Control interno

informático

Auditoría de
Sistemas

1
 Control interno informático
El concepto de control interno informático abarca políticas, prácticas,
El control interno
informático es un procedimientos y estructuras organizacionales diseñadas para brindar una
proceso constante de seguridad razonable acerca de la consecución de los objetivos de negocio y
verificación que realiza la prevención (o detección y corrección) de aquellos eventos no deseados
la gerencia de sistemas que pudieran comprometer el logro de dichos objetivos.
para reducir el riesgo,
mientras que la
auditoría informática es Es decir que el control interno se encarga de monitorear diariamente las
una actividad en un actividades de los sistemas de información. Su función es verificar que se
punto particular del cumplan los procedimientos, las normas y los estándares definidos por la
tiempo. organización.

La gerencia (generalmente la gerencia de sistemas) es quien define ciertos

requerimientos de alto nivel, que serán los objetivos a verificar por el
control interno informático. Estos objetivos deben ser acciones específicas
que la organización debe implementar para aumentar su valor y reducir su
riesgo. Además, la gerencia debe decidir qué controles serán aplicados,
cómo implementarlos (su frecuencia y alcance) y aceptar el riesgo de
aquellos que se decida no implementar. Habitualmente, el personal del
departamento de control interno depende jerárquicamente del
departamento de sistemas de la organización.

Figura 1: Características que deben poseer los controles

Fiables Revisables

Simples Adecuados

Completos Controles Rentables

Fuente: elaboración propia.

2
Los controles que se diseñen tienen que respetar determinados atributos
de completitud, así como ser revisables, tener un grado de simplicidad que
permita ser comprendidos, un adecuado nivel de confianza y una relación
positiva en cuanto a costo y beneficios. La mayoría de los controles con los
que cuentan las empresas son automáticos y vienen incluidos en las
herramientas de software empresariales. Estos se vuelven cada vez más
complejos a medida que aumentan las capacidades de los equipos
informáticos. Sin embargo, existen controles que siguen siendo
completamente manuales o algunos que son una combinación de procesos
manuales y herramientas de software o hardware.

Podemos clasificar a los controles internos informáticos en tres categorías:

 Controles preventivos: se basan en evitar que ocurra una acción no

deseada. Por ejemplo, la restricción de accesos por software a cierta
información.
 Controles de detección: su función es dar a conocer y registrar la
ocurrencia de algún evento. Por ejemplo, modificaciones a datos de
producción por el personal de desarrollo o soporte.
 Controles correctivos: facilitan la vuelta a la actividad normal ante
caídas del sistema, como son fallas en discos o suministro eléctrico.

Es importante destacar que los controles preventivos son orientados a

reducir la probabilidad de ocurrencia de los riesgos, mientras que los
controles de detección y correctivos se enfocan en reducir el impacto en el
caso de que un evento de riesgo realmente ocurra.

Figura 2: Línea de tiempo del momento en que actúa cada tipo de control

Control Control de
preventivo detección

Evento Control
correctivo

Fuente: elaboración propia.

3
A continuación, se detalla una tabla, donde se incluyen ejemplos de
controles preventivos, de detección y correctivos, para distintos tipos de
activos de TI.

Tabla 1: Ejemplos de distintos tipos de activos de TI y controles

Tipos de activos Controles Controles de Controles

informático preventivos detección correctivos
Metodología de Reportes con Procedimientos
Aplicaciones
desarrollo totales de control rollback
Software de base Contraseñas Registros (Logs) Puntos de
complejas de seguridad restauración
Hardware Mantenimiento Herramientas de Soporte técnico
preventivo diagnóstico para fallas
Proveedores Casos de éxito Revisiones a Depósito de código
previos proveedores fuente
Telecomunicaciones Firewalls IDS (detección de Enrutamiento
intrusiones) alternativo
Instalaciones Guardias de Cámaras de Extintores de
seguridad seguridad incendio
Recursos Humanos Concientización Evaluación de Esquema de
en seguridad desempeño sanciones
Smartphones Encriptación Alertas por Localización
con contraseña cambio de SIM remota
Fuente: elaboración propia.

Una característica interesante de los controles informáticos es que a

medida que los sistemas han ido evolucionando, los controles internos
pasaron a formar parte intrínseca de los productos de software, por lo que
resulta difícil diferenciarlos de las características normalmente esperadas
en los productos comerciales de administración TI. Por ejemplo, los
podemos encontrar en los sistemas operativos para servidores de redes o
también en el software de los equipos de comunicaciones. En muchos
casos, un mismo grupo de métodos de control satisface a los tres tipos de
controles descriptos.

4
Objetivos del control interno
Los principales objetivos del control internos son:

 verificar que todas las actividades cumplan las normas

(especialmente las legales) y los procedimientos establecidos;
 brindar asesoramiento sobre las normas a cumplir;
 ayudar y asesorar en las auditorías internas y externas;
 participar en el diseño, implantación y verificación de los
mecanismos de control sobre los sistemas de información.

Los lugares donde se debe ejercer el control interno pueden incluir, entre
otros, el control de cambios y versiones, producción, la calidad en el
desarrollo de software, las redes de comunicación, el software de base, la
seguridad informática, las licencias y los riesgos.

Dentro del control sobre la seguridad informática, podemos incluir

asegurarse de que los usuarios del sistema, sus responsabilidades y sus
perfiles se asignen y se mantengan adecuadamente. También, que se
observen las normas de seguridad y de control de la información
confidencial, así como el control dual de la información.

¿Cuál es la relación entre el control interno y la auditoría informática? En

primera instancia, el área informática de la empresa define y monta los
procesos que deben seguirse para mantener la integridad y la seguridad de
los activos. Estos procedimientos deben ser obtenidos en base a una
metodología apropiada para el tipo de organización y deben estar
correctamente documentados y aprobados.

El control interno se encarga de implementar los controles que verificarán

que se empleen, en forma adecuada, los procesos definidos.

Finalmente, la auditoría evalúa cuál es el grado de control que existe

realmente sobre los procesos informáticos. En otras palabras, identifica el
nivel de exposición a los riesgos en los sistemas por la falta de controles y
recomienda acciones correctivas para ellos. Otra diferencia del control
interno con la auditoría, es que el primero es un proceso constante de
verificación y no solo una actividad en un punto particular del tiempo.

Marcos de referencia de control interno

Los marcos de referencia son utilizados por la auditoría para describir a los
sistemas de información, con un nivel de abstracción suficiente que le
permita independizarse de la tecnología subyacente, de forma tal que el

5
modelo propuesto sea utilizable para diferentes organizaciones (ISACA,
ITIL, ISO, etc.). Los frameworks brindan una descripción sistemática del
control, por lo que consiguen facilitar la tarea de planificación y de
supervisión en la labor de control y auditoría.

Herramientas de control interno

Son instrumentos hardware y utilidades de software que deben manejar

los profesionales de auditoría y control interno para verificar los sistemas
informáticos. Es posible encuadrar a los marcos de referencia dentro de las
herramientas de control.

Materialidad por debilidad en el control

Las “Normas Generales para la Auditoría de los Sistemas de Información”,

elaboradas por ISACA, establecen lo siguiente:

La debilidad en el control se considera “material” si la ausencia del

mismo ocasiona que no exista una garantía razonable de que se
cumplirá con el objetivo de control. Una debilidad clasificada como
material implica que Los controles no están establecidos y/o no son
utilizados y/o son inadecuados. Asimismo puede producir un
escalamiento. Una debilidad material es una deficiencia importante o
una combinación de deficiencias importantes que originan, con una
probabilidad más que remota, que un evento indeseado no sea
prevenido o detectado.

Existe una relación inversa entre materialidad y el nivel de riesgo de

auditoría aceptable para el auditor de SI; es decir, cuanto mayor sea el
nivel de materialidad, menor será la capacidad de aceptación del riesgo
de auditoría, y viceversa. Esto permite al auditor de SI determinar la
naturaleza, los plazos y el alcance de los procedimientos de auditoría lo
cual será de suma utilidad para el Proceso de Auditoría. (ISACA, 2006,
p.12, https://goo.gl/PxdTyc).

Basándose en la materialización para la planificación de las actividades del

plan, el auditor puede identificar los objetivos de control que sean
relevantes y determinar cuáles tienen que ser examinados (para más
información, puedes consultar en la lectura del módulo 1 titulada Proceso
de auditoría).

6
Referencias
Blanco, E. L. J. (2005). Auditoría y sistemas informáticos. La Habana, CU: Editorial
Félix Varela.

IIA: Instituto de Auditores Internos: http://theiia.org/technology

ISACA Asociación de Auditoría y Control de Sistemas de Información, Normas

Generales para la Auditoría de los Sistemas de Información, 2006, p.12,
https://goo.gl/PxdTyc