CAPITULO IV

CONTROLES INTERNOS

1 INTRODUCCION

Las políticas, procedimientos, prácticas y estructuras organizacionales implementadas

para reducir riesgos también son conocidos como controles internos.

Los controles internos con desarrollados para proveer una certeza razonable de que se
alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no
deseados serán evitados o detectados y corregidos. Las actividades de control interno y
los procesos que las soporten pueden ser manuales o manejados por recursos de
información automatizados. Estos operan en todos los niveles dentro de una organización
para mitigar su exposición a riesgos que potencialmente podrían impedirle alcanzar sus
objetivos de negocio, La junta directiva y la alta dirección son responsables de establecer
la cultura apropiada para facilitar un sistema efectivo y eficiente de control interno y de
supervisar continuamente la efectividad del sistema de control interno, aunque toda
persona dentro de una organización debe participar en este proceso.

Existen dos aspectos clave que el control debe atender: qué debería lograrse y qué debería
evitarse. Los controles internos no solo tratan los objetivos de negocio/operativos, sino
también deberían estar preparados a través de la prevención, detección y corrección.
Los elementos de control que deberían ser considerados al evaluar la fortaleza de un
control, están clasificados como preventivos, detectivos o correctivos de acuerdo a su
naturaleza.

La siguiente figura, muestra las categorías de control, funciones y usos.

CLASIFICACION DE LOS CONTROLES

CLASE FUNCION EJEMPLOS
  Emplear solo personal calificado
 Segregar funciones (factor disuasivo)
 Detectar problemas antes de que surjan.  Controlar el acceso físico a las
instalaciones
 Monitorear tanto las operaciones como el
 Usar documentos bien diseñados
ingreso de datos
(prevenir errores)
Preventivos  Tratar de predecir problemas potenciales  Establecer procedimientos adecuados
antes de que estos ocurran y hacer ajustes. para la autorización de transacciones
 Impedir que ocurra un error, una omisión  Completar las validaciones de edición
programadas
o un acto malicioso
 Usar software de control de acceso que
permita que solo el personal autorizado
tenga acceso a archivos sensitivos
 Hash Totals
 Puntos de verificación en los trabajos
(jobs) de producción
 Controles de eco en las
telecomunicaciones
 Mensajes de error sobre etiquetas de
 Usar controles que detecten y reporten que cintas
Detectivos ha ocurrido un error, una omisión o un  Doble verificación de cálculos
acto malicioso.  Reportes periódicos de desempeño con
variaciones
 Reportes de cuentas vencidas
 Funciones de auditoria interna
 Revisión de registros de actividad para
detectar intentos de acceso no
autorizado
 Minimizar el impacto de una amenaza
 Remediar problemas descubiertos por los
controles detectivos
 Planeación de contingencias
 Identificar la causa de un problema
 Procedimientos de respaldo
Correctivos  Corregir los errores resultantes de un
 Procedimientos de segunda ejecución
problema
de programas
 Modificar los sistemas de procesamiento,
para minimizar ocurrencias futuras del
problema
Figura 2: Clasificación de los controles

1.1 OBJETIVOS DE CONTROL INTERNO

Estos tipos de controles incluyen los controles relacionados con el ambiente de

tecnología. Los tipos de controles incluyen:
- Controles dc contabilidad interna — Primeramente, dirigidos a las operaciones contables,
como por ejemplo la salvaguarda de los activos y la confiabilidad de los registros
financieros.

- Controles operacionales -Dirigidos a las operaciones, funciones y actividades

cotidianas para asegurar que la operación está cumpliendo los objetivos del negocio.
- Controles administrativos-se ocupa de la eficiencia operacional en un área funcional y
el acatamiento de las políticas de administración que incluye los controles
operacionales. Estos pueden describirse como que soportan los controles
operacionales específicamente concernidos con la eficiencia operacional y el
acatamiento de la política organizacional.

Los objetivos de control interno son declaraciones del resultado deseado o del propósito
a ser alcanzado con la implementación de actividades de control (procedimientos).

Por ejemplo, los objetivos de control incluyen:

- Salvaguarda de los activos de TI
- Cumplimiento con las políticas corporativas y requerimientos legales
- Exactitud e integridad de datos
- Confiabilidad de los procesos
- Disponibilidad de los servicios de TI
- Eficiencia y economía de las operaciones
- Proceso de administración de cambios para TI y los sistemas relacionados

1.2 OBJETIVOS DE CONTROL DE SI

Los objetivos de control interno se aplican a todas las áreas, ya sean manuales,
automatizadas, o una combinación de las mismas. Por lo tanto, conceptualmente, los
objetivos de controlen un ambiente de SI permanecen sin cambios respecto de los de un
ambiente manual. Sin embargo, las características de control pueden ser diferentes. Por
lo tanto, los objetivos de control interno deben ser tratados en una forma específica para
los procesos relacionados con SI.
Los objetivos de control de SI pueden incluir:

 Salvaguarda de activos: La información en los sistemas automatizados está protegida

contra accesos inadecuados y se la mantiene actualizada.
 Asegurar la integridad de los ambientes de sistemas operativos en general, incluyendo
la administración y operaciones de la red.
 Asegurar la integridad de los ambientes de sistemas de aplicación sensitivos y críticos,
incluyendo información contable/financiera y gerencial (objetivos de información) a
través de:
Autorización para el ingreso de datos — Cada transacción es autorizada e introducida una
sola vez.
 Validación del input: Cada input es validado y no causará impacto negativo al
procesamiento de las transacciones.

Exactitud e integridad del procesamiento de transacciones — Todas las transacciones

son registradas e ingresadas en la computadora en el período correcto.
Confiabilidad de las actividades de procesamiento de información en general.
Exactitud, integridad y seguridad de la información de salida.
Integridad de la base de datos.
Asegurar la identificación y autenticación apropiada de los usuarios de los recursos de SI
(usuarios finales, así como también soporte de infraestructura)
Aseguramiento de eficiencia y efectividad en las operaciones (objetivos operativos)
Cumplimiento con los requerimientos de los usuarios, con las políticas y procedimientos
organizacionales y con las leyes y reglamentaciones aplicables (objetivos de
cumplimiento).

Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de

continuidad del negocio y de recuperación de desastres.
Aumento de la protección de datos y sistemas desarrollando un plan de respuesta a
incidentes.

Aseguramiento de la integridad y confiabilidad de los sistemas implementando

procedimientos efectivos de administración de cambios.
1.3 COBIT

Cobit soporta el gobierno de TI dando un marco para asegurar que TI esté alineado con
el negocio, TI habilita el negocio y maximiza los beneficios. los recursos de TI se usan
responsablemente y los riesgos de TI son manejados de manera apropiada. Cobit provee
buenas prácticas en todo un dominio y marco de proceso y presenta actividades en una
estructura manejable y lógica. Cobit tiene un marco con un conjunto de 34 procesos de
TI agrupados en cuatro dominios: planeación y organización, e implementación,
adquisición e implementación, entrega y soporte, y monitoreo y evaluación. Adaptando
y usando estas prácticas, a partir de los 34 procesos relevantes de TI, las organizaciones
pueden asegurar que han implementado un sistema de gobierno de TI y controles
relacionados como se requiere para su entorno de TI. Respaldando estos procesos de TI
existen más de 200 objetivos detallados de control necesarios para una implementación
efectiva. El componente de los objetivos de control en Cobit provee un marco de
referencia sobre cuáles controles deben estar instalados mientras que las Prácticas de
Control de Cobit: Guía para lograr las Objetivos de Control para Gobierno Exitoso de TI
facilita la implementación de estos controles.

Cobit provee buenas prácticas en todo un dominio y marco de proceso y presenta

actividades en una estructura manejable y lógica. Las buenas prácticas de Cobit representa
el consenso de los expertos.

Las buenas prácticas de Cobit están más fuertemente enfocadas al control, menos a la
ejecución. Estas prácticas ayudarán a optimizar las inversiones habilitadas por TI,
asegurarán los servicios y proveerán una medida contra la cual comparar cuando las cosas
salen mal.

Para que TI tenga éxito para entregar requerimientos del negocio, la gerencia instalar un
sistema de control interno o marco. El marco de control de Cobit contribuye a estas
necesidades de la siguiente manera:

 Haciendo un enlace con los requerimientos del negocio.

 Organizando las actividades de TI en un modelo de proceso generalmente aceptado.
 Identificando los principales recursos de TI a ser apalancados.
 Definiendo los objetivos de control de la gerencia a ser considerados.

La orientación de negocio de COBIT está constituida por metas de negocio que vinculan
con las metas de TI, proveyendo métricas y modelos de madurez para medir su logro, e
identificando responsabilidades del negocio asociadas y los dueños del proceso de TI.

En resumen, para proveer la información que necesita la empresa para lograr sus
objetivos, los recursos de TI necesitan ser manejados por un conjunto de procesos
agrupados naturalmente.

Cobit utiliza como referencia primaria, 36 estándares y reglamentos principales relativos

a TI. Cobit está dirigido a la dirección y al personal que provee servicios de información,
departamentos de control, funciones de auditoría y lo que es más importante, a los
propietarios de los procesos de negocio que usan los procesos de TI para garantizar la
confidencialidad, la integridad y la disponibilidad de información sensitiva y crítica.
También se ha publicado la Guía de Implementación de Gobierno de TI, para facilitar a
las empresas la implementación del Gobierno de TI utilizando el marco de COBIT.
COBIT Quickstart ofrece los elementos esenciales de COBIT para pequeñas y medianas
empresas. COBIT Online ofrece todos los componentes de COBIT por Internet para que
los usuarios adapten y configuren los componentes de COBIT a sus necesidades
específicas. El curso en línea recientemente publicado COBIT Foundation Course® y
examen es una solución de enseñanza-aprendizaje electrónico(e-learning) aplicable a los
auditores de TI, gerentes de TI, profesionales de calidad de TI, directivos de TI,
desarrolladores de TI, profesionales del proceso y gerentes en las firmas que proveen
servicios de TI. Ellos pueden ser usados para entender COBIT en un nivel de fundación
y ayudar a la aplicación de COBIT en la práctica.

COBIT provee un marco comprehensivo para administración y entrega de servicios de

alta calidad basados en TI. COBIT fija las mejores prácticas para el proceso de creación
de valor. Valuación TI agrega las mejores prácticas para medir de manera no ambigua,
monitorear y optimizar la realización de valor de negocio a partir de inversión en TI. Val
TI complementa a COBIT desde una perspectiva de negocio y financiera y ayudará a los
que tienen un interés en la entrega de valor de TI. El marco de Val TI presenta prácticas
clave de administración para tres procesos: gobierno de valor, administración de cartera
y administración de inversión.

1.4 CONTROLES GENERALES

Los controles incluyen políticas- procedimientos y prácticas (tareas y actividades) que

son establecidos por la gerencia para proveer garantía razonable de que se alcanzaran
objetivos específicos.

Los controles generales son aplicables a todas las áreas de la organización, incluyendo
infraestructura y servicios de soporte de TI. Estos incluyen políticas, procedimientos y
prácticas establecidas por la dirección para tener una garantía razonable de que se
alcanzaran los objetivos específicos. Los controles generales incluyen:
Controles internos de contabilidad que están principalmente dirigidos a las operaciones
de contabilidad. Ellos se refieren a la salvaguarda de activos y a la confiabilidad de los
registros financieros.

Controles operativos que se ocupan de las operaciones, funciones y actividades cotidianas

y aseguran que la operación esté cumpliendo los objetivos del negocio.

Controles administrativos que se ocupan de la eficiencia operativa en un área funcional y

la adherencia a las políticas de la dirección. Los controles administrativos dan soporte a
los controles operativos que se ocupan específicamente de la eficiencia operativa y de la
adherencia a las políticas organizacionales.

Políticas y procedimientos organizacionales de seguridad lógica para asegurar la debida

autorización de transacciones y actividades.

Políticas generales para el diseño y uso de documentos y registros adecuados para ayudar
a asegurar el registro apropiado de las transacciones -pista de auditoría de transacciones.

Procedimientos funciones para asegurar la protección adecuada en el acceso y el uso de

activos e instalaciones.
Políticas de seguridad física y lógica para todos los centros de datos (p. ej., servidores e
infraestructura de telecomunicaciones.

1.5 CONTROL DE SI

Cada procedimiento de control general puede ser traducido en un procedimiento de

control específico de SI. Un sistema de información bien diseñado debería contar con
controles construidos en el mismo para todas sus funciones sensitivas o críticas. Por
ejemplo, el procedimiento general para asegurar la adecuada custodia del acceso a los
activos e instalaciones puede traducirse en un conjunto de procedimientos de control
relacionado con sistemas de información, que abarque controles de acceso a los
programas de computación, datos y equipos de cómputo. El auditor de SI debería entender
los objetivos básicos de control que existen para todas las funciones.

Los procedimientos de control de SI incluyen:

 Estrategia y dirección
 Organización general y administrativa
 Acceso a los recursos de TI, incluyendo datos y programas
 Metodologías de desarrollo de sistemas y control de cambios
 Procedimientos de operación
 Programación de sistemas y funciones de soporte técnico
 Procedimientos de aseguramiento de calidad
 Controles de acceso físico
 Planeación de continuidad del negocio/recuperación de desastres
 Redes y comunicaciones
 Administración de la base de datos
 Protección y mecanismos de detección contra ataques internos y externos

El auditor de SI debe entender los conceptos de los procedimientos de control de SI y

cómo aplicarlos en la planeación de una auditoria.