudan a

garantizar que se lleven a cabo las políticas trazadas por la dirección, respecto de
la gestión. Un ejemplo es una política que indica que todas las transacciones
superiores a US$5,000 requieren dos niveles de autorización.

Información y comunicación: Debe haber disponibilidad de la información relevante

para la toma de decisiones de gestión, así como para la presentación de informes
y reportes a terceros. La comunicación debe ser eficaz y fluir en todas las
direcciones, al interior de la organización.

Monitoreo: Es la labor de supervisión que hace la administración. Los mejores

controles internos no valen nada si la empresa no los supervisa y realiza cambios
cuando no funcionan. Por ejemplo, si la administración detecta que salen activos
de una bodega sin autorización, tiene que establecer mejores controles en su
lugar e indagar porque no funcionaron las medidas existentes.

Con base en los anteriores elementos, el auditor cuenta con una base para decidir
el alcance y oportunidad de los procedimientos de auditoría que va a aplicar e
incluso, si advierte fuertes debilidades de control, podría considerar que no es
posible realizar la auditoría. De ahí la importancia de un juicioso análisis y
evaluación del control interno.

[Link]
una-auditoria-informacion-financiera

Evaluación del control interno en auditoría: La evaluación del control interno en

auditoría se realiza para determinar si los controles internos de una organización
son adecuados para garantizar el cumplimiento de los objetivos organizacionales.
Esta evaluación también se utiliza para identificar y corregir deficiencias en el
control interno. Los auditores realizan una evaluación exhaustiva del control
interno para asegurar que los objetivos de la organización se alcancen de la mejor
manera posible. En esta evaluación, los auditores evalúan el diseño, la
implementación, el mantenimiento y la eficacia de los controles internos. Esta
evaluación también incluye una evaluación de la estructura de control interno, los
procedimientos de control, los controles de seguridad y los controles de
información.

Importancia de la evaluación del control interno: La evaluación del control interno

es esencial para asegurar que los procesos y los controles sean adecuados para
cumplir con los objetivos de la organización. Esta evaluación también se usa para
identificar y corregir deficiencias en el control interno. Además, la evaluación del
control interno permite a la organización identificar los riesgos que pueden afectar
la eficacia de los procesos y los controles y tomar medidas para mitigar estos
riesgos. Esto ayudará a la organización a mejorar la eficacia de sus procesos y
controles.

7 puntos importantes a considerar en la evaluación del control interno

Identifique los riesgos de la entidad y valore la eficacia de los controles internos

existentes para administrar los riesgos.

Establezca una estructura de control interno adecuada para identificar, medir,

controlar y monitorear los riesgos.

Evalúe la eficacia de los procesos y prácticas de control interno para mitigar los
riesgos.

Establezca controles internos para garantizar la efectividad de la documentación

de los procesos de control interno.

Evalúe la eficacia de los procesos de seguimiento para garantizar que los

controles internos se implementen y se apliquen de manera adecuada.

Establezca procedimientos para la identificación, evaluación y medida de los

riesgos.

Establezca un proceso de evaluación continua de los controles internos para

garantizar la efectividad de los mismos.

[Link]
%C3%ADa-hegewischlopez

Debilidades del control interno del PEA

(no me convence)
[Link]

Auditoria computarizada: definición y reglas

Que es la auditoria informática

Es un proceso que consiste en recopilar, agrupar y evaluar evidencias que

permiten determinar si el sistema informático utilizado por una empresa mantiene
la integridad de los datos, cumple con los protocolos establecidos, hace un uso
eficiente de los recursos, cumple con las normativas y leyes establecidas que
regulan la materia.

También permite realizar inventarios, revisar los mecanismos de control y gestión.

Además, del estado real de los activos informáticos como son: software, hardware
y conexiones.

En cuanto al hardware, se puede conocer qué tipo de procesador tiene las

computadoras, la memoria, service packs, capacidad de almacenamiento,
particiones y medios usados. Así mismo, conocer los periféricos conectados, tales
como: servidores, router, impresoras, ratón, teclados, micrófonos, cornetas, entre
otros.

Con relación al software se obtiene información de la versión empleada, fecha de

instalación, fecha de validez de las licencias, número de programas, entre otras.

El fin superior es detectar cómo funciona la infraestructura y los flujos de

información en una organización para determinar costos, necesidades, valor,
duplicidades y nudos críticos que puedan estar afectando el cumplimiento de la
misión, objetivos y metas de la empresa.

¿Cuáles son sus características principales?

El tipo de evaluación específica que se lleva a cabo en el área de Tecnología de la

Información (TI) tiene sus particularidades:

Los profesionales de la auditoría no solo deben competencias para realizar dicha

actividad, sino también una formación específica relacionada con un contexto
tecnológico o informático.

La auditoría informática, debe funcionar como una imagen de confianza sobre la

digitalización del flujo de trabajo empresarial.

La evaluación no solo requiere el estudio de los activos informáticos físicos de una

empresa, sino que debe ir más allá, englobando las prácticas y uso de las
herramientas de trabajo.
Debe haber un seguimiento constante de las actualizaciones informáticas del
mercado y su aplicación empresarial.

[Link]

¿Qué es una auditoría de sistemas? Definición, objetivos y tipologías.

La auditoría de sistemas es aquel examen destinado a revisar y evaluar los

controles y sistemas de informática existentes en la entidad, así como su
utilización, eficiencia y seguridad. La auditoría de sistemas consiste básicamente
en:

 Examinar y evaluar los procesos en cuanto al nivel de informatización de

los mismos y en cuanto al tratamiento de los datos.

 Verificar los controles en el procesamiento de la información y verificar la

instalación de sistemas de seguridad.

 Evaluar los recursos invertidos, la rentabilidad de cada proceso y su

eficacia.

Realizada por personal externo a la empresa, la auditoría de sistemas ofrece una

evaluación independiente. El análisis y evaluación realizados a través de la
auditoría de sistemas debe ser objetivo, crítico, sistemático e imparcial. El informe
de auditoría final deberá ser un claro ejemplo de la realidad de la empresa en
cuanto a los procesos y la informatización se refiere, para mejorar la toma de
decisiones y el negocio en general.

Los objetivos principales, a grandes rasgos y de forma resumida, de la auditoría

de sistemas pueden agruparse en:

 Determinar si los controles implementados son eficientes y suficientes;

 Identificar las causas de los problemas existentes en los sistemas de

información y a su vez las áreas de oportunidad que puedan encontrarse,
determinando las acciones preventivas y correctivas necesarias para
mantener a los sistemas de información confiables y disponibles;

 Identificar causas y soluciones a problemas específicos de los sistemas de

información, que pueden estar afectando a la operación y a las estrategias
del negocio, como el cumplimiento de licencias de software, las
incompatibilidades de hardware y software, errores en bases de datos con
problemas de seguridad, fallas en el control de versiones, etc.;
  Incrementar la satisfacción y seguridad de los usuarios de dichos sistemas
informatizados;

 Educar sobre el control de los sistemas de información, puesto que se trata

de un sector muy cambiante y relativamente nuevo, por lo que es preciso
educar a los usuarios de estos procesos informatizados;

 Mejorar la relación coste-beneficio de los sistemas de información

Por lo tanto, la auditoría de sistemas es una forma de control y evaluación que no

solo abarca los equipos informáticos en sí, sino que su ámbito de aplicación
abarca también el control de los sistemas de entrada a dichos equipos y el uso
que se le da a los mismos.

Tipos de auditoría de sistemas:

Las auditorías de sistemas pueden ser aplicadas a diferentes niveles corporativos,

pudiendo realizarse una auditoría de sistemas a toda la entidad, a un
departamento, a un área o incluso a una actividad concreta. Por otro lado, dentro
de la auditoría de sistemas, y en función de los procedimientos de auditoría
aplicados y el objetivo que se quiere valorar, pueden distinguirse diferentes tipos:

 Auditoría de la gestión: se verifica el uso de los sistemas para la

contratación de bienes y servicios, documentación de los programas, etc.

 Auditoría legal del Reglamento de Protección de Datos: se verifica el

cumplimiento legal de las medidas de seguridad exigidas por el Reglamento
de desarrollo de la Ley de Protección de Datos de Carácter Personal.

 Auditoría de los datos: en la que se verifica el uso de los sistemas para la

clasificación de los datos, estudio de las aplicaciones y análisis de los
flujogramas.

 Auditoría de las bases de datos: en la que se verifica el uso de los sistemas

en cuanto a los controles de acceso a las bases, de actualización, de
integridad y calidad de los datos.

 Auditoría de la seguridad: referida a datos e información verificando

disponibilidad, integridad, confidencialidad, autenticación y principio de no
repudio.

 Auditoría de la seguridad física: referida a la ubicación de la organización,

evitando ubicaciones de riesgo, y asegurando que los servidores y bases
de datos se encuentran físicamente protegidos y en un entorno favorable
(arcos de seguridad, CCTV, vigilantes, etc.).
  Auditoría de la seguridad lógica: referida a los métodos de autenticación de
los sistemas de información.

 Auditoría de la seguridad en producción: mediante la cual se evalúan los

riesgos y las respuestas frente a errores, accidentes y fraudes.

[Link]

Técnicas y herramientas utilizadas en la auditoria computarizada

(para diapositivas)

[Link]

(información de utilidad) no la pude pasar al documento

[Link]
Auditoria-Informatica

(lo mismo que el anterior)

[Link]
informtica/57988916

Técnicas de una auditoría informática

Las técnicas son los procedimientos que se usan en el desarrollo de un proyecto

de auditoría informática. Estas son algunas de las técnicas más comunes y
aceptadas:

 Análisis y diseño estructurado

 Gráficas de Pert

 Gráficas de Gantt

 Documentación

 Programación estructurada

 Modulación de datos y procesos

 Entrevistas

Herramientas de auditoría informática

Las herramientas son el conjunto de elementos que permiten llevar a cabo las
acciones definidas en las técnicas. Las herramientas utilizadas son: cuestionarios,
entrevistas, checklist, trazas y software de interrogación.

>> Los cuestionarios es la herramienta punto de partida que permiten obtener

información y documentación de todo el proceso de una organización, que piensa
ser auditado.

El auditor debe realizar una tarea de campo para obtener la información necesaria,
basado en evidencias o hechos demostrables. Inicia su trabajo solicitando que se
cumplimenten los cuestionarios enviados a las personas correspondientes,
marcadas por el auditor. Los cuestionarios no tienen que ser los mismos en caso
de organizaciones distintas, ya que deben ser específicos para cada situación.

La fase de cuestionarios puede omitirse si el auditor ha podido recabar la

información por otro medio.

>> La segunda herramienta a utilizar es la entrevista, en la que llega a obtener

información más específica que la obtenida mediante cuestionarios, utilizando el
método del interrogatorio, con preguntas variadas y sencillas, pero que han sido
convenientemente elaboradas.

>> La tercera herramienta que se utiliza es el checklist, conjunto de preguntas

respondidas en la mayoría de las veces oralmente, destinados principalmente a
personal técnico. Por estos motivos deben ser realizadas en un orden
determinado, muy sistematizadas, coherentes y clasificadas por materias,
permitiendo que el auditado responda claramente.

Existen dos tipos de filosofía en la generación de checklists:

 De rango: las preguntas han de ser puntuadas en un rango establecido

(por ejemplo de 1 a 5, siendo 1 la respuesta más negativa y 5 la más
positiva)

 Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya
respuesta puede ser Si o No.

La primera filosofía permite una mayor precisión en la evaluación, aunque

depende, claro está, del equipo auditor. Los binarios, con una elaboración más
compleja, deben ser más precisos.

No existen checklists estándares, ya que cada organización y su auditoría tienen

sus peculiaridades.
La siguiente herramienta que se utiliza, las trazas, se basa en el uso de software,
que permiten conocer todos los pasos seguidos por la información, sin interferir el
sistema. Además del uso de las trazas, el auditor utilizará, los ficheros que el
próximo sistema genera y que recoge todas las actividades que se realizan y la
modificación de los datos, que se conoce con el nombre de log. El log almacena
toda aquella información que ha ido cambiando y como ha ido cambiando, de
forma cronológica.

En los últimos años se ha utilizado el software de interrogación para auditar

ficheros y bases de datos de la organización.

Las herramientas de productividad permiten optimizar recursos en el desarrollo

del proyecto. Las más comunes son:

 Procesadores de datos: incluye la documentación, entrevistas, los

cuestionarios.

 Diagramas: flujo, de organización.

 Gráficas: de estadísticas, de tiempo.

 Productos CASE para el modelo de datos, procesos, …

 Impresoras y ordenadores

 Protocolos de seguridad informática

[Link]