1. CONTROL INTERNO
AUTOR
CARLOS EDUARDO ACEVEDO ARÉVALO
CORPORACIÓN UNIFICADA NACIONAL
SEDE BOGOTÁ - CENTRO
FACULTAD DE INGENIERÍA
AUDITORIA DE SISTEMAS
BOGOTÁ
2015
2. CONTROL INTERNO
Definiciones:
El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo,
en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la
protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y
efectividad de los procesos operativos automatizados. (Auditoría Informática – Aplicaciones en
Producción – José Dagoberto Pinilla)
El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las
estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de
la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán.
También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática – Un Enfoque
Práctico – Mario G. Plattini) Tipos.
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos
tipos:
• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de
informática sin la utilización de herramientas computacionales.
• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de
operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.
Los controles según su finalidad se clasifican en:
• Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
• Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
• Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados
mediante los controles detectivos.
Objetivos principales:
• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas
• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa
• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento
de los servicios informáticos.
• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes
actividades que se realizan.
Control interno informático (función)
3. El Control Interno Informático es una función del departamento de Informática de una
organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas
de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y
disposiciones legales establecidas interna y externamente.
Entre sus funciones específicas están:
• Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de
programadores, técnicos y operadores.
• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los
siguientes aspectos:
• Desarrollo y mantenimiento del software de aplicación.
• Explotación de servidores principales
• Software de Base
• Redes de Computación
• Seguridad Informática
• Licencias de software
• Relaciones contractuales con terceros
• Cultura de riesgo informático en la organización
Control interno informático (áreas de aplicación)
Controles generales organizativos
Son la base para la planificación, control y evaluación por la Dirección General de las actividades
del Departamento de Informática, y debe contener la siguiente planificación:
• Plan Estratégico de Información realizado por el Comité de Informática.
• Plan Informático, realizado por el Departamento de Informática.
• Plan General de Seguridad (física y lógica).
• Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de información
Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de
recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de
Vida de Desarrollo de aplicaciones.
Controles de explotación de sistemas de información
Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del
hardware así como los procedimientos de, instalación y ejecución del software.
Controles en aplicaciones
Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización,
salida, validez y mantenimiento completos y exactos de los datos.
Controles en sistemas de gestión de base de datos
Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y
seguridad.
Controles informáticos sobre redes
Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las
redes instaladas en una organización sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de área local
Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como
del software de usuario, así como la seguridad de los datos que en ellos se procesan.
4. Función de Control;
En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la
seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.
Control interno informático; Cumplen funciones de control dual en los diferentes departamentos,
que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes
determinar los propietarios y los perfiles según la clase de información, permitir a dos personas
intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad
informática, controla la calidad de software, los costos, los responsables de cada departamento,
control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de
controles, es clara que esta medida permite la seguridad informática.
Metodologías de clasificación de información y de obtención de procedimientos de control;
Es establecer cuáles son las entidades de información a proteger, dependiendo del grado de
importancia de la información para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas
que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del
sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos,
control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de
impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia
y control de cambios. Y físicos los cifradores.
CONTROL INTERNO INFORMATICO
El control interno informático controla diariamente que todas las actividades de sistemas de
información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la
dirección de la organización y/o la dirección informática, así como los requerimientos legales.
La función del control interno informático es asegurarse de que las medidas que se obtienen de los
mecanismos implantados por cada responsable sean correctas y válidas.
Control interno informático suele ser un órgano staff de la dirección del departamento de
informática y está dotado de las personas y medios materiales proporcionados a los cometidos
que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas.
Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías externas al
grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso
adecuados del servicio informático, lo cual no debe considerarse como que la implantación de
los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente
en la función de control interno, si no que cada responsable de objetivos y recursos es
responsable de esos niveles, así como de la implantación de los medios de medida adecuados.
5. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si
un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
los eficazmente los fines de la organización y utiliza eficiente mente los recursos.
CONTROL INTERNO
INFORMATICO
AUDITOR
INFORMATICO
SIMILITUDES
PERSONAL INTERNO
Conocimientos especializados en tecnologías de información
verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la dirección informática y la dirección
general para los sistemas de información.
DIFERENCIAS
Análisis de los controles en el día
a día Informa a la dirección del
departamento de informática sólo
personal interno el enlace de sus
funciones es únicamente sobre el
departamento de informática
Análisis de un momento
informático determinado
Informa a la dirección
general de la organización
Personal interno y/o
externo tiene cobertura
sobre todos los
componentes de los
sistemas de información de
la organización
DEFINICION Y TIPO DE CONTROLES INTERNOS
Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes
el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones. etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido
incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.
6. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS
INFORMATICOS
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red,
así como los distintos niveles de control y elementos relacionados:
Entorno de red: esquema de la red, descripción de la configuración hardware de comunicaciones,
descripción del software que se utiliza como acceso a las telecomunicaciones, control de red,
situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y
consideraciones relativas a la seguridad de la red.
Configuración del ordenador base: Configuración del soporte físico, en torno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto de datos.
Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y
entornos de procesos distribuidos.
Productos y herramientas: Software para desarrollo de programas, software de gestión de
bibliotecas y para operaciones automáticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.
Administración de sistemas: Controles sobre la actividad de los centros de datos y otras
funciones de apoyo al sistema, incluyendo la administración de las redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
Gestión del cambio: separación de las pruebas y la producción a nivel del software y
controles de procedimientos para la migración de programas software aprobados y probados.
aabbccddee.galeon.com/winpy.htm
auditoriasistemas.com/…informatica/control–interno/