La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Universidad de Buenos Aires Facultad de Ciencias Económicas

Presentaciones similares


Presentación del tema: "Universidad de Buenos Aires Facultad de Ciencias Económicas"— Transcripción de la presentación:

1 Universidad de Buenos Aires Facultad de Ciencias Económicas
Conceptos de Control en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos

2 Riesgo Cualquier evento que afecte el logro de los objetivos del negocio El potencial que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos y ocasiones pérdidas o daño a los activos

3 Ciclo de vida de la administración del riesgo
Identificación de los objetivos del negocio y los activos críticos para lograr estos objetivos Mitigación del riesgo : identificar los controles para mitigar los riesgos Análisis costo-beneficio Costo del control en comparación con el beneficio “Apetito” de riesgos de la gerencia Métodos preferidos para la detección de riesgos

4 Clases Clasificación de los controles Preventivos De detección
Correctivos

5 Clasificación de los controles
Preventivos Función Detectar problemas antes que surjan Monitorear tanto las operaciones cuanto el ingreso de datos Tratar de predecir los problemas potenciales antes que ocurran y hacer ajustes Impedir que ocurra un error, una omisión o un acto malicioso

6 Clasificación de los controles
Preventivos Ejemplos Emplear sólo personal calificado Segregar las funciones (factor disuasivo) Controlar acceso a las instalaciones físicas Usar documentos bien diseñados (prevenir errores) Adecuar procedimientos para autorizar transacciones Verificaciones programadas de edición Uso de software de control de acceso que permita que sólo el personal autorizado tenga acceso a archivos sensitivos

7 Clasificación de los controles
De detección Función Controles que detectan que ha ocurrido un error, una omisión o acto malicioso y lo reportan

8 Clasificación de los controles
De detección Ejemplos Totales brutos Puntos de verificación en los Trabajos de producción Controles de eco en las telecomunicaciones Verificación doble de los cálculos Realización periódica de reportes con variaciones Reportes de cuentas vencidas Funciones de auditoria interna

9 Clasificación de los controles
Correctivos Función Minimizar el impacto de una amenaza Remediar problemas descubiertos por controles detección Identificar causa de un problema Corregir los errores que surjan de un problema Modificar el o los sistemas de procesamiento para minimizar el problema en el futuro

10 Clasificación de los controles
Correctivos Ejemplos Planeación de contingencias Procedimientos de copias de seguridad Procedimientos de nueva ejecución de programas

11 Objetivos del Control Interno
Son declaraciones del resultado deseado, o del propósito a ser alcanzado, implementando procedimientos de control en una actividad en particular e incluyen: Controles internos contables (salvaguarda de activos) Controles operativos (objetivos de negocio) Controles administrativos (eficiencia operativa) Los objetivos de control se aplican a todas las áreas, manuales o automatizadas

12 Funciones de control en ambientes informáticos
Salvaguarda de los activos de tecnología de la información Garantía de integridad de los sistemas operativos (administración de red y operaciones) Cumplimiento de políticas corporativas y requisitos legales (objetivos de cumplimientos) Desarrollo de planes de continuidad de negocio y recuperación de desastres Desarrollo de un plan de manejo y respuesta de incidencias

13 Funciones de control en ambientes informáticos
Garantía de integridad de los entornos críticos Autorización de ingreso Exactitud e integridad en el procesamiento de las transacciones Confiabilidad en el procesamiento de la információn Exactitud, integridad y seguridad de la información de salida Integridad de las bases de datos

14 Etapas de la Auditoría 1. Sujeto de la auditoría
2. Objetivo de la auditoría 3. Alcance de la auditoría  4. Planificación de la auditoría preliminar 5. Procedimientos de auditoría y pasos para la recolección de datos 6. Procedimientos para evaluar la prueba o revisar los resultados 7. Procedimientos para comunicarse con la gerencia 8. Elaboración del informe de auditoría

15 Etapas de la Auditoría 1. Sujeto de la Auditoría
Identificar el área que será auditada

16 Etapas de la Auditoría 2. Objeto de la Auditoría
Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser determinar que los cambios de código fuente de programas ocurren en un ambiente bien definido y controlado.

17 Etapas de la Auditoría 3. Alcance de la Auditoría
Identificar los sistemas específicos, la función o unidad de la organización a ser incluida en la revisión. Por ejemplo, en el ejemplo de cambios de programa, la declaración del alcance podría limitar la revisión a un solo sistema de aplicación o a un período limitado de tiempo.

18 Etapas de la Auditoría 4. Planificación de la auditoría preliminar
Identificar las habilidades y recursos técnicos que se necesitan. Identificar las fuentes de información para probarlas o revisarlas, tales como cuadros funcionales de flujo, políticas, estándares, procedimientos y documentos de trabajo preliminares de auditoría. Identificar las ubicaciones o las instalaciones que serán auditadas.

19 Etapas de la Auditoría 5. Procedimientos de auditoría y pasos para la recolección de datos Identificar y seleccionar el método de auditoría para verificar y probar los controles. Identificar una lista de personas para entrevistar. Identificar y obtener políticas, estándares y directrices de los departamentos, para su revisión. Desarrollar instrumentos y metodología de auditoría para comprobar y verificar el control.

20 Etapas de la Auditoría 6. Procedimientos para evaluar la prueba o revisar los resultados Organización específica

21 Etapas de la Auditoría 7. Procedimientos para comunicarse con la gerencia Organización específica

22 Etapas de la Auditoría 8. Elaboración del informe de auditoría
Identificar los procedimientos de revisión del seguimiento. Identificar los procedimientos para evaluar/comprobar la eficiencia y la eficacia operacional. Identificar los procedimientos para comprobar los controles. Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.

23 Pruebas de cumplimiento vs Pruebas sustantivas
Pruebas de cumplimiento: Implican la recolección de evidencias con el fin de comprobar el cumplimiento de procedimientos de control por parte de una organización Pruebas sustantivas: Implican la recolección de evidencias para evaluar la integridad de las transacciones individuales, los datos u otra información

24 Evidencia Se trata de cualquier información usada para determinar si la entidad o los datos que están siendo analizados cumplen con los criterios u objetivos establecidos.

25 Confiabilidad de la evidencia
Independencia del proveedor de la evidencia Calificación de la persona que suministra la información o la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia

26 Segregación de funciones
Los controles de segregación de funciones mas comunes son Autorización de transacción Custodia de archivos Acceso a los datos Formularios de autorización Tablas de autorización de datos

27 Controles compensatorios de la falta de segregación
Pistas de auditoría Conciliación Reportes de excepción Registros de transacciones Revisiones de supervisión Revisiones independientes

28 Indicadores de problemas potenciales
Actitudes desfavorables del usuario final Costos excesivos Presupuesto excedido Proyectos demorados Rotación elevada del personal Personal inexperto Errores frecuentes de hardware/software Lista excesiva de solicitudes en espera Tiempo de respuesta de computadora excesivo

29 Indicadores de problemas potenciales
Numerosos proyectos cancelados o suspendidos Compras de hardware/software sin soporte o autorización Frecuentes ampliaciones de capacidad de hardware/software Extensos reportes de excepciones Reportes de excepciones sin seguimiento Poca motivación Ausencia de planes de contingencia Confianza en uno o dos miembros claves del personal Falta de entrenamiento adecuado


Descargar ppt "Universidad de Buenos Aires Facultad de Ciencias Económicas"

Presentaciones similares


Anuncios Google