Sin t

1
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS
ECONÓMICAS
Necesidad de la existencia de procedimientos de
control interno aplicados a los sistemas de
información
Dra. Gabriela Di Stefano Lic.Norberto Caniggia
2
Antecedentes

• En julio de 2002 se emite en EEUU la ley
  Sarbanes-Oxley (SAROX)

• Escándalos contables y fraude corporativo (Enron,
  MCI Worldcom, etc.).

• Mejorar la calidad de la información financiera
  suministrada a los mercados.

• Evitar que la Dirección del Grupo o los auditores
  externos puedan aludir en su defensa el
  desconocimiento de las causas que han dado origen
  a los problemas detectados.

3
Aspectos de TI a considerar en la evaluación a
nivel Entidad

• Existencia de un Plan Estratégico de sistemas.

• Políticas apropiadas y actualizadas para
  desarrollar y modificar sistemas financieros y
  administrar usuarios.

• Responsabilidades definidas para los responsables
  de implantar, documentar, probar y aprobar
  cambios en los programas de computación.

• Plan de recuperación ante desastres para
  componentes críticos de la infraestructura de TI.

4
Aspectos de TI a considerar en la evaluación a
nivel Entidad (cont.)

• Revisión periódica de privilegios del sistema y
  controles de acceso a las diferentes aplicaciones
  y bases de datos.

• Función dedicada de Seguridad Informática,
  encargada de monitorear la actividad de
  procesamiento y emitir informes periódicos para
  el Directorio/Comité de Auditoría.

• Seguridad física sobre los activos de TI.

• Separación de ambientes / Segregación de
  funciones.

5
Controles Generales de Tecnología Informática

Son actividades de control que proveen razonable
seguridad de alcanzar los objetivos de control
relacionados con el procesamiento de información
financiera dentro del ambiente de procesamiento
computarizado.

• Acceso a programas y datos.

• Desarrollo de aplicaciones y Administración de
  cambios.

• Operaciones de procesamiento.

• Soporte de Bases de Datos, Redes y software de
  base.

• Software de usuario final.

6
Controles de aplicación

• Controles de ingreso y validación de datos

• Chequeos lógicos y/o de razonabilidad

• Balanceo de totales

• Controles de integridad

• Controles de acceso y de autorización

• Segregación de funciones

• Controles de salida y de reporte

• Prevención/Detección de transacciones
• fraudulentas

7
Principales debilidades detectadas

• Aspectos relacionados con la seguridad en
  plataformas

• No existen estándares que definan los parámetros
  mínimos de seguridad para cada plataforma.

• Falta de procedimientos formales para la
  administración de la seguridad lógica y física.

• Inadecuados mecanismos de registración y
  monitoreo de eventos de seguridad.

• Falta de un circuito de notificación de las bajas
  de personal de planta y contratado.

• Inadecuada administración de usuarios críticos.

8
Principales debilidades detectadas

• Aspectos relacionados con el Desarrollo y
  Mantenimiento de aplicaciones

• Falta de un proceso de aseguramiento de la
  calidad para verificar la validez de las
  modificaciones a programas.

• Inadecuado modelo de puesta en producción y
  separación de ambientes personal de Desarrollo
  posee acceso al entorno productivo.

• Falta de formalización de pruebas de los
  sistemas, por parte de los usuarios finales.

9
Principales debilidades detectadas

• Aspectos relacionados con la seguridad de las
  aplicaciones

• No asignación de la propiedad de los datos para
  gestionar la seguridad.

• Inexistencia de procedimientos para la revisión
  periódica de accesos otorgados a los usuarios
  finales.

• Inadecuada segregación de funciones.

• Falta de separación de ambientes entre los
  entornos de desarrollo y producción.

• Existencia de procedimientos de validación de los
  cambios realizados sobre los documentos
  electrónicos.

10
Evaluación del diseño

• La evaluación del diseño de las actividades de
  control requiere juicio profesional.

• En la evaluación del diseño de una actividad de
  control deben considerarse, entre otros, los
  siguientes aspectos

• Puntos donde pueden ocurrir errores o fraudes.

• Naturaleza del control (preventivo o detectivo).

• Criticidad de la actividad de control y, en su
  caso, su encaje con otras actividades para lograr
  un objetivo de control conjunto.

11
Evaluación del diseño(cont.)

• El riesgo de que puedan no operar efectivamente
  (cambio en volumen de la transacción, personal
  que la ejecuta, etc).

• Eficiencia (si cubre más de un riesgo, etc.).

• Seguimiento del funcionamiento del control.

• .....

12
Evaluación del diseño

• A continuación se presenta una lista no
  exhaustiva de elementos que nos pueden ayudar a
  concluir que una actividad de control tiene un
  diseño correcto

• El responsable de llevar a cabo la actividad de
  control tiene una cualificación adecuada.

• La información y recursos disponibles son
  suficientes para llevar a cabo la actividad de
  control.

• La periodicidad de la actividad de control es
  suficiente.

• En caso de tratarse de una actividad de control
  detectiva, se realiza un seguimiento de las
  no-conformidades detectadas y se actúa en
  consecuencia.

13
Controles de segregación de funciones

• Autorización de transacciones
• Custodia de archivos
• Acceso a los datos
• Formularios de actualización
• Tablas de autorización de usuarios

14
Controles compensatorios

• Pistas de auditoría
• Conciliación
• Reportes de excepción
• Registros de transacciones
• Revisiones de supervisión
• Revisiones independientes

15
Metodología de trabajo
Mejora continua
Gerencia
Auditor
Iniciar proyecto y evaluar riesgos
Documentar y evaluar diseño de controles
Preparar Informe de los Controles
Internos sobre la Presentación de Información
Financiera
Corregir
Probar eficacia operativa
Certificar e Informar
Administración del Proyecto
16
Fin de la presentación

• Dudas
• Preguntas
• Opiniones
• Otros

Muchas gracias!!!!