Está en la página 1de 5

El Control General de las

Tecnologías de Información, Pieza


Fundamental del Control Interno en
las Organizaciones
Por: Ing. Gustavo Lutteroth Echegoyen (glutteroth@hicm.com.mx) con la colaboración de la
Ing. Karen Zambrano (kzambrano@hicm.com.mx)

Las empresas actualmente están muy • Ambiente de Control


interesadas en revisar la situación en la que se
encuentra el control de las actividades que se Para comprender esta estructura de control
realizan en el área de sistemas o tecnologías desde otra perspectiva, vea la figura 1 del
de información (TI). análisis del dominio de información.

Actualmente existe un modelo COSO Figura 1 Dominio del Proceso de Análisis


(Comité de Organizaciones Patrocinadoras,
por sus siglas en inglés) que ve a los controles
en una forma más amplia y define al control
interno como:

• Un proceso
• Es establecido por el consejo de
administración, la administración y el
personal de una entidad
• Diseñado para proporcionar un
aseguramiento razonable

El modelo COSO cambió la estructura de


control de tres elementos (incluidos en el SAS
55) a cinco componentes integrados:

• Monitoreo Para poder realizar un diagnóstico del control


• Información y Comunicación interno, se requiere de personal calificado, en
• Actividades de Control su mayoría auditores, que lleven a cabo una
• Evaluación de Riesgos auditoría dentro de la organización para
poder dar observaciones u oportunidades de proporcionar un nivel razonable de certeza
mejora a sus controles. La realización de la de que se logran los objetivos globales del
auditoría en sistemas de información control interno como son: efectividad,
implantados evitará los fraudes realizados con eficiencia, confidencialidad, integridad,
ayuda del computador y proporcionará disponibilidad, cumplimiento y confiabilidad
información confiable. La evaluación del de la información financiera.
control interno, hace algunos años, estuvo
enfocada al control llevado a cabo a nivel Los controles generales de TI pueden
contable, ya que se deseaba analizar y incluir:
detectar los posibles riesgos del control
interno en diferentes áreas operativas, Preinstalación. Se refiere al
administrativas, contables y en auditoría acondicionamiento físico y medidas de
externa, para aplicar los procedimientos, seguridad en el área donde se localiza el
alcances y pruebas de los estados financieros. equipo de cómputo y a la capacitación de
personal y adquisición o desarrollo de
Existen despachos que se especializan en sistemas.
realizar proyectos referentes al diagnóstico
del control interno de las tecnologías de Controles de organización y
información en las organizaciones, y cada administración. Diseñados para establecer
uno de ellos lleva su propia metodología; sin un marco de referencia organizacional sobre
embargo, la mayoría se basa en la las actividades de TI, incluyendo:
metodología COBIT.
• Políticas y procedimientos relativos a
funciones de control
• Segregación apropiada de funciones
incompatibles (por ejemplo, preparación
de transacciones de entrada a los
sistemas, diseño y programación de
sistemas y operaciones de cómputo)

Desarrollo de sistemas de aplicación y


Control interno informático control de mantenimiento. Diseñados para
proporcionar certeza razonable de que los
Hay diferencias de opinión en torno al sistemas se desarrollan y mantienen de
significado y los objetivos del control interno. manera eficiente y autorizada. También están
Para muchos son los pasos que toma una diseñados para establecer control sobre:
compañía para prevenir fraudes, tanto la
malversación de activos como los informes • Pruebas, conversión, implementación y
financieros fraudulentos, como afirman Ray documentación de sistemas nuevos y
Whittington y Kart Pany. revisados
• Cambios a sistemas
El control interno informático controla • Acceso de documentación de sistemas
diariamente que todas las actividades de los • Adquisición de sistemas de aplicación de
sistemas de información sean realizadas terceros
cumpliendo los procedimientos, estándares y • Verificación de controles sobre los
normas fijados por la dirección de la cambios en la configuración o
organización y/o dirección de informática, así estandarización de sistemas integrados
como los requerimientos legales.

Controles generales

El propósito de los controles generales de TI


es establecer un marco de referencia de
control global sobre las actividades de TI y
Controles de operación de cómputo y de • Procedimientos y controles alternos
seguridad. Diseñados para controlar la durante el incidente de interrupción
operación de los sistemas y proporcionar
certeza razonable de que: Conclusión

• Los sistemas son usados para propósitos Para que un equipo de profesionales logre
autorizados únicamente obtener un resultado homogéneo, como si lo
• El acceso a las operaciones de cómputo hiciera uno solo, es habitual el uso de
es restringido a personal autorizado metodologías en las empresas
• Sólo se usan programas autorizados auditoras/consultoras profesionales, las cuales
• Los errores de procesamiento son son desarrolladas por los más expertos para
detectados y corregidos conseguir resultados homogéneos en equipos
de trabajo heterogéneos.
Controles de software de sistemas.
Diseñados para proporcionar certeza La proliferación de metodologías en el
razonable de que el software del sistema mundo de la auditoría y el control
(sistema operativo) se adquiere o desarrolla informáticos se puede observar en los
de manera autorizada y eficiente, incluyendo: primeros años de la década de los ochenta,
paralelamente al nacimiento y
• Autorización, aprobación, análisis, diseño, comercialización de determinadas
pruebas técnicas, pruebas de usuario, herramientas metodológicas (como el
implementación, liberación y software de análisis de riesgos).
documentación de software de sistemas
nuevos y modificaciones del software de Pero el uso de métodos de auditoría es casi
sistemas paralelo al nacimiento de la informática, en lo
• Restricción de acceso a software y que existen muchas disciplinas, cuyo uso de
documentación de sistemas sólo a metodologías constituyen una práctica
personal autorizado habitual. Una de ellas es la seguridad de los
sistemas de información. Éste y no otro, debe
Controles de entrada de datos y ser el campo de actuación de un auditor
programas (control de acceso). Diseñados informático del siglo XXI.
para proporcionar certeza razonable de que:

• Está establecida una estructura de


autorización sobre las transacciones que
se alimentan al sistema
• El acceso a datos y programas está
restringido a personal autorizado

Hay otras salvaguardas que contribuyen a la


continuidad del procesamiento de TI y a El objetivo de todas las actividades del control
promover razonables prácticas de control, de TI es asegurar la protección de los recursos
manuales o automatizadas, durante una informáticos y mejorar la eficiencia de los
interrupción del sistema principal. Éstas procesos que ya están establecidos en la
pueden incluir: organización; lo que derivará en una mayor
exactitud en los reportes financieros, además
• Respaldo de datos y programas de de que proveerá seguridad a todos aquellos
cómputo en otro sitio relacionados con la empresa.
• Procedimientos de recuperación para
En conclusión, los controles generales de la
usarse en caso de robo, pérdida o
tecnología de información, sin importar que
destrucción intencional o accidental
se trate de controles preventivos, detectivos o
• Provisión para procesamiento externo en
correctivos, son parte importante en la
caso de desastre
evaluación del control interno en las
empresas y representan, por su cobertura
alrededor de los procesos de negocio,
controles clave que asegurarán el
cumplimiento de los objetivos del control
interno, así como los de la información.

© 2008 Castillo Miranda y


Compañía, S.C. es miembro
de Horwath International
Association, una asociación
Suiza.
Cada firma miembro de
Horwath es una entidad legal
separada e independiente.
El contenido de esta
El Ing. Gustavo Lutteroth Echegoyen es Socio de publicación es de carácter
Innovaciones Tecnológicas de Horwath Castillo general.
Miranda. La Ing. Karen Zambrano es Si desea obtener mayor
Especialista en Innovaciones Tecnológicas de información, por favor
contacte a nuestros
Horwath Castillo Miranda. especialistas.

###
Fundada en 1943, Horwath Castillo Miranda es una de las
principales firmas de contadores públicos y consultores de
negocios en México.
Horwath Castillo Miranda provee soluciones de negocio
innovadoras en las áreas de auditoría, impuestos, finanzas
corporativas, consultoría de riesgos, consultoría en
hotelería y turismo, control financiero (outsourcing) y
tecnología.

Nuestra Presencia en México

México Guadalajara Monterrey


Paseo de la Reforma 505-31 Mar Báltico 2240-301 Av. Lázaro Cárdenas 2400 Pte. B-42
06500 México, D.F. 44610 Guadalajara, Jal. 66270 San Pedro Garza García, N.L.
Tel. +52 (55) 8503-4200 Tel. +52 (33) 3817-3747 Tel. +52 (81) 8262-0800
Fax +52 (55) 8503-4277 Fax +52 (33) 3817-0164 Fax +52 (81) 8363-0050
Carlos Garza y Rodríguez Carlos Rivas Ramos José Luis Jasso González
mexico@horwath.com.mx guadalajara@horwath.com.mx monterrey@horwath.com.mx

Aguascalientes Cancún Ciudad Juárez


Fray Pedro de Gante 112 Cereza 37-401 Av. de la Raza 5385-204
20120 Aguascalientes, Ags. 77500 Cancún, Q. Roo 32350 Ciudad Juárez, Chih.
Tel. +52 (449) 914-8619 Tel. +52 (998) 884-0112 Tel. +52 (656) 611-5080
Fax +52 (449) 914-8619 Fax +52 (998) 887-5239 Fax +52 (656) 616-6205
Alejandro Ibarra Romo Luis Fernando Méndez José Martínez Espinoza
aguascalientes@horwath.com.mx cancun@horwath.com.mx cdjuarez@horwath.com.mx

Hermosillo Mérida Mexicali


Paseo Valle Verde 19-A Calle 60 474 Reforma 1507
83200 Hermosillo, Son. 97000 Mérida, Yuc. 21100 Mexicali, B.C.
Tel. +52 (662) 218-1007 Tel. +52 (999) 923-8011 Tel. +52 (686) 551-9624
Fax +52 (662) 260-2176 Fax +52 (999) 923-8011 Fax +52 (686) 551-9824
Humberto García Borbón Manlio Díaz Millet Ramón Espinoza Jiménez
hermosillo@horwath.com.mx merida@horwath.com.mx mexicali@horwath.com.mx

Querétaro Tijuana
Circuito del Mesón 168 Germán Gedovius 10411-204
76039 Querétaro, Qro. 22320 Tijuana, B.C.
Tel. +52 (442) 183-0990 Tel. +52 (664) 634-6110
Fax +52 (442) 183-0990 Fax +52 (664) 634-6114
Aurelio Ramírez Orduña Javier Almada Varona
queretaro@horwath.com.mx tijuana@horwath.com.mx

www.horwath.com.mx