Controles De Auditoria
Enviado por jose.pache • 30 de Diciembre de 2012 • 3.435 Palabras (14 Páginas) • 548 Visitas
Controles
Los controles son las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables o riesgos serán prevenidos o detectados y corregidos
Los controles pueden ser:
• Controles Preventivos.- Operan en las primeras etapas en el flujo del proceso, a fin de prevenir la ocurrencia del error o riesgo. Estos controles apuntan especialmente a las causas del riesgo.
• Controles Detectivos.- Generalmente siguen a los controles preventivos y están diseñados para captar errores que escapan a los controles preventivos. Estos controles apuntan a la forma de ocurrencia del riesgo.
• Controles Correctivos.- Aseguran que los efectos de los errores o fraudes detectados se corrijan o disminuyan. Se piensa normalmente que los controles correctivos son parte inherente de los controles detectivos, pero muy frecuentemente se encuentran controles detectivos funcionando, sin el correctivo complementario.
Controles Generales
Los controles generales son las políticas y procedimientos que se aplican a la totalidad o a gran parte de los sistemas de información de una entidad, incluyendo la infraestructura y plataformas TI de la organización auditada y ayudan a asegurar su correcto funcionamiento.
El propósito de los controles generales de un entorno informatizado es establecer un marco conceptual de control general sobre las actividades del sistema informático y asegurar razonablemente la consecución de los objetivos generales de control interno y el correcto funcionamiento de los controles de aplicación.
A los efectos de este trabajo, podemos representar el sistema de información de una entidad mediante un modelo simplificado formado por cinco niveles o capas tecnológicas superpuestas, tal como se muestra en la siguiente figura:
En este modelo, vemos a la izquierda que los controles generales afectan a todos los niveles de los sistemas de información, si bien están relacionados con mucha mayor intensidad con aquellos niveles de carácter general que afectan a toda la organización y a los sistemas TI. Es decir, los controles generales existentes en el sistema de información de una entidad pueden establecerse en los siguientes niveles:
• Nivel de la entidad
Los controles a este nivel se reflejan en la forma de funcionar de una organización, e incluyen políticas, procedimientos y otras prácticas de alto nivel que marcan las pautas de la organización.
Son un componente fundamental del modelo COSO.
Los controles a nivel de entidad tienen influencia significativa sobre el rigor con el que el sistema de control interno es diseñado y opera en el conjunto de los procesos. La existencia de unos CGTI (Controles Generales de TI) rigurosos a este nivel, como son, por ejemplo, unas políticas y procedimientos bien definidos y comunicados, con frecuencia sugieren un entorno operativo TI más fiable.
En sentido contrario, las organizaciones con unos controles débiles a este nivel es más probable que tengan dificultades a la hora de realizar actividades de control regularmente, como por ejemplo la gestión de cambios y controles de acceso. Por consiguiente, la fortaleza o debilidad de los controles a nivel de entidad tendrá su efecto en la naturaleza, extensión y momento en que se realicen las pruebas de auditoría.
El ambiente o entorno de control y el compromiso con comportamientos éticos es una
“filosofía” de trabajo que debe emanar de arriba hacia abajo, desde los altos puestos directivos hacia el resto de la organización. Es esencial que el tono adecuado de control sea marcado por los máximos responsables de la entidad (Tone at the to4), que se envíe un mensaje a toda la organización de que los controles deben ser tomados en serio.
La capacidad de la dirección para eludir controles (management override) y un pobre tono de control (que se manifiesta a nivel de la entidad) son dos aspectos comunes en un mal comportamiento corporativo.
Una sólida comprensión de los controles a este nivel por parte del auditor, proporciona una buena base para evaluar los controles relevantes.
• Nivel de los sistemas TI
Los servicios de tecnología de la información constituyen la base de las operaciones y son prestados a través de toda la organización.
Los servicios TI normalmente incluyen la gestión de redes, la gestión de bases de datos,
la gestión de sistemas operativos, la gestión de almacenamiento, la gestión de las instalaciones y sus servicios y la administración de seguridad.
Todo ello está gestionado generalmente por un departamento TI centralizado.
Los controles en el nivel de los sistemas TI (marcado con un recuadro rojo en la Figura 1) están formados por los procesos que gestionan los recursos específicos del sistema TI relacionados con su soporte general o con las aplicaciones principales.
Estos controles son más específicos que los establecidos al nivel de entidad y normalmente están relacionados con un tipo determinado de tecnología.
Dentro de este nivel hay tres subniveles o capas tecnológicas que el auditor debe evaluar separadamente:
• Sistemas TI de base
Es el software necesario para que interrelacionen todos los sistemas e incluye el software de gestión de redes. También se incluyen los sistemas de gestión de las bases de datos, correo electrónico, middleware, utilidades diversas y aplicaciones no relacionadas con los procesos de gestión de la actividad de la entidad. Por ejemplo incluirá las aplicaciones que permiten a múltiples procesos funcionar en uno o más servidores e interactuar a lo largo de toda la red.
• Sistemas operativos
Es el software que controla la ejecución de otros programas de ordenador, programa tareas, distribuye el almacenamiento, gestiona las interfaces y muestra la interfaz por defecto con el usuario cuando no hay funcionando ningún otro programa.
Es muy importante realizar determinados procedimientos de auditoría sobre los sistemas operativos y los controles existentes a este nivel, ya que vulnerabilidades en los sistemas operativos tienen un impacto potencial en todo el sistema de información (aunque las aplicaciones y las bases de datos tengan buenos controles, si un intruso pudiera penetrar sin restricciones en el sistema operativo y su sistema de carpetas, podría provocar graves daños en los datos y sistemas de la entidad).
• Infraestructura física
Son todos los elementos físicos, el hardware.
Incluye redes y comunicaciones.
• Nivel de procesos/aplicaciones de gestión
Los procesos de gestión (o procesos de negocio) son los mecanismos
...