Auditori A 3

EL CONTROL INTERNO EN
LAS TI
YESSICA GOMEZ G.
introduccin de controles internos 2
Introduccin a los controles internos
3.1.- Introduccin a los controles internos
3.2.- cmo mejorar la gestin de los controles internos?
3.3.- Los controles internos en las T.I.
3.3.1. Las funciones de control interno y auditoria
informatica
3.4.- Metodologas de control interno y auditoria
informatica.

El estudio COSO define el control interno como:

... proceso... efectuado por el Consejo de Administracin,
la direccin y dems personal de una entidad...
destinado a garantizar razonablemente a la direccin
que se alcanzarn los objetivos en materia de:

- Eficacia y eficiencia de las operaciones;
- Fiabilidad de la informacin financiera,
- Cumplimiento de las leyes y reglamentos.
a) Aspectos clave de la definicin de COSO.

El primer aspecto clave de la definicin propuesta por
COSO es que se trata de un proceso. En consecuencia los
controles internos no deben ser hechos o mecanismos
aislados, o decretos de la direccin, sino una serie de
acciones, cambios o funciones que, en conjunto,
conducen a cierto fin o resultado. Esto por s solo
extiende el concepto de control interno ms all de la
nocin tradicional de controles financieros, para convertir
el control interno en un sistema integrado de
materiales, equipo, procedimientos y personas.

3.1 - Introduccin a los controles internos
La siguiente frase de la definicin, efectuada por el
Consejo de Administracin, la direccin y dems
personal de una entidad, indica que el control interno es
asunto de personas. Ninguna organizacin puede conocer
todos los riesgos actuales y potenciales a los que est
expuesta en cualquier momento determinado y desarrollar
controles para hacer frente a todos y cada uno de ellos. En
consecuencia las personas que componen la
organizacin deben tener conciencia de la necesidad de
evaluar los riesgos y aplicar controles, y deben estar en
condiciones de responder adecuadamente a ello.
3.1 - Introduccin a los controles internos

El tercer elemento de la definicin, destinado a garantizar
razonablemente a la direccin, indica la importancia de
conocer las limitaciones de los controles.
No se puede esperar que los controles eviten todos los
problemas y cubran todos los riegos, ni se puede permitir
que la organizacin caiga en la autocomplacencia. La
consecucin de los objetivos no est asegurada; los
controles slo dan cierta seguridad pero no constituyen
una panacea.


b) El marco de control interno.

Dentro del marco integrado se identifican cinco elementos
de control interno y, lo que es ms importante, las
relaciones que existen entre dichos elementos. Tambin
pone de manifiesto que la estructura de control abarca
las tres categoras de objetivos de una entidad:
explotacin eficiente, informacin financiera exacta, y
cumplimiento de la normativa.

Los cinco elementos del control interno son:

1.El ambiente de control
2.La evaluacin del riesgo.
3.Las actividades de control.
4.Informacin y comunicacin.
5.Supervisin.


SUPERVISIN

ACTIVIDAD DE
CONTROL

DETERMINACIN DE
RIESGOS

AMBIENTE DE CONTROL

C
O
M
U
N
I
C
A
C
I
N

I
N
F
O
R
M
A
C
I
O
N

b.1) El ambiente de control.

El primer elemento del control interno es el ambiente de
control. Este da el tono para la organizacin, influyendo
sobre el grado de conciencia que tiene el personal al
respecto.
I ntegridad, tica y Capacidad. El ambiente de control est
en funcin de la integridad y capacidad del personal de
la organizacin. La eficacia de los controles internos no
puede ser mejor que la tica y los valores de los
individuos que los crean, administran y supervisan.

Los factores a considerar cuando se evalan la
integridad, los valores ticos y la capacidad de los
empleados incluyen:

- La existencia e implantacin de cdigos de conducta.
- La presin para cumplir metas de eficacia poco realistas.
- La descripcin oficial u oficiosa de los puestos de trabajo
- El anlisis de los conocimientos y habilidades que se
requieren
b.2) Evaluacin del riesgo.
Las organizaciones, cualquiera sea su tamao, se
enfrentan a diversos riesgos de origen interno y
externo. La evaluacin del riesgo es la identificacin y
anlisis de dichos riesgos en lo que se refiere a la
consecucin de los objetivos, y constituye la base para
determinar la forma de gestionar el riesgo.
Aunque para crecer es necesario asumir riesgos prudentes,
la direccin debe identificar y analizar los riegos,
cuantificarlos, y prever la probabilidad de que ocurran
as como las posibles consecuencias.

En las cambiantes circunstancias actuales hay que prestar
especial atencin a ciertas condiciones:
Progresos tecnolgicos en el proceso de produccin o en los
sistemas de informacin, como consecuencia de los cuales
los controles dejan de ser adecuados para reducir los
nuevos riesgos que suponen.
Los cambios que se producen en el entorno operativo
pueden generar un nuevo entorno normativo o
econmico, aumentando la presin competitiva y
creando nuevos riesgos para la empresa.
Nuevas lneas de negocio, o nuevos productos, como
consecuencia de los cuales los controles existentes dejan
de reducir el riesgo de manera efectiva.

La reestructuracin de las empresas mediante el
redimensionamiento a los ajustes de plantilla. Es un
aspecto delicado ya que en el nuevo entorno existe la
posibilidad de eliminar un puesto que desempea una
funcin clave de control sin instituir otro control en su
lugar.
La expansin o adquisicin de explotaciones en el
extranjero, que implica nuevos riesgos tal vez no del todo
conocidos pero que deben tomarse en cuenta. Por ejemplo,
el ambiente de control quizs responda a la cultura y las
costumbres de la direccin local.

Personal nuevo, que puede no conocer la cultura de la
empresa o puede atender ms a los resultados que a las
actividades de control. De no estar debidamente formada
la gente nueva en una organizacin puede decidir llevar el
negocio a su manera en lugar de hacerlo como lo exige el
nuevo entorno en que acta.
Crecimiento rpido. Cuando se produce una significativa
expansin en la actividad, los sistemas existentes se ven
sometidos a presiones que pueden producir fallos en los
controles.

Debido a la naturaleza dinmica de tales factores, la
evaluacin del riesgo no es una tarea a cumplir de una vez
para siempre. Debe ser un proceso continuo, un
actividad bsica de la organizacin, como la evaluacin
continua de la utilizacin de los sistemas de
informacin o la mejora continua de los procesos.

Lo importante no es utilizar determinada metodologa
de evaluacin del riesgo sino convertir la evaluacin del
riesgo en parte natural del proceso de planificacin de
la empresa.

b.3) Actividades de control.

Las actividades de control deben estar integradas en el
proceso de evaluacin del riesgo. Una vez analizados los
riesgos, la direccin desarrolla actividades de control,
las que deben cumplirse correcta y oportunamente.
Dichas actividades garantizan que se adopten las
medidas necesarias para hacer frente a los riesgos que
amenazan la consecucin de los objetivos.

Las actividades del control existen a travs de toda la
organizacin y se dan en toda la organizacin, a todos
los niveles y en todas las funciones, e incluyen cosas
tales como:
- aprobaciones,
- autorizaciones,
- verificaciones,
- conciliaciones, -
- anlisis de la eficacia operativa,
- seguridad de los activos, y
segregacin de funciones.

-En algunos entornos, las actividades de control se
clasifican en:
- controles preventivos,
- controles de deteccin,
- controles correctivos,
- controles manuales o de usuario,
- controles informticos o de T.I., y
- controles de la direccin.

Independientemente de la clasificacin que se adopte, las
actividades de control deben ser adecuadas para los
riesgos.
Las empresas pueden llegar a padecer un exceso de
controles hasta el punto que las actividades de control
les impidan operar de manera eficiente.
Dividiendo las competencias entre mucha gente pueden
diluirse las competencias y la responsabilidad, y
disminuir el grado de control.
Un gran nmero de actividades de control o de personas que
participan en ellas no asegura necesariamente la calidad
del sistema de control.

b.4) I nformacin y comunicacin.

Es preciso desarrollar y comunicar oportunamente la
informacin pertinente de una forma que permita a la
gente conocer y cumplir sus obligaciones.
Los principales temas a considerar en relacin con la
informacin y la comunicacin incluyen:
- Sistemas de informacin.
- Comunicacin de las competencias en materia de
control.
- Comunicacin dentro de la organizacin.
- Comunicacin externa.

b.5) Supervisin.

Es preciso supervisar continuamente los controles
internos para asegurarse de que el proceso funciona
segn los previsto. Esto es muy importante porque a
medida que cambian los factores internos y externos,
controles que una vez resultaron idneos y efectivos
pueden dejar de ser adecuados y de dar a la direccin la
razonable seguridad que ofrecan antes
3.2.- Cmo mejorar la gestin de los controles internos?
La alta direccin debe adoptar una actitud proactiva a
efectos de la evaluacin y reestructuracin de los
controles internos. Para tener xito en la tarea, muchos
tendrn que reinventar los controles internos a la luz
de la nueva definicin, ms amplia, del control..

Un aspecto a tomar en cuenta al principio del proceso es
cmo se compara la empresa con otras similares o
diferentes.

3.3.- Los controles internos en las T.I..
Un elemento crtico para el xito y la supervivencia de
las organizaciones, es la administracin efectiva de la
informacin y de la Tecnologa de Informacin (TI)
relacionada con ella.
En esta sociedad global esta criticidad emerge de:
La creciente dependencia de la informacin y de
los sistemas que proporcionan dicha informacin.
La creciente vulnerabilidad y un amplio espectro
de amenazas.
La administracin debe comprender y valorar
bsicamente los riesgos y limitaciones del empleo de la
TI proporcionando una direccin eficaz y con los
controles adecuados.

3.3.- Los controles internos en las T.I..
Se haca necesario establecer un marco de referencia de
objetivos de control para las T.I., conjuntamente con
una investigacin continua aplicada a dichos controles
basada en dicho marco.
Tomando como referencia la publicacin en los E.E.U.U.
de los modelos de control generales COSO, lnformation
Systems Audit and Control Foundation y un grupo de
empresas desarrollaron en 1998 dicho marco de
referencia para la definicin de objetivos de control que
recibe el nombre de COBIT: Objetivos de Control para
la Informacin y Tecnologas afines, con el propsito de
cubrir el vaco existente y desarrollar polticas claras y
buenas prcticas para la seguridad y el control de las T.I..

3.4.- Metodologas de control interno y auditora
informtica
La proliferacin de metodologa en el mundo de la
auditora y el control informtico se pueden observar en los
primeros aos de la dcada de los ochenta paralelamente al
nacimiento y comercializacin de determinadas
herramientas metodolgicas (como el software de anlisis
de riesgos).
Pero el uso de mtodos de auditora es casi paralelo al
nacimiento de la informtica, en la que existen muchas
disciplinas en las que el uso de metodologas constituye
una prctica habitual. Una de ellas es la seguridad de los
sistemas de informacin.

informtica
Si definimos la seguridad de los sistemas de informacin
como la doctrina que trata de los riesgos informticos o
creados por la informtica, entonces la auditora es una
de las figuras involucradas en este proceso de
proteccin y preservacin de la informacin y de sus
medios de proceso.

Por tanto, el nivel de seguridad informtica en una
entidad es un objetivo a evaluar y est directamente
relacionado con la calidad y eficacia de un conjunto de
acciones y medidas destinadas a proteger y preservar
la informacin de la entidad y sus medios de proceso.

informtica
Resumiendo, la informtica crea unos riesgos
informticos de los que hay que proteger y preservar a
la entidad con un entramado de contramedidas y la
calidad y la eficacia de las mismas es el objetivo a
evaluar para poder identificar as sus puntos dbiles y
mejorarlos. Esta es una de las funciones de los auditores
informticos. Por tanto, debemos profundizar ms en ese
entramado de contramedidas para ver qu papel tienen las
metodologas y los auditores en el mismo. Para explicar
este aspecto diremos que cualquier contramedida nace de
la composicin de varios factores expresados en el grfico
valor segn se indica en la figura adjunta. Todos los
factores de la pirmide intervienen en la composicin de
una contramedida.

NORMAS

ORGANIZACIN

METODOLOGAS

OBJETIVOS DE
CONTROL

PROCEDIMIENTOS

TECNOLOGA DE
SEGURIDAD

HERRAMIENTAS

Estndares y polticas

Funciones
Procedimientos
Planes

Informtica
Usuarios

Hardware
Software

3.4.- Metodologas de control interno y auditora informtica
Factores que componen una contramedida.
3.4.1.- Las metodologas de Auditoria informtica
El proceso seguido en una auditora es similar al
siguiente:
1.Determinacin de la finalidad y objetivos del informe,
precisando su alcance.
2.Conseguir informacin previa sobre el dominio, proceso
o actividad a auditar.
3.Planificacin del trabajo a desarrollar para cumplir con la
finalidad del informe y alcanzar los objetivos.
4.Llevar a cabo los trabajos de recogida de informacin y
documentacin, que puedan efectuarse antes de la
presentacin de los auditores "in situ"
5.Comienzo de la auditora: presentacin ante los
auditados y desarrollo de la planificacin establecida.
6.Anlisis y sntesis de la informacin obtenida con el
desarrollo del programa.
3.4.1.- Las metodologas de Auditoria informtica
7.Verificacin de la misma.
8.Comprobacin de que se han alcanzado los objetivos
sealados, cumpliendo la finalidad del informe.
9.Elaboracin del informe.
10.Discusin del mismo.
11.Distribucin a la direccin y afectados

El auditor interno debe crear las metodologas necesarias
para auditar las distintos aspecto o reas que defina en el
plan auditor que veremos en el siguiente punto.
3.4.2.- El plan auditor informatico
Las partes de un plan auditor informtico deben ser al
menos las siguientes:

Funciones. Ubicacin de la figura en el organigrama de la
empresa. Debe existir una clara segregacin de funciones
con la Informtica y de control interno informtico, y ste
debe ser auditado tambin. Deben describirse las funciones
de forma precisa, y la organizacin interna del
departamento, con todos sus recursos.

Procedimientos para las distintas tareas de las
auditoras. Entre ellos estn el procedimiento de apertura,
el de entrega y discusin de debilidades, entrega de
informe preliminar, cierre de auditora, redaccin de
informe final, etc.
Tipos de auditoras que realiza. Metodologas y
cuestionarios de las mismas. Ejemplo: revisin de la
aplicacin de facturacin, revisin de la ley de Proteccin
de Datos, revisin de seguridad fsica, revisin de control
interno, etc. Existen tres tipos de auditora segn su
alcance: la completa de una rea (por ejemplo: control
interno, informtica); limitada a un aspecto por ejemplo:
una aplicacin, la seguridad lgica, el software de base,
etc.; la correctiva que es la comprobacin de acciones de
auditoras anteriores.
Sistema de evaluacin y los distintos aspectos que
evala. Independientemente de que exista un plan de
acciones en el informe final, debe hacerse el esfuerzo de
definir varios aspectos a evaluar como nivel de gestin
econmica, gestin de recursos humanos, cumplimiento de
normas, etc. as como realizar una evaluacin global de
resumen para toda la auditora. En nuestro pas esta
evaluacin suele hacerse en tres niveles que son Bien,
Regular, o Mal, significando la visin de grado de
gravedad. Esta evaluacin final nos servir para definir la
fecha de repeticin de la misma auditora en el futuro
segn el nivel de exposicin que se le haya dado a este tipo
de auditora en cuestin.

Nivel de exposicin. El nivel de exposicin es en este
caso un nmero del uno al diez definido subjetivamente y
que me permite en base a la evaluacin final de la ltima
auditora realizada sobre ese tema definir la fecha de la
repeticin de la misma auditora. Este nmero no conviene
confundirlo con ninguno de los parmetros utilizados en el
anlisis de riesgos que est enfocado a probabilidad de
ocurrencia. En este caso el valor del nivel de exposicin
significa la suma de factores como impacto, personal del
rea, situacin de control en el rea. O sea se puede incluso
rebajar el nivel de un rea auditada porque est muy bien y
no merece la pena revisarla tan a menudo.

Nivel Exposicin Evaluacin Frecuencia Visitas

10 - 9 B 18 meses
R 9 meses
M 6 meses
8 - 7 B 18 meses
R 12 meses
M 9 meses
6 - 5 B 24 meses
R 18 meses
M 12 meses
4 - 1 B 36 meses
R 24 meses
M 18 meses

Lista de distribucin de informes.
Seguimiento de las acciones correctoras.
Plan quinquenal. Todas las reas a auditar deben
corresponderse con cuestionarios metodolgicos y deben
repartirse en cuatro o cinco aos de trabajo. Esta
planificacin, adems de las repeticiones y aadido de las
auditoras no programadas que se estimen oportunas,
deber componer anualmente el plan de trabajo anual.
Plan de trabajo anual. Deben estimarse tiempos de
manera racional y componer un calendario que una vez
terminado nos d un resultado de horas de trabajo previstas
y por tanto de los recursos que se necesitarn.

Las metodologas de auditora informtica son del tipo
cualitativo/subjetivo. Podemos decir que son las
subjetivas por excelencia. Por tanto estn basadas en
profesionales de gran nivel de experiencia y formacin,
capaces de dictar recomendaciones tcnicas, operativas y
jurdicas, que exigen una gran profesionalidad y formacin
continuada. Slo as esta funcin se consolidar en las
entidades, esto es, por el respeto profesional a los que
ejercen la funcin.
3.4.3.- Metodologas para el control interno

Dos son los tipos de metodologas utilizadas para el
establecimiento y definicin de controles internos:
1.Metodologa para la Clasificacin de la informacin.
Se comentar brevemente la metodologa PRIMA.
Entidad de informacin es el objetivo a proteger en el
entorno informtico, y que la clasificacin de la
informacin nos ayudar a proteger especializando las
contramedidas segn el nivel de confidencialidad o
importancia que tengan.
Ejemplos de Entidades de Informacin son: Una pantalla,
un listado, un fichero de datos, un fichero en un
dispositivo, una microficha de saldos.
Los factores a considerar son los requerimientos
legislativos, la sensibilidad a la divulgacin
(confidencialidad), a la modificacin (integridad), y a la
destruccin.

Las jerarquas suelen ser cuatro, y segn se trate de
ptica de preservacin o de proteccin, los cuatro
grupos seran: Vital-Crtica-Valuada-No sensible
o Altamente confidencial-Confidencial-Restringida-No
sensible.
Esta metodologa bsicamente define:

Estratgica (informacin muy restringida, muy confidencial,
vital para la subsistencia de la empresa).
Restringida (a los propietarios de la informacin).
De uso interno (a todos los empleados).
De uso general (sin restricciones).

Los pasos de la metodologa son los siguientes:
1.Identificacin de la informacin.
2.Inventario de entidades de informacin residentes y
operativas. Inventario de programas, ficheros de datos,
estructuras de datos, soportes de informacin, etc.
3.Identificacin de propietarios. Son los que necesitan
para su trabajo, usan o custodian la informacin.
4.Definicin de jerarquas de informacin. Suelen ser
cuatro, porque es difcil distinguir entre ms niveles.

5.Definicin de la matriz de clasificacin. Consiste en
definir las polticas, estndares, objetivos de control y
contramedidas por tipos y jerarquas de informacin.
6.Confeccin de la matriz de clasificacin. Realizacin
del plan de acciones. Se confecciona el plan detallado de
acciones. Por ejemplo, se reforma una aplicacin de
nminas para que un empleado utilice el programa de
subidas de salario y su supervisor lo apruebe.
7.Implantacin y mantenimiento. Se implanta el plan de
acciones y se mantiene actualizado.


CONTRAMEDIDA
3
CLASIFICACION
DE LA
INFORMACION
OBJETIVOS
DE CONTROL 1
OBJETIVOS
DECONTROL 2
CONTRAMEDIDA
1
OBJETIVOS DE
CONTROL 1
CONTRAMEDIDA
2
ANALISIS
DE RIESGOS
PLAN DE
ACCIONES
ESTANDARES
TECNOLOGIA
Estndares (ISO, CISA, ITSEC, TCS, etc.)

A)
B)
C)
2 Metodologa para la obtencin de los procedimientos
de control
Es frecuente encontrar manuales de procedimientos en
todas las reas de la empresa que explican las funciones y
cmo se realizan las distintas tareas diariamente, siendo
stos necesarios para que los auditores realicen sus
revisiones operativas, evaluando si los procedimientos son
correctos y estn aprobados y sobre todo si se cumplen.

Una metodologa para la obtencin de controles se expone
a continuacin:
Fase I. Definicin de Objetivos de Control. Se compone
de tres tareas.
Tarea 1. Anlisis de la empresa. Se estudian los procesos,
organigramas y funciones.
Tarea 2. Recopilacin de estndares. Se estudian todas las
fuentes de informacin necesarias para conseguir definir en
la siguiente fase los objetivos de control a cumplir (por
ejemplo, ISO, ITSEC, CISA, etc.).
Tarea 3. Definicin de los Objetivos de Control.

Fase II. Definicin de los Controles.
Tarea 1. Definicin de los Controles. Identificados los
objetivos de control, se analizan los procesos y se definen
los distintos controles que se necesitan.
Tarea 2. Definicin de Necesidades Tecnolgicas
(hardware y herramientas de control).
Tarea 3. Definicin de los Procedimientos de Control. Se
desarrollan los distintos procedimientos que se generan en
las reas usuarias, informtica, control informtico y
control no informtico.
Tarea 4. Definicin de las necesidades de recursos
humanos.

Fase III. Implantacin de los controles.
Una vez definidos los controles, las herramientas de
control y los recursos humanos necesarios, no resta ms
que implantarlos en forma de acciones especficas.
Terminado el proceso de implantacin de acciones habr que
documentar los procedimientos nuevos y revisar los
afectados de cambio. Los procedimientos resultantes sern:
Procedimientos propios de control de la actividad
informtica (control interno informtico).
Procedimiento de distintas reas usuarias de la
informtica, mejorados.
Procedimientos de reas informticas, mejorados.
Procedimientos de control dual entre control interno
informtico y el rea informtica, los usuarios
informticos, y el rea de control no informtico.
Bibliografa.

- Govindan, Marshal/ Jhon Y. Picard. "Manifesto on
Information Systems Control and Management ". Mc
Graw Hill 1990.
- Expansin. "Control Interno, Auditoria y Seguridad
Informtica". Tomos II-IV .1996.
- Piattini , Mario G.; Del Peso, Emilio. "Auditoria
Informtica: Un enfoque prctico". 1998.
- Isacf. COBIT 2 Edicin .1998

Auditori A 3

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditori A 3

Cargado por

Copyright:

Formatos disponibles

EL CONTROL INTERNO EN

También podría gustarte