CONTROL INTERNO

Conjunto de normas, principios, fundamentos, procesos,

procedimientos, acciones, mecanismos, técnicas e
instrumentos de control que, ordenados, relacionados entre sí
y unidos a las personas que conforman una institución, se
constituye en un medio para lograr una función administrativa
íntegra, eficaz y transparente, es una herramienta para el
logro del cumplimiento de los objetivos con ética, eficiencia y
transparencia.
CONTROLES
Es una serie de normas, técnicas y procedimientos, a través
de las cuales se mide y corrige el desempeño de una
actividad para asegurar la consecución de los resultados
esperados.
Tipos de controles
• controles preventivos Anticipan eventos no deseados
antes de que sucedan.
 Son más rentables
 Deben quedar incorporados en los sistemas
 Evitan costos de corrección o reproceso
Ejemplo: El software de seguridad que evita el acceso a
personal no autorizado, para tratar de evitar la
producción de errores o hechos fraudulentos. Backups,
claves firewall.
• controles disuasivos Son aquellos que no hacen algo
como tal para detener, están ahí nos ayudan solo con su
presencia, pero no reaccionan. Ej: Cámaras de seguridad
mensajes de advertencia
• controles correctivos: Corregir, actualizar, limpieza.
1. Reducir el impacto de una amenaza
2. Remediar los problemas descubiertos por los controles
detectivos
3. Identificar la causa de un problema
4. Corregir los errores que surjan de un problema
5. Modificar el (los) sistema(s) de procesamiento para reducir
las futuras ocurrencias del problema

Ejemplos
* Planificación de contingencia
* Procedimientos de respaldo
* Procedimientos para volver a hacer una corrida
ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN
• ISO/IEC 27000-series
• COBIT
• ITIL
ISO/IEC 27000-series
• La serie de normas ISO/IEC 27000 son estándares de
seguridad publicados por la Organización Internacional para
la Estandarización (ISO) y la Comisión Electrotécnica
Internacional (IEC).
• La serie contiene las mejores prácticas recomendadas en
Seguridad de la información para desarrollar, implementar y
mantener especificaciones para los Sistemas de Gestión de
la Seguridad de la Información (SGSI).
COBIT
• Objetivos de Control para la información y Tecnologías
relacionadas (COBIT, en inglés: Control Objectives for
Information and related Technology)
• Es un conjunto de mejores prácticas para el manejo de
información creado por la Asociación para la Auditoria y
Control de Sistemas de Información, (ISACA, en inglés:
Information Systems Audit and Control Association), y el
Instituto de Administración de las Tecnologías de la
Información (ITGI, en inglés: IT Governance Institute) en
1992.
ITIL
• La Information Technology Infrastructure Library ("Biblioteca
de Infraestructura de Tecnologías de Información"),
frecuentemente abreviada ITIL.
• Es un marco de trabajo de las mejores prácticas destinadas
a facilitar la entrega de servicios de tecnologías de la
información (TI) de alta calidad. ITIL resume un extenso
conjunto de procedimientos de gestión ideados para ayudar a
las organizaciones a lograr calidad y eficiencia en las
operaciones de TI
AUDITORIA DE SISTEMAS Y AUDITORÍA INFORMÁTICA
El campo de acción de la auditoria informática es:
• La evaluación administrativa del área de informática.
• La evaluación de los sistemas y procedimientos, y de la
eficiencia que se tiene en el uso de la información.
• La evaluación del procesamiento de datos, de los sistemas y
de los equipos de cómputo (software, hardware, redes, bases
de datos, comunicaciones).
• La seguridad y confidencialidad de la información.
Diferencias entre la auditoría administrativa, auditoría
contable y auditoria en informática
En el siguiente cuadro comparativo se señalan las principales
diferencias entre las diferentes auditorías.

IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA

✓Durante años se ha detectado en las organizaciones el
desaprovechamiento y despilfarro de los recursos y el uso
inadecuado de los mismos, especialmente en el área de
informática, se ha mostrado el interés por llegar a la meta sin
importar el costo y los problemas de productividad.
✓El propósito de la revisión de la auditoria en informática es
el de verificar que los recursos, es decir, información,
aplicaciones, infraestructura, recursos humanos y
presupuestos, sean adecuadamente coordinados y vigilados
por la gerencia o la dirección de las organizaciones.
 CONTROL INTERNO
TODOS LOS FACTORES DE LA PIRAMIDE INTERVIENEN
EN LA COMPOSICION DE UNA CONTRAMEDIDA

LA NORMATIVA
• DEBE DEFINIR DE FORMA CLARA Y PRECISA TODO LO
QUE DEBE EXISTIR Y SER CUMPLIDO , TANTO DESDE EL
PUNTO DE VISTA CONCEPTUAL, COMO PRÁCTICO,
DESDE LO GENERAL A LO PARTICULAR. DEBE
INSPIRARSE EN :
• POLÍTICAS • MARCO JURÍDICO • POLITICAS Y NORMAS
DE LA EMPRESA • EXPERIENCIA • PRÁCTICAS
PROFESIONALES
LA ORGANIZACIÓN
• LA INTEGRAN LAS PERSONAS CON FUNCIONES
ESPECIFICAS Y CON ACTUACIONES CONCRETAS,
PROCEDIMIENTOS DEFINIDOS METODOLÓGICAMENTE
Y APROBADOS POR LA DIRECCION DE LA EMPRESA.
SIN EL NADA ES POSIBLE.
• FUNCIONES • PROCEDIMIENTOS • PLANES
(SEGURIDAD, CONTINGENCIA, AUDITORÍAS, ETC.)
LAS METODOLOGIAS
• SON NECESARIAS PARA DESARROLLAR CUALQUIER
PROYETO QUE NOS PROPONGAMOS DE MANERA
ORDENADA Y EFICAZ.
LOS OBJETIVOS DE CONTROL
• SON LOS OBJETIVOS A CUMPLIR EN EL CONTROL DE
PROCESOS Y SOLAMENTE DE UN PLANTEAMIENTO
CORRECTO DE LOS MISMOS SALDRÁN UNOS
PROCEDIMIENTOS EFICACES Y REALISTAS.
LOS PROCEDIMIENTOS DE CONTROL
• SON LOS PROCEDIMIENTOS OPERATIVOS DE LAS
DISTINTAS ÁREAS DE LA EMPRESA, OBTENIDOS CON
UNA METODOLOGÍA APROPIADA, PARA LA
CONSECUCIÓN DE UNO O VARIOS OBJETIVOS DE
CONTROL, Y POR LO TANTO DEDEN ESTAR
DOCUMENTADOS Y APROBADOS POR LA DIRECCIÓN.
TECNOLOGIA DE SEGURIDAD
• DENTRO DE LA TECNOLOGÍA DE SEGURIDAD ESTÁN
LOS ELEMENTOS, YA SEAN HARDWARE O SOFTWARE,
QUE AYUDARAN A CONTROLAR UN RIESGO
INFORMÁTICO. (CIFRADORES, AUTENTIFICADORES,
EQUIPOS “TOLERANTES AL FALLO” ETC.)
LAS HERRAMIENTAS DE CONTROL
• SON ELEMENTOS SOFTWARE QUE PERMITEN DEFINIR
UNO O VARIOS PROCEDIMIENTOS DE CONTROL PARA
CUMPLIR UNA NORMATIVA Y UN OBJETO DE CONTROL.
ORGANIZACIÓN INTERNA DE LA SEGURIDAD
INFORMÁTICA.