El Control General de las Tecnologías de Información, Pieza Fundamental del Control Interno en las Organizaciones



Documentos relacionados
Comité de Práctica Profesional Boletín Técnico NIF D-3 Beneficios a los empleados. Contenido

PIDIREGAS, Un Pasivo con Impacto Diferido en su Registro

Aspectos Prácticos en la Aplicación del IDE

Sistema de Inventarios Perpetuos, Obligación para las Compañías?

Deducción de Gastos de Viaje

Turismo médico en México 75 millones de estadounidenses demandarán servicios médicos más baratos

NIF B-2 Estado de flujo de efectivo

Participación de los Trabajadores en las Utilidades y disposiciones reguladoras de esta prestación

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Beneficios Fiscales en Materia de ISR e IETU

Viajeros de negocios, target lucrativo Significan un mercado superior a mil 500 millones de dólares anuales

México y China Negocian la Eliminación de Cuotas Compensatorias

Ley Sarbanes-Oxley. Por: C.P. José Ignacio López Maldonado

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

Master en Gestion de la Calidad

CAS-CHILE S.A. DE I. 2013

Es el Comisario un Verdadero Vigilante?

La auditoría operativa cae dentro de la definición general de auditoría y se define:

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Continuidad del negocio ante la situación actual

Security Health Check

Gestión de Seguridad Informática

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

Auditoría de procesos con alto grado de automatización*

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

I INTRODUCCIÓN. 1.1 Objetivos

#233 Seguridad desde el punto de vista SOX y Gobernalidad

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

Estándares de Seguridad Informática

Soporte. Misión y Visión


Descripción de las posiciones del área de sistemas

IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

Planeación del Proyecto de Software:

SISTEMAS DE INFORMACIÓN III TEORÍA

Retos y Oportunidades del Dictamen del Auditor

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Test de intrusión (Penetration Test) Introducción

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: DIRECCIÓN GENERAL DE EVALUACIÓN

Calidad en la unificación Asesoría y supervisión para puntos de venta

Sistema de Control Interno

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

Gestión de riesgo operacional

Dejan turistas internacionales 9 mil mdd

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

Guía de contenido. Cápsula II. Control Interno y Transferencia de los recursos.

Estándares de Seguridad

ARCHIVO GENERAL DE LA NACIÓN

Los objetivos de la mesa de ayuda son:

División Tóner y Cintas División TI División Retail

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

Módulo 7: Los activos de Seguridad de la Información

Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado.

Reorientando los proyectos de Inteligencia de Negocios

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

REPORTE DE CUMPLIMIENTO ISO 17799

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS

El Auditor y su Responsabilidad Civil, Fiscal y Penal

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

PLAN DE REFORMA DE GESTION DE LA DEUDA

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

GUÍAS. Módulo de Información y control contable SABER PRO

Continuidad. Más que sólo una palabra. Junio 2014

EF Asset Management Administradora de Fondos de Inversión S.A.

MANUAL DE CALIDAD ISO 9001:2008

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

Proceso: AI2 Adquirir y mantener software aplicativo

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Unidad 1. Fundamentos en Gestión de Riesgos

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R

ASOCIACIÓN INTERNACIONAL DE SUPERVISORES DE SEGUROS

Boletín de Asesoría Gerencial* La próxima generación de herramientas para la gestión de privilegios de acceso en sistemas integrados - ERP

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

I. INTRODUCCIÓN DEFINICIONES

PROCEDIMIENTO DE AUDITORIA INTERNAS DE CALIDAD

NORMA ISO/IEC 27001:2005

Elementos requeridos para crearlos (ejemplo: el compilador)

República Administradora de Fondos de Inversión S.A.

Ing. Nicolás Serrano

Outsourcing. Xicotencatl N 444, Fracc. Faros Veracruz, Veracruz, C.P México

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Estándar de Supervisión Actual-Futura

Qué significa institucionalizar una empresa? Boletín Gobierno Corporativo Otoño 2013

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Gestión de riesgo operacional

Política de Control de Hojas de Cálculo. Prorrectoría

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Sistemas de Gestión de Calidad. Control documental

Evaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros. Universidad Técnica Federico Santa María

Transcripción:

El Control General de las Tecnologías de Información, Pieza Fundamental del Control Interno en las Organizaciones Por: Ing. Gustavo Lutteroth Echegoyen (glutteroth@hicm.com.mx) con la colaboración de la Ing. Karen Zambrano (kzambrano@hicm.com.mx) Las empresas actualmente están muy interesadas en revisar la situación en la que se encuentra el control de las actividades que se realizan en el área de sistemas o tecnologías de información (TI). Actualmente existe un modelo COSO (Comité de Organizaciones Patrocinadoras, por sus siglas en inglés) que ve a los controles en una forma más amplia y define al control interno como: Ambiente de Control Para comprender esta estructura de control desde otra perspectiva, vea la figura 1 del análisis del dominio de información. Figura 1 Dominio del Proceso de Análisis Un proceso Es establecido por el consejo de administración, la administración y el personal de una entidad Diseñado para proporcionar un aseguramiento razonable El modelo COSO cambió la estructura de control de tres elementos (incluidos en el SAS 55) a cinco componentes integrados: Monitoreo Información y Comunicación Actividades de Control Evaluación de Riesgos Para poder realizar un diagnóstico del control interno, se requiere de personal calificado, en su mayoría auditores, que lleven a cabo una auditoría dentro de la organización para

poder dar observaciones u oportunidades de mejora a sus controles. La realización de la auditoría en sistemas de información implantados evitará los fraudes realizados con ayuda del computador y proporcionará información confiable. La evaluación del control interno, hace algunos años, estuvo enfocada al control llevado a cabo a nivel contable, ya que se deseaba analizar y detectar los posibles riesgos del control interno en diferentes áreas operativas, administrativas, contables y en auditoría externa, para aplicar los procedimientos, alcances y pruebas de los estados financieros. Existen despachos que se especializan en realizar proyectos referentes al diagnóstico del control interno de las tecnologías de información en las organizaciones, y cada uno de ellos lleva su propia metodología; sin embargo, la mayoría se basa en la metodología COBIT. Control interno informático Hay diferencias de opinión en torno al significado y los objetivos del control interno. Para muchos son los pasos que toma una compañía para prevenir fraudes, tanto la malversación de activos como los informes financieros fraudulentos, como afirman Ray Whittington y Kart Pany. El control interno informático controla diariamente que todas las actividades de los sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o dirección de informática, así como los requerimientos legales. proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno como son: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información financiera. Los controles generales de TI pueden incluir: Preinstalación. Se refiere al acondicionamiento físico y medidas de seguridad en el área donde se localiza el equipo de cómputo y a la capacitación de personal y adquisición o desarrollo de sistemas. Controles de organización y administración. Diseñados para establecer un marco de referencia organizacional sobre las actividades de TI, incluyendo: Políticas y procedimientos relativos a funciones de control Segregación apropiada de funciones incompatibles (por ejemplo, preparación de transacciones de entrada a los sistemas, diseño y programación de sistemas y operaciones de cómputo) Desarrollo de sistemas de aplicación y control de mantenimiento. Diseñados para proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de manera eficiente y autorizada. También están diseñados para establecer control sobre: Pruebas, conversión, implementación y documentación de sistemas nuevos y revisados Cambios a sistemas Acceso de documentación de sistemas Adquisición de sistemas de aplicación de terceros Verificación de controles sobre los cambios en la configuración o estandarización de sistemas integrados Controles generales El propósito de los controles generales de TI es establecer un marco de referencia de control global sobre las actividades de TI y

Controles de operación de cómputo y de seguridad. Diseñados para controlar la operación de los sistemas y proporcionar certeza razonable de que: Los sistemas son usados para propósitos autorizados únicamente El acceso a las operaciones de cómputo es restringido a personal autorizado Sólo se usan programas autorizados Los errores de procesamiento son detectados y corregidos Controles de software de sistemas. Diseñados para proporcionar certeza razonable de que el software del sistema (sistema operativo) se adquiere o desarrolla de manera autorizada y eficiente, incluyendo: Autorización, aprobación, análisis, diseño, pruebas técnicas, pruebas de usuario, implementación, liberación y documentación de software de sistemas nuevos y modificaciones del software de sistemas Restricción de acceso a software y documentación de sistemas sólo a personal autorizado Controles de entrada de datos y programas (control de acceso). Diseñados para proporcionar certeza razonable de que: Procedimientos y controles alternos durante el incidente de interrupción Conclusión Para que un equipo de profesionales logre obtener un resultado homogéneo, como si lo hiciera uno solo, es habitual el uso de metodologías en las empresas auditoras/consultoras profesionales, las cuales son desarrolladas por los más expertos para conseguir resultados homogéneos en equipos de trabajo heterogéneos. La proliferación de metodologías en el mundo de la auditoría y el control informáticos se puede observar en los primeros años de la década de los ochenta, paralelamente al nacimiento y comercialización de determinadas herramientas metodológicas (como el software de análisis de riesgos). Pero el uso de métodos de auditoría es casi paralelo al nacimiento de la informática, en lo que existen muchas disciplinas, cuyo uso de metodologías constituyen una práctica habitual. Una de ellas es la seguridad de los sistemas de información. Éste y no otro, debe ser el campo de actuación de un auditor informático del siglo XXI. Está establecida una estructura de autorización sobre las transacciones que se alimentan al sistema El acceso a datos y programas está restringido a personal autorizado Hay otras salvaguardas que contribuyen a la continuidad del procesamiento de TI y a promover razonables prácticas de control, manuales o automatizadas, durante una interrupción del sistema principal. Éstas pueden incluir: Respaldo de datos y programas de cómputo en otro sitio Procedimientos de recuperación para usarse en caso de robo, pérdida o destrucción intencional o accidental Provisión para procesamiento externo en caso de desastre El objetivo de todas las actividades del control de TI es asegurar la protección de los recursos informáticos y mejorar la eficiencia de los procesos que ya están establecidos en la organización; lo que derivará en una mayor exactitud en los reportes financieros, además de que proveerá seguridad a todos aquellos relacionados con la empresa. En conclusión, los controles generales de la tecnología de información, sin importar que se trate de controles preventivos, detectivos o correctivos, son parte importante en la evaluación del control interno en las

empresas y representan, por su cobertura alrededor de los procesos de negocio, controles clave que asegurarán el cumplimiento de los objetivos del control interno, así como los de la información. El Ing. Gustavo Lutteroth Echegoyen es Socio de Innovaciones Tecnológicas de Horwath Castillo Miranda. La Ing. Karen Zambrano es Especialista en Innovaciones Tecnológicas de Horwath Castillo Miranda. 2008 Castillo Miranda y Compañía, S.C. es miembro de Horwath International Association, una asociación Suiza. Cada firma miembro de Horwath es una entidad legal separada e independiente. El contenido de esta publicación es de carácter general. Si desea obtener mayor información, por favor contacte a nuestros especialistas. ###

Fundada en 1943, Horwath Castillo Miranda es una de las principales firmas de contadores públicos y consultores de negocios en México. Horwath Castillo Miranda provee soluciones de negocio innovadoras en las áreas de auditoría, impuestos, finanzas corporativas, consultoría de riesgos, consultoría en hotelería y turismo, control financiero (outsourcing) y tecnología. Nuestra Presencia en México México Paseo de la Reforma 505-31 06500 México, D.F. Tel. +52 (55) 8503-4200 Fax +52 (55) 8503-4277 Carlos Garza y Rodríguez mexico@horwath.com.mx Guadalajara Mar Báltico 2240-301 44610 Guadalajara, Jal. Tel. +52 (33) 3817-3747 Fax +52 (33) 3817-0164 Carlos Rivas Ramos guadalajara@horwath.com.mx Monterrey Av. Lázaro Cárdenas 2400 Pte. B-42 66270 San Pedro Garza García, N.L. Tel. +52 (81) 8262-0800 Fax +52 (81) 8363-0050 José Luis Jasso González monterrey@horwath.com.mx Aguascalientes Fray Pedro de Gante 112 20120 Aguascalientes, Ags. Tel. +52 (449) 914-8619 Fax +52 (449) 914-8619 Alejandro Ibarra Romo aguascalientes@horwath.com.mx Cancún Cereza 37-401 77500 Cancún, Q. Roo Tel. +52 (998) 884-0112 Fax +52 (998) 887-5239 Luis Fernando Méndez cancun@horwath.com.mx Ciudad Juárez Av. de la Raza 5385-204 32350 Ciudad Juárez, Chih. Tel. +52 (656) 611-5080 Fax +52 (656) 616-6205 José Martínez Espinoza cdjuarez@horwath.com.mx Hermosillo Paseo Valle Verde 19-A 83200 Hermosillo, Son. Tel. +52 (662) 218-1007 Fax +52 (662) 260-2176 Humberto García Borbón hermosillo@horwath.com.mx Mérida Calle 60 474 97000 Mérida, Yuc. Tel. +52 (999) 923-8011 Fax +52 (999) 923-8011 Manlio Díaz Millet merida@horwath.com.mx Mexicali Reforma 1507 21100 Mexicali, B.C. Tel. +52 (686) 551-9624 Fax +52 (686) 551-9824 Ramón Espinoza Jiménez mexicali@horwath.com.mx Querétaro Circuito del Mesón 168 76039 Querétaro, Qro. Tel. +52 (442) 183-0990 Fax +52 (442) 183-0990 Aurelio Ramírez Orduña queretaro@horwath.com.mx Tijuana Germán Gedovius 10411-204 22320 Tijuana, B.C. Tel. +52 (664) 634-6110 Fax +52 (664) 634-6114 Javier Almada Varona tijuana@horwath.com.mx www.horwath.com.mx

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback