INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y LAS

COMUNICACIONES

AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN

INVESTIGACIÓN DOCUMENTAL

ARTURO DAVID RAMÍREZ GARCÍA

GRUPO: 8 “A” TIC´S

SEMESTRE: VIII

Asesor: Lic. MONTESINOS HERNANDEZ MARIA DEL CARMEN

 CONTROL INTERNO
INTRODUCCIÓN

Para empezar unas definiciones de lo que son el control interno, el control interno
informático, la auditoria informática y la auditoría interna para empezar a
diferenciarlos:

El control interno es: una expresión que se utiliza con el fin de describir las acciones
adoptadas por los directores de entidades, gerentes o administradores, vaya en
general de los encargados, para evaluar y monitorear las operaciones en sus
entidades. Además, un sistema de control interno comprende el plan de la
organización y todos los métodos coordinados y medidas adoptadas dentro de una
empresa con el fin de salvaguardar sus activos y verificar la confiabilidad de los
datos contables que no necesariamente significan ser exclusivamente del área de
contabilidad.

El control interno informático es: aquel que controla diariamente que todas las
actividades de los sistemas de información sean realizadas cumpliendo los
procedimientos, procedimientos y normas fijados por la dirección de la organización
y/o la dirección informática, así como los requisitos legales.

La auditoría informática es: el proceso de recuperación, agrupar y evaluar

evidencias para determinar si un sistema informatizado salvaguarda los activos,
mantenerla integridad de los datos, lleva un cabo eficazmente los fines de la
organización, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidos, además otra definición que se le puede dar es la de
realizar una acción de estudiar los mecanismos de control que están implantados
en una empresa u organización, determinando si los mismos son específicos y
determinados con los objetivos o estrategias, estableciendo los cambios que se
realizan para la consecución de los mismos

La auditoria interna es: el examen crítico, sistemático y detallado de un sistema de

información, realizado por un auditor que tiene vínculos laborales con la misma,
utilizando técnicas específicas y con el objeto de emitir una opinión independiente
sobre la forma como opera el sistema, el control interno del mismo y formular
sugerencias para su mejoramiento.

DESARROLLO

Ahora haciendo que ya se conocen las diferencias entre el control interno y sus
similares podemos empezar a analizar las partes del mismo las cuales son:

Objetivos del control interno: La misión de este es asegurarse de que las medidas
que se obtienen de los mecanismos implantados por cada responsable sean
correctas y válidas. Principales objetivos:

 Controlar y apoyar el trabajo de Auditoria Informática, así como de las

auditorías externas al Grupo.
 Definir, implantar y ejecutar mecanismos y controles para comprobar el logro
de los grados adecuados del servicio informática.
 Realizar en los diferentes sistemas y entornos informáticos el control de las
diferentes actividades que se realizan
 Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijadas, evaluar su brindad y asegurarse del
cumplimiento de las normas legales.
 Asesorar sobre el conocimiento de las normas.
 Ver todo lo que hace según los procedimientos internos y normas legales:
debe controlar qué todas las actividades se realizan cumpliendo con los
procedimientos y normas fijados y controlar el cumplimiento de las normas
legales.
 Colaborar y apoyar el trabajo de la Auditoría Informática, así como las
auditorías externas al Grupo.

Clasificación de los controles en el control interno en general: Esto es algo que trata
de realizar una revisión de la eficacia del funcionamiento de los controles diseñados
para cada uno de los pasos de la misma frente a los riesgos que tratan de eliminar
o minimizar, como medios para asegurar la fiabilidad, seguridad, disponibilidad y
confidencialidad de la información gestionada por la aplicación.

La clasificación es la siguiente:

 Controles Preventivos: Se Tratan de aquellos que ayudan a evitar la

producción de errores a base de exigir el ajuste de los datos introducidos a
patrones de formato y estructura, perteneciendo a una lista de valores validos
o a un archivo maestro, rango entre limites determinados, incorporación de
digito de control en datos clave y en general cualquier criterio que ayude a
asegurar la corrección formal y verosimilitud de los datos.
 Controles detectivos: Se trata de aquellos que intentan descubrir errores,
fraudes o fallos que no pudieron ser evitados con los anteriores controles
preventivos.
 Controles correctivos: Estos son aquellos que intentan asegurar que se
subsanen todos los errores identificados mediante controles detectivos. Y
pueden estar:
o En las transacciones de recogida o toma de datos.
o En todos los procesos de información que la aplicación realiza.
o En la generación de informes y resultado de salida.

 Controles físicos y lógicos: Durante el control interno que generalmente se

lleva en el almacenamiento de información y datos se encuentran este tipo
de controles:
o Autenticidad. - Permiten verificar la identidad (Passwords, Firmas
Digitales, etc.)
o Exactitud. - Aseguran la coherencia de los datos. (Validación de
campos).
o Totalidad. - Evitan la omisión de registros, así como garantizan la
conclusión de
o un proceso de envió (Conteo de Registros).
o Privacidad. - Aseguran la protección de los datos (Encriptación).
 o Existencia. - Aseguran la disponibilidad de los datos (Bitácora de
estados).
o Protección de Activos. - destrucción o corrupción de información del
hardware (Passwords).
o Efectividad. - Asegurar el logro de los objetivos (Encuestas de
satisfacción).
o Eficiencia. - Aseguran el uso óptimo de los recursos (programas
monitores).
 Controles Administrativos: Es un esfuerzo sistemático para establecer
normas de desempeño con objetivos de planificación, para diseñar sistemas
de información que compare los resultados reales con las normas
previamente establecidas y para determinar si existen desviaciones además
de medir su importancia, así como para tomar aquellas medidas que se
necesiten para garantizar que todos los recursos de la empresa se usen de
la manera más eficaz y eficiente posible para alcanzar los objetivos de la
empresa. En base en esto se divide en 4 fases las cuales son:
o El establecimiento de estándares y criterios.
o La Observación del desempeño
o La Comparación del desempeño con el estándar establecido.
o La Acción para corregir el desvió entre el desempeño real y el
esperado.
 Controles de organización y planificación: Se refiere a la definición clara de
funciones, línea de autoridad, responsabilidad, procedimientos definidos de
las diferentes personas que integran las distintas unidades del área, en
labores tales como:
o Diseñar un sistema
o Elaborar los programas.
o Operar el sistema.
o Control de calidad
 Controles de sistema en producción: Como principal objetivo de este tipo de
control es el evaluar la eficiencia con que opera el área de captación y
producción
o Verifique que se cuente con una descripción completa de los trabajos
que se corren y la descripción de las características de carga.
o Verifique la existencia de un pronóstico de cargas o trabajos que se
efectuaran durante el año, con el objeto de que se prevean los picos
en las cargas de trabajo y se puedan distribuir adecuadamente estas
cargas.
o Verifique que se contempla dentro de los planes de producción
periódicos de mantenimiento preventivo.
o Verifique que se disponga de espacio y tiempo para realizar corridas
especiales, corridas de prueba de sistemas en desarrollo y corridas
que deben repetirse.
o Verifique que se tengan definidos el espacio y tiempo para el respaldo
de la información.
o Verifique que se tenga conocimiento de los próximos sistemas que
entraran en producción, con el objeto de que se les programa su
incorporación.
 Controles de operación: Los instructivos de operación proporcionan al
operador información sobre los procedimientos que debe seguir en
situaciones normales y anormales en el procesamiento y si la documentación
es incompleta o inadecuada lo obliga a improvisar o suspender los procesos
mientras investiga lo conducente, generando probablemente errores,
reprocesos, desperdicio de tiempo de máquina, se incrementa, pues, los
costos del procesamiento de datos.
 Controles en el uso del Microcomputador: Esta tarea es bastante exigente
debido a que este tipo de equipo son muy vulnerables y de fácil acceso, pero
aun así se siguen diversas acciones para garantizar la confidencialidad de la
información. Acciones a seguir:
 o Adquisición de equipos de protección como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisición del
equipo.
o Vencida la garantía de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
o Establecer procedimientos para obtención de backups de paquetes y
de archivos de datos.
o Revisión periódica y sorpresiva del contenido del disco para verificar
la instalación de aplicaciones no relacionadas a la gestión de la
empresa.
o Mantener programas y procedimientos de detección e inmunización
de virus en copias autorizadas o datos procesados en otros equipos.
o Revisar los controles en las operaciones del centro de procesamiento
de información.
 Controles de preinstalación: Hacen referencia a procesos y actividades
previas a la adquisición e instalación de un equipo de computación y
obviamente a la automatización de los sistemas existentes y finalmente sus
objetivos son los siguientes:
o Garantizar que el hardware y software se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionan
mayores beneficios que cualquier otra alternativa.
o Garantizar la selección adecuada de equipos y sistemas de
computación.
o Asegurar la elaboración de un plan de actividades previo a la
instalación
 FUNCIONES DEL CONTROL INTERNO Y LA AUDITORIA INFORMATICA

La misión del Control Interno Informático es asegurarse de que las medidas que se
obtienen de los mecanismos implantados por cada responsable sean correctas y
válidas. Entre sus funciones pueden nombrarse las siguientes:

1. El cumplimiento de procedimientos, normas y controles dictados. Merece

resaltarse la vigilancia sobre el control de cambios y versiones del software.
2. Controles sobre la producción diaria.
3. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informático.
4. Controles en las redes de comunicaciones.
5. Controles en los sistemas microinformáticos.
6. Controles sobre el software de base.
7. La seguridad informática (su responsabilidad puede estar asignada a control
interno o bien puede asignársele la responsabilidad de control dual de la
misma cuando está encargada a otro órgano):
a. Usuarios, responsables y perfiles de uso de archivos y bases de datos.
b. Normas de seguridad.
c. Control de información clasificada.
d. Control dual de la seguridad informática.
8. Licencias y relaciones contractuales con terceros.
9. Asesorar y transmitir cultura sobre el riesgo informático.

El auditor evalúa y comprueba en determinados momentos del tiempo los controles

y procedimientos informáticos más complejos, desarrollando y aplicando técnicas
mecanizadas de auditoria, incluyendo el uso del software. En muchos casos, ya no
es posible verificar manualmente los procedimientos informatizados que resumen,
calculan y clasifican datos, por lo que se deberá emplear software de auditoria y
otras técnicas asistidas por ordenador.

El auditor es responsable de revisar e informar a la Dirección de la Organización

sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad
de la información suministrada. Algunas de las funciones del auditor informático y
por lo tanto de la auditoria informática son:

 Participar en las revisiones durante y después del diseño, realización,

implantación y explotación de aplicaciones informáticas, así como en las
fases análogas de realización de cambios importantes.
 Revisar y juzgar los controles implantados en los sistemas informáticos para
verificar su adecuación a las órdenes e instrucciones de la Dirección,
requisitos legales, protección de confidencialidad y cobertura ante errores y
fraudes.
 Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipos e información.

REFERENCIAS

Berbia, P. (2008). Evaluacion Eficaz del Sistema de Control Interno (2ª ed.). Florida,
EUA: The Institute of Internal Auditors Research Foundation (IIARF)

Cruz E. (s.f). Control Interno y Auditoria Informática. Referencia:

http://virtual.udabol.edu.bo/pluginfile.php/186263/mod_resource/content/1/capitulo
%205.pdf

Piattini, M. y Del peso, E. (2001). Auditoría informática, un enfoque práctico. (2a

ed.). México, México: ALFAOMEGA GRUPO EDITOR, S.A. de C.V.

Santillana J. (2015). Sistemas de Control Interno. (3ª ed.). Londres, Reino Unido:
Pearson PLC