I.

- CONCEPTO DE SISTEMA INFORMÁTICO

1. Sistema Informático

Se refiere a un sistema automatizado de almacenamiento, procesamiento y recuperación de

datos, que aprovecha las herramientas de la computación y la electrónica para llevar una serie
compleja de procesos y operaciones. Además del rol importante en la sociedad que
actualmente es imposible separar al ser humano de una computadora o sistema de
información.

Diferencias entre un sistema informático y un sistema de información

● Un sistema informático utiliza computadoras para almacenar, procesar y acceder a la

información.
● En un sistema de información se pueden utilizar computadoras (casi siempre se utilizan),
pero no es muy necesario. Puede accederse a la información utilizando un método
mecánico o físico. Por ejemplo, buscar un expediente en un
archivador.

Los sistemas de información tienen el objetivo de convertir los datos

en informes y análisis para que nos ayuden a tomar decisiones tipo
económico, marketing, etc.

2. Componentes de un sistema informático

COMPONENTE FÍSICO: COMPONENTE LÒGICO: COMPONENTE HUMANO:

Es el hardware del sistema
informático. Las computadoras, sus
componentes internos como
memorias, CPU, los periféricos de
entrada y salida como módem,
impresoras, monitores, y todo
aquel dispositivo que se conecte a
este hardware.
Este componente es el software
del sistema informático Es el que
proporciona la capacidad y la
potencia de proceso para que un
sistema informático funcione.
Consta como parte del software, la
documentación, los datos que
procesa y gestiona.
Está formado por los usuarios, es
decir quienes utilizan los dos
anteriores componentes.
Son los encargados del soporte y
mantenimiento técnico. Procesar y
distribuir los datos que se registran
en el mismo.

3. Clasificación de sistemas informáticos

Conforme a su utilización.
Puede hablarse de sistemas de
Iuso específico, que se ocupan
de tareas puntuales y muy
acotadas; o sistemas de uso
general, que ofrecen un manejo
amplio de la información.
Conforme a su volumen de
Conforme a la arquitectura
procesamiento. 
informática de su red.
Puede hablarse de estaciones
Si el SI forma parte de una red,
de trabajo de capacidad limitada,
podrá tener con el servidor una
microcomputadores,
relación cliente-servidor, de dos,
microcomputadores y
tres o cuatro capas, dependiendo
supercomputadoras (con enorme
de la cantidad y calidad de la
capacidad de procesamiento).
información transmitida.

4.-Finalidad de un Sistema Informático: La finalidad es manejar de manera óptima la información. Además de

permitir guardarla, recuperarla, cambiarla de soporte (por ejemplo, imprimirla) o compartirla.

5.-Base de Datos: Se refiere a los inmensos volúmenes de datos que se encuentran almacenados en varios tipos de
6.-Telecomunicaciones: Son el intercambio de información a distancias considerables por medios
sistemas informáticos. Su recuperación es rápida y puntual ante el requerimiento de los usuarios
electrónicos, y se refieren a todos los tipos de transmisión de voz, datos y video, es decir la posibilidad
enviar y recibir información a través diversos canales físicos: cables de cobre, de fibra de vidrio o
microondas satelitales.
7.-Inteligencia Artificial: Es la combinación de algoritmos planteados con el propósito de crear máquinas
que presenten las mismas capacidades que el ser humano. Una tecnología que todavía nos resulta lejana y
misteriosa, pero que desde hace unos años está presente en nuestro día a día a todas horas.

EJEMPLO:
La cadena de proyección de películas fundada en 1971 ya que ha adaptado
con las nuevas tecnologías, ya que ofrece servicios VIP, ofrecer membresías
de prepago, al eliminar las filas con su sistema de pre-asignación de lugares,
incursionar con su propia plataforma de streaming, Cinépolis utilizó nuevas
tecnologías para adaptarla de forma muy sencilla a sus procedimientos.

II.- COMPONENTES DE UN SISTEMA DE CONTROL INTERNO

Los cinco componentes del sistema de control interno actúan de forma integrada y sistémica,
es decir, cada uno afecta y permite el funcionamiento de los otros. De ahí que la falta de un
componente no se pueda mitigar con la existencia de los otros. Estos son:
a) Ambiente de control
Este componente es la base para el resto de los componentes del control; un ambiente de
control débil origina que, sin importar el adecuado diseño del resto de los componentes, no se
pueda confiar totalmente en estos. El ambiente de control establece la forma en la que una
organización opera, e influye en la forma de actuar de las personas; es el pilar básico del control interno,
y proporciona disciplina y estructura. La ausencia de un entorno de control adecuado ha causado
enormes fracasos empresariales.
Factores
● Los valores éticos.
● La filosofía y estilo de dirección.
● La estructura organizacional y asignación de autoridad y responsabilidad.
● Las políticas y prácticas en materia de recursos humanos.

CASO PRACTICO EY COLOMBIA

Tesis de maestría en Finanzas Corporativa

https://repository.cesa.edu.co/bitstream/handle/10726/1579/MFC_00505.pdf?sequence=1&isAllowed=y

AMBIENTE DE CONTROL EN EY COLOMBIA

EY COLOMBIA cuenta con códigos de ética y transparencia, parámetros de calidad y de seguridad de información, junto
con valores corporativos, para estructurar un ambiente de control rígido.
Herramientas y mecanismos que permiten luchar contra la corrupción que vulnera el objetivo de integridad y
excelencia.
Además de tener una visión que se propone a liderar el mercado de auditoria y asesoría de las Big Four, conformando
equipos con el mejor desempeño y valores corporativos de integridad, trabajo en equipo, entusiasmo.
CONCLUSIÓN:
b) evaluación de riesgos
EY COLOMBIA ha reforzado los factores del Entorno de control. Desde la estructura organizacional, su delegación de
autoridades, velando por la ética, la integridad, con personalLa evaluación
de gran competenciade riesgos
de acuerdo a losbusca identificar
estándares de y elimin
Recursos Humanos. Haciendo así su Entorno de control uno riesgos presentes
de los mejores a la vistaen
no el
soloentorno de trabajo,
de la empresa sino así como
también de terceros. valoración de la urgencia de actuar.

RIESGO

El riesgo es el impacto y la probabilidad de que u

 CATEGORIA DE OBJETIVOS afectar de manera adversa la consecución de los objeti
de la empresa.

Objetivos estratégicos: Generados

desde el mayor nivel de la empresa. IDENTIFICACIÓN
Objetivos operativos: Relacionados
Deben ser claramente identificados y esto se rea
con la eficacia y eficiencia de las
mediante un mapeo de riesgos que incluye
operaciones de la entidad.
especificación de los procesos claves de la organización
Objetivos relativos a la
identificación de los objetivos generales y particulares
información suministrada a
las amenazas y riesgos.
terceros: Relacionados con la
información financiera suministrada a
terceros.
Objetivos relativos al EVALUACIÓN
cumplimiento regulatorio:
Relacionados con el cumplimiento de
todos los requisitos legales, Después de identificar los riesgos se lleva a cabo
reglamentarios y normativos y evaluación de riesgos.
aplicables. Esta estimación comprende tres variables; probabilid
impacto y velocidad; con estas consideraciones se pue
construir una matriz de riesgos para determinar
riesgos prioritarios.

ACCIONES NECESARIAS
Matriz de Riesgos
ACCIONES A TOMAR LUEGO DE LA
EVALUACIÓN DE LOS RIESGOS
ACEPTACIÓN: No se toma ninguna
medida.
EVITAR: Es dejar de hacer una acción u
objetivo que cause el riesgo.
MITIGAR: Acciones tomadas para
reducir la probabilidad o el impacto.
COMPARTIR: Transfiriendo o
compartiendo el riesgo

c) Actividades de Control.
Las actividades de control refieren a aquellas políticas y procedimientos para disminuir
los riesgos que pueden afectar el logro de objetivos de la entidad. Se ejecutan en
todos los niveles de la entidad, en las diferentes etapas de los procesos de negocio, y
en el entorno tecnológico.
Para ser efectivas deben ser apropiadas, funcionar consistentemente de acuerdo a un
plan a lo largo de un periodo determinado y tener un costo adecuado, que sea
razonable y relacionado con los objetivos.
Se pueden dividir en varias clasificaciones de acuerdo a sus características:
d) Según el tipo de Según el nivel de
control:
La administración obtiene/genera y utiliza la La
jerarquía:
información y comunicación para mejorar el control
información relevante y de calidad a partir interno comprende los principios de obtención y utilización
de fuentes internas y externas para apoyar de informaciónAdministrativas:
relevante y de calidad,
Recae en loscomunicación
altos interna
Manuales: Aquellos que son
el funcionamiento de lossin
ejecutados otros componentes
la utilización de para apoyar elniveles
buen de mando de la compañía.
funcionamiento del sistema de control
Consiste en asegurarse de obtener los
del Control Interno. herramientas interno y comunicación con partes
recursos necesarios externas sobre aspectos
y utilizarlos
La comunicación es computacionales.
el proceso continuo de eficientemente en del
que afectan el funcionamiento el logro de losinterno.
control
objetivos de la organización.
suministro, intercambio
Ej.: arqueoy obtención
de caja. de De manera amplia, se considera que existen controles
Ej.: Asignación de funciones.
información necesaria. generales y controles de aplicación sobre los sistemas de
•La comunicación interna es el medio por el información.
cual la información se difunde en toda la Operacionales:
•Controles generales: Responsabilidad
Tienen como propósito de los asegurar una
Computarizadas: mandos de nivel medio. Es el proceso
entidad, que fluyeGeneralmente
hacia arriba, hacia
sonabajo y operación y mediante
continuidad el cualadecuada.
la organizaciónEjemplo:
se Control de
en toda la entidad.
incorporados en un software. restricción deasegura
acceso de
a que las tareas
programas y específicas
datos.
sean realizadas con efectividad.
•La comunicación externa permite la •Controles de Ej.:
aplicación: Están dirigidos hacia el interior de
Ej.: Uso de un sistema ERP. Plan de mantenimiento de las
entrada de información relevante de fuera y instalaciones
cada sistema y funcionan eléctricas.
para lograr el procesamiento,
proporciona información a las partes integridad y confiabilidad, mediante la autorización y
externas en respuesta a las necesidades y validación correspondiente. Ejemplo.: Validez y autorización
expectativas. de un control general, segregación de funciones.

Según el alcance: Según su naturaleza:

Generales: Se extienden a toda la Preventivos: Anticipan eventos

empresa y proporcionan conjuntamente
el fundamento apropiado para todos los no deseados antes de que
otros componentes del control interno. sucedan.
Ej.: El proceso de contratación de un Ej.: El software de seguridad.
contador competente

Específicas: Se ocupan de determinados

riesgos en los procesos de negocios y en Detectivos: Identifican los
las transacciones particulares. Depende eventos en el momento en que
de áreas de la empresa diferentes de la se presentan.
Dirección y del Gobierno corporativo.
Ej.: Sistema de compra de maquinaria Ej.: Conciliación bancaria.
efectivo.

Información y Comunicación.
La información generada internamente, así como aquella que se refiere a eventos acontecidos
en el exterior, es parte esencial de la toma de decisiones, así como en el seguimiento de las
operaciones. La información cumple con distintos propósitos a diferentes niveles.

e) Supervisión y Seguimiento
Los sistemas de control interno requieren
supervisión, es decir, un proceso que comprueba
que se mantiene el adecuado funcionamiento del
sistema a lo largo del tiempo. Esto se consigue
mediante actividades de supervisión continuada,
evaluaciones periódicas o una combinación de
ambas cosas.
La supervisión continuada se da en el transcurso
de las operaciones. Incluye tanto las actividades
normales de dirección y supervisión, como otras
actividades llevadas a cabo por el personal en la
realización de sus funciones. El alcance y la
frecuencia de las evaluaciones periódicas
dependerán esencialmente de una evaluación de
los riesgos y de la eficacia de los procesos de
supervisión continuada.
Las deficiencias detectadas en el control interno deberán ser
notificadas a niveles superiores, mientras que la alta dirección
deberá ser informados de los aspectos significativos
observados.
Asimismo, la gerencia debe llevar a cabo la revisión y
evaluación sistemática de los componentes y elementos que
forman parte de los sistemas de control.
La evaluación debe conducir a la identificación de los
controles débiles, insuficientes o innecesarios, para promover
con el apoyo decidido de la gerencia, su robustecimiento e
implantación.
Cabe recalcar que es preciso supervisar continuamente los
controles internos para asegurarse de que el proceso funciona
según lo previsto. Esto es muy importante porque a medida
que cambian los factores internos y externos, controles que
una vez resultaron idóneos y efectivos pueden dejar de ser
adecuados y de dar a la dirección la razonable seguridad que
ofrecían antes.

El sistema de control interno debe estar bajo continua supervisión para determinar si:

❖ Las políticas descritas están siendo interpretadas apropiadamente y si se llevan a

cabo.
❖ Los cambios en las condiciones de operación no han hecho estos procedimientos
obsoletos o inadecuados.
❖ Es necesario tomar oportunamente efectivas medidas de corrección cuando sucedan
tropiezos en el sistema. El personal de Auditoría interna es un factor importante en el
sistema de control interno ya que provee los medios de revisión interna de la
efectividad y adherencia a los procedimientos prescritos.
❖ El papel de supervisor del control interno corresponde normalmente al Departamento
de Auditoría Interna, pero el Auditor Independiente al evaluarlo periódicamente,
contribuye también a su supervisión.

III.- CONTROL INTERNO INFORMÁTICO

Se puede definir el control interno como “cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para conseguir sus objetivos. Los controles
cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples,
fiables, revisables, adecuados y rentables. Respecto a esto último habrá que analizar
el costo – riesgo de su implantación.
Los controles internos que se utilizan en el entorno informático continúan
evolucionando hoy en día a medida que los sistemas informáticos se vuelven
complejos. Los progresos que se producen en la tecnología de soportes físicos y de
software han modificado de manera significativa los procedimientos que se empleaban
tradicionalmente para controlar los procesos de aplicaciones y para gestionar los
sistemas de información.
 Según Gonzalo Alonso Rivas, en su libro “Auditoria Informática” nos menciona una
definición clara de Control Interno informático: “Sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones
con el objeto de asegurar la protección de todos los recursos informáticos y mejorar
los índices de economía, eficiencia y efectividad de los procesos operativos
automatizados”

COMO PRINCIPALES OBJETIVOS DEL CONTROL INTERNO

INFORMÁTICO, PODEMOS INDICAR LOS SIGUIENTES:

Definir, implantar y Colaborar y apoyar el

ejecutar mecanismos y
controles para comprobar
el logro de los grados
adecuados del servicio
informático.
trabajo de Auditoria
Informática, así como
de las auditorías
externas al grupo.

Controlar que todas las

actividades se realizan Asesorar sobre el
cumpliendo los conocimiento de
procedimientos y normas las normas.
fijados, evaluar su bondad y
asegurarse del cumplimiento
de las normas legales.
Función Principal:
 El1.-control
Desarrollo y
interno 2.- Explotación
informático controla de servidores
diariamente que todas las
CONTROL INTERNO mantenimiento
actividades del software
de sistemas principales:
de información sean realizadas cumpliendo los
de aplicación:
procedimientos, estándares y normas Se fijados
trata de por un ordenadorde ola
la dirección
INFORMÁTICO De forma diaria
organización cualquier
utilizamosdeuninformática,
y/o dirección así otro
comotipo
los de dispositivo
requerimientos
que proporciona información
gran número de aplicaciones,
legales.
aunque las principales son requerida por clientes (personas) u
Funciones Específicas:aquellas relacionadas con la otros ordenadores, para poder
ofimática. Ejemplo las hojas ejecutar una acción de manera
de cálculo,
Diseñar la estructura del Sistema procesadores de
de Control exitosa. Ejemplo: servidores web,
texto o lasenbases
Interno de la Dirección de Informática los de datos, proxy, servidor de base de datos,
siguientes aspectos: entre otras. etc.
 2.- Controles de desarrollo y mantenimiento de
sistemas de información:
Permiten alcanzar la eficacia del sistema,
economía, eficiencia, integridad de datos,
3.- Software de Base o softwareprotección de recursos y cumplimiento con las
de sistemas leyes y regulaciones 5.- de
a Computación
través Seguridad Informática
metodologías
4.- Redes de
Conjunto de programascomo Es la del Ciclo deEs Vida de Desarrollo
el proceso
un conjunto de equipos
de prevenirdey detectar el
aplicaciones. uso no autorizado de un sistema
(controladores que gestionan la (computadoras y o dispositivos) que,
comunicación entre el sistema informático, implica el proceso de
conectados por medio de cables,
operativo y los dispositivos) que proteger contra intrusos el uso de
señales, ondas o cualquier otro
están encargados de gestionar el nuestros recursos informáticos con
medio de transporte de datos,
hardware para proporcionar una 3.- comparten intenciones de maliciosas
Controles deinformación
explotación sistemas de o con
(archivos),
base sobre la que funcionen el información intención de obtener ganancias, o
recursos (impresoras) y servicios
resto de programas. Ejm. Linux, Tienen que ver
(internet, conincluso
e-mail).
la posibilidad
la gestión de acceder a
de los recursos
M. Windows ellos por accidente.
tanto a nivel de planificación, adquisición y uso
ÁREAS
del hardware, así como los procedimientos de,
instalación y ejecución del software.
1.- Controles
Organizativos
Generales
DE
Son la base para la planificación,
control y evaluación por la Dirección 4.- Controles en aplicacionesAPLICACI
General de las actividades del Toda aplicación debe llevar controles
Departamento de Informática incorporados para garantizar la entrada,
actualización, salida, validez y mantenimiento
completos y exactos de los datos. Como son los
controles de entrada, procesamiento o
tratamiento y salida de datos.

1.1.-Políticas: 5.-Controles en sistemas de gestión de base

Deberán servir de base para la planificación, de datos
control y evaluación por la Dirección de las
1.2.-Planificación: Tienen que ver con la administración de los
Plan Estratégico
actividades dede Información
del Departamento Informática. datos para asegurar su integridad,
realizado por el Comité de disponibilidad y seguridad.
Informática:
Donde se definen los procesos
corporativos y se considera el uso 6.-Controles informáticos sobre redes
de6.-las diversas
Licencias de softwaretecnologías de Tienen que ver sobre el diseño, instalación,
7.- Relaciones contractualesmantenimiento,
con 8.- Culturaseguridad
de riesgo informáticoy en
información,
Es un contrato entre así
dos partes como las
que estipula bajo qué terceros funcionamiento de las redesla organización
instaladas en
amenazas y oportunidades Esdeunsu acuerdo de voluntades
condiciones puede utilizarse un una organización sean estasconcientizar
que Consiste en centrales y/oa los
uso o de su ausencia. establece relaciones jurídicasdistribuidos.
entre empleados para el uso responsable
programa en concreto. Es lo que
Plan Informático:
te da derecho a utilizar un realizado por el
las partes que tienen por objeto la de los equipos de trabajo, ya sea
Departamento de
programa. Servidor de base de Informática.
creación y transmisión de derechos y ordenadores como la computadora o
Determina
datos, etc. los caminos precisos obligaciones derivados de los bienes dispositivos móviles con acceso a
para cubrir las necesidades de la y servicios informáticos. datoscomputadores
7.-Controles sobre de la organización.
Losbastante
y redes de
motivos son diversos, y
Empresa plasmándolas en área local Es común que este
tienen
Se relacionan a las políticas que ver con el
de adquisición,
problema costo que
tenga que ver con
proyectos informáticos.
CASOS
instalación y soporte el técnico, representa:
tanto del que se
uso indiscriminado
Plan General de Seguridad hardware como del software de
hace de usuario,
la banda así
web dentro
El servicio ancha; de la
(física y lógica). como la seguridad de losempresa.
datos queElen ellos
PRÀCTICOS
uso de Internet
se procesan La para
baja fines
en lapersonales
productividad
en
laboral de aquellos
horario que navegan
de oficina es una
varias horas muy
práctica por día;
difundida en
El todo
riesgo elde mundo. Afecta de
recibir cadenas la
¿Cuántas veces uno se queja en la oficina
por lo lenta que está la conexión a
Internet?

¡¡Internet no puede
ser de libre uso dentro
de la empresa!!

CASOS RELACIONADOS CON LA

SEGURIDAD INFORMÁTICA

Los rusos lograron transferir por vía

El gigante electrónica 11de la distribución en línea
estadounidense
millones de dólares a cuentaseBay anuncióenhaber
bancarias Finlandia,sido víctima de piratas
Israel y california. El bancoinformáticos
descubrió elque
roboentraron
después a su base de datos, que
de los primeros 400 mil dólares
conteníafaltantes,
claves yaotras
pesarinformaciones
de personales, en
que los vetustos sistemas depodría
lo que computadoras
constituir eldel
mayor ataque de este tipo.
CITIBANK se habían actualizado
"incluyehasta ser uno
nombres, de los
claves encriptadas, direcciones de
sistemas seguros en la industria bancaria de Estados
correo electrónico, dirección física, número de
Unidos teléfono y fecha de nacimiento de los clientes".