Sistemas de

información

Clase S12
DOCENTE: Marcelo Estrada Rojas
CORREO: marcelo.estrada.r@docentes.ipleones.cl Lunes 10-06
 UNIDAD 3 : CONTROL INTERNO Y SOFTWARE DE AUDITORIA

Objetivos de la Clase

➢ Comprender los tipos de controles en sistemas de información.

➢ Comparar los estándares de auditoría COBIT e ITIL.

➢ Conocer las funcionalidades del Sistema ERA para auditorías y gestión

de riesgos.
UN POCO DE LA CLASE ANTERIOR

✓ Componentes del Control Interno según el Sistema COSO

▪ Ambiente de Control

▪ Evaluación de Riesgos

▪ Actividades de Control

▪ Información y Comunicación

▪ Supervisión y Seguimiento
UN POCO DE LA CLASE ANTERIOR

✓ Tipos de Riesgo en una Auditoría

▪ Riesgo Inherente

▪ Riesgo de Control

▪ Riesgo de Detección
Glosario
➢ COSO: Committee of Sponsoring Organizations of the Treadway
Commission. Proporciona marcos y guías para la gestión del
riesgo y el control interno.

➢ Control Interno: Proceso para proporcionar seguridad razonable

en la consecución de objetivos relacionados con operaciones,
información y cumplimiento.

➢ Ambiente de Control: Entorno establecido por la dirección que

influye en la conciencia de control de los empleados.
Glosario
➢ Evaluación de Riesgos: Proceso de identificar, analizar y gestionar
los riesgos relevantes.

➢ Actividades de Control: Políticas y procedimientos que ayudan a

asegurar que las directrices de la administración se lleven a cabo.

➢ Información y Comunicación: Identificación, captura y

comunicación de información pertinente de manera oportuna y
efectiva..
Glosario
➢ Supervisión y Seguimiento: Actividades que evalúan la calidad
del desempeño del control interno.
➢ Riesgo Inherente: Riesgo que existe en ausencia de cualquier
control interno.
➢ Riesgo de Control: Riesgo de que un error o irregularidad no sea
prevenido o detectado por los controles internos.
➢ Riesgo de Detección: Riesgo de que los procedimientos del
auditor no detecten errores o irregularidades existentes.
•Tipos de Auditoria
➢ Auditoría Externa o Legal: Es realizada por un profesional externo para
verificar la precisión de los estados financieros de una empresa y su
conformidad con las normativas legales y contables.

➢ Auditoría Interna: Realizada por empleados internos de la empresa

para evaluar la eficacia de los procesos internos, la gestión de riesgos y
el cumplimiento de políticas y procedimientos establecidos.

➢ Auditoría Operativa: Se enfoca en revisar y mejorar la eficiencia y

eficacia de las operaciones de la empresa, así como en identificar áreas
de mejora en la gestión.
➢ Auditoría Pública Gubernamental: Llevada a cabo por la Contraloría General
de la República en Chile para garantizar que los órganos de la Administración
del Estado cumplan con sus atribuciones y procedimientos legales.

➢ Auditoría Informática: Evalúa la seguridad y el funcionamiento de los

sistemas y redes informáticas de la empresa para garantizar su integridad y
protección contra amenazas cibernéticas.

➢ Auditoría Integral: Examina diversos aspectos de la empresa, incluyendo su

información financiera, estructura organizacional, sistemas de control interno
y cumplimiento legal, con el objetivo de obtener una visión global de su
desempeño.
➢ Auditoría Financiera: Centrada en examinar los registros financieros
de la empresa para asegurar su precisión y conformidad con los
principios contables.

➢ Auditoría de Recursos Humanos: Revisa la gestión del personal de la

empresa, incluyendo la evaluación de la plantilla, las políticas de
contratación y la calidad del manejo del talento humano.

➢ Auditoría Ambiental: Analiza el impacto ambiental de las actividades

de la empresa y su cumplimiento con la legislación ambiental, con el
objetivo de promover prácticas sostenibles.
Controles Generales en Sistemas de Información

•Definición de Controles Generales: Son aquellos mecanismos y

procedimientos diseñados para garantizar la integridad,
confidencialidad y disponibilidad de la información en un sistema
de información y soportan el funcionamiento efectivo de los
controles de aplicación.

Los controles generales son fundamentales para mantener la

seguridad y eficiencia en el manejo de la información, minimizando
riesgos y asegurando el cumplimiento de los objetivos del negocio,
ayudando a garantizar el continuo funcionamiento de los S.I.
Controles Generales en Sistemas de Información

Funciones
• Apoyar que los sistemas funcionan según lo previsto y que la
información que producen es confiable.
• Asegurar que los derechos de acceso y perfiles de usuario están
debidamente configurados.
• Proporcionar un sistema estable donde los controles de aplicación
del sistema puedan operar.
• Garantizar la seguridad y confiabilidad de los datos generados por
los sistemas de información.
Tipos de Controles en Sistemas de Información

•Controles de Detección:
Son aquellos controles diseñados para identificar la presencia
de posibles amenazas o incidencias en el sistema de
información. Su objetivo es identificar y señalar actividades
potencialmente peligrosas o no autorizadas tan pronto como
ocurren.
Ejemplos: sistemas de detección de intrusiones, registros de
auditoría, monitoreo de eventos.
ayudan a las organizaciones a responder rápidamente a las
amenazas.
Tipos de Controles en Sistemas de Información

•Controles de Aplicación o Preventivos

Se refieren a los controles implementados para prevenir la
ocurrencia de riesgos o vulnerabilidades en el sistema.

Ejemplos: políticas de acceso, encriptación de datos,

autenticación de usuarios., uso de software antivirus y
firewalls ayuda a prevenir ataques maliciosos.
Tipos de Controles en Sistemas de Información

•Controles de Corrección:
Estos controles están diseñados para corregir y mitigar los
efectos de incidentes de seguridad o errores en el sistema. Estos
controles se activan después de que se detecta un problema,
con el objetivo de restablecer las operaciones normales y
minimizar el daño.
Ejemplos: respaldos de datos, procedimientos de recuperación
de desastres, parches de seguridad.
Tipos de Controles en Sistemas de Información

•Controles directivos
Incluyen políticas y procedimientos que guían las operaciones
diarias y aseguran que las actividades de TI se alineen con los
objetivos estratégicos de la organización. La formación en
seguridad de la información y las revisiones regulares de
políticas son controles directivos que fortalecen la cultura de
seguridad.
Tipos de Controles en Sistemas de Información
Los controles internos son vitales por varias razones críticas:

✓ Seguridad: Protegen los activos de información contra

amenazas internas y externas.
✓ Integridad de los datos: Aseguran la precisión y fiabilidad de
la información.
✓ Cumplimiento normativo: Facilitan la adherencia a leyes y
regulaciones aplicables.
✓ Eficiencia operativa: Mejoran la gestión de recursos y
procesos de TI.
Aplicación de Controles en Sistemas de Información
Aplicación en Sistemas Manuales: Los controles manuales implican
procedimientos realizados por personas para garantizar la seguridad y
eficacia de los sistemas de información.
Ejemplo: verificación de documentos físicos, revisión manual de
registros.
Aplicación en Sistemas Automatizados: Los controles automatizados
son implementados a través de herramientas tecnológicas para
proteger y gestionar la información de manera eficiente.
Ejemplo: sistemas de autenticación biométrica, firewalls, software
antivirus.
Desafíos en la implementación
Implementar controles internos efectivos en TI puede enfrentar varios
desafíos, como la resistencia al cambio dentro de la organización y las
limitaciones tecnológicas. Superar estos desafíos requiere un enfoque
estratégico que incluya capacitación, comunicación efectiva y
evaluaciones tecnológicas periódicas.

Para comenzar a evaluar y mejorar los controles internos en su

organización, se recomienda realizar una auditoría inicial de TI que
identifique áreas vulnerables y oportunidades de mejora. Además, es
esencial mantenerse actualizado sobre las mejores prácticas y
evoluciones tecnológicas para adaptar y fortalecer continuamente los
controles internos.
Introducción a COBIT e ITIL
COBIT (Control Objectives for Information and Related Technologies):
“Objetivos de control para las tecnologías de la información y
relacionadas”
Marco de referencia para la gestión y gobierno de TI.
Desarrollado por ISACA (Information Systems Audit and Control
Association).
Se centra en el control y la auditoría de los procesos de TI.

ITIL (Information Technology Infrastructure Library):

“Biblioteca de infraestructura de tecnologías de información”
Conjunto de prácticas recomendadas para la gestión de servicios de TI.
Desarrollado por el Gobierno del Reino Unido, actualmente gestionado
por AXELOS.
Enfoque en la entrega de servicios de calidad centrados en el cliente.
COBIT Es un marco de trabajo para gobernanza de TI y un conjunto de
herramientas desarrolladas por la ISACA que permiten supervisar la
tecnología de la información.
Su objetivo es mantener el equilibrio entre los recursos empleados y los
beneficios que una empresa obtiene, por lo que se usa como herramienta
de auditoría para la gestión de procesos de las empresas. COBIT asegura
que todos los interesados dentro de una organización (incluyendo los que
están fuera del departamento de IT) cumplan su papel en el sistema de
servicios de IT. Por lo tanto, se trata de un enfoque más holístico que
tiene en cuenta los objetivos de toda la empresa utilizando un único
marco general de normas.
Características de COBIT
Se usa como guía de auditoría.
Hace una clasificación de los procesos de la siguiente manera:
planificación y organización; adquisición; entrega; soporte del servicio,
supervisión y evaluación.
Se divide en tres fases: dominio, proceso y actividades.
Características de COBIT
Está dirigido al personal de todos los departamentos, incluyendo a los
auditores para implementar un gobierno de IT.
Mejora la comunicación y cooperación entre auditores y administradores.
Se enfoca en necesidades comerciales y requisitos legales. Alineando las
prácticas de IT y las de negocio.
Mejora la gestión de incidentes y solicitudes a través del enfoque en las
capacidades de soporte.
ITIL Este marco de trabajo se desarrolló en los 80 y su versión más actual,
ITIL 4, se publicó en el 2019.
ITIL es una metodología de gestión que abarca una serie de prácticas y
actividades a seguir para una buena gestión de los servicios de IT,
ayudando a las empresas de cualquier sector a reorganizar la manera en
que trabajan, en especial al departamento de IT, para lograr dicho
objetivo.

En otras palabras, ITIL establece estándares que ayudan a que las

empresas identifiquen problemas, administren y controlen mejor sus
recursos para prestar un servicio de alta calidad a los clientes.
Características de ITIL
Está dirigida a directivos, tanto de empresas pequeñas como de empresas
grandes
Abarca enfoques de gestión de estrategia empresarial y de IT.
Las configuraciones se reflejan en una base de datos central que rastrea
automáticamente un ciclo de vida (en el que se registran todos los
cambios, incidentes, errores conocidos, etc.).
Características de ITIL
El ciclo de vida de ITIL tiene las siguientes fases: estrategia, diseño,
transición, operación y mejora continua.
Explica cómo planificar y coordinar actividades de diseño.
Gestión de eventos, problemas y cumplimiento de solicitudes.
Se enfoca en la creación de valor para el cliente, más que en la simple
prestación de servicios.
Diferencias Principales:
•COBIT se centra en el control y la auditoría de los procesos de TI,
mientras que ITIL se enfoca en la gestión de servicios de TI.
•COBIT proporciona un marco de referencia más amplio que cubre
aspectos de gobierno y riesgo, mientras que ITIL se centra
específicamente en la entrega de servicios.
•ITIL se basa en brindar un marco de trabajo de buenas prácticas para
gestionar los servicios de TI, mientras que el objetivo de COBIT es facilitar
el monitoreo y la evaluación de la seguridad de dichos servicios.
•ITIL es una guía para las empresas para gestionar y ejecutar servicios de
IT, mientras que COBIT se usa para la gestión de IT y procesos de
gobernanza.
Similitudes:

•Ambos están orientados a mejorar la eficiencia y eficacia de los procesos

de TI.
•Ambos pueden utilizarse para mejorar la calidad de los servicios de TI y
alinearlos con las necesidades del negocio.
Áreas de Aplicación:

COBIT es especialmente útil para la auditoría y el control de los procesos

de TI, mientras que ITIL es más adecuado para la gestión y entrega de
servicios.
Dependiendo de los objetivos organizacionales, pueden utilizarse de
manera complementaria o independiente.

Que sean marcos diferentes no significa que sean mutuamente

excluyentes. COBIT e ITIL pueden usarse en conjunto, ya que se
complementan siempre que se apliquen correctamente.

COBIT es recomendable para las funciones de gobernanza y

cumplimiento, permitiendo hacer auditorías en la gestión de procesos,
mientras que ITIL ayudará a la empresa a tomar decisiones estratégicas
para gestionar mejor los servicios de TI.
Generalidades del Sistema ERA
¿Qué es el Sistema ERA?
El sistema ERA (Enterprise Risk Administration) es una
herramienta integral diseñada para la gestión de riesgos en una
empresa. Su implementación puede mejorar significativamente la
capacidad de una organización para identificar, evaluar,
monitorear y mitigar los riesgos.
El Sistema ERA es un software especializado en la gestión de
auditorías y la evaluación de riesgos.
Diseñado para ayudar a las organizaciones a realizar auditorías
eficientes y completas.
Funciones Principales:

➢ Desarrollo de Auditorías: Permite planificar, ejecutar y

documentar auditorías internas y externas.
➢ Creación de Matrices de Riesgo: Facilita la identificación,
análisis y evaluación de riesgos.
➢ Valoración del Sistema de Control Interno: Proporciona
herramientas para evaluar la eficacia de los controles internos
existentes.

Beneficios:

➢ Mejora la precisión y eficiencia de las auditorías.

➢ Ayuda a identificar y mitigar riesgos de manera proactiva.
➢ Asegura el cumplimiento de normativas y estándares de
calidad.
 Funciones del Sistema ERA
✓ Planificación de Auditorías:

Definición de Alcance y Objetivos: Establecer los objetivos de la

auditoría y definir el alcance.
Asignación de Recursos: Distribuir los recursos necesarios y
asignar tareas al equipo de auditoría.

✓ Ejecución de Auditorías:

Recolección de Datos: Utilizar herramientas automatizadas para

recolectar y analizar datos.
Documentación de Hallazgos: Registrar observaciones y hallazgos
de manera estructurada y accesible.
 Funciones del Sistema ERA
✓ Creación de Matrices de Riesgo:

Identificación de Riesgos: Identificar posibles riesgos en el entorno

de TI.
Evaluación y Priorización: Evaluar la probabilidad e impacto de
cada riesgo y priorizarlos según su criticidad.

✓ Valoración del Sistema de Control Interno:

Evaluación de Controles: Analizar la eficacia de los controles

internos existentes.
Recomendaciones de Mejora: Proponer mejoras y acciones
correctivas para fortalecer el sistema de control interno.
 Valoración del Sistema de Control Interno
• Importancia de la Valoración:

✓ Garantía de Eficacia: Asegura que los controles internos

están funcionando de manera eficaz para mitigar riesgos.
✓ Cumplimiento Normativo: Ayuda a cumplir con
regulaciones y estándares de auditoría.

• Herramientas de Valoración:

✓ Listas de Verificación: Checklists para revisar el

cumplimiento de procedimientos y controles.
✓ Matrices de Evaluación: Herramientas para evaluar y
puntuar la efectividad de los controles.
 Valoración del Sistema de Control Interno
• Proceso de Valoración:

✓ Identificación de Controles: Listar y describir los controles

internos existentes.
✓ Evaluación de Eficacia: Analizar el desempeño de cada
control y su impacto en la mitigación de riesgos.
✓ Documentación de Resultados: Registrar los hallazgos y
proporcionar recomendaciones para mejorar los controles.