Controles generales de TI.pptx

CONTROLES GENERALES DE TECNOLOGÍAS
DE LA INFORMACIÓN (ITGCs)?

¿QUÉ SON LOS ITGCs?
Definiciones
ITGCs… son las políticas y procedimientos que se relacionan con los
sistemas y soportan el funcionamiento efectivo de los controles de
aplicación, ayudando a garantizar el continuo funcionamiento de los
sistemas de información.
ITGCs… son un componente importante de la fase de información y
comunicación del modelo de control interno COSO.
Nuestro objetivo son los ITGCs relacionados con sistemas que tienen un
impacto en la información financiera. Estos se consideran relevantes para
la auditoría y ayudan a confirmar la integridad de la información y la
seguridad de los datos procesados.
Página 2
ESPECIALISTA EN AUDITORÍA DE SISTEMAS

¿CUÁL ES LA FUNCIÓN DE LOS ITGCs?
Página 3
Apoyar la afirmación de que los sistemas funcionan según lo previsto y
que la información producida es confiable.
Cuando se configuran correctamente, los ITGCs deben asegurarse de
que los derechos de acceso y perfiles de los usuarios estén
debidamente segregados.
Proporcionar un entorno estable en el que los controles de aplicación
de los sistemas pueden operar .
Ayudar a garantizar la seguridad y confiabilidad de los datos generados
por los sistemas de información.
ITGCs…

EJEMPLOS DE ITGCs
 Los controles que restringen el acceso a programas o datos , incluyendo los controles de
administración de usuarios, autorizaciones y privilegios y control de acceso lógico.
Los controles aplicados en implementaciones de software (sistemas, programas ).
 Los controles sobre el software, sistemas o bases de datos, que restringen el acceso y el
uso de utilerías del sistema que podrían cambiar los datos financieros o registros sin dejar un
rastro de auditoría.
 Los controles que aseguren la transferencia de información entre los sistemas de
procesamiento del libro mayor.
 Control de cambios a programas y configuración.
Página 4

Control Interno de la entidad
Control interno
Es el proceso diseñado, implementado y mantenido por los encargados del
Gobierno corporativo, la administración y otro personal para proporcionar
razonabilidad sobre el logro de los objetivos de la entidad con respecto a:
Página 5
La
confiabilidad
de la
información
financiera
Efectividad y
eficiencia de
las
operaciones
El
cumplimiento
de las leyes y
reglamentos
aplicables

MODELO DE CONTROL INTERNO
Dividimos el control interno en cinco componentes que nos permite
considerar cómo los diferentes aspectos del control interno de una entidad
pueden afectar la auditoría.
Página 6
Como parte de la fase de
“identificación y evaluación
del riesgo” en la auditoría,
debemos identificar, evaluar
y obtener una comprensión
de cada uno de los siguientes
componentes del control
interno:
Control Interno de la entidad
- Monitoreo
-Los procesos de información y
comunicación, incluidas ITGCs.
-Actividades de control
- Proceso de evaluación de riesgos
- Medio ambiente de control

PORQUE ES NECESARIO EVALUAR LOS ITGCs?
• Confianza: La evaluación de los ITGCs son una fuente de identificación
para RMM potenciales. Podemos aprender de los sistemas y programas que
estén procesando inadecuadamente datos o procesamiento de datos
inexactos (cálculos), que afecta a la información financiera.
• El acceso no autorizado: La evaluación de los ITGCs ayudan a revelar a
los auditores donde el acceso no autorizado a los datos puede ser posible y
que pueda resultar en la destrucción de datos o cambios indebidos a los
datos sin rastros de auditoría, incluido el registro de las transacciones no
autorizadas o el registro inexacto de transacciones. Estos pueden
aumentar RMM potenciales para el auditor.
Página 7

PORQUE ES NECESARIO EVALUAR LOS ITGCs?
• Accesos privilegiados: Los auditores deberán identificar en donde exista
un riesgo de ruptura en la segregación de funciones e identificar el
personal que obtenga privilegios de acceso más allá de los necesarios para
llevar a cabo las tareas asignadas.
• Cambios no autorizados: La evaluación de los ITGCs identificar posibles
violaciones del sistema, tales como: cambios no autorizados a los datos en
los archivos maestros, a los sistemas o programas.
• Acceso a datos: El potencial de pérdida de datos o la imposibilidad de
acceder a los datos según sea necesario puede afectar la evaluación de los
ITGCs.
Página 8

ITGCs RELEVANTES PARA LA AUDITORIA?
Los ITGCs relacionados con sistemas de información que tienen un impacto
en la información financiera se consideran relevantes para la auditoría.
Los ITGCs ayudan a mantener la integridad de la información y la
seguridad de los datos procesados. Cuando hemos evaluado el entorno de
TI no complejo, los ITGCs que son relevantes para la auditoría son los
controles de seguridad lógica a nivel de aplicación (segregación de
funciones).
Página 9

CONTROLES DE SEGURIDAD LÓGICA
Página 10
• Definen las restricciones de acceso a los usuarios a fin
de evitar cambios a datos involuntarios y/o indebidos.
Acceso restringido
• Definen la aplicación para la adecuada segregación de
funciones . La división de tareas entre dos o más
individuos o grupos disminuye la probabilidad de que
las modificaciones no autorizadas no sean detectadas.
Segregación de
funciones
• También influyen en los procesos de negocio manuales ó
sistemas aislados, en donde el impacto es indirecto a
través de los sistemas de aplicación e interfaces.
El control indirecto

PORQUE ENFOCARNOS EN LOS CONTROLES DE
SEGURIDAD LÓGICA?
Nos centramos en los controles de seguridad lógica, ya que suelen
prevenir / detectar:
• El potencial para detectar la transacción fraudulenta que se produzca.
• Cambios involuntarios realizados en las transacciones registradas después
de que hayan sido procesadas las operaciones.
• El potencial de no ser capaz de confiar en ciertos controles
automatizados o susceptibles a ser alterados.
Página 11

COMO EVALUAMOS LOS ITGCs?
¿Quién realizará la evaluación?
El cuestionario entorno de TI (IT Environment questionnaire) en APT se
utiliza para documentar los sistemas de información y aplicaciones de
software utilizados por la entidad para la presentación de informes
financieros. El (cuestionario de ambiente de TI), una vez terminado,
ayuda al auditor a determinar si los sistemas y el software son complejos o
no complejos en última instancia, es lo que indica al auditor quién debe
participar en la evaluación ITGCs.
•Los tres pasos para la evaluación ITGCs:
Página 12
Paso 1 Paso 2 Paso 3

PASO 1 – IDENTIFICACIÓN DE LOS ITGCs
Los auditores pueden utilizar una combinación de conocimientos del año
anterior, la revisión de los papeles de trabajo de años anteriores y las
discusiones con el personal del cliente apropiadas para determinar qué
ITGCs son aplicables a la auditoría:
Los siguientes procedimientos ayudan a identificar ITGCs relevantes para
la auditoría:
1. Documentar los sistemas de información en uso por la entidad para
la presentación de informes financieros.
2. Determinar si los sistemas con implicación financiera son no
complejos o complejos, en base al cuestionario IT Environment de
APT.
3. Confirmar nuestra comprensión de los ITGCs con apoyo del Auditor
de TI.
Página 13

PASO 2 – EVALUACIÓN DE LOS ITGCs
El segundo paso de la evaluación de la ITGCs es evaluar el diseño e
implementación de los controles identificados y considerar si un RMM
surge como resultado del trabajo realizado.
1. Diseño de la evaluación consiste en determinar si los controles,
individualmente o en combinación con otros controles, son
capaces de prevenir efectivamente o detectar y corregir, errores
materiales.
2. La implementación de la aplicación significa que el control
existe(n) y se están utilizando en la entidad.
Página 14

PASO 3 – RESPUESTA A LOS ITGCs.
Considerar el impacto de la información obtenida en los ITGCs y/o en
cualquier riesgo relacionado con la TI en la estrategia y en los
procedimientos de auditoría relacionados.
Si se observa una deficiencia ya sea en el diseño o la implementación
de un ITGC, se deberá de:
• Documentar como un riesgo potencial (o un riesgo de fraude) para ser
discutidos y evaluados posteriormente.
• Investigar si existe un control supletorio, documentar claramente por
qué se obvia la necesidad de que el deficiente control deba operar con
eficacia.
Página 15

PASO 3 – RESPUESTA A LOS ITGCs. cont..
Si un control supletorio no elimina completamente el riesgo del control
deficiente para operar con eficacia, entonces:
- Documentar y desarrollar procedimientos sustantivos de auditoría que
mitiguen adecuadamente el riesgo.
- Determinar si la deficiencia representa un RMM.
Página 16

Identificando índices y cuestionarios
IT Environment Questionnaire (Ambiente de TI).
UIC Questionnaire (Entendiendo el control Interno).
Página 17

Cuestionario de Ambiente de TI
Página 18

Llenar la matríz de aplicaciones
financieras conforme al entorno de
cada compañía.
Página 22

Por default la herramienta determina de acuerdo a la matríz de aplicaciones
evaluada, que el grado de complejidad general de sus Sistemas es alto. De lo
contrario se tiene que anular esa opción y justificar el motivo por el cual no se
consideran complejos sus Sistemas.
Página 23

Consideraciones:
3.- Se consideran las fallas o
interrupciones de alto impacto, que
alteraron o detuvieron la continuidad
de los servicios del área de TI,
durante el período revisado.
4.- Se consideran los cambios
organizacionales, en infraestructura,
seguridad y aplicaciones críticas de la
compañía.
5.- Se consideran los cambios
organizacionales, en infraestructura,
seguridad y aplicaciones críticas de la
compañía, programados para el
siguiente año de revisión.
Página 24

Cuestionario de Control Interno
Página 25

Para cada sistema evaluado
en la matriz del
cuestionario anterior, la
herramienta presentará un
esquema de seguridad que
se deberá llenar de
acuerdo a los atributos
mostrados.
Página 26

En cada pregunta se deberá detallar
la descripción, así como anotar le
referencia.
Por cada aplicación
registrada en la matríz del
cuestionario de ambiente de
TI, se deberá llenar las
preguntas correspondientes
a la gestión de cuentas de
usuarios.
Página 27

IMPACTO EN LA AUDITORIA
•Obtener un entendimiento de los ITGCs es el mismo que el propósito de
obtener una comprensión de los otros elementos de control interno.
•Evaluamos los ITGCs como parte de nuestros procesos de identificación y
evaluación de riesgos. Las debilidades en los ITGCs pueden tener un efecto
limitante sobre los controles en los que podemos confiar.
•También puede modificar el alcance de nuestras pruebas sustantivas.
Esta comprensión de los ITGCs principalmente nos ayuda a:
• Identificar posibles riesgos de errores materiales.
• Valorar la importancia y la probabilidad de riesgos potenciales
identificados.
Página 32

CONSIDERACIONES Y RESPUESTAS
•El auditor deberá realizar consideraciones para evaluar el impacto de un
hallazgo o riesgos de ITGC y determinar el alcance de los procedimientos
de auditoría financiera.
•Consideraciones generales:
•¿Existen controles compensatorios para mitigar el riesgo ITGC y son
controles adecuadamente diseñados para detectar un error material en los
estados financieros?
•Si existe un riesgo no atendido, que riesgo de ITGC corresponde a las
aplicaciones financieras?
Página 33

• Con base a las aplicaciones afectadas, cuál es el riesgo para los estados
financieros y qué podría ser incorrecto como resultado de la deficiencia?
Lo aseveraciones de los estados financieros, se verían impactados?
• Con relación a la auditoría de estados financieros, de qué manera es
planeada la respuesta al riesgo, consiste en procedimientos sustantivos,
pruebas de controles compensatorio, ó ambos?
•¿Hemos evaluado apropiadamente y comunicado la deficiencia a la
administración, incluyendo el impacto en el ICFR?
Página 34

Al responder a estas preguntas, las consideraciones más específicas
pueden incluir:
• ¿El hallazgo ITGC se refiere a una aplicación particular de información
financiera, de manera que la exposición se limita a determinados procesos
de negocio?
• Para los procesos de negocio afectados por los hallazgos de ITGC, ¿en
qué medida son confiables los controles automáticos en comparación con
los controles manuales?
Página 35

•¿Según el caso, cuáles controles de detección están presentes para
mitigar el riesgo de TI para el registro de transacciones inapropiadas o no
autorizadas y/ó cambios en las aplicaciones de información financiera?
• ¿Son suficientes los controles de contabilidad general u otros controles
de conciliación para identificar cambios inapropiados a programas o
transacciones no autorizadas y hacer uso de conciliaciones o estar de
acuerdo con los datos cuando se encuentran sujetos a errores o
modificaciones?
• ¿Hay una importante desconfianza en el procesamiento de transacciones,
de tal manera que nuestro enfoque de auditoría sería más adecuado en
base a los procedimientos sustantivos?
Página 36

RIESGOS DE TI COMUNES
1. Programadores con acceso a los sistemas (producción):
•Riesgo: Posibles cambios no autorizados a programas que podría afectar
la exactitud de las transacciones procesadas, cálculos en el sistema y
reportes financieros del sistema.
•Consideraciones: Revisar los cambios realizados al sistema, evaluar su
impacto e identificar si el procedimiento empleado fue el adecuado,
probado y autorizado para su implementación en producción. Considerar
la ampliación del tamaño de una muestra para probar controles de las
diferentes áreas de negocio.
Página 37

2. Empleado dado de baja de la empresa y usuario activo en el sistema
•Riesgo: Posible registro de transacciones no autorizadas y/o fraudulentas
en el sistema.
•Consideraciones: Examinar del ID del usuario, los accesos y privilegios en
el sistema. Así también solicitar el histórico de transacciones a partir de la
fecha dado de baja e identificar posibles inconsistencias.
Página 38

3. Inadecuada segregación de funciones
•Riesgo: Posibles transacciones o manipulación a datos no autorizados en
el sistema reflejándose en los reportes financieros.
•Consideraciones: Evaluar los permisos y si no son los apropiados a su
función. Determinar si existen controles de detección que reduzcan el
riesgo de transacciones no autorizadas y/o manipulación de información
financiera. Emplearse pruebas sustantivas para identificar transacciones
incorrectas, así como considerar el impacto en las áreas de negocio.
Página 39

4. Usuarios con permisos de Súper Usuario y Administrador
•Riesgo: Posibles cambios a programas (códigos fuentes), configuraciones y
parámetros del sistema, así como la creación, modificación (perfil),
eliminación de cuentas de usuarios con derechos de accesos no
autorizados.
•Consideraciones: Evaluar los permisos de los usuarios y determinar si
corresponde a un riesgo significativo. Considerar el uso de CAAT´s para
detectar transacciones fraudulentas y el apoyo de confirmaciones de
terceros para confirmar saldos en las áreas de los estados financieros
afectadas.
Página 40

5. Inadecuado control de cambios a configuraciones del sistema.
•Riesgo: Cambios no autorizados a configuraciones clave del sistema que
posiblemente procesen transacciones y/ó cálculos relacionados con la
información financiera.
•Consideraciones: Identificar las áreas de negocio en donde es posible
exista error material. Identificar si existen controles implementados por el
negocio para detectar cambios a la configuración del sistema y si son los
adecuados.
Página 41

ROL DEL AUDITOR DE TI
Definición
¿Quién es un Auditor de TI?
Un Auditor de TI provee a los equipos de auditoría con expertos especialistas
respecto a los sistemas de información de la entidad.
¿Cuál es el Rol del Auditor de TI?
Los Auditores de TI proporcionan asistencia práctica a los auditores financieros en
la conducción de una auditoría de estados financieros.
¿Qué habilidades necesita un Auditor de TI?
Definido por el marco de competencias de la Auditoría de TI (disponible en BDO
connect), las firmas miembro podrían haber desarrollado su marco de
competencias propias
1. Un conocimiento de la Tecnología de la Información (TI) y los controles de TI
2. Un entendimiento de nuestra metodología de Auditoría de Estados Financieros
3. La habilidad de realizar procedimientos de Técnicas de Auditoría Asistidas por
Computadora (CAATs)
Página 42

ROL DEL AUDITOR DE TI
Por fase de la Auditoría
FASE DE LA AUDITORÍA PARTICIPACIÓN DEL AUDITOR DE SISTEMAS
Alcance
• Asistencia en el proceso de propuesta
• Asistencia con la identificación de información de
sistemas relevantes
Identificación y evaluación de
riesgos
• Evaluar el diseño e implementación de los ITGCs para
sistemas complejos
• Asistencia con la documentación de sistemas
Diseño de la respuesta de
Auditoría
• Asistir al equipo encargado de discusiones para sistemas
complejos
• Asistir con el diseño de procedimientos de auditoría
Obtener evidencia de Auditoría • Asistir con el desarrollo de procedimientos de Auditoría
Formulario de Opinión
• Asistencia en la evaluación de los resultados de
Auditoría
Reporte
• Asistir con la preparación de comunicaciones y
recomendaciones
Página 43

SOFTWARE RELACIONADO CON LA AUDITORÍA
No
incluido
en
el
enfoque
Incluido
en
el
enfoque
Aplicación de controles de TI
Integridad
Existencia
Precisión
Valoración
Controles Generales de TI
(relativos a aplicaciones)
Seguridad Lógica
Administración de cambios
Controles Generales de TI
(relativos a plataformas e
infraestructura)
Admin. y Autoridad en la Org. de TI
Operaciones de TI
Respaldos, Recup. en desastres
Arquitectura de Seguridad en Redes
Página 44

RESUMEN
En este curso , que hemos aprendido:
•ITGCs representan la base de la estructura de control de las TI.
•En un entorno de TI complejo no nos centramos solamente en ITGCs
relativas a la seguridad lógica.
• Las debilidades en ITGCs pueden afectar nuestra estrategia de auditoría ,
dependiendo de la naturaleza y la generalización de la debilidad, lo que
restringe nuestra capacidad de utilizar TOCs y SAPs.
•Los riesgos, respuestas y consideraciones, importantes para evaluar el
impacto en la auditoría de estados financieros.
•Rol del Auditor de TI
Página 45

¿ALGUNA PREGUNTA?
Francisco Villaseñor
Auditoria de TI
Mayo 2016.

Controles generales de TI.pptx

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Controles generales de TI.pptx

Similaire à Controles generales de TI.pptx (20)

Controles generales de TI.pptx