CONTROL INTERNO INFORMATICO.

SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL

CONTROL INTERNO
Definiciones
El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo,
en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la
proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y
efectividad de los procesos operativos automatizados. (Auditora Informtica Aplicaciones en
Produccin Jos Dagoberto Pinilla)
El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las
estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de
la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o
automticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos. (Auditora Informtica Un Enfoque
Prctico Mario G. Plattini) Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos
tipos:
Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica
sin la utilizacin de herramientas computacionales.
Controles Automticos; son generalmente los incorporados en el software, llmense estos de
operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos, para tratar de evitar la produccin de errores o hechos fraudulentos, como
por ejemplo el software de seguridad que evita el acceso a personal no autorizado.
Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible
evitarlos con controles preventivos.
Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante
los controles detectivos.
Objetivos principales:
Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados,
evaluar su bondad y asegurarse del cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas

 Colaborar y apoyar el trabajo de Auditora Informtica interna/externa

Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de
los servicios informticos.
Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades
que se realizan.
Control interno informtico (funcin)
El Control Interno Informtico es una funcin del departamento de Informtica de una organizacin,
cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin
automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones
legales establecidas interna y externamente.
Entre sus funciones especficas estn:
Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de
programadores, tcnicos y operadores.
Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes
aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin
Control interno informtico (reas de aplicacin)
controles generales organizativos
Son la base para la planificacin, control y evaluacin por la Direccin General de las actividades del
Departamento de Informtica, y debe contener la siguiente planificacin:
Plan Estratgico de Informacin realizado por el Comit de Informtica.

 Plan Informtico, realizado por el Departamento de Informtica.

Plan General de Seguridad (fsica y lgica).
Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de informacin
Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de
recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de
Vida de Desarrollo de aplicaciones.
Controles de explotacin de sistemas de informacin
Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del
hardware as como los procedimientos de, instalacin y ejecucin del software.
Controles en aplicaciones
Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida,
validez y mantenimiento completos y exactos de los datos.
Controles en sistemas de gestin de base de datos
Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y
seguridad.
Controles informticos sobre redes
Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes
instaladas en una organizacin sean estas centrales y/o distribuidos.
Controles sobre computadores y redes de rea local
Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del hardware como
del software de usuario, as como la seguridad de los datos que en ellos se procesan.
Funcin de Control;
En la auditoria Informtica; esta tiene funcin de vigilancia y evaluacin mediante dictmenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalan eficiencia, costos y la
seguridad con mayor visin, y realizan evaluaciones de tipo cualitativo.
Control interno informtico; Cumplen funciones de control dual en los diferentes departamentos,
que puede ser normativa, marco jurdico, la funciones del control interno es la siguientes determinar
los propietarios y los perfiles segn la clase de informacin, permitir a dos personas intervenir como
medida de control, realizar planes de contingencias, dictar normas de seguridad informtica, controla
la calidad de software, los costos, los responsables de cada departamento, control de licencias,
manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta
medida permite la seguridad informtica.

Metodologas de clasificacin de informacin y de obtencin de procedimientos de control;

Es establecer cuales son las entidades de informacin a proteger, dependiendo del grado de
importancia de la informacin para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto lgico son programas
que brindar seguridad, las principales herramientas son las siguientes; seguridad lgica del sistema,
seguridad lgica complementaria del sistema, seguridad lgica en entornos distribuidos, control de
acceso fsico, control de copias, gestin de soporte magnticos, gestin de control de impresin y
envo de listados por red, control de proyectos y versiones , gestin de independencia y control de
cambios. Y fisiocs los cifradores.
CONTROL INTERNO INFORMATICO
El control interno informtico controla diariamente que todas las actividades de sistemas
de informacin sean realizadas cumpliendo los procedimientos, estndares y normas
fijados por la direccin de la organizacin y/o la direccin informtica, as como los
requerimientos legales.
La funcin del control interno informtico es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas.
Control interno informtico suele ser un rgano staf de la direccin del departamento de
informtica y est dotado de las personas y medios materiales proporcionados a los
cometidos que se le encomienden.
Como principales objetivos podemos indicar los siguientes:

Controlar que todas las actividades se realicen cumpliendo los procedimientos y

normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas
legales.

Asesorar sobre el conocimiento de las normas.

Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditorias

externas al grupo.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de

los graso adecuados del servicio informtico, lo cual no debe considerarse como que
la implantacin de los mecanismos de medida y responsabilidad del logro de esos
niveles se ubique exclusivamente en la funcin de control interno, si no que cada
responsable de objetivos y recursos es responsable de esos niveles, as como de la
implantacin de los medios de medida adecuados.
La auditoria informtica es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad
de los datos, lleva a cabo los eficazmente los fines de la organizacin y utiliza eficiente
mente los recursos.

CONTROL
INTERNO
INFORMATICO
SIMILITUDES

AUDITOR
INFORMATICO

PERSONAL INTERNO
Conocimientos especializados en tecnologas de
informacin verificacin del cumplimiento de
controles internos, normativa y procedimientos

establecidos por la direccin informtica y la

direccin general para los sistemas de informacin.

DIFERENCIAS

Anlisis de los controles

en el da a daInforma a
la
direccin
del
departamento
de
informtica slo personal
interno el enlace de sus
funciones es nicamente
sobre el departamento
de informtica

Anlisis
de
un
momento
informtico
determinadoInforma
a
la
direccin
general
de
la
organizacinPerson
al
interno
y/o
externo
tiene
cobertura
sobre
todos
los
componentes de los
sistemas
de
informacin de la
organizacin

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de

seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer

cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados,
el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han

producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de
las copias de seguridad.
IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS
Para llegar a conocer la configuracin del sistema es necesario documentar los detalles
de la red, as como los distintos niveles de control y elementos relacionados:

Entorno de red:esquema de la red, descripcin de la configuracin hardware de

comunicaciones, descripcin del software que se utiliza como acceso a las
telecomunicaciones, control de red, situacin general de los ordenadores de entornos
de base que soportan aplicaciones crticas y consideraciones relativas a la seguridad
de la red.

Configuracin del ordenador base: Configuracin del soporte fsico, en torno

del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas
de programas y conjunto de datos.

Entorno de aplicaciones: Procesos de transacciones, sistemas de gestin de

base de datos y entornos de procesos distribuidos.

Productos y herramientas: Software para desarrollo de programas, software de

gestin de bibliotecas y para operaciones automticas.

Seguridad del ordenador base: Identificar y verificar usuarios, control de

acceso, registro e informacin, integridad del sistema, controles de supervisin, etc.
Para la implantacin de un sistema de controles internos informticos habr que definir:

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que

sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los
controles correspondientes.

Administracin de sistemas: Controles sobre la actividad de los centros de

datos y otras funciones de apoyo al sistema, incluyendo la administracin de las
redes.

Seguridad: incluye las tres clases de controles fundamentales implantados en el

software del sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.

Gestin del cambio: separacin de las pruebas y la produccin a nivel del

software y controles de procedimientos para la migracin de programas software
aprobados y probados.