CONTROLES INFORMATICOSNELTON MERIDA 2015

Los riesgos afectan la capacidad de la organización de sobrevivir, competir con éxito o mantenerse con una fortaleza financiera adecuada, la imagen pública positiva o la calidad de productos o servicios que brinda.

Riesgo es una medida de la incertidumbre. “El nivel de exposición a las incertidumbres que una empresa debe entender y efectivamente administrar para lograr alcanzar sus objetivos y crear valor para sus interesados”.

RIESGOS??

Clasificación de los factores de riesgoSegún el Informe COSO existen diferentes factores de riesgo, los cuales son clasificados en factores externos e internos de riesgo:

Factores externos:o Desarrollo tecnológicoo Cambio en expectativas de clienteso Competidoreso Leyes y regulacioneso Economía

Factores externos:o Desarrollo tecnológicoo Cambio en expectativas de clienteso Competidoreso Leyes y regulacioneso Economía

En Implementing Turnbull – A Boardroom Briefing se ha desarrollado la siguienteclasificación en cuatro categorías de riesgo:o De negocio,o Financieros,o De cumplimiento,o Operacionales y otros

Los riesgos pueden ser apreciados en tres niveles:Ø Estratégico: Esta apreciación de riesgos se utiliza como guía de la organización durante un prolongado período de tiempo (hasta diez años). Dicho procedimiento es usualmente realizado por la Dirección y Alta Gerencia.

Ø Proceso / programa / procesos: Esta apreciación de riesgos es utilizada, desarrollada y gerenciada durante el período actual de la organización. El gerente del proceso, programa o proceso es la persona que inicialmente tiene la responsabilidad de la apreciación.

Ø Operacional: Utilizado en las operaciones diarias. Es la apreciación es usualmente realizada por el nivel de supervisión o por individuos o equipos de trabajos designados para tal tarea.

En la realización de los pronósticos a corto y mediano plazo, en el planeamiento estratégico es apropiado efectuar la identificación de los riesgos de negocio. Qué preguntas podemos hacernos a efectos de realizar dicha identificación de riesgos?:o Qué no nos gustaría ver aparecer en la prensa?o Qué problemas han tenido nuestros competidores en años recientes?o Cuáles son los tipos de fraude a los cuales nuestro negocio puede ser susceptible?o Cuáles son los mayores riesgos legales y regulatorios a los cuales nuestro negocio está expuesto?o Qué riesgos provienen de los procesos de negocio?

Identificación de riesgos

El riesgo no puede ser medido, priorizado o gerenciado hasta que el mismo haya sido identificado.

Métodos de identificación de riesgosLos tres mayores enfoques para identificar riesgos son:Ø Análisis de exposiciónØ Análisis ambientalØ Escenarios de amenazas

Análisis de riesgosUna vez identificados los riesgos es necesario analizar los mismos. El proceso de análisis de riesgoscomprende:Ø Medir el riesgo,Ø Administrar los mismos

El enfoque de escenarios de amenazasSi el mayor propósito del escenario es la amenaza de fraude, el escenario de cómo puede ser realizado debe cubrir los siguientes tres elementos:o Robo: cómo el activo puede ser robadoo Ocultamiento: cómo el ladrón puede ser ocultado o no descubierto.o Conversión: Cómo el ladrón puede convertir el activo a su uso personal.Si el escenario de amenaza es utilizado para auditar o evaluar fraude y cuestiones de seguridad, se convierte en un blueprint para el crimen.

Medición del riesgoUna vez que los riesgos y las consecuencias son identificados, el próximo paso es medir los riesgos. Medir riesgos es difícil debido a su naturaleza intangible.Los gerentes prefieren pensar en términos cualitativos más que en términos cuantitativos. Para algunos gerentes, definir riesgos en una escala de tres niveles (bajo, medio y alto) es suficiente para sus necesidades

Métodos para medir riesgosHay diferentes enfoques para medir riesgos y consecuencias:Ø Estimaciones de probabilidad y funciones de pérdidas esperadas: La aplicación de probabilidades a los valores de los activos para determinar la exposición a pérdidas.Ø Factores de riesgos: El uso de factores observables Ø Matrices de medición: El uso de matrices de amenazas y componentes para evaluar consecuencias y control

Factores de riesgoLa medición de riesgos usualmente involucra juicios subjetivos y referencia a datos objetivos o históricos. A menudo, la medición de riesgos es realizada a través del análisis de una serie de factores de riesgos tales como:Ø Complejidad de los negocios,Ø Monto monetario al riesgo,Ø Liquidez de los activos,Ø Competencia de la Gerencia,Ø Fortaleza de los controles internosØ Tiempo desde la última auditoría

Hay tres tipos de factores de riesgos comúnmente utilizados:Ø Factores subjetivos de riesgo,Ø Factores objetivos de riesgo o históricos,Ø Factores de riesgos calculados

Patton, Evans y Lewis describen 19 de los más populares factores de riesgo utilizados por auditores:1. Calidad de los controles internos2. Compentencia de la gerencia3. Integridad de la gerencia4. Tamaño de la unidad5. Cambios en los sistemas contables6. Complejidad de las operaciones7. Liquidez de los activos8. Cambios en el personal clave9. Condiciones económicas de la unidad10. Rápido crecimiento

1. Extensión del uso de la computadora2. Tiempo desde la última auditoría3. Presión en la gerencia para alcanzar los objetivos4. Extensión de las relaciones gubernamentales5. Nivel de ética en los empleados6. Planes de auditoría de los auditores externos7. Exposición política8. Necesidad de mantener una apariencia de

independencia del auditor interno9. Distancia de las oficinas centrales

Existen diferentes estrategias de administración de riesgos, las cuales pueden clasificarse de la siguiente manera:

Ø Eliminar. En esta estrategia la Gerencia intenta abandonar el proceso en cuestión, teniendo en cuenta que no puede manejar los riesgos de dicho proceso adecuadamente. Tratará de prohibir el proceso, pararlo, eliminarlo, etc.

Ø Retener. Por este mecanismo la Gerencia tratará de mantener el proceso en cuestión, aceptando los riesgos involucrados en el mismo. En dichas estrategias se encuentran la aceptación del nivel de riesgos, la propia asegurabilidad, el contrapeso con otros procesos, etc.

Reducir. Mediante esta estrategia la Gerencia intentará reducir los riesgos a niveles aceptables para retener los mismos. En este caso la Gerencia tratará de diversificar los riesgos o controlar los mismos.

Transferir. En este caso la Gerencia intentará involucrar a un tercero en la administración de sus propios riesgos. En estas estrategias se encuentran los seguros, reaseguros, acciones de cobertura y de indemnización, la securitización, el compartir riesgos, el outsourcing de determinados procesos, etc.

Explotar. En esta última estrategia la Gerencia intentará transformar el riesgo como efecto negativo en una oportunidad y desarrollo para la empresa. En este caso, podemos encontrar la expansiónde operaciones, la creación de otros procesos o productos, el rediseño de procesos o productos, la reorganización, la renegociación, etc.

RIESGOS QUE AMENAZAN LA INFORMACION

EXTERNOSNaturales (Temblor, Incendio, Inundación, Tormenta)Humanos (Robo, Sabotaje, Motines sociales, Fraude)Materiales (Desperfectos en el equipo, Fallas de energía)

INTERNOSRobo de (Papelería y Utiles, Recursos, Información de Datos, Programas)SabotajeDestrucción de (Datos y/o recursos, voluntaria o involuntaria)HuelgasFraude

RIESGOS QUE AMENAZAN LA INFORMACION

AMBIENTE DEBIL DE CONTROL PROPICIO PARA EL FRAUDE:

• Poca o ninguna restricción física en el acceso al equipo• Carencia de un Depto. de auditoría interna• Control absoluto sobre las actividades desarrolladas por el

PED• Falta de documentación sobre los sistemas y programas en

producción.• Errores corregidos mediante solicitudes verbales• Cambios en línea a los datos contenidos en el sistema• Poco o ningún control sobre el uso de reportes elaborados

por el PED• Uso del PED en horario nocturno, sin ninguna supervisión

sobre las funciones que se realizan.

• Poco o ningún control sobre el consumo y circulación de suministros.

• Los Deptos usuarios no revisan la información procesada y preparada por el PED

• Solicitudes verbales de cambios de programas. Programas fuente que permanecen en el sistema.

• Presencia en el directorio de programas ajenos a la producción de la empresa.

• Poca o ninguna rotación de personal, ausencia de planes de vacaciones, etc.

• Procesamiento de datos fuera del ámbito de la empresa, con gran flujo de documentos e información sin ningún control.

AMBIENTE DEBIL DE CONTROL PROPICIO PARA EL FRAUDE:

DEFINICIONES DE CONTROL “Control” puede usarse de diferentes formas: comprobación,

examen, inspección, verificación, dirección, gobierno, mando.

En el campo de la administración de empresas se suele utilizar ambos significados:

Acto aislado y simple de verificación (sentido estricto)Función de la dirección de empresas (sentido amplio).

“Es una medida y corrección del desempeño de las actividades de los subordinados para asegurar que los objetivos y planes de la empresa, diseñados para lograrlo, se están llevando a cabo.”

La función de control:• Control es todo lo que tiende a evitar errores.• Control es todo lo que tiende a minimizar riesgos.

Es aquella que tiene por finalidad asegurar que todos y cada uno de los actos de una organización obtengan los objetivos previstos, dentro de los límites prefijados. No se limita exclusivamente a verificar en qué medida se logra un objetivo.

El control íntegramente considerado debe considerar que los actos logren los resultados previstos y no solamente señalar las eventuales desviaciones.

El control es la suma de factores deliberadamente dispuestos por la organización con el fin de:

Condicionar cada acto, asegurando que sea realizado de un modo determinado.

• Determinar la medida en que cada acto dio el resultado previsto.

• Informar los resultados y las eventuales desviaciones, retroalimentando de esta manera todo el proceso.

PROCESO BASICO DEL CONTROL: • Establecimiento de Normas• Evaluación de la Actuación• Corrección de las Desviaciones

REQUISITOS QUE DEBEN CUMPLIR

LOS CONTROLES: 1.  Deben reflejar la naturaleza y necesidades de la empresa2.     Deben reportar prontamente las desviaciones3.     Deben ser futuristas4.     Deben señalar excepciones5.     Deben ser objetivos6.     Deben ser flexibles7.     Deben ser económicos8.     Deben ser comprensibles9.     Deben conducir a la acción correctiva.

“Las labores de control se enfrentan siempre a fuerte oposición:

• Por parte de los eficientes y honestos, porque lo consideran innecesario, inhibitorio o degradante,

• De los deficientes, porque no se percatan de su utilidad

• y por parte de los deshonestos, porque les estorba.”

CLASIFICACION DE LOS CONTROLES

POR SU NATURALEZA·        GENERALES (VARIOS SISTEMAS)·        MANUALES (USO DE HUMANWARE)·        AUTOMATICOS (INCORPORADOS)

POR SU EFECTO:·        DISUASIVOS·        DE EVIDENCIA·        PREVENTIVOS *·        DETECTIVOS *·        CORRECTIVOS * RECUPERATIVOS

POR SU ESTADO:·        RECOMENDADOS·        DESCARTADOS·        IMPLANTADOS

* Controles de Aplicaciones que se ampliarán

CONTROLES en función del momento del incidente

CONTROLES PREVENTIVOS

Son aquellos que reducen la frecuencia con que ocurren las causas de error.

Características:· Reducen la frecuencia de errores· Previenen operaciones no autorizadas · Son sutilmente incorporados en los procesos· Son los de mas bajo costo.

• Autorización: La iniciación de una transacción o la ejecución

de un proceso se limita a los individuos autorizados para ello.

• Custodia Segura: A los activos de información se les aplican

medidas de seguridad similares a las de los activos tangibles, tales como efectivo, valores negociables, etc.

• Formas pre numeradas: En las formas individuales se pre imprimen

números consecutivos a fin de permitir la detección posterior de su pérdida o mala colocación.

Formas preimpresas: Los elementos fijos de información se anotan por

anticipado en las formas y, en algunos casos, en un formato que permite el procesamiento directo por el computador, a fin de prevenir errores en la anotación de datos repetitivos.

Documento de retorno: Es un documento producido por el computador,

con el objeto de que vuelva a entrar al sistema.

Endoso: Marcar una forma o un documento a fin de dirigir

o restringir su uso posterior en el procesamiento.

Cancelación: Marcar o identificar los documentos de las

transacciones a fin de prevenir su uso posterior una vez que han cumplido su función.

Contraseñas: La autorización para permitir el acceso a

información o procesos, por medio de una señal o clave conocida únicamente por los individuos autorizados para ello.

• Confiabilidad del personal: Puede confiarse en que el personal que efectúa

el procesamiento maneja los datos en forma adecuada y consistente.

Entrenamiento: Se proporcionan instrucciones explícitas al

personal y se verifica que las hayan comprendido, antes de asignárseles nuevas tareas.

Competencia del personal: Las personas asignadas a funciones de

procesamiento o de supervisión dentro de los sistemas de información, poseen el conocimiento técnico necesario para llevar a cabo sus funciones.

Mecanización: El utilizar medios electrónicos para procesar la

información, proporciona consistencia al procesamiento.

Segregación de funciones: La responsabilidad de la custodia, control del manejo

y el procesamiento de la información, se encuentran separadas.

CONTROLES DETECTIVOS• Estos no impiden que ocurra una causa de error,

sino que acciona la alarma después de que haya ocurrido.

• Pueden impedir la continuidad de un proceso• No impiden que ocurra un error, pero dan la

alarma después que haya ocurrido• Requieren de ciertos gastos operativos

moderados.

Documento de envío:Es el medio para comunicar las cifras control a través

del movimiento físico de la información, particularmente de la fuente al punto de procesamiento o entre puntos de procesamiento.

Números consecutivos de lote:Los lotes de documentos de transacciones se numeran

en forma consecutiva y se controlan.

Cifras de control de cantidades:Son totales de valores homogéneos para un grupo de

transacciones o registros, generalmente en valores monetarios o cantidades.

Cifras de control de numero de documentos:Consiste en que se efectúa un conteo del número de

documentos individuales y este total es el que se controla.

Cifras de control sin significado monetario:Es un total no significativo, pero útil, obtenido de la

sumatoria de información numérica no monetaria.

Totales de lote:Es cualquier tipo de cifra control o conteo que se aplica

a un numero especifico de documentos de transacciones o a los documentos de las transacciones que se reciben en un periodo de tiempo especifico.

Verificación de rebasamiento:Es una verificación de límite que se basa en la

capacidad de un área de la memoria o de un archivo para aceptar información.

Verificación de formato:Determinación de que los datos se registran en la

forma establecida en el formato de información que se estipula en el programa de aplicación, ya sea en forma numérica o alfanumérica.

Verificación de integridad:Consiste en comprobar que se hayan anotado datos en

aquellos campos que no pueden procesarse si se dejan en blanco.

Dígito Verificador:Es un dígito, generalmente el ultimo de un campo de

identificación, que es una función matemática de todos los demás dígitos en el campo. La validez de todo el campo se comprueba al calcular, con base en los demás dígitos del campo, el digito verificador y compararlo con el consignado en el campo.

Ejemplo: Número de Afiliación al IGSS, es un Código Base 10.No. Afilic. al IGSS = 1 7 2 0 9 7 7 7 - 6 x x x x x x x xMultiplicar x 1 y 2 = 1 2 1 2 1 2 1 2(Excepto Dígito Verif.) = 1 14 2 0 9 14 7 14Se suman = 1+1+4+2+0+9+1+4+7+1+4Total = 34Siguiente Decena = 40 Comprobación = 40 (-) 34 = 6 = D.V

Razonabilidad:Pruebas que se aplican a varios campos de

información mediante la comparación con otra información disponible en los registros de transacciones o los maestros, a efecto de establecer su razonabilidad.

Verificación de limite:Pruebas de los campos de importes específicos, contra

limites inferiores o superiores de aceptabilidad estipulados. Cuando se verifican ambos limites, la prueba suele denominarse “verificación de rango”.

Verificación de validez:Los caracteres en un campo codificado son cotejados contra

un conjunto aceptable de valores en una tabla, o examinados con respecto a un patrón definido de formato, utilizando la lógica y la aritmética.

Fechas:Registrar fechas de calendario para efectos de

comparaciones posteriores o de pruebas relativas a la expiración de documentos.

Verificación de la digitación:La entrada redundante de datos por medio de un teclado,

a fin de verificar la exactitud de una entrada anterior. Las diferencias entre los datos previamente registrados y los datos accesados en la verificación originan una señal mecánica.

Aprobación:Consiste en la aceptación de una transacción para que

sea procesada, después de que se ha iniciado.

Totales de corrida a corrida:Consiste en el uso de las cifras de control de salida

que resultan de un proceso, como cifras de control para un procesamiento posterior. Las cifras control se utilizan como enlaces en una cadena para unir un proceso con otro en una secuencia de procesos.

Igualización/comparación:Es una prueba para determinar la igualdad entre los

valores de dos conjuntos equivalentes de partidas o entre un conjunto de partidas y una cifra control. Cualquier diferencia indica un error.

• Clasificación por antigüedad:• Consiste en la identificación de partidas sin o con

poco movimiento, de acuerdo con su fecha, generalmente la fecha de la transacción. Esta clasificación segrega las partidas de acuerdo con varios límites de fechas.

• Cuenta de partidas pendientes de procesarse:• Cotejar las partidas del flujo del procesamiento en

una aplicación con otras desarrolladas en forma independiente, a fin de identificar partidas no procesadas o diferencias en las mismas.

• Cotejo:• Cotejar las partidas del flujo del procesamiento en

una aplicación con otras desarrolladas en forma independiente, a fin de identificar partidas no procesadas o diferencias en las mismas.

• Auditoria periódica:• Consiste en la verificación de un archivo o de una

fase de procesamiento, con el objeto de detectar problemas y fomentar el cumplimiento de los procedimientos establecidos.

• Etiquetas:• Consiste en la identificación externa o interna de

los lotes de transacciones o de los archivos de acuerdo con su fuente, aplicación, fechas u otras características de identificación.

• CONTROLES CORRECTIVOS• Ayudan a la investigación y corrección de las causas

de los errores que hayan sido detectados.• La acción correctiva es siempre necesaria.• Son casi siempre muy costosos.

• Reportes de discrepancias o inconsistencias• No es más que un listado de las partidas que han

violado algún control detectivo y que, consecuentemente, requieren investigación posterior.

• Rastro de auditoria:• Pista de auditoria o pista de las transacciones,

consiste en la disponibilidad de un medio manual o legible por computador que permita rastrear el estado y el contenido del registro de una transacción individual, hacia atrás o hacia delante, entre salida, procesamiento y fuente.

Pista de AuditoriaUna de las características de los sistemas de información actuales es la tendencia a la supresión del papel como medio de soporte de los datos, las razones son más disponibilidad de datos, mayor velocidad de procesamiento y menores Costos. Por ende, se pierden las correspondientes pistas de auditoría de las transacciones en papel.

“La informática tiende en forma manifiesta a suprimir el papel como soporte de las operaciones que procesa, estaba destinada a colisionar con la estructura jurídica correspondiente a la cultura del papel, basada sobre la instrumentación y firma de los actos. desde el punto de vista jurídico la carencia de pistas de auditoría es problemática, en especial, cuando es necesario probar la validez de las transacciones operadas y registradas por medios distintos a los tradicionales documentos escritos Rescatamos también la

afirmación “muerte de la cultura del papel”; creemos que es una tendencia irreversible y que se propaga permanentemente a nuevos ámbitos.

sin documentación física que las perfeccione,las técnicas de auditoría deberán adaptarse lo más eficientemente posible a la nueva modalidad de registrar las operaciones. lo que dice un especialista: “...Surgirá un verdadero ambiente libre de papeles y documentos (un sueño para algunos, una pesadilla para otros) que forzará al auditor a descansar completamente en el sistema y los controles existentes en la organización intervenida y limitará la evidencia tradicional que se utiliza en los procesos convencionales de auditoría»

Lo sutil de un fraude por computadora es que siempre podremos hacer la columna A igual a la B ... exclusivamente para los Auditores". El auditor, entonces, debe estar alerta sobre la fragilidad de la información residente en los medios de almacenamiento digitales y la posibilidad latente de ser alterada sin dejar rastros con la finalidad de ser adecuada a las necesidades del momento Obviamente la evidencia de ocurrencia y exactitud así como la garantía de inalterabilidad de los datos no es la misma cuando los datos residen en soporte digital que cuando están escritos en el convencional papel.

el auditor debe tener en cuenta que la información a la que accede pudo haber sido preparada especialmente para él, hasta casi en el mismo momento en que está realizando la consulta a los datos residentes en el sistema y luego vuelta a dejar como estaba. Por ello se aconseja verificar también, aunque sea selectivamente, la documentación física disponible y que avala los datos recuperados de lacomputadora, y no descansar sólo en verificar el sistema de control interno que protege al sistema de información.

• Esta propuesta pretende, entonces, desarrollar mecanismos que permitan al auditor contar con los datos de las transacciones en soporte digital e independientes del sistema de gestión. Es decir, contar con un ambiente computarizado de auditoria, un ambiente propio y específico para los auditores, administrado por ellos –sin intervención del área de Sistemas- que tenga

• registrada toda la información necesaria para su trabajo

a) Archivo Log-Auditoría• Esta propuesta, procura establecer un mecanismo para obtener

pistas de auditoría específicas y permanentes dentro de los sistemas de gestión. Para ello, es necesario asignar a las aplicaciones la misión de generar registros destinados a ser pistas de auditoría y grabados en un archivo llamado Log- Auditoría Este tipo de archivos registran las transacciones que han entrado al sistema durante un cierto período, grabando además de los datos propios de la transacción, otros datos complementarios necesarios para individualizar posteriormente las operaciones procesadas, tales como: identidad de la persona que generó la transacción (operador), fecha-hora, terminal, etc. Sintéticamente, este mecanismo es el que se propone para el modelo Log-Auditoría. En esta instancia se considera usar medios de almacenamiento ópticos no regrabables, como los CD-ROM y los discos WORM

b) Servidor de Auditoría

• Este es un nuevo modelo, superador de la anterior propuesta y posibilitado por la arquitectura de procesamiento actual: servidores especializados por funciones atendiendo las peticiones de las estaciones de trabajo de la red. Concretamente, la propuesta contempla conectar un Servidor de Auditoría a la red donde corre el sistema de gestión, equipo destinado a colectar los datos de todas las operaciones que se deseen auditar y almacenar toda la información que potencialmente se quiera resguardar de cambios no autorizados.

• El objetivo de esta propuesta es desarrollar un ambiente informático específico y exclusivo para las funciones de auditoría y control, teniendo como finalidad salvar las limitaciones mencionadas anteriormente. Gráficamente:

• Estadísticas de errores y su fuente:• Consiste en llevar control estadístico de la

información relativa a los diversos tipos de errores que se dieron en el proceso y cual fue el origen de los mismos. Esta información se utiliza para determinar los procedimientos que deberán aplicarse a efecto de reducir la cantidad de errores.

• Corrección automatizada de errores:• Se refiere a que el propio computador realiza

un proceso para corregir cierto tipo de errores de transacciones o de registros que violan un control detectivo; así, si por error se pago una factura que excedía al valor de la orden de compra correspondiente, el computador produce automáticamente una nota de cargo al proveedor, por la diferencia.

• Respaldo y recuperación:• Consiste en que deben conservarse los archivos

maestros y las transacciones del día anterior, a efecto de tener la posibilidad de volver a crear nuevos archivos maestros actualizados, en caso se destruyera el archivo maestro del día.

• Reinclusión en el proceso:• Se refiere a que las transacciones cuyos errores

detectados, fueron corregidos, deben reincluirse en el proceso como si fueran datos de entrada nuevos, debiendo en consecuencia, pasar a través de todos los controles detectivos que se aplican sobre las transacciones normales.

http://www.youtube.com/watch?feature=player_embedded&v=nYli9aHqhFI

http://www.youtube.com/watch?feature=player_embedded&v=rc7FgirCnYU