2. Design by Jorge Gálvez
Donde hay una empresa de éxito,
alguien tomó alguna vez una
decisión valiente.
Peter Druker.
(Abogado Austríaco)
3. Design by Jorge Gálvez
Controles Internos de las Tecnología de Información
Para José Dagoberto Pinilla el Control Interno Informático puede
definirse como el sistema integrado al proceso administrativo, en la
planeación, organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos informáticos y
mejorar los índices de economía, eficiencia y efectividad de los
procesos operativos automatizados.
El control interno informático controla diariamente
que todas las actividades de sistemas de información
sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la
organización y/o la dirección informática, así como
los requerimientos legales.
4. Design by Jorge Gálvez
La función del control interno informático es asegurarse de que las
medidas que se obtienen de los mecanismos implantados por cada
responsable sean correctas y válidas. (Misión)
Control interno informático suele ser un equipo de trabajo derivado
de la dirección del departamento de informática y está dotado de las
personas y medios materiales proporcionados a los cometidos que se
le encomienden.
El auditor debe asegurarse que los controles
internos diseñados por la institución, mitiguen en
gran medida los riesgos residuales obtenidos en el
análisis de riesgos, siendo factible y con menor
inversión la administración de éstos, valor agregado
que podrá denotar el auditor de TIC’s.
5. Design by Jorge Gálvez
La evaluación de Control Interno aporta a la entidad elementos de
medición de la gestión informática y de la cultura informática; al área
de TIC´s le brinda indicadores de satisfacción de usuarios, tanto por
las aplicaciones, como por el nivel de servicio que proporciona de la
seguridad lógica y administración de plataformas tecnológicas, que
los alerta sobre las posibles fallas de seguridad y le brinda
retroalimentación sobre políticas y medidas de control, que podrían
mejorar el funcionamiento de los equipos.
Esta revisión permite a la alta gerencia reforzar el área
para que cumpla sus objetivos y soporte, las
estrategias del negocio, y de igual forma brinda la
oportunidad de definir acciones preventivas y adoptar
alternativas de mejora continua de sus servicios.
6. Design by Jorge Gálvez
En el ambiente informático, el control interno se materializa
fundamentalmente en controles de dos tipos:
• Controles Manuales: Aquellos que son ejecutados por el personal
del área usuaria o de informática sin la utilización de herramientas
computacionales.
• Controles Automáticos: Son generalmente los incorporados en el
software, llámense estos de operación, de comunicación, de gestión
de base de datos, programas de aplicación, etc.
De estos podemos destacar 5 tipos esenciales de controles:
1. Controles Directivos
2. Controles Preventivos
3. Controles Detectores
4. Controles Correctivos
5. Controles de Recuperación
7. Design by Jorge Gálvez
Controles Directivos: Son todos aquellos procedimientos, estructuras
funcionales, directivas, políticas y normas estratégicas, emanadas
desde la gerencia general de la organización a efectos de delimitar la
gestión estratégica de la organización y que dicha gestión esté en
sintonía de los objetivos de la empresa.
Controles Preventivos: Son procedimientos
administrativos ya sea manuales o automatizados
destinados a prevenir antes de que ocurran o se
materialicen riesgos que pueden afectar la
seguridad física y lógica de las áreas; impactando
negativamente en la continuidad de las operaciones
del negocio.
8. Design by Jorge Gálvez
Controles Detectores: Son todos aquellos procedimientos
administrativos orientados a detectar la ocurrencia o materialización,
de los riesgos o acciones indeseadas que pueden afectar la seguridad
física o lógica de las áreas, impactando negativamente en el que
hacer del negocio.
Controles Correctivos: Son todos aquellos
procedimientos administrativos orientados a
corregir o restaurar un objeto que haya sufrido la
ocurrencia o materialización de algún riesgo, es
decir fue vulnerado o violentado, afectando su
funcionamiento optimo y en ocasiones
inhabilitándolo del los procesos de negocio.
9. Design by Jorge Gálvez
Controles de Recuperación: Son todos aquellos procedimientos
administrativos orientados a recuperar la capacidad de operación,
servicio y gestión de negocio como producto de una materialización
de alguna vulnerabilidad o caída de sistemas . Por lo cual su foco de
atención es minimizar el daño colateral de esa materialización para el
negocio.
El auditor debe asegurarse que el control interno haya
sido implementado, monitoreando periódicamente
esto con el fin de ser una medida preventiva, que
permita anticiparse a situaciones que pongan en
peligro la información o la continuidad de las
operaciones de organización. O identificar a tiempo
oportunidades de mejora o desviaciones de las
estrategias TIC´s implementadas.
10. Design by Jorge Gálvez
Preguntas , Respuestas y Comentarios.