Unidad 2: Controles Internos Informáticos

INDICE DEL CONTENIDO

Contenido………………………………………………………………………………….…Página

Introducción…………………………………………………………………………………………..3

2.1 Conceptos fundamentales de control y controles internos……………………………………………4

2.1.2 Conceptos de controles internos…………………………………………………………………………………6

2.1.3 Objetivos del control interno………………………………………………………………….7

2.1.4 Elementos de control interno……………………………………………………………...…8

2.2 Controles internos organizacionales…………………………………………………………………………….10

2.3 Controles internos para el análisis, desarrollo e implementación de sistemas……………11

2.4 Controles internos para la operación de los sistemas………………………………………………….12

2.5 Controles internos para procedimientos de entrada de datos, procesamiento y

Salida de la información……………………………………………………………………………………………………..13

2.6 Controles internos para las redes y telecomunicaciones…………………………………………….15

2.7 Controles internos para la seguridad de TI……………………………………………………………………16

Bibliografía……………………………………………………………………………………………19

2
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

INTRODUCCION

El nacimiento de la tecnología de la información para las organizaciones ha traído muchos

beneficios, entre los que se encuentra atender un gran número de usuario en menor
tiempo y de manera más exacta. Estos avances tienen sus riesgos que hasta cierto punto
pueden afectar los objetivos de la empresa.

Si bien es cierto que la información se ha convertido en el activo más importante para la

organización, los directivos de TI deben velar para que ésta esté protegida. Para ello se
deben establecer controles internos –reglas, normas, políticas y procedimientos que
especifican como se deben realizar las operaciones de una empresa- a los sistemas
informáticos: software, infraestructura, personal, así como a los procesos que permiten las
operaciones de los sistemas.

En esta unidad trataremos controles organizacionales, para el análisis, desarrollo e

implementación de sistemas, para la operación de los sistemas, para procedimientos de
entrada de datos, procesamiento y salida de la información, para las redes y
telecomunicaciones y para la seguridad de TI.

3
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.1 Conceptos fundamentales de control

En la unidad No. 1 vimos que la auditoría de sistema tiene como objetivo determinar cómo
se está gestionando la seguridad de la información en una organización, si la misma
cuenta con los debidos controles y si estos se están administrando de manera adecuada.

Podemos decir que un control es cualquier regla o pauta – aceptada y cumplida en igual
condiciones- que se fija para lograr un objetivo.
“Según Carlos Muñoz en su obra Auditoría de Sistemas computacionales, el control es una de las fases del
proceso administrativo y se encarga de evaluar que los resultados obtenido durante el ejercicio se hayan
cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre
el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones
encontradas; todo ella para incrementar la eficiencia y eficacia de una institución.

Control. Es el conjunto de reglas, normas, políticas y

procedimientos que especifican como se deben realizar las
operaciones de una empresa.

Objetivos del control.

Antes de establecer un control en una organización lo más importante es entender
cuáles son los objetivos que se pretenden para su implementación.
Carlos muñoz en su libro Auditoría de Sistemas computacionales, establece los
siguientes objetivos de control para cualquier organización.

 Se adopta para poder establecer estándares, medir su cumplimiento y

evaluar el alcance real de los planes y programas, comparado con lo
realmente alcanzado.

4
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

 Con su adopción se ayuda en la protección y salvaguarda de los bienes y

activos de las empresas.
 Con su adopción se contribuye a la planeación y evaluación correctas del
cumplimiento de las funciones, actividades y operaciones de las empresas.
 Ayuda permanentemente a la buena marcha de la empresa, pues
retroalimenta la trayectoria de la misma.
 Junto a la planeación, el control es una parte indispensable en las actividades
de dirección de cualquier empresa.

Un control es efectivo cuando cumple con las siguientes características:

 Oportuno: se refiere a la presentación a tiempo de los resultados, justamente

en el momento indicado.

 Cuantificable: que se pueda comparar los resultados obtenidos con los

esperados.
 Calificable: que puedan ser medibles ya sea de manera cuantitativa o
cualitativa.
 Confiable: que los resultados sean correctos y valorados con los mismos
parámetros.
 Estándares y normas de evaluación: una vez medido los resultados, estos se
deben comparar con las normas y estándares previamente establecidos.

Luego de conocer y entender la definición de control debemos entrar en materia.

5
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.1.2 Concepto de Controles internos

“Control interno es la adopción de una serie de medidas que se establecen en las

empresas, con el propósito de contar con instrumentos tendentes a salvaguardar la
integridad de los bienes institucionales y así ayudar a la administración y cumplimiento
correctos de las actividades y operaciones de las empresas” Carlos Muñoz.
Expresa que con la implantación de tales medidas se pueden conseguir los siguientes
beneficios:

 Proteger y salvaguardar los bienes de la empresa y a su personal.

 Prevenir y descubrir la presencia de fraudes, robos y acciones dolorosas.
 Obtener la información contable, financiera y administrativa de manera confiable y
oportuna.
 Promover el desarrollo correcto de las funciones, operaciones y actividades de la
empresa.

Definiciones de control interno.

Control Interno. Es un proceso llevado a cabo por la dirección de la empresa con el

objetivo de lograr los objetivos.

Para José Antonio Echenique comprende el plan de organización y todos los métodos y
procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus
actividades, verificar la razonabilidad y confiabilidad de su información financiera, promover
la eficiencia operacional y provocar la adherencia de las políticas por la administración.

6
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.1.3 Objetivos del control interno

El control interno contribuye con la seguridad y protección de los bienes de la organización
con el fin de obtener información correcta y oportuna, eficiente y eficaz; de manera que se
pueda evaluar el correcto desarrollo de sus actividades.

Objetivos que posee el control interno, según Carlos Muñoz:

 Establecer la seguridad y protección de los activos de la empresa.

 Promover la confiabilidad, oportunidad y veracidad de los registros contables, así
como de la emisión de la información financiera de la empresa.
 Incrementar la eficiencia y eficacia en el desarrollo de las operaciones y actividades
de la empresa.
 Establecer y hacer cumplir las normas, políticas y procedimientos que regulan las
actividades de la empresa.
 Implantar los métodos, técnicas y procedimientos que permitan desarrollar
adecuadamente las actividades, tareas y funciones de la empresa.

Clasificación de control interno

 Preventivos: tratan de evitar el hecho, como un software de seguridad que impida

los accesos no autorizados al sistema.

 Detectivos: si fallan los preventivos, trata de conocer cuanto antes el evento. Por
ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad
diaria para detectar errores u omisiones, etc.

7
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

 Correctivos: facilitan la vuelta a la normalidad cuando se han producido

incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias
de seguridad.

2.1.4 Elementos de control interno

 Elementos de Organización
Dirección
Coordinación
Asignación de responsabilidades
 Elementos de procedimientos
Planeación y sistematización
Registros y formas
Informes
 Elementos de personal
Entrenamiento
Eficiencia y eficacia
Moralidad
Retribución
 Elementos de supervisión
Revisión para precisar
Pérdidas y deficiencias
Mejores métodos
Mejores forma de control
Operaciones más eficientes
Mejor uso de los recursos físicos y humanos.

Luego de estudiar el concepto general de control interno, trataremos el control interno

informático y sus objetivos:

8
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

 Establecer como prioridad la seguridad de la información, tanto de los sistemas

computacionales así como de los recursos de TI.
 Promover la confiabilidad, oportunidad y veracidad de la captación de los datos,
el procesamiento y los reportes.
 Implementar los métodos, técnicas y procedimientos necesarios para coadyuvar al
eficiente desarrollo de las funciones, actividades y tareas de los servicios
computacionales.
 Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las
actividades de sistematización de la empresa.
 Establecer las acciones necesarias para el adecuado diseño e implementación de
sistemas computacionales, a fin de que permitan proporcionar eficientemente los
servicios de procesamiento de información en la empresa.

Elementos que se aplican como control interno informático

Controles
Controles internos para
internos para Controles
procedimientos
Controles Controles internos Controles internos internos
el análisis, de entrada de
internos para la operación para las redes y para la
desarrollo e datos,
organizacionales de los sistemas telecomunicaciones seguridad de
implementación procesamiento y
TI
de sistemas salida de la
información

Controles internos para la operación de los sistemas

9
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.2 Controles internos organizacionales

Ddeterminan si la estructura organizacional del área de TI es la más apropiada para que
esta funcione con eficacia y eficiencia. Se logra con el diseño adecuado de la estructura
de puestos, unidades de trabajo, líneas de autoridad y los correctos canales de
comunicación, todo esto complementado con la definición correcta de funciones y
actividades, la asignación de responsabilidad y la definición clara de los perfiles de los
puestos.

Para el establecimiento de este control en cualquier organización se proponen los

siguientes subelementos de organización:

Dirección

Asignación de responsabilidad y autoridad

Establecimiento de estándares y métodos

Establecimiento Perfiles de puestos

10
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.3 Controles internos para el análisis, desarrollo e implementación de

sistemas

Debido a que las actividades de análisis, desarrollo e implementación de sistemas son

únicas en cualquier empresa, presentaremos a continuación las principales fases del
análisis y diseño de sistemas.

 Análisis del sistema actual

 Diseño conceptual

 Diseño detallado

 Programación

 Pruebas y correcciones

 Documentación del sistema´

 Capacitación de usuarios

 Implementación del sistema

 Liberación del sistema

 Mantenimiento

2.4 Controles internos para la operación de los sistemas

Según Carlos Muñoz, el control interno para la operación de los sistemas se encarga de
vigilar y verificar la eficacia y eficiencia en la operación de los sistemas. Este juega un
importante en el desarrollo de las actividades del centro de cómputo, puesto que su
existencia ayudar a garantizar el cumplimiento de los objetivos básicos del control interno.

11
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

Para cumplir con los objetivos básicos debe cumplir con:

 Establecer como prioridad la seguridad y protección de la información del sistema
de cómputo y de los recursos informáticos de la empresa.
 Promover la confiabilidad, oportunidad y veracidad de la captación de datos, su
procesamiento en el sistema y la emisión de informes en las empresas.

La aplicación de este control busca prevenir y evitar posibles errores y deficiencias de

operación, así como el uso fraudulento de la información que se procesa en un centro de
cómputo, así como posibles robos, piratería, alteración y modificación de la información y
de los sistemas, lenguajes y programas de la organización.

Con la instalación de los controles internos para las operaciones de los sistemas se busca:
 Prevenir y corregir errores de operación
 Prevenir y evitar la manipulación fraudulenta de la información
 Implementar y mantener la seguridad de la operación
 Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento
de la información de la institución.

2.5 Controles internos para procedimientos de entrada de datos,

procesamiento y salida de la información
El procesamiento de datos como ya sabemos es la actividad principal de un sistema de
información, puesto que este es un procedimiento simple de entrada, proceso y salida, en
donde un dato de entrada se transforma en información útil. Es importante comprender
que el control interno informático sirve para verificar si el procedimiento se lleva a cabo de
manera correcta.

12
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

Flujo de Datos

Entrada de Procesamieto Salida de

Datos de datos información

Las fases del flujo de datos son los que dan vigencia a cualquier sistema; por lo tanto,
podemos utilizarlas como referencia para analizar los subelementos del control interno.

 Verificar la existencia y funcionamiento de los procedimientos de captura de datos.

 Comprobar que todos los datos sean debidamente procesados
 Verificar la confiabilidad, veracidad y exactitud del procedimiento de datos.
 Comprobar la suficiencia en la emisión de información.

2.5.1 Verificar la existencia y funcionamiento de los procedimientos de captura de

datos.
El trabajo informático comienza con la entrada de datos. Es de vital importancia asegurar
que la entrada de estos esté acorde con las necesidades de captura del propio sistema.
Es por esto que se deben establecer métodos, procedimientos, técnicas y actividades de
control para regular la entrada de los datos al sistema, así como las normas, políticas y
lineamientos que ayudan a capturar mejor dichos datos.

También el establecimiento de este control busca dar validez y veracidad a los datos de
entrada durante el proceso de captura a través de actividades como:

13
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

Establecimiento Chequeos
Captura doble
de cifras de Cotejo de datos aleatorios a Otros
de información
control datos

Se deben establecer mecanismos para determinar que los datos se hayan introducidos de
manera oportuna tal como lo demanda el sistema. Para su verificación se utilizan los
siguientes procedimientos:

 El establecimiento y cumplimiento de los procedimientos adaptados para satisfacer

las necesidades de captura de información de la empresa.
 La adopción de actividades específicas que ayuden a la rápida captura de datos.
 El seguimiento de los métodos y técnicas uniformes que garanticen que la entrada
de datos al sistema se realice siguiendo los mismos procedimientos.

Para el buen funcionamiento de este subelemento de control interno, hay que contemplar
las estructuras que deben tener las bases de datos a fin de prevenir cualquier problema de
captura: redundancia de datos, desajustes de datos, repetición de información o cualquier
otra contrariedad que pueda afectar la introducción de datos al sistema.

14
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.5.2 Comprobar que todos los datos sean debidamente procesados

Asimismo, como se debe verificar que la captura y el procesamiento de datos se realicen

de manera oportuna, confiable y eficiente, al igual que la salida de información. También
se debe establecer control interno en el procesamiento de los datos, para garantizar que
estos no sufran ninguna alteración ya sea accidental o involuntaria.

2.5.3 Verificar la confiabilidad, veracidad y exactitud del procedimiento de datos

Este subelemento de control interno tiene por objetivo establecer métodos, técnicas y
procedimientos que ayuden a estandarizar las actividades en el área de sistematización
para la captura de datos, el procesamiento de datos y la salida de la información

2.5.4 Comprobar la suficiencia en la emisión de información

Una de las razones de ser del centro de cómputo es poder brindar la información requerida
por las diferentes áreas de la empresa. Las informaciones deben de estar alineadas a
los objetivos de la empresa, deben ser adecuadas a los requerimientos de la empresa para
solo ofrecer la información requerida, sin dar más ni menos de lo que se necesita.

2.6 Controles internos para las redes y telecomunicaciones

Este aspecto es de suma importancia pues se debe garantizar el buen funcionamiento de

los sistemas de transmisión de datos en una empresa. Para esto se aplican, de manera
adecuada, controles al establecimiento de protocolos de comunicación, contraseñas y
medios controlados de transmisión de datos hasta la adopción de medidas de verificación
de transmisión de información. Ejemplos:

 Dígitos verificadores
 Dígitos de paridad

15
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

 Protocolos de acceso a frecuencia

 Otras especificaciones concretas del área de transmisión de datos.

Debido a los constantes cambios tecnológicos, la seguridad de las redes han tenido que
adaptarse a estos y para garantizar seguridad de manera razonable existen un sinnúmero
de medidas preventivas y correctivas las cuales se han ido incrementando debido a las
características de los sistema computacionales, a las formas de sus instalaciones, al
número de terminales y a sus tipos de conexión.

Es por esto que contamos con controles internos para establecer y actualizar los controles
que van desde:
 Restricciones de acceso para los usuarios
 Uso de palabras clave para el ingreso a los programas y archivos
 Monitoreo de actividades
 Rutinas de auditorias
 Monitoreo de auditorias
 Monitoreo de archivos utilizados

Todos estos elementos de control interno lo que tienen por objetivo es salvaguardar la
información y programas de estos sistemas. Lo mismo hace los planes y programas de
contingencia diseñados para salvaguarda de la información, de los programas y de los
mismos sistemas de red establecidos en la empresa.

2.7 Controles internos para la seguridad de TI

Uno de los aspectos más importante de los centros de cómputos es brindar seguridad a
todos los recursos informáticos: al personal, la información, la infraestructura… Para tales
fines se deben establecer medidas preventivas o correctivas, mediante el diseño de
programas de prevención de contingencia para la disminución de riesgos.

Aspectos importantes a considerar:

16
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

2.7.1 Seguridad física

Consiste en la prevención de riesgos y protección de los recursos físicos informáticos de
la empresa tales como: hardware, periféricos y equipos asociados, las instalaciones de
comunicaciones de datos, instalaciones eléctricas, las construcciones, el mobiliario y
equipo de oficina, además de la protección a los accesos al centro de cómputo.

2.7.2 Seguridad lógica

Comprende la seguridad a la parte intangible de los bienes informáticos tales como:
software (aplicaciones, sistemas operativos y lenguajes de programación), también los
métodos y procedimientos de operación, además de seguridad en el uso de contraseñas,
manejo de privilegios así como las restricciones de acceso.

2.7.3 Seguridad de las bases de datos

Consiste en la protección a la información que se maneja en los sistemas de la empresa,
ya sea con el establecimiento de medidas de seguridad y control que limiten el acceso y
uso de la información, así como la protección por medio a respaldo.

2.7.4 Seguridad en las operaciones

Se refiere a la seguridad en las operaciones de los sistemas computacionales tales como
acceso y aprovechamiento por parte del personal informático y de los usuarios. Consiste
en proteger las operaciones de los equipos, los archivos y programas.

2.7.5 Seguridad del personal de informática

Seguridad y protección de los operadores, analistas, programadores y demás personal que
está en contacto directo con el sistema.

2.7.6 Seguridad de las telecomunicaciones

17
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

Seguridad en los niveles de acceso, privilegios, recepción y envío de información por

sistemas informáticos, así como al software, equipos e instalaciones que permiten la
comunicación y transmisión de información.

2.7.8 Seguridad en las redes

Control de contingencias para la protección adecuada de los sistemas de redes, en cuanto
a la salvaguarda de información y datos de las redes, la seguridad en el acceso a los
sistemas computacionales.
El establecimiento de control interno informático para la seguridad de TI, tiene por objetivo
la prevención de contingencias y riesgos, mediantes los subelementos detallado a
continuación
 Controles para prevenir y evitar las amenazas, riesgos y contingencias en las áreas
de sistematización.
 Control para la seguridad física del área de sistemas
 Controles para la seguridad lógica de los sistemas
 Controles para la seguridad de las bases de datos
 Controles para la seguridad en la operación de los sistemas computacionales
 Controles para la seguridad del personal de informática
 Controles para la seguridad de la telecomunicación de datos
 Controles para la seguridad en sistemas de redes y multiusuarios

18
Autora: María P. Mejía De La Cruz
Unidad 2: Controles Internos Informáticos

BIBLIOGRAFIA

 Muñoz Razo, Carlos (2002) Auditoría en Sistema Computacionales (Primera Edición)

México: Pearson Prentice Hall.
 Piantini Velthuis, Mario; Del Peso, Emilio (2008) Auditoría de Tecnologías y Sistemas
de Información (Primera Edición) México: Alfa Omega
 Piantini Velthuis, Mario; Del Peso, Emilio (2001) Auditoría Informática: Un enfoque
práctico (Segunda Edición) México: Alfa Omega.

WEBGRAFIA

 http://www.iso27 000.es/glosario.html#section10a

 http://www.isaca.org/About-ISACA/History/Espanol/Pages/default.aspx

 https://global.theiia.org/Pages/Translations.aspx

 http://blog.netenvira.com/en-proyecto-la-nueva-norma-iso-450012016-sistemas-de-
gestion-de-la-seguridad-y-salud-en-el-trabajo
 http://www.mediafire.com/view/f525pkbncn97hnm/Libro+Auditoria+Informatica.pdf

19
Autora: María P. Mejía De La Cruz