CONTROL INTERNO INFORMÁTICO  Estándares: Regulan la adquisición de recursos, el diseño, desarrollo y
modificación y explotación d sistemas.
El control interno informático controla diariamente todas las actividades de los sistemas de
información para asegurar que se estén cumpliendo los procedimientos, estándares y
normas pertinentes dentro de la entidad. Esta tarea la lleva a cabo el personal asignado
dentro del departamento de informática en la entidad, quienes tienen como objetivos:
 Controlar que todas las actividades sean realizadas de acuerdo a los procedimientos,
estándares y normas establecidas y pertinentes
 Asesorar sobre las normas y regulaciones pertinentes
 Colaborar y apoyar el trabajo de la auditoría informática
 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
 Asegurar que las modificaciones de los procedimientos correspondientes al
mantenimiento están adecuadamente diseñadas, probadas, aprobadas e
implementadas
 Garantizar la protección en los procedimientos programados, evitando así cambios
no autorizados
Los controles se clasifican en: preventivos, detectivos y correctivos, definidos de la siguiente
manera.
Controles Preventivos
Implica el software de seguridad que impide los accesos no autorizados al sistema.
Controles Detectivos
En caso de que los controles preventivos no funcionen correctamente, los controles
detectivos deben estar atentos para reconocer cualquier eventualidad.
Controles Correctivos
Son la corrección de ñas fallas que se han producido, permitiendo que el sistema vuelva a
su normalidad.
Para determinar la implementación de controles es importante conocer el sistema, sus
elementos, productos y herramientas: lo que permite identificar los posibles riesgos.
Este conocimiento envuelve el entorno de red, configuración del computador base, entorno
de aplicaciones, productos y herramientas, y seguridad del computador base.
La responsabilidad de este sistema de control interno informático es de la gerencia o
dirección de la empresa, quienes deben definir las normas de funcionamiento del entorno
informático mediante el establecimiento de: procedimientos, estándares, metodologías y
normas a seguir
CONTROLES INTERNOS
Controles generales organizativos:
 Políticas: Son base para la planificación, control y evaluación de las actividades del
departamento de informática.
 Planificación: Realización del plan estratégico de información, plan informático,
1
plan general de seguridad física y lógica, y plan de emergencia ante desastres.
Página
 Procedimientos: Describe la forma y responsabilidades de ejecución para regular
las relaciones entre el departamento de informática y los usuarios
 Funciones y responsabilidades dentro del departamento
 Políticas de selección capacitación y evaluación del personal
 Autorización y control de accesos al sistema
Controles de desarrollo, adquisición y mantenimiento de sistemas de
información:
Permiten alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos,
protección de los recursos y cumplimiento de las leyes y regulaciones.
 Metodología del ciclo de vida del desarrollo de sistemas
 Explotación y mantenimiento: Asegurar que los datos se tratan en forma
congruente y exacta, y que los cambios solo se realizarán con las autorizaciones
pertinentes.
Controles de explotación de sistemas de información:
 Planificación y gestión de recursos: definición del presupuesto operativo, plan
de adquisición de equipos, y gestión de la capacidad de equipos.
 Controles para uso de los recursos: Calendario de carga de trabajo,
programación de personal, mantenimiento preventivo, gestión de problemas y
cambios, procedimiento de facturación a usuarios, soportes.
 Procedimientos de selección del software del sistema: de instalación, de
mantenimiento, de seguridad y control de cambios.
 Seguridad física y lógica
Controles específicos de ciertas tecnologías:
 Controles en sistemas de gestión de bases de datos
 Controles en informática distribuida y redes
 Controles sobre computadores personales y redes de área local
ETAPAS DE UNA AUDITORÍA INFORMÁTICA
Para que la auditoria informática se desarrolle apropiadamente, esta se debe llevar a cabo
en tres etapas bien definidas:
 Planeación
 Ejecución, e
 Información
Planeación
La Planeación de la auditoría debe hacerse cuidadosa y objetivamente, esta función de
2
planear la auditoria se desarrolla en tres procesos:
Página
 1. Conocimiento general de la entidad  Dirección, coordinar las actividades y procesos dentro del área como liderazgo, guía
2. Definición del ámbito y alcance de la auditoría y motivando al personal.
3. Definición del programa de auditoria  Control, comparar lo real con lo planeado, de tal manera que se identifique
problemas o anomalías para realizar los ajustes necesarios.
Procesos que nos permiten llevar acabo la auditoria de una manera eficaz y eficiente, el
proceso de planeación comprende en: Por ende, el auditor debe tener en cuenta los siguientes aspectos:

 Establecer metas  Estructura organizacional:

 Programas de trabajo de auditorías o Revisión de jerarquía, estructura orgánica, funciones y objetivos
 Planes ce contratación de personal  Políticas corporativas
 Presupuesto financiero, e  Plan estratégico corporativo
 Informe de actividades  Manual de funciones
 Presupuestos
De esta manera, esta etapa inicia con un diagnóstico general de la organización o entidad,  Indicadores de gestión
en torno a los ambientes organizacional, informático y de control interno, que permite  Misión y Visión
reconocer los sistemas y procesos dentro de la entidad y a su vez identificar cualquier falla  Planta de cargos, número de personas y distribución por áreas
o anomalía que afecte a los mismos.  Plan anual operativo
 Plan de capacitaciones
Esta información permite que el auditor establezca el alcance y planeación de los  Recursos humanos
procedimientos a seguir, así como:  Políticas de selección y administración de recursos humanos
 Matriz DOFA
 Destinatario de las conclusiones, documentación a entregar y fechas  Plan de contingencias
 Información y documentación previa a solicitar: informes previos de auditoría,  Distribución geográfica
organigrama funcional y departamental, esquemas de arquitecturas, procesos o  Soporte legal de las funciones
interfaces.  Plan de calidad
 Programas de trabajo detallado y estándares que se van a seguir: COBIT, ISO, etc.
 Identificación de interlocutores, administradores de bases de datos, responsables
de la seguridad, e identificación de herramientas tecnológicas para la realización del
trabajo.

1. Conocimiento general de la entidad

El conocimiento de la entidad inicia desde la dirección y su plan estratégico corporativo,

que contiene todos los lineamentos y políticas por las que se rige la empresa, así como su
visión y misión.

Todos los proyectos desarrollados en la empresa están bajo el PLAN ESTRATÉGICO y deben
obedecer a las necesidades de información de cada área de la empresa, la satisfacción de
estas necesidades origina un plan estratégico informático y de sistemas que une todos los
recursos tanto de personal como tecnológicos para la creación de estrategias informáticas
orientadas a la integralidad eficiente para la producción y gestión inteligente de información
para la administración, operación y control de la empresa, así como la atención oportuna,
eficaz y segura de clientes y proveedores.

En este sentido el auditor debe evaluar las funciones que la alta gerencia debe realizar:

 Planeación, determinar los objetivos del área y la forma en que se van a lograr
 Organización, proveer las facilidades, estructura, división del trabajo,
responsabilidades, actividades de grupo y personal necesarios para realizar las EVALUACIÓN DEL CONTROL INTERNO
metas.
3

4
Al evaluar el área de control interno de la empresa, e auditor debe verificar las actividades,
 Recursos humanos, selección, capacitación y entrenamiento del personal requerido
Página

Página
operaciones y actuaciones, administración de recursos en relación a las normas y políticas
para realizar las metas.
legales y definidas por la dirección de la empresa.
Parea esto debe tener en cuenta aspectos como: o Disponibilidad de medios para comunicar irregularidades y resultados de alta
gerencia de la organización
 Estructura de la auditoria interna
 Funciones de control  Monitoreo
 Plan anual de revisión o Monitoreo continuo del sistema de control para asegurar que opera
 Plan de contingencias efectivamente, a través de actividades de:
 Políticas y normatividad de control y protección o Supervisión
 Valoración de riesgos o Auditoria interna
 Evaluaciones anteriores o Monitoreo permanente de los indicadores de riesgos operacionales y
 Estructura funcional situaciones criticas
 Objetivos y metas del control interno o Efectividad de los controles implantados
 Tipos de control o Disponibilidad de herramientas

El marco de control interno sugerido para cumplir con los lineamientos establecidos por la ÁREA INFORMÁTICA
LEY SOX, es el diseñado por el Comité de organizaciones patrocinadoras de la Comisión
Treadway, COSO. El diagnostico comprende la revisión y evaluación de:

El cual fue diseñado con el fin de estudiar los factores que llevaran a acciones fraudulentas
en las operaciones de una organización y permiten evaluar el sistema interno implementado
en la organización.
El auditor debe tener encienta los siguientes aspectos:
El modelo COSO comprende cinco componentes de control, que permiten lograr los
objetivos de control para alcanzar los objetivos del negocio y cumplir con las normas y
regulaciones pertinentes, estos son:
 Ambiente de control, factores que inciden en el ambiente de control tales como:
o Integridad y valores morales del personal
o Contratación de personal de calidad
o Capacidad de identificación de riesgos operacionales
o Entrenamiento especializado sobre la aplicación de controles internos, roles
y responsabilidades de la junta y comité de auditoría.
 Organización, administración, operación, seguridad, infraestructura de computo.
Procesamiento de datos, y herramientas de tecnología de información.
 Estructura de funciones del área de sistemas
 Estudio de viabilidad, análisis de costo – beneficios sobre el uso de los computadores
a largo plazo, defiendo tipo de: Hardware, Software, periféricos y Equipos de
comunicaciones necesarios para lograr los objetivos de la organización y el
departamento de informática.
De la misma manera este estudio permite evaluar si un procedimiento puede ser
llevado a cabo por el computador y cuáles son las alternativas para un mejor
resultado.

 Evaluación de riesgos Los resultados del estudio de viabilidad deben ser distribuidos al personal de
o Procedimientos para identificar cambios externos que puedan afectar a la informática como base y soporte para:
organización
o Herramientas y metodologías o Compra
o Evaluación y medición de riesgos operacionales o Contratación
o Evaluación periódica de riesgos en las diferentes áreas de la organización o Elaboración de un proyecto
o
 Actividades de control  Plan estratégico de sistema e informático
o Acciones tomadas para implementar políticas y estándares dentro de la o Definición de objetivos a largo plazo y las metas necesarias para lograrlos,
organización, estas actividades incluyen: este plan envuelve:
o Administración de los riesgos operacionales  Plan estratégico de organización
o Control de acceso a los sistemas y recursos informáticos  Plan estratégico de sistemas de información
o Controles para mitigar errores operacionales  Plan de requerimientos
o Evaluación de controles generales de cómputo asociados al área de TI  Plan de aplicaciones de sistemas de información

 Información y comunicación  Plan de proyectos

o Información suficiente para la toma de decisiones o Plan básico para desarrollar un sistema
o Información adecuada y oportuna de los sistemas de información o Asegurar que el proyecto es consistente con las metas y objetivos de la
5

6
o Comunicación apropiada entre los diferentes departamentos de la organización.
Página

Página
organización
  Plan estratégico de instalaciones

 Plan de seguridad
o Debido a que las instalaciones de información están expuestas a desastres
por varias razones: Huracanes, inundaciones, fuego, terremotos entre otros.
Debe existir un plan que permita reducir los riesgos a un nivel aceptable,
planeando los seguros que se deban obtener, y el plan de recuperación de
caso de desastre que permitan garantizar el funcionamiento de las
operaciones en el menor tiempo posible y con el menor impacto para la
organización.

REFERENCIA BIBLIOGRÁFICA:

Auditoría de la Tecnología de la Información

https://www.auditool.org/

7
Página