SlideShare ist ein Scribd-Unternehmen logo

Metodologias de control interno

Als DOCX, PDF herunterladen
Rolando Arguello
Rolando Arguello
1 von 12
METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICA LA NORMATIVA Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como práctico, desde lo general a lo particular. Debe inspirarse en: Políticas Marco jurídico Políticas y normas de la empresa Experiencia Prácticas profesionales CONTROL INTERNO INFORMATICO. SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL Función de Control; En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo. Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informática. Metodologías de clasificación de información y de obtención de procedimientos de control;
Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de importancia de la información para el establecimiento de contramedidas. Herramientas de control; Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los cifradores ANALISIS DE PLATAFORMAS Se trata de en determinar la plataforma para la colocación del producto más tarde. CATALOGOS DE REQUERIMIENTOS PREVIOS DE IMPLANTACION Es determinar el inventario de lo que se va a conseguir y también lo necesario para la implantación; acciones y proyectos, calendarizados y su duración y seguimiento. ANALISIS DE APLICACIÓN Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente software de seguridad de las aplicaciones y bases de datos. INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS
Es determinar los controles que se deben tener por parte de los usuarios de las aplicaciones como de los del sistema y permite establecer que si el nuevo esquema de control no pierde los objetivos de control. ADMINISTEACION DE SEGURIDAD Es la observación de los diferentes productos para la control loa cuales deben de tener; reglas de control aplicables a todos los recursos del sistema, permitir al administrador la seguridad de establecer un perfil de privilegios de acceso para el usuario, designación de diferentes administradores, permitir el producto al administrador de establecer privilegios a grupos y limitarlos en estas peticiones. SINGLE SING ON Este concepto se define como la utilización de un software password para tener una identificación para un usuario. FACILIDAD DE USO Y REPORTING Trata de la interfaz y la calidad de interfaz (interfaz gráfica, menús, etc.). SEGURIDAD Está relacionado con la contraseña, la identificación , la contraseña mínima. LA ORGANIZACION La integran las personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Sin el nada es posible. Funciones Procedimientos
Planes (seguridad, contingencia, Auditorías, etc.) LAS METODOLOGIAS Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. LOS OBJETIVOS DE CONTROL Son los objetivos a cumplir en el control de procesos y solamente de un planteamiento correcto de los mismos saldrán unos procedimientos eficaces y realistas. LOS PROCEDIMIENTOS DE CONTROL Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección. TECNOLOGIA DE SEGURIDAD Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informático. (Cifradores, autentificadores, equipos “tolerantes al fallo” etc.) LAS HERRAMIENTAS DE CONTROL Son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objeto de control. Organización interna de la Seguridad Informática METODOLOGIAS DE EVALUACION DE SISTEMAS DOS METODOLOGIAS A EVALUAR: Auditoría Informática  solo identifica el nivel de “exposición” por falta de controles. Análisis de Riesgos  facilita la “evaluación” de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. Definiciones para profundizar en estas metodologías Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).
Definiciones para profundizar en estas metodologías Riesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.). TIPOS DE METODOLOGIAS Cuantitativas  basadas en un modelo matemático numérico que ayuda a la realización del trabajo. Cualitativas  basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada. METODOLOGIAS MÁS COMUNES Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales. DIFERENCIAS ENTRE AUDITORIA Y CONTROL INTERNO INFORMÀTICO LA AUDITORÍA INFORMÁTICA * Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van encaminadas a esta función. - * Tiene sus propios objetivos distintos a los auditores de cuentas. - * Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para evaluaciones financieras y operativas. * Evalúan eficiencia, costo y seguridad en su más amplia visión. - * Operan según el plan auditor. - * Establecen planes con tiempos definidos y ciclos completos. - * Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada y el resultado de la última auditoría de esta área. * Función de soporte informático de todos los auditores. CONTROL INTERNO INFORMÀTICO
CONTROL INTERNO INFORMÁTICO * Funciones de control dual con otros departamentos. - * Función normativa y del cumplimiento del marco jurídico. - * Tiene funciones propias (Administración de la Seguridad lógica, etc....) * Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. - * Dictar normas de seguridad informática. - * Definir los procedimientos de control. - * Control de soportes físicos. - * Control de información sensible o comprometida. - * Control de calidad del servicio informático. - * Definición de requerimientos de seguridad en proyectos nuevos. • Control de cambios y versiones. • El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática. CLASIFICACIÓN DE LA INFORMACION ENTIDAD DE INFORMACIÓN: Objetivo a proteger en el entorno informático, y que la clasificación de la información nos ayudará a proteger especializando las contramedidas según el nivel de confidencialidad o importancia que tengan. Está metodología de del tipo cualitativo/subjetivo, y tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede añadir en la herramienta niveles o jerarquías, estándares y objetivos a cumplir por nivel y ayudas de contramedidas. Las jerarquías se clasifican de la siguiente manera: - Altamente Confidencial. - Confidencial - Restringida
No sensible METODOLOGÍA LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES: 1. Identificación de la información. 2. Inventario de entidades de información residente y operativa (Programas, Ficheros de Datos, Estructuras de Datos, Soportes de Información, etc... 3. Identificación de Propietarios (Los que necesitan para su trabajo, usan o custodian la información) 4. Definición de jerarquías de Información. (Antes mencionadas) 5. Definición de la matriz de Clasificación. 6. Confección de la matriz de Clasificación. 7. Realización del plan de Acciones. 8. Implantación y Mantenimiento METODOLOGÍA Fase 1.- Definición de Objetivos de Control. (Tres Tareas) Tarea 1. Análisis de la Empresa.- Estudio de los procesos, organigramas y funciones Tarea 2. Recopilación de Estándares.- Todas las fuentes de información necesarias para conseguir definir los objetivos de control a cumplir. (ISO, ITSEC, CISA ) Tarea 3. Definición de los Objetivos de Control. Fase II.- Definición de los Controles Tarea 1. Definición de los Controles.- Con los Objetivos de Control Definidos, analizamos los procesos y vamos definiendo los distintos controles que se necesiten. Tarea 2. Definición de Necesidades Tecnológicas (HW y Herramientas de control)
Tarea 3. Definición de los Procedimientos de Control.- Se desarrollan los distintos procedimientos que se generan en las áreas usuarias, informática, control informático y control no informático. Tarea 4.- Definición de las Necesidades de Recursos Humanos Fase III.- Implantación de los Controles Ya definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta más que implantarlos en forma de acciones específicas. Una vez terminada la implantación habrá que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes serán: - Procedimientos propios de Control de la Actividad Informática - Procedimiento de distintas áreas usuarias de la informática, mejorados. - Procedimientos de áreas informáticas, mejorados. - Procedimientos de control dual entre control interno informático y el área informática, los usuarios informáticos, y el área de control no informático. LAS HERRAMIENTAS DE CONTROL Las herramientas de control son elementos SW que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada. Las herramientas de control más comunes son: - Seguridad lógica del sistema. - Seguridad lógica complementaria al sistema (Desarrollado a medida) - Seguridad lógica para entornos distribuidos. - Control de acceso físico. Control de Presencia. - Control de copias - Gestión de soportes magnéticos. - Control de proyectos. - Control de versiones. Control de cambios.
ANÁLISIS DE PLATAFORMAS Consiste en inventariar las múltiples plataformas actuales y futuras (Windows, Unix, etc...) Que más tarde nos servirán para saber que productos del mercado nos pueden ser válidos, tanto los productos actuales como los futuros planes que tengan los fabricantes. CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIÓN Esta herramienta inventaría las limitaciones, así como lo necesario para la implantación, inventariado como acciones y proyectos, calendarizados, y su duración para seguimiento y desarrollo. ANÁLISIS DE APLICACIONES Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos SW de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberían entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto / interfaces soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de actividad. INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS Tratar de definir los controles que se deberían tener, ya sea de usuarios de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas. Es importante tomar en cuenta el punto de la situación de la administración de la seguridad lógica en los distintos entornos y las características de las contraseñas, así como la operativa tanto de los usuarios como de los distintos sistemas como de las distintas administraciones de seguridad y el control de entrada y reportes. Todo esto para hacer un análisis de mejoras y pérdidas o limitaciones en los nuevos escenarios con los SW de control de los entornos distribuidos, según convenga para elegir el mejor en costo/beneficio. SEGURIDAD ADMINISTRACIÓN DE LA SEGURIDAD Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad física y lógica requerida por la organización.
Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un completo control sobre los miembros de la organización. SEGURIDAD SEGURIDADES: Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites de longitud para el acceso a dicho producto. ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL. Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control. TIPOS DE CONTROLES TIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA APLICACIÓN: Antes que nada se debe programar una revisión y estos son los pasos para elaborarla: 1) Identificar el área a revisar 2) Identificar las informaciones necesarias para la auditoria y para las pruebas 3) Obtener información sobre el sistema, aquí se definen los objetivos y el alcance de la auditoria 4) Obtener un conocimiento detallado de la aplicación del sistema 5) Identificar los puntos de control críticos en el sistema 6) Diseño y elaboración de los procedimientos de la auditoria Ejecución de pruebas en los puntos críticos de control. TIPOS DE CONTROLES CONTROLES DE PREPARACION DE DATOS: Aquí se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en la forma de un manual de usuario, así como revisar los documentos fuente.
Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribución de informes. Revisar los procedimientos de corrección de errores. CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha límite. Verificar el uso de métodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema Revisar los procedimientos de corrección de errores. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES DE SALIDA DE DATOS: v Ver si hay establecidos controles internos automatizados de proceso de validación. v Restriccion de la posibilidad de pasar por encima de procesos de validación v Aceptación por los usuarios finales de todas las transacciones y cálculos de la aplicación Ver los controles sobre la entrada de datos. CONTROLES DE DOCUMENTACION: ü Comprobar que los jefes de área se informen de faltas de documentación adecuada para sus empleados. ü Destrucción de toda la documentación de antiguos sistemas. La existencia de documentación de sistemas, programas, de operación y de usuario para cada aplicación ya implantada. CONTROLES DE BACKUP Y REARRANQUE • Existencia de un plan de contingencia • Identificación de aplicaciones y ficheros de datos críticos para el plan de contingencia • Revisar los contratos del plan de contingencia y backup para determinar su adecuación y actualización. • Existencia de procesos manuales para sistemas críticos en el caso de fallo de contingencia Actualización del plan de contingencia cuando es necesario; pruebas anuales.
CONTROLES SOBRE PROGRAMAS DE AUDITORIA: • Uso de SW de auditoría únicamente por personas autorizadas. • Participación del auditor en la adquisición o modificación de paquetes de SW de auditoría. Revisión de tablas de contraseñas para asegurar que no se guardan identificaciones y contraseñas de personas que han causado baja. CONTROLES DE LA SATISFACCION DE LOS USUARIOS: o Disponibilidad de políticas y procedimientos sobre el acceso y uso de la información. o Resultados fiables, completos, puntuales y exactos de las aplicaciones. o Satisfacción de los usuarios con la información que produce la aplicación. Se elaboran las conclusiones basadas sobre la evidencia; lo que deberá ser suficiente, relevante, fiable, disponible, comprobable y útil. INFORME PREVIO: Para mantener una buena relación con el área auditada se emite un informe de los principales puntos de la revisión, esto a a los responsables del área revisada la posibilidad de contribuir en la elaboración del informe final. INFORME FINAL DE LA REVISION: Se emite el informe final después de una reunión con los responsables del área implicados en la revisión, y el contenido del informe deberá describir los puntos de control interno de la siguiente manera: a) Opinión global (conclusiones) b) Problemas específicos c) Explicación de la violación de cuantos controles internos, planes organizacionales, estándares y normas. Descripción de los riesgos, exposición o pérdidas que resultarían de las violaciones.

Empfohlen

Auditoria en el sector publico
Auditoria en el sector publicoAuditoria en el sector publico
Auditoria en el sector publico
Cesar Omar Hernandez Rodriguez
 
Control Interno Clientes
Control Interno ClientesControl Interno Clientes
Control Interno Clientes
iejcg
 
Guia De Auditoria 2 Planificacion
Guia De Auditoria 2 PlanificacionGuia De Auditoria 2 Planificacion
Guia De Auditoria 2 Planificacion
Uro Cacho
 
Riesgos y evidencia de auditoria (1)
Riesgos y evidencia de auditoria (1)Riesgos y evidencia de auditoria (1)
Riesgos y evidencia de auditoria (1)
Edwin Armando
 
Programas de auditoria (1)
Programas de auditoria (1)Programas de auditoria (1)
Programas de auditoria (1)
Kenia Perla
 
PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...
PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...
PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...
miguelserrano5851127
 
Ponencia "Plan de auditoría interna con base a riesgos".
Ponencia "Plan de auditoría interna con base a riesgos".Ponencia "Plan de auditoría interna con base a riesgos".
Ponencia "Plan de auditoría interna con base a riesgos".
GobAnt
 
Planificación preliminar.
Planificación preliminar.Planificación preliminar.
Planificación preliminar.
jimmy mero
 

Empfohlen

Auditoria en el sector publico
Auditoria en el sector publicoAuditoria en el sector publico
Auditoria en el sector publico
Cesar Omar Hernandez Rodriguez
 
Control Interno Clientes
Control Interno ClientesControl Interno Clientes
Control Interno Clientes
iejcg
 
Guia De Auditoria 2 Planificacion
Guia De Auditoria 2 PlanificacionGuia De Auditoria 2 Planificacion
Guia De Auditoria 2 Planificacion
Uro Cacho
 
Riesgos y evidencia de auditoria (1)
Riesgos y evidencia de auditoria (1)Riesgos y evidencia de auditoria (1)
Riesgos y evidencia de auditoria (1)
Edwin Armando
 
Programas de auditoria (1)
Programas de auditoria (1)Programas de auditoria (1)
Programas de auditoria (1)
Kenia Perla
 
PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...
PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...
PUNTOS DE VISTA SOBRE EL CONTROL SIMULTÁNEO – 26.JUL.2014 – Dr. MIGUEL AGUILA...
miguelserrano5851127
 
Ponencia "Plan de auditoría interna con base a riesgos".
Ponencia "Plan de auditoría interna con base a riesgos".Ponencia "Plan de auditoría interna con base a riesgos".
Ponencia "Plan de auditoría interna con base a riesgos".
GobAnt
 
Planificación preliminar.
Planificación preliminar.Planificación preliminar.
Planificación preliminar.
jimmy mero
 
La Estructura del Control Interno
La Estructura del Control InternoLa Estructura del Control Interno
La Estructura del Control Interno
Jesús Rodolfo Andrade León
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power point
Meinzul ND
 
Control interno
Control internoControl interno
Control interno
Nombre Apellidos
 
Dictamen de auditoria
Dictamen de auditoriaDictamen de auditoria
Dictamen de auditoria
Joselyn Castañeda
 
Auditoria financiera
Auditoria financieraAuditoria financiera
Auditoria financiera
Bessy Masiel Orbe Gonzáles
 
Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo
Alfredo Hernandez
 
Auditoria operativa
Auditoria operativaAuditoria operativa
Auditoria operativa
enzo gonzalo carbajal
 
Planeación de una auditoría
Planeación de una auditoríaPlaneación de una auditoría
Planeación de una auditoría
Uts Extensión Punto Fijo
 
La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases
600582
 
Auditoria - Control interno
Auditoria - Control internoAuditoria - Control interno
Auditoria - Control interno
Henry Salom
 
Auditoria riesgos
Auditoria riesgosAuditoria riesgos
Auditoria riesgos
Vicente Luis torres Alva
 
Diapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlDiapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de control
LauraMedina56
 
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxNAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
Ramón Alexander Paula Reynoso
 
auditoria de gestion
auditoria de gestionauditoria de gestion
auditoria de gestion
ABBEY0106
 
auditoria financiera
auditoria financieraauditoria financiera
auditoria financiera
Pedro Scamardella
 
Auditoría
AuditoríaAuditoría
Auditoría
Vivian-ITC
 
INDICADORES DE GESTION AUDITORIA
INDICADORES DE GESTION AUDITORIAINDICADORES DE GESTION AUDITORIA
INDICADORES DE GESTION AUDITORIA
XSilvitax Feliz En Jesucristo
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
miguelserrano5851127
 
Auditoria de contingencias
Auditoria de contingenciasAuditoria de contingencias
Auditoria de contingencias
VictorLopezP
 
EVIDENCIAS DE AUDITORIA
EVIDENCIAS DE AUDITORIAEVIDENCIAS DE AUDITORIA
EVIDENCIAS DE AUDITORIA
Juan José Sandoval Zapata
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
fabianovasquez
 
Control interno
Control internoControl interno
Control interno
carlos eduardo arevalo
 

Weitere ähnliche Inhalte

Was ist angesagt?

La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases
600582
 
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxNAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
Ramón Alexander Paula Reynoso
 
auditoria de gestion
auditoria de gestionauditoria de gestion
auditoria de gestion
ABBEY0106
 

Was ist angesagt? (20)

La Estructura del Control Interno
La Estructura del Control InternoLa Estructura del Control Interno
La Estructura del Control Interno
 
Evaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power pointEvaluacion de riesgos_en_auditoria-power point
Evaluacion de riesgos_en_auditoria-power point
 
Control interno
Control internoControl interno
Control interno
 
Dictamen de auditoria
Dictamen de auditoriaDictamen de auditoria
Dictamen de auditoria
 
Auditoria financiera
Auditoria financieraAuditoria financiera
Auditoria financiera
 
Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo Planeación de la auditoria y ejemplo
Planeación de la auditoria y ejemplo
 
Auditoria operativa
Auditoria operativaAuditoria operativa
Auditoria operativa
 
Planeación de una auditoría
Planeación de una auditoríaPlaneación de una auditoría
Planeación de una auditoría
 
La práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fasesLa práctica de la auditoria se divide en tres fases
La práctica de la auditoria se divide en tres fases
 
Auditoria - Control interno
Auditoria - Control internoAuditoria - Control interno
Auditoria - Control interno
 
Auditoria riesgos
Auditoria riesgosAuditoria riesgos
Auditoria riesgos
 
Diapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de controlDiapositivas finales auditoria ambiente de control
Diapositivas finales auditoria ambiente de control
 
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsxNAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
NAGAS - Evidencia Suficiente y Competente - CURNE - UASD.ppsx
 
auditoria de gestion
auditoria de gestionauditoria de gestion
auditoria de gestion
 
auditoria financiera
auditoria financieraauditoria financiera
auditoria financiera
 
Auditoría
AuditoríaAuditoría
Auditoría
 
INDICADORES DE GESTION AUDITORIA
INDICADORES DE GESTION AUDITORIAINDICADORES DE GESTION AUDITORIA
INDICADORES DE GESTION AUDITORIA
 
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
Evaluación del Diseño y Efectividad de los Controles Internos 12.MAR.2014 - D...
 
Auditoria de contingencias
Auditoria de contingenciasAuditoria de contingencias
Auditoria de contingencias
 
EVIDENCIAS DE AUDITORIA
EVIDENCIAS DE AUDITORIAEVIDENCIAS DE AUDITORIA
EVIDENCIAS DE AUDITORIA
 

Ähnlich wie Metodologias de control interno

introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemas
UPTM
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
Meztli Valeriano Orozco
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
Danny Israel Ligua Heras
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
UNEFA
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
edithua
 
Auditoria sist
Auditoria sistAuditoria sist
Auditoria sist
zope04
 
Auditoria sist
Auditoria sistAuditoria sist
Auditoria sist
zope04
 
diapositivas auditoria de sistemas
diapositivas auditoria de sistemasdiapositivas auditoria de sistemas
diapositivas auditoria de sistemas
nelsyjazmin
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
Edna Lasso
 

Ähnlich wie Metodologias de control interno (20)

Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Control interno
Control internoControl interno
Control interno
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemas
 
1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?1.9 ¿Que es una Auditoria de Seguridad?
1.9 ¿Que es una Auditoria de Seguridad?
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Control a los sistemas de informacion
Control a los sistemas de informacionControl a los sistemas de informacion
Control a los sistemas de informacion
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Auditoria sist
Auditoria sistAuditoria sist
Auditoria sist
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Auditoria sist
Auditoria sistAuditoria sist
Auditoria sist
 
Auditoria sist
Auditoria sistAuditoria sist
Auditoria sist
 
diapositivas auditoria de sistemas
diapositivas auditoria de sistemasdiapositivas auditoria de sistemas
diapositivas auditoria de sistemas
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdf
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 

Metodologias de control interno

  • 1. METODOLOGIAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORIA INFORMATICA LA NORMATIVA Debe definir de forma clara y precisa todo lo que debe existir y ser cumplido, tanto desde el punto de vista conceptual, como práctico, desde lo general a lo particular. Debe inspirarse en: Políticas Marco jurídico Políticas y normas de la empresa Experiencia Prácticas profesionales CONTROL INTERNO INFORMATICO. SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL Función de Control; En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo. Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informática. Metodologías de clasificación de información y de obtención de procedimientos de control;
  • 2. Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de importancia de la información para el establecimiento de contramedidas. Herramientas de control; Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia y control de cambios. Y físicos los cifradores ANALISIS DE PLATAFORMAS Se trata de en determinar la plataforma para la colocación del producto más tarde. CATALOGOS DE REQUERIMIENTOS PREVIOS DE IMPLANTACION Es determinar el inventario de lo que se va a conseguir y también lo necesario para la implantación; acciones y proyectos, calendarizados y su duración y seguimiento. ANALISIS DE APLICACIÓN Se trata de inventariar las necesidades de desarrollo de INTERFASES con el diferente software de seguridad de las aplicaciones y bases de datos. INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS
  • 3. Es determinar los controles que se deben tener por parte de los usuarios de las aplicaciones como de los del sistema y permite establecer que si el nuevo esquema de control no pierde los objetivos de control. ADMINISTEACION DE SEGURIDAD Es la observación de los diferentes productos para la control loa cuales deben de tener; reglas de control aplicables a todos los recursos del sistema, permitir al administrador la seguridad de establecer un perfil de privilegios de acceso para el usuario, designación de diferentes administradores, permitir el producto al administrador de establecer privilegios a grupos y limitarlos en estas peticiones. SINGLE SING ON Este concepto se define como la utilización de un software password para tener una identificación para un usuario. FACILIDAD DE USO Y REPORTING Trata de la interfaz y la calidad de interfaz (interfaz gráfica, menús, etc.). SEGURIDAD Está relacionado con la contraseña, la identificación , la contraseña mínima. LA ORGANIZACION La integran las personas con funciones específicas y con actuaciones concretas, procedimientos definidos metodológicamente y aprobados por la dirección de la empresa. Sin el nada es posible. Funciones Procedimientos
  • 4. Planes (seguridad, contingencia, Auditorías, etc.) LAS METODOLOGIAS Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. LOS OBJETIVOS DE CONTROL Son los objetivos a cumplir en el control de procesos y solamente de un planteamiento correcto de los mismos saldrán unos procedimientos eficaces y realistas. LOS PROCEDIMIENTOS DE CONTROL Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos con una metodología apropiada, para la consecución de uno o varios objetivos de control, y por lo tanto deben estar documentados y aprobados por la Dirección. TECNOLOGIA DE SEGURIDAD Dentro de la tecnología de seguridad están los elementos, ya sean hardware o software, que ayudaran a controlar un riesgo informático. (Cifradores, autentificadores, equipos “tolerantes al fallo” etc.) LAS HERRAMIENTAS DE CONTROL Son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objeto de control. Organización interna de la Seguridad Informática METODOLOGIAS DE EVALUACION DE SISTEMAS DOS METODOLOGIAS A EVALUAR: Auditoría Informática  solo identifica el nivel de “exposición” por falta de controles. Análisis de Riesgos  facilita la “evaluación” de los riesgos y recomienda acciones en base al costo-beneficio de las mismas. Definiciones para profundizar en estas metodologías Amenaza  una persona o cosa vista como posible fuente de peligro o catástrofe (inundación, incendio, robo de datos, sabotaje, agujeros publicados, etc.) Vulnerabilidad  la situación creada, por la falta de uno o varios controles, con los que la amenaza pudiera acaecer y así afectar al entorno informático (falta de control de acceso logico, de versiones, inexistencia de un control de soporte magnético, etc.).
  • 5. Definiciones para profundizar en estas metodologías Riesgo  la probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad (los datos estadísticos de cada evento de una base de datos de incidentes). Exposición o Impacto  la evaluación del efecto del riesgo. (es frecuente evaluar el impacto en términos económicos, aunque no siempre lo es, como vidas humanas, imágenes de la empresa, honor, etc.). TIPOS DE METODOLOGIAS Cuantitativas  basadas en un modelo matemático numérico que ayuda a la realización del trabajo. Cualitativas  basadas en un criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base a experiencia acumulada. METODOLOGIAS MÁS COMUNES Las metodologías más comunes de evaluación de sistemas que podemos encontrar son de análisis de riesgos y de diagnósticos de seguridad, las de plan de contingencias, y las de auditoría de controles generales. DIFERENCIAS ENTRE AUDITORIA Y CONTROL INTERNO INFORMÀTICO LA AUDITORÍA INFORMÁTICA * Tiene la función de vigilancia y evaluación mediante dictámenes y todas las metodologías van encaminadas a esta función. - * Tiene sus propios objetivos distintos a los auditores de cuentas. - * Los auditores de cuentas la necesitan para utilizar la información de sus sistemas para evaluaciones financieras y operativas. * Evalúan eficiencia, costo y seguridad en su más amplia visión. - * Operan según el plan auditor. - * Establecen planes con tiempos definidos y ciclos completos. - * Sistemas de evaluación de repetición de auditoría por nivel de exposición del área auditada y el resultado de la última auditoría de esta área. * Función de soporte informático de todos los auditores. CONTROL INTERNO INFORMÀTICO
  • 6. CONTROL INTERNO INFORMÁTICO * Funciones de control dual con otros departamentos. - * Función normativa y del cumplimiento del marco jurídico. - * Tiene funciones propias (Administración de la Seguridad lógica, etc....) * Responsable del desarrollo y actualización del plan de contingencias, manuales de procedimientos y plan de seguridad. - * Dictar normas de seguridad informática. - * Definir los procedimientos de control. - * Control de soportes físicos. - * Control de información sensible o comprometida. - * Control de calidad del servicio informático. - * Definición de requerimientos de seguridad en proyectos nuevos. • Control de cambios y versiones. • El control informático es el componente de la actuación segura entre los usuarios, la informática y control interno, todos ellos auditados por auditoría informática. CLASIFICACIÓN DE LA INFORMACION ENTIDAD DE INFORMACIÓN: Objetivo a proteger en el entorno informático, y que la clasificación de la información nos ayudará a proteger especializando las contramedidas según el nivel de confidencialidad o importancia que tengan. Está metodología de del tipo cualitativo/subjetivo, y tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede añadir en la herramienta niveles o jerarquías, estándares y objetivos a cumplir por nivel y ayudas de contramedidas. Las jerarquías se clasifican de la siguiente manera: - Altamente Confidencial. - Confidencial - Restringida
  • 7. No sensible METODOLOGÍA LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES: 1. Identificación de la información. 2. Inventario de entidades de información residente y operativa (Programas, Ficheros de Datos, Estructuras de Datos, Soportes de Información, etc... 3. Identificación de Propietarios (Los que necesitan para su trabajo, usan o custodian la información) 4. Definición de jerarquías de Información. (Antes mencionadas) 5. Definición de la matriz de Clasificación. 6. Confección de la matriz de Clasificación. 7. Realización del plan de Acciones. 8. Implantación y Mantenimiento METODOLOGÍA Fase 1.- Definición de Objetivos de Control. (Tres Tareas) Tarea 1. Análisis de la Empresa.- Estudio de los procesos, organigramas y funciones Tarea 2. Recopilación de Estándares.- Todas las fuentes de información necesarias para conseguir definir los objetivos de control a cumplir. (ISO, ITSEC, CISA ) Tarea 3. Definición de los Objetivos de Control. Fase II.- Definición de los Controles Tarea 1. Definición de los Controles.- Con los Objetivos de Control Definidos, analizamos los procesos y vamos definiendo los distintos controles que se necesiten. Tarea 2. Definición de Necesidades Tecnológicas (HW y Herramientas de control)
  • 8. Tarea 3. Definición de los Procedimientos de Control.- Se desarrollan los distintos procedimientos que se generan en las áreas usuarias, informática, control informático y control no informático. Tarea 4.- Definición de las Necesidades de Recursos Humanos Fase III.- Implantación de los Controles Ya definidos los controles, las herramientas de control y los recursos humanos necesarios, no resta más que implantarlos en forma de acciones específicas. Una vez terminada la implantación habrá que documentar los procedimientos nuevos y revisar los afectados de cambio. Los procedimientos resultantes serán: - Procedimientos propios de Control de la Actividad Informática - Procedimiento de distintas áreas usuarias de la informática, mejorados. - Procedimientos de áreas informáticas, mejorados. - Procedimientos de control dual entre control interno informático y el área informática, los usuarios informáticos, y el área de control no informático. LAS HERRAMIENTAS DE CONTROL Las herramientas de control son elementos SW que por sus características funcionales permiten vertebrar un control de una manera más actual y más automatizada. Las herramientas de control más comunes son: - Seguridad lógica del sistema. - Seguridad lógica complementaria al sistema (Desarrollado a medida) - Seguridad lógica para entornos distribuidos. - Control de acceso físico. Control de Presencia. - Control de copias - Gestión de soportes magnéticos. - Control de proyectos. - Control de versiones. Control de cambios.
  • 9. ANÁLISIS DE PLATAFORMAS Consiste en inventariar las múltiples plataformas actuales y futuras (Windows, Unix, etc...) Que más tarde nos servirán para saber que productos del mercado nos pueden ser válidos, tanto los productos actuales como los futuros planes que tengan los fabricantes. CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIÓN Esta herramienta inventaría las limitaciones, así como lo necesario para la implantación, inventariado como acciones y proyectos, calendarizados, y su duración para seguimiento y desarrollo. ANÁLISIS DE APLICACIONES Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos SW de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberían entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto / interfaces soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de actividad. INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS Tratar de definir los controles que se deberían tener, ya sea de usuarios de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas. Es importante tomar en cuenta el punto de la situación de la administración de la seguridad lógica en los distintos entornos y las características de las contraseñas, así como la operativa tanto de los usuarios como de los distintos sistemas como de las distintas administraciones de seguridad y el control de entrada y reportes. Todo esto para hacer un análisis de mejoras y pérdidas o limitaciones en los nuevos escenarios con los SW de control de los entornos distribuidos, según convenga para elegir el mejor en costo/beneficio. SEGURIDAD ADMINISTRACIÓN DE LA SEGURIDAD Tenemos que considerar si los sistemas nos permiten realizar todas las actividades normales con los criterios de seguridad física y lógica requerida por la organización.
  • 10. Definir los perfiles y las comunicaciones con cada área de la empresa para llevar un completo control sobre los miembros de la organización. SEGURIDAD SEGURIDADES: Aquí se usa lo clásico en cada producto, que cada persona tenga su password con límites de longitud para el acceso a dicho producto. ADQUISICION, INSTALACIÓN E IMPLANTACION, MANUALES DE PROCEDIMIENTOS DE CONTROL. Con todos los pasos anteriores, lo único que queda por hacer es comprar el producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los procesos de control. TIPOS DE CONTROLES TIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA APLICACIÓN: Antes que nada se debe programar una revisión y estos son los pasos para elaborarla: 1) Identificar el área a revisar 2) Identificar las informaciones necesarias para la auditoria y para las pruebas 3) Obtener información sobre el sistema, aquí se definen los objetivos y el alcance de la auditoria 4) Obtener un conocimiento detallado de la aplicación del sistema 5) Identificar los puntos de control críticos en el sistema 6) Diseño y elaboración de los procedimientos de la auditoria Ejecución de pruebas en los puntos críticos de control. TIPOS DE CONTROLES CONTROLES DE PREPARACION DE DATOS: Aquí se revisan los procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en la forma de un manual de usuario, así como revisar los documentos fuente.
  • 11. Comprobar la existencia y seguimiento de calendarios de entrada de datos y de distribución de informes. Revisar los procedimientos de corrección de errores. CONTROLES DE ENTRADA DE DATOS: Establecer los procedimientos de entrada y control de datos que explican las revisiones necesarias de entradas y salidas, con fecha límite. Verificar el uso de métodos preventivos para evitar la entrada incorrecta de datos funciones de ayuda a la pantalla Determinar que los datos se verifican en el momento de su entrada al sistema Revisar los procedimientos de corrección de errores. CONTROLES DE TRATAMIENTO Y ACTUALIZACION DE DATOS: CONTROLES DE SALIDA DE DATOS: v Ver si hay establecidos controles internos automatizados de proceso de validación. v Restriccion de la posibilidad de pasar por encima de procesos de validación v Aceptación por los usuarios finales de todas las transacciones y cálculos de la aplicación Ver los controles sobre la entrada de datos. CONTROLES DE DOCUMENTACION: ü Comprobar que los jefes de área se informen de faltas de documentación adecuada para sus empleados. ü Destrucción de toda la documentación de antiguos sistemas. La existencia de documentación de sistemas, programas, de operación y de usuario para cada aplicación ya implantada. CONTROLES DE BACKUP Y REARRANQUE • Existencia de un plan de contingencia • Identificación de aplicaciones y ficheros de datos críticos para el plan de contingencia • Revisar los contratos del plan de contingencia y backup para determinar su adecuación y actualización. • Existencia de procesos manuales para sistemas críticos en el caso de fallo de contingencia Actualización del plan de contingencia cuando es necesario; pruebas anuales.
  • 12. CONTROLES SOBRE PROGRAMAS DE AUDITORIA: • Uso de SW de auditoría únicamente por personas autorizadas. • Participación del auditor en la adquisición o modificación de paquetes de SW de auditoría. Revisión de tablas de contraseñas para asegurar que no se guardan identificaciones y contraseñas de personas que han causado baja. CONTROLES DE LA SATISFACCION DE LOS USUARIOS: o Disponibilidad de políticas y procedimientos sobre el acceso y uso de la información. o Resultados fiables, completos, puntuales y exactos de las aplicaciones. o Satisfacción de los usuarios con la información que produce la aplicación. Se elaboran las conclusiones basadas sobre la evidencia; lo que deberá ser suficiente, relevante, fiable, disponible, comprobable y útil. INFORME PREVIO: Para mantener una buena relación con el área auditada se emite un informe de los principales puntos de la revisión, esto a a los responsables del área revisada la posibilidad de contribuir en la elaboración del informe final. INFORME FINAL DE LA REVISION: Se emite el informe final después de una reunión con los responsables del área implicados en la revisión, y el contenido del informe deberá describir los puntos de control interno de la siguiente manera: a) Opinión global (conclusiones) b) Problemas específicos c) Explicación de la violación de cuantos controles internos, planes organizacionales, estándares y normas. Descripción de los riesgos, exposición o pérdidas que resultarían de las violaciones.