3.

CONTROL INTERNO
Control Interno como cualquier actividad o
acción realizada manual y/o automáticamente
para prevenir, corregir errores o irregularidades
que puedan afectar al funcionamiento de un
sistema para conseguir sus objetivos. (Auditoría
Informática - Un Enfoque Práctico - Mario G.
Plattini)
El Informe COSO define el Control Interno como “Las
normas, procedimientos, las prácticas y las
los organizativas diseñadas para
estructuras seguridad razonable de que los
proporcionar la empresa se alcanzarán y que los
eventos
objetivosnode
deseados se preverán, se detectarán y se
corregirán.
 EN EL AMBIENTE INFORMÁTICO, EL CONTROL
INTERNO SE MATERIALIZA
fundamentalmente en controles de dos tipos:

• Controles manuales: aquellos que son ejecutados por el personal del

área usuaria o de informática sin la utilización de herramientas
computacionales.

• Controles Automáticos: son generalmente los incorporados en el

software, llámense estos de operación, de comunicación, de gestión
de base de datos, programas de aplicación, etc.
 COMPONENTES DEL CONTROL
INTERNO
Actividades
de control

Evaluación de Información y
los Riesgos
Comunicación

Componentes
Entorno de del Control
Interno Supervisión
control
 ACTIVIDADES DE CONTROL

Son las políticas y procedimientos que ayudan a

asegurar que se toman las medidas para limitar los
riesgos que pueden afectar que se alcancen los
objetivos organizacionales.
 INFORMACIÓN Y
COMUNICACIÓN
Se debe identificar, ordenar y comunicar en forma
oportuna la información necesaria para que los
empleados puedan cumplir con sus obligaciones.

La información puede ser operativa o financiera, de

origen interno o externo.

Deben existir adecuados canales de comunicación.

El personal debe ser informado de la importancia de

que participe en el esfuerzo de aplicar el control
interno.
 SUPERVISIÓN
Debe existir un proceso que compruebe que el
sistema de control interno se mantiene en
funcionamiento a través del tiempo.

La misma tiene tareas permanentes y revisiones

periódicas. Estas últimas dependerán en cuanto a su
frecuencia de la evaluación de la importancia de los
riesgos en juego.
 EL CONTROL INTERNO INFORMÁTICO

Sistema integrado al proceso administrativo, en la

planeación, organización, dirección y control de las
operaciones con el objeto de asegurar la protección
de todos los recursos informáticos y mejorar los
índices de economía, eficiencia y efectividad de los
procesos operativos automatizados. (Auditoría Informática - Aplicaciones

en Producción - José Dagoberto Pinilla)

El control interno informático controla diariamente que
todas las actividades de sistemas de información
sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la dirección de la
organización y/o dirección de informática, así como
los requerimientos legales
LA MISIÓN DEL CONTROL INTERNO
INFORMÁTICO ES ASEGURARSE DE QUE LAS
MEDIDAS QUE SE OBTIENEN DE LOS
MECANISMOS IMPLANTADOS POR CADA
RESPONSABLE SEAN CORRECTAS Y VALIDAS
 PRINCIPALES OBJETIVOS
• Controlar que todas las actividades se realizan cumpliendo
los procedimientos y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las normas legales.
• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de Informática

Auditoría interna/externa

• Definir, implantar y ejecutar mecanismos y controles para

comprobar el logro de los grados adecuados del servicio
informático
 FUNCIONES ESPECIFICAS:
• Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personal de programadores, técnicos y operadores.

• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los

siguientes aspectos:

• Desarrollo y mantenimiento del software de aplicación.

• Explotación de servidores principales

• Software de Base

• Redes de Computación

• Seguridad Informática

• Licencias de software

• Cultura de riesgo informático en la organización

• Control interno informático (áreas de aplicación)

 CLASIFICACIÓN DE LOS CONTROLES INTERNOS
INFORMÁTICOS
•Controles Preventivos: Sirve para tratar de evitar un evento no deseado de
todas las áreas de departamento como son: Equipo de cómputo, sistemas,
telecomunicaciones.

•Ejemplo: contar con un software de seguridad que impida los accesos no

autorizados al sistema.

•Controles Detectivos: trata de descubrir a posteriori errores o

•preventivos.
fraudes que noEjemplo
haya sido(registros de intentos
posible evitarlos de acceso
con controles no

autorizados, el registro de la actividad diaria para detectar errores u

omisiones).
CONTROLES CORRECTIVOS: TRATAN DE
ASEGURAR QUE SE SUBSANEN TODOS LOS
ERRORES IDENTIFICADOS, MEDIANTE LOS
CONTROLES PREVENTIVOS; ES DECIR FACILITAN
LA VUELTA A LA NORMALIDAD ANTE UNA
INCIDENCIA. ES UN PLAN DE CONTINGENCIA.

Ejemplo: Back up supondría un control correctivo.

 Sistema de control interno:

Es el conjunto de todos los elementos en

donde lo principal son las personas, los
sistemas de información, la supervisión y los
procedimientos.
• Este es de vital importancia, ya promueve la
que eficiencia, asegura la efectividad,
previene
• que se violen las normas y los de general
principios
aceptación.
• Los directivos de las organizaciones deben crear un
ambiente de control, un conjunto de procedimientos de
control directo y las limitaciones del control interno.
Los controles pueden implantarse a varios niveles
diferentes. La evaluación de los controles de la
Tecnología de la Información exige analizar diversos
elementos interdependientes.

Por ello es importante llegar a conocer bien la

configuración del sistema, con el objeto de identificar
los elementos, productos y herramientas que existen
para saber dónde pueden implantarse los controles. así
como para identificar posibles riesgos.
 • Ha de revisar los diferentes controles internos
definidos en cada una de las funciones
informáticas y el cumplimiento de normativa
AUDITOR interna y externa, de acuerdo al nivel de
INTERNO/EXT riesgo, conforme a los objetivos definidos por
la Dirección de Negocio y la Dirección de
ERNO Informática. Informará a la Alta Dirección de
INFORMÁTICO los hechos observados y al detectarse
deficiencias o ausencias de controles
: recomendarán acciones que minimicen los
riesgos que pueden originarse.
 QUÉ ES LA AUDITORIA DE SISTEMAS

1) Auditoria de Sistemas
Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la
información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel
de la auditoria informática es muy importante.
La auditoria de sistemas consiste en una revisión profunda y detallada de todos los elementos de que dispone una
empresa en el área de sistemas de información.

2) Regulación internacional sobre Auditoria de Sistemas de Información

En materia de Auditoria de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel
internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoria son:
ISACA (COBIT)
COSO
AICPA (SAS)
IFAC (NIA)
SAC
MARGERIT
EDP
A) ISACA-COBIT
ISACA propone la metodología COBIT ® (Control Objectives for Information and related Technology). Es un documento
realizado en el año de 1996 y revisado posteriormente, dirigido a auditores, administradores y usuarios de sistemas de
información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad
de la información financiera y el cumplimiento de las leyes y regulaciones.
COBIT [19-ene-2007]
El COBIT se desarrolla a través de varios capítulos: planificación y organización, adquisición e implementación, desarrollo,
soporte y control.
Planificación y organización
Po1 Definición de un plan estratégicoPo2 Definición de la arquitectura de informaciónPo3 Determinación de la dirección
tecnológicaPo4 Definición de organización y relacionesPo5 Administración de la inversiónPo6 Comunicación de las
políticasPo7 Administración de los recursos humanosPo8 Asegurar el cumplimiento con los requerimientos ExternosPo9
Evaluación de riesgosPo10 Administración de proyectosPo11 Administración de la calidad
Adquisición e implementación
A11. Identificación de soluciones automatizadasA12. Adquisición y mantenimiento del software aplicativoA13. Adquisición y
mantenimiento de la infraestructura tecnológicaA14. Desarrollo y mantenimiento de procedimientosA15. Instalación y
aceptación de los sistemasA16. Administración de los cambios
Prestación y soporte
Ds1. Definición de los niveles de serviciosDs2. Administrar los servicios de tercerosDs3. Administrar la capacidad y
rendimientosDs4. Asegurar el servicio continuoDs5. Asegurar la seguridad de los sistemasDs6. Entrenamiento a los
usuariosDs7. Identificar y asignar los costosDs8. Asistencia y soporte a los clientesDs9. Administración de la
configuraciónDs10. Administración de los problemasDs11. Administración de los datosDs12. Administración de las
instalacionesDs13. Administración de la operación
Control
M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.M2. Obtener realización de
las evaluaciones independientes
B) COSO
The Committee of Sponsoring Organizations of the Treadway
Commission's Internal Control - Integrated Framework (COSO).
Publicado en 1992 hace recomendaciones a los contables de
gestión de cómo evaluar, informar e implementar sistemas de
control, teniendo como objetivo de control la efectividad y
eficiencia de las operaciones, la información financiera y el
cumplimiento de las regulaciones que explica en los
componentes del ambiente de control, valoración de riesgos,
actividades de control, información y comunicación, y el
monitoreo.
C) AICPA-SAS
The American Institute of Certified Public Accountants' Consideration
of the Internal Control Structure in a Financial Statement Audit (SAS
55), que ha sido modificado por el (SAS 78), 1995.
Da una guía a los auditores externos sobre el impacto del control
interno en la planificación y desarrollo de una auditoría de estados
financieros de las empresas, presentado como objetivos de control la
información financiera, la efectividad y eficiencia de las operaciones
y el cumplimiento de regulaciones, que desarrolla en los componentes
de ambiente de control, valoración de riesgo, actividades de control,
información, comunicación y monitoreo.
D) IFAC-NIA
La Federación Internacional de Contables IFAC (http://www.ifac.org) emitió las Normas
Internacionales de Auditoría NIA 15, 16 y 20 en 1991.
IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de
controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos
en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no
son visibles para los contables en el momento de realizar su trabajo.
La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y
procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de
los computadores y otras tecnologías.
La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de
sistemas de información contables. Junto con las demás normas dan una guía al auditor de
los controles en general a tener en cuenta en un ambiente informatizado y en las
aplicaciones que procesan la información, así como técnicas de auditoría asistidas por
computador y su importancia.
 DECLARACIONES INTERNACIONALES PARA LA PRACTICA DE
AUDITORIA
1001 Ambiente de procesamiento electrónico de datos - Microcomputadores
(Declaración 1)
El propósito de esta Declaración es ayudar al auditor en la aplicación de la norma 400 describiendo el sistema de micro
computación usado en estaciones de trabajo individuales. Esta Declaración describe los efectos del microcomputador sobre el
sistema contable y los controles internos relacionados y sobre los procedimientos de auditoría.
1002 Ambiente de procesamiento electrónico de datos- Sistemas de computadores “en línea” (Declaración 2)
Esta Declaración forma parte de una serie cuyo objeto es ayudar al auditor en la aplicación de la norma 400 mediante la
descripción de los sistemas computarizados “ en línea” y su efecto en el sistema contable y los controles internos relacionados y
en los procedimientos de auditoría.
1003 Ambiente de procedimiento electrónico de datos- Sistemas de base de datos (Declaración 3)
Esta Declaración forma parte de una serie cuyo objeto es ayudar al auditor en la aplicación de la norma 400 mediante la
descripción de los sistemas de base de datos y su efecto en el sistema contable y los controles internos relacionados y en los
procedimientos de auditoria.
1008 Evaluación de riesgos y control interno- Características y consideraciones en un ambiente de procesamiento electrónico de
datos (Addendum 1 a NIA 6)
Esta Declaración contiene las características y consideraciones más importantes del ambiente PED: estructura organizativa,
naturaleza del procesamiento, aspectos de diseño y procesamientos, controles interno, controles generales PED, controles de
aplicación PED, revisión y evaluación de los controles generales y de aplicación PED
E) SAC
The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).
Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de
auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la
integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas
manuales y automatizados y procedimientos de control.

F) MARGERIT
Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y
Gestión de Riesgos de los Sistemas de Información). 1997
Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año
1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de
seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los
sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para
conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de
procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

G) EDP
La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre
estándares para la auditoría de los sistemas de información.
Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de
sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.
 BIBLIOGRAFÍA:

• Piattinni, G. M & Peso del E. Auditoría

Informática. Un enfoque práctico. Alfaomega

• Echenique G. J.A. (2001). Auditoría en

Informática. 2da. Ed. Mc Graw- Hill