Control Interno Informtico

UMSS - 2015
 Introduccin
Muchas organizaciones reconocen los
beneficios potenciales que la tecnologa
puede proporcionar. Las organizaciones
exitosas, sin embargo, tambin comprenden y
administran los riesgos asociados con la
implementacin de nueva tecnologa.

Evaluacin y Auditora de Sistemas de

Informacin - MSc. Patricia Elizabeth 2
Romero
 Control
Las polticas, procedimientos, prcticas y
estructuras organizacionales para propiciar
seguridad razonable de que los objetivos
organizacionales se alcanzaran y que los eventos
no deseados se evitaran o detectaran y
corregirn.

Evaluacin y Auditora de Sistemas de

Informacin - MSc. Patricia Elizabeth 3
Romero
 Control Interno, Por que?
Se aplica a todas las actividades dentro de una
empresa.
Seguridad, control y Auditoria: estn
vinculadas mediante el control interno.

Evaluacin y Auditora de Sistemas de

Informacin - MSc. Patricia Elizabeth 4
Romero
 Definiciones
El control interno es un proceso mediante el
cual el cuerpo directriz, la gerencia y el personal
de una empresa asegura con un nivel de certeza
aceptable que los objetivos claves del negocio se
pueden alcanzar en relacin a:
La efectividad y eficiencia de las operaciones.
La confiabilidad del reportaje financiero.
El cumplimiento con las leyes y regulaciones
que afectan a la empresa.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 5

 Definiciones
El control Interno, es cualquier actividad o
accin realizada manual y/o automticamente
para prevenir, corregir errores o
irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir
sus objetivos.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 6

 Aplicacin del Control Interno a los
sistemas de informacin
Los S.I. estn fuertemente entrelazados con
las operaciones de la empresa.
Muchas veces los S.I. son sinnimos de la
empresa (empresas con mercadeo
electrnico, la banca, etc.).
Los conceptos de control interno se aplican a
los S.I. aun con mas fuerza.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero

7
 Objetivos del CII
Establecer como prioridad la seguridad y
proteccin de la informacin, del sistema
computacional y de los recursos informticos
de la empresa.
Definir, implantar, ejecutar mecanismos y
controles para comprobar el logro de los
grados adecuados del servicio informtico,

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 8

 Objetivos del CII
Implementar los mtodos, tcnicas y
procedimientos necesarios para coadyuvar al
eficiente desarrollo de las funciones, actividades
y tareas de los servicios computacionales, para
satisfacer los requerimientos de sistemas en la
empresa.
Promover la confiabilidad, oportunidad y
veracidad de la captacin de datos, su
procesamiento en el sistema y la emisin de
informes en la empresa.
Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero
9
 Control Interno, Por que?
Se aplica a todas las actividades dentro de una
empresa.
Seguridad, control y Auditoria: estn
vinculadas mediante el control interno.

Evaluacin y Auditora de Sistemas de

Informacin - MSc. Patricia Elizabeth 10
Romero
 Modelos de Control
Factores que motivaron la necesidad:
Colapsos financieros de muchas
organizaciones que fueron consideradas exitosas
(por carencia de un sistema adecuado de control
interno).
Inconformismo de la gerencia y los practicantes
del control Interno con la falta de inconsistencia
en la definicin y la substancia sobre lo que
constituye el marco del CI.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 11

 Modelos de Control
La necesidad de formular estndares para el
control interno.
Las presiones de agencias regulatorias
gubernamentales para que se mejore el estado y
reportaje del control interno.
El deseo la alta gerencia que se establezcan
mecanismos para reducir de una manera
confiable la explosin que las empresas
enfrentan, en vista a riesgos que siempre estn
listos con las expectativas de causar fallas o
perdidas en las empresas.
Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero
12
 Modelo COSO
Commite Of Sponsoring Organizations, of the
Treadway Commission (1993).
Componente claves:
El mbito de control.
Evaluacin o ponderacin del riesgo.
Las actividades de control.
Informacin y comunicacin.
Monitoreo.

Evaluacin y Auditora de Sistemas de

Informacin - MSc. Patricia Elizabeth 13
Romero
 El modelo COBIT
COBIT (Control Objetives for Information
Technologies), Objetivos de control para las
tecnologas de Informacin.
La premisa es que los recursos de las TI deben
gerenciarse mediante procesos de TI, a fin
de proveer la informacin que la empresa
requiere para alcanzar sus objetivos de
negocio.

Evaluacin y Auditora de Sistemas de

Informacin - MSc. Patricia Elizabeth 14
Romero
Estructura general del COBIT

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 15

 Dominios Principales de control
Planificacin y Organizacin.
Adquisicin e implantacin.
Entrega y Soporte.
Monitoreo

Son 34 objetivos, para cada uno de los

Procesos de TI, agrupados en cuatro dominios

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 16

Estructura
COBIT

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 17

 Auditora Informtica
La auditora Informtica es el proceso de
recoger, agrupar y evaluar evidencias para
determinar un sistema informatizado
salvaguarda los activos, mantiene la
integridad de los datos, lleva a cabo
eficazmente los fines de la organizacin y
utiliza eficientemente los recursos.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 18

 Similitudes
CONTROL INTERNO AUDITOR INFORMATICO
INFORMATICO

Personal interno.
Conocimientos especializados en Tecnologa de la
Informacin.
Verificacin del cumplimiento de controles internos,
normativa y procedimientos establecidos por la
direccin de informtica y la Direccin General para los
sistemas de informacin.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 19

 Diferencias
CONTROL INTERNO AUDITORIA INFORMATICA
INFORMATICO
- Anlisis de los controles en - Anlisis de un momento
el da a da. informtico determinado.
- Informa a la Direccin del - Informa a la direccin general
dto Informtica. de la organizacin.

- Slo personal interno. - Personal Interno y/o externo.

- El alcance de sus funciones - Tiene cobertura sobre todos los

es nicamente sobre el componentes de los sistemas de
departamento de Informacin de la organizacin.
Informtica.
Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 20
 Implantacin de un Sistema de CII
1. Conocer la configuracin del Sistema de
Informacin.
Entorno de red.
Configuracin del servidor (conf. del soporte fsico,
S.O., datos, etc.)
Aplicaciones.
Herramientas, utilitarios, software para el
desarrollo de programas.
Seguridad (identificacin/verficacin de usuarios,
controles de acceso, )
Evaluacin y Auditora de Sistemas de
Informacin - MSc. Patricia Elizabeth 21
Romero
 Implantacin de un Sistema de CII
2. Definirse las tareas de:
- Gestin de Sistemas de Informacin, polticas y
normas tcnicas que sirvan para el diseo y la
implantacin de los SI y los CII.
- Administracin de Sistemas, controles da activiades y
controles.
- Seguridad, controles de integridad, confidencialidad
y disponibilidad.
- Gestin de mantenimiento y cambio.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 22

 Clasificacin de los CII
En el ambiente informtico:
Controles manuales; aquellos que son
ejecutados por el personal del rea o de
informtica sin la utilizacin de herramientas
computacionales.
Controles Automticos; son generalmente los
incorporados en el software, llmense estos de
operacin, de comunicacin, de gestin de
base de datos, programas de aplicacin, etc.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 23

Segn su finalidad se clasifican en:
Controles preventivos: para tratar de evitar la
produccin de errores o hechos fraudulentos,
como por ejemplo el software de seguridad que
evita el acceso a personal no autorizado.
Controles detectivos: tratan de descubrir a
posteriori errores o fraudes que no haya sido
posible evitarlos con controles preventivos.
Controles correctivos: facilitan la vuelta a la
normalidad cuando se han producido incidencias.
Por ejemplo, la recuperacin de un archivo
daado a partir de las copias de seguridad.

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 24

 Referencias Bibliogrficas
COBIT 5, ISACA. 2012
ECHENIQUE GARCA JOS ANTONIO, Auditora
en Informtica, McGraw Hill, 2001KUONG
JAVIER F., Seguridad, Control y Auditoria de las
Tecnologas de Informacin, Management
Advisory Services & publications
MUOZ RAZO CARLOS, Auditoria en Sistemas
Computacin, Pearson Education de Mxico,
2002

Evaluacin y Auditora de Sistemas de Informacin - MSc. Patricia Elizabeth Romero 25