El documento describe los diferentes tipos y elementos de control interno informático. Explica que el control interno informático se define como cualquier actividad para prevenir errores o irregularidades que puedan afectar el funcionamiento de un sistema. Además, clasifica los controles en preventivos, detectivos y correctivos, y describe varios controles automáticos y administrativos para garantizar la seguridad, exactitud y privacidad de la información.
2. Control
Conjunto de disposiciones metódicas,
cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello
permite verificar si todo se realiza
conforme a los programas adoptados,
ordenes impartidas y principios
admitidos.
3. Acciones del Control
Se considera que el control produce
dos tipos de acciones según sea el
ámbito donde se aplique:
Influencia directiva, intenta que las
actividades del sistema se realicen de
modo tal que produzcan determinados
resultados o alcancen objetivos
específicos predefinidos.
Influencia restrictiva, la acción se
ejerce de modo tal que evite que las
actividades de un sistema produzcan
resultados no deseados.
4. Elementos de Control
Elemento: característica o condición a controlar.
Sensor: artefacto o método para medir las
características o condiciones controladas, es
decir instrumento para medir el rendimiento.
Grupo de control: unidad o equipo de control
para comparar los datos medidos con el
rendimiento planeado. Determina la necesidad
de corrección y envía la información a los
mecanismos que deben normalizar o corregir la
producción del sistema
Grupo activante: mecanismo activador que es
capaz de producir un cambio en el sistema
operante, es decir, realizar la acción correctiva
correspondiente.
5. Tipos de control
De acuerdo a su
objetivo
Correctivos
Miden las desviaciones
e informan sobre ellas
No correctivos
Prescinden de la
medición e informacion
de los desvíos que se
pueden producir
6. Tipos de control
De acuerdo a su
marco temporal
Retroalimentados
Comparan los
resultados
obtenidos con los
esperados
Prealimentados
Previenen la
ocurrencia de
resultados
indeseados
7. Tipos de control
De acuerdo a su
pertenencia
De secuencia
abierta
El grupo de control
es independiente del
sistema operante
De secuencia
cerrada
Todos los elementos
de control
pertenecen al propio
sistema operante
8. Etapas de control
Establecimiento de estándares:
es la acción de determinar el/los
parámetro/s sobre los cuales se
ejercerá el control y,
posteriormente, el estado o valor de
esos parámetros considerado
deseable.
Comparación o diagnóstico:
implica el cotejo entre los
resultados reales con los
deseables.
9. La determinación de acciones correctivas: Lleva implícita una
decisión: corregir o dejar como está
La ejecución de las acciones correctivas: Sin éste, el control será
estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta
al problema que intentó solucionar. Por ello, se considera que sin esta
etapa simplemente no ha existido una acción de control.
10. Control Interno Informático
Se define como cualquier
actividad o acción realizada para
prevenir, corregir errores o
irregularidades que puedan
afectar el funcionamiento de un
sistema para conseguir sus
objetivos.
11. Clasificación del control interno informático
• Tratar de evitar o prevenir una acción
• Ejemplo: Software de seguridad evita los accesos
no autorizados
Controles
Preventivos
• Cuando fallan los preventivos para tratar de
conocer cuanto antes el evento
• Ejemplo: Registro de intentos de acceso no
autorizados
Controles
Detectivos
• Facilitan restaurar a la normalidad cuando se han
producido fallas
• Ejemplo: Recuperación de un archivo dañado a
partir de las copias de seguridad
Controles
Correctivos
12. Control Interno en el área de informática
Controles internos sobre la organización:
Dirección
División del trabajo
Asignación de responsabilidad y
autoridad
Establecimiento de estándares y
métodos
Perfiles de puestos
13. Estandarización de metodologías
para el desarrollo de proyectos
Asegurar que el beneficiario de
los sistemas sea el óptimo
Elaborar estudios de factibilidad
del sistema
Garantizar la eficiencia y la
eficacia en el análisis y diseño de
sistemas
Vigilar la efectividad y eficiencia
de la implementación y
mantenimiento del sistema
Optimizar el uso del sistema por
medio de su documentación.
Control Interno sobre el análisis, desarrollo e
implementación de sistemas informáticos
14. Controles internos sobre la operación del
Sistemas
Prevenir y corregir errores de operación
Prevenir y evitar la manipulación fraudulenta de la información
Implementar y mantener la seguridad de la operación
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el
procesamiento de la información de la institución
15. Controles internos sobre los procedimientos de
Entrada, Procesamiento y Salida de resultados
Verificar la existencia y funcionamiento de los procedimientos de
captura de datos
Comprobar que todos los datos sean debidamente procesados
Verificar la confiabilidad, veracidad y exactitud del procesamiento
de datos
Comprobar la oportunidad, confiabilidad y veracidad de la emisión
de los resultados del procesamiento de información
16. Controles Internos sobre la Seguridad del
área de Sistemas
Prevenir y evitar las amenazas, riesgos y contingencias que
inciden en el área de sistematización
Seguridad física del área de sistemas
Seguridad lógica de los sistemas
Seguridad de las bases de datos
Operación de los sistemas informáticos
Seguridad del personal de informática
Seguridad de la telecomunicación de datos
Seguridad de redes y sistemas multiusuarios
17. Controles físicos y lógicos
Autenticidad
Permiten verificar la identidad
1. Passwords
2. Firmas digitales
Exactitud
Aseguran la coherencia de los datos
1. Validación de campos
2. Validación de excesos
Totalidad
Evitan la omisión de registros así como garantizan la conclusión de un proceso de envío
1. Conteo de registros
2. Cifras de control
Redundancia
Evitan la duplicidad de datos
1. Cancelación de lotes
2. Verificación de secuencias
Privacidad
Aseguran la protección de los datos
1. Compactación
2. Encriptación
18. Existencia
Aseguran la disponibilidad de los datos
1. Bitácora de estados
2. Mantenimiento de activos
Protección de Activos
Destrucción o corrupción de información o del hardware
1. Extintores
2. Passwords
Efectividad
Aseguran el logro de los objetivos
1. Encuestas de satisfacción
2. Medición de niveles de servicio
Eficiencia
Aseguran el uso óptimo de los recursos
1. Programas monitores
2. Análisis costo-beneficio
19. Controles automáticos o lógicos
Periodicidad de cambio de claves de acceso
• Los cambios de las claves de acceso a los programas se deben realizar
periódicamente.
• El no cambiar las claves periódicamente aumenta la posibilidad de que personas no
autorizadas conozcan y utilicen claves de usuarios del sistema informático.
• Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Combinación de alfanuméricos en claves de acceso
No es conveniente que la clave este compuesta por códigos de empleados, ya que
una persona no autorizada a través de pruebas simples o de deducciones puede
dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
◦ Individuales: Pertenecen a un solo usuario, por tanto es individual y personal.
Esta clave permite al momento de efectuar las transacciones registrar a los
responsables de cualquier cambio.
◦ Confidenciales: De forma confidencial los usuarios deberán ser instruidos
formalmente respecto al uso de las claves.
◦ No significativas: Las claves no deben corresponder a números secuenciales ni
a nombres o fechas.
20. Controles automáticos o lógicos
Verificación de datos de entrada
Incluir rutinas que verifiquen la compatibilidad de los datos más no su exactitud o
precisión; tal es el caso de la validación del tipo de datos que contienen los
campos o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en crear campos de memoria para ir acumulando cada registro que se
ingresa y verificar con los totales ya registrados.
Totales de Control
Se realiza mediante la creación de totales de línea, columnas, cantidad de
formularios, cifras de control, etc. , y automáticamente verificar con un campo en
el cual se van acumulando los registros, separando solo aquellos formularios o
registros con diferencias.
Verificación de limites
Consiste en la verificación automática de tablas, códigos, limites mínimos y
máximos o bajo determinadas condiciones dadas previamente.
21. Controles automáticos o lógicos
Verificación de secuencias
En ciertos procesos los registros deben observar cierta secuencia numérica o
alfabética, ascendente o descendente, esta verificación debe hacerse mediante
rutinas independientes del programa en si.
Dígito auto-verificador
Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado
de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la
corrección o no del código.
Utilizar software de seguridad en los microcomputadores
El software de seguridad permite restringir el acceso al computador, de tal modo que
solo el personal autorizado pueda utilizarlo.
Adicionalmente, este software permite reforzar la segregación de funciones y la
confidencialidad de la información mediante controles para que los usuarios puedan
accesar solo a los programas y datos para los que están autorizados.
Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.
22. Controles administrativos en un ambiente de
Procesamiento de Datos
1. Controles de
Pre-instalación
2. Controles de
Organización y
Planificación
3. Controles
de Sistemas
en Desarrollo
y Producción
4. Controles de
Procesamiento
5. Controles
de Operación
6. Controles de Uso de
computadores
23. Control Interno y Auditoría Informático
Control Interno Informático Auditor Informático
Similitudes
Conocimientos especializados en Tecnología de la Información
Verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Dirección de Informática y la
Dirección General para los sistemas de información
Diferencias
Análisis de los controles en el día a
día
Análisis de un momento
informático determinado
Informa a la Dirección del
Depatamento de Informática
Informa a la Dirección General
de la Organización
Sólo personal interno Personal interno y/o externo
El alcance de sus funciones es
únicamente sobre el Departamento
de Infomática
Tiene cobertura sobre todos los
componentes de los sistemas
de información de la
Organización