CONTROLES INFORMTICOS

Control Interno
Se puede definir el control interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan
afectar el funcionamiento de un sistema para conseguir sus objetivos.
Los controles cuando se diseen, desarrollen e implementen; han de ser al menos
completos, simples, fiables, revisables, adecuados y rentables. Respecto a esto ltimo
habr que analizar el coste-riesgo de su implementacin.
Los controles internos que se utilizan en el entorno informtico continan
evolucionando hoy en da en la medida que los sistemas informticos se vuelven
complejos. Los progresos que se producen en la tecnologa de soportes fsicos y de
software han modificado de manera significativa los procedimientos que se emplean
tradicionalmente para controlar los procesos de aplicaciones y para gestionar los
sistemas de informacin.
Para asegurar la integridad y la disponibilidad, eficacia de los sistemas se requieren
complejos mecanismos de control, la mayora de los cules son automticos. Resulta
interesante observar, sin embargo, que hasta en los sistemas servidor/cliente
avanzados, aunque algunos controles son completamente automticos, otros son
completamente manuales, y muchos dependen de una combinacin de elementos de
software y de procedimientos.
Histricamente los controles informticos se han clasificado en las siguientes
categoras:
Controles preventivos.

Controles detectivos.

Controles correctivos.

La relacin que existe entre los mtodos de control y los objetivos de control se puede
mostrar mediante el siguiente ejemplo, en el que un mismo conjunto de mtodos de
control se utiliza para satisfacer objetivos de control tanto de mantenimiento cmo de
seguridad de los programas:
Objetivos de control de mantenimiento: Asegurar que las modificaciones de
los procedimientos programados estn adecuadamente diseadas, probadas,
aprobadas e implementadas.
Objetivo de control de seguridad de programas: Garantizar que no se
pueden efectuar cambios no autorizados en los procedimientos programados.
CONTROLES INTERNOS INFORMTICOS
El Control Interno Informtico puede definirse como el sistema integrado al proceso
administrativo, en la planeacin, organizacin, direccin y control de las operaciones
con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar
los ndices de economa, eficiencia y efectividad de los procesos operativos
automatizados. (Auditora Informtica Aplicaciones en Produccin Jos Dagoberto
Pinilla)
El Informe COSO define el Control Interno como Las normas, los procedimientos, las
prcticas y las estructuras organizativas diseadas para proporcionar seguridad
razonable de que los objetivos de la empresa se alcanzarn y que los eventos no
deseados se prevern, se detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
(Auditora Informtica Un Enfoque Prctico Mario G. Plattini)
Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en
controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o
de informtica sin la utilizacin de herramientas computacionales.
Controles Automticos; son generalmente los incorporados en el software, llmense
estos de operacin, de comunicacin, de gestin de base de datos, programas de
aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos, para tratar de evitar la produccin de errores o hechos
fraudulentos, como por ejemplo el software de seguridad que evita el acceso a
personal no autorizado.
Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya
sido posible evitarlos con controles preventivos.
Controles Correctivos; tratan de asegurar que se subsanen todos los errores
identificados mediante los controles detectivos.
Objetivos principales:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y
normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditora Informtica interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce
cumplimiento de los servicios informticos.
Realizar en los diferentes sistemas y entornos informticos el control de las
diferentes actividades que se realizan.
Control interno informtico (funcin)
El Control Interno Informtico es una funcin del departamento de Informtica de una
organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a
los sistemas de informacin automatizados se realicen cumpliendo las normas,
estndares, procedimientos y disposiciones legales establecidas interna y
externamente.
Entre sus funciones especficas estn:
Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al
personal de programadores, tcnicos y operadores.
Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en
los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin
Control interno informtico (reas de aplicacin)
Controles generales organizativos

Son la base para la planificacin, control y evaluacin por la Direccin General

de las actividades del Departamento de Informtica, y debe contener la
siguiente planificacin:
Plan Estratgico de Informacin realizado por el Comit de Informtica.
Plan Informtico, realizado por el Departamento de Informtica.
Plan General de Seguridad (fsica y lgica).
Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de informacin

Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de

datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a
travs de metodologas como la del Ciclo de Vida de Desarrollo de
aplicaciones.
Controles de explotacin de sistemas de informacin

Tienen que ver con la gestin de los recursos tanto a nivel de planificacin,
adquisicin y uso del hardware as como los procedimientos de, instalacin y
ejecucin del software.
 Controles en aplicaciones

Toda aplicacin debe llevar controles incorporados para garantizar la entrada,

actualizacin, salida, validez y mantenimiento completos y exactos de los
datos.
Controles en sistemas de gestin de base de datos

Tienen que ver con la administracin de los datos para asegurar su integridad,
disponibilidad y seguridad.
Controles informticos sobre redes

Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y

funcionamiento de las redes instaladas en una organizacin sean estas
centrales y/o distribuidos.
Controles sobre computadores y redes de rea local

Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto

del hardware como del software de usuario, as como la seguridad de los datos
que en ellos se procesan.
CONTROL INTERNO INFORMATICO
El control interno informtico controla diariamente que todas las actividades de
sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y
normas fijados por la direccin de la organizacin y/o la direccin informtica, as
como los requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
vlidas.
Control interno informtico suele ser un rgano staff de la direccin del departamento
de informtica y est dotado de las personas y medios materiales proporcionados a los
cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:
Controlar que todas las actividades se realicen cumpliendo los procedimientos
y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las
normas legales.
Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informtica, as como de las

auditoras externas al grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los casos adecuados del servicio informtico, lo cual no debe considerarse
como que la implantacin de los mecanismos de medida y responsabilidad del
logro de esos niveles se ubique exclusivamente en la funcin de control
interno, si no que cada responsable de objetivos y recursos es responsable de
esos niveles, as como de la implantacin de los medios de medida adecuados.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente
mente los recursos.

CONTROL INTERNO AUDITOR INFORMTICO

INFORMTICO
SIMILITUDES PERSONAL INTERNO
Conocimientos especializados en tecnologas de
informacin verificacin del cumplimiento de controles
internos, normativa y procedimientos establecidos por
la direccin informtica y la direccin general para los
sistemas de informacin.
DIFERENCIAS Anlisis de los controles Anlisis de un momento
en el da a da. Informa a informtico determinado.
la direccin del Informa a la direccin
departamento de general de la
informtica slo personal organizacin. Personal
interno el enlace de sus interno y/o externo tiene
funciones es nicamente cobertura sobre todos los
sobre el departamento de componentes de los
informtica sistemas de informacin
de la organizacin

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones,
etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacin de un fichero daado a
partir de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS

Para llegar a conocer la configuracin del sistema es necesario documentar los
detalles de la red, as como los distintos niveles de control y elementos relacionados:
o Entorno de red: Esquema de la red, descripcin de la configuracin hardware
de comunicaciones, descripcin del software que se utiliza como acceso a las
 telecomunicaciones, control de red, situacin general de los ordenadores de
entornos de base que soportan aplicaciones crticas y consideraciones relativas
a la seguridad de la red.
o Configuracin del ordenador base: Configuracin del soporte fsico, en torno
del sistema operativo, software con particiones, entornos (pruebas y real),
bibliotecas de programas y conjunto de datos.
o Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de
base de datos y entornos de procesos distribuidos.
o Productos y herramientas: Software para desarrollo de programas, software
de gestin de bibliotecas y para operaciones automticas.
o Seguridad del ordenador base: Identificar y verificar usuarios, control de
acceso, registro e informacin, integridad del sistema, controles de supervisin,
etc.

Para la implantacin de un sistema de controles internos informticos habr que

definir:
Gestin de sistema de informacin: Polticas, pautas y normas tcnicas que
sirvan de base para el diseo y la implantacin de los sistemas de informacin
y de los controles correspondientes.
Administracin de sistemas: Controles sobre la actividad de los centros de
datos y otras funciones de apoyo al sistema, incluyendo la administracin de
las redes.
Seguridad: Incluye las tres clases de controles fundamentales implantados en
el software del sistema, integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.
Gestin del cambio: Separacin de las pruebas y la produccin a nivel del
software y controles de procedimientos para la migracin de programas
software aprobados y probados.

CONCLUSIONES