03/04/2011

Unidad 2

Control Interno y
Auditoría en Sistemas de Información

Lic. Andrea M. Peláez

Auditoría en Sistemas de Información

1º 7º

Instituto Superior Privado

“Robustiano Macedo Martínez”

CONTROL DE LOS SISTEMAS DE INFORMACIÓN

Control

Conjunto de normas, técnicas, acciones y procedimientos que interrelacionados e

interactuando entre sí con los sistemas y subsistemas organizacionales y administrativos,
permite evaluar, comparar y corregir aquellas actividades que se desarrollan en las
organizaciones, garantizando la ejecución de los objetivos y el logro de las metas
institucionales..
institucionales

El control actúa sobre las personas, cosas, situaciones específicas, fuentes de información y
organizaciones, las cuales requieren con urgencia el diseño de estrategias que le permitan
organizaciones
controlar y corregir los resultados de sus actividades
actividades..

Auditoría de Sistemas una visión práctica.

(Alonso Tamayo Alzate).

1
 03/04/2011

CARACTERÍSTICAS DE LOS SISTEMAS DE CONTROL

• El control debe ser ejecutado frecuentemente para que permita identificar las
desviaciones a tiempo y poder tomar las acciones correctivas oportunamente.
• Debe ser económico,
económico es decir los beneficios que arroje deben ser
superiores a los costos de implantación y mantenimiento del sistema.
• El control se debe fundamentar en datos verídicos para evitar
apreciaciones subjetivas.
• El proceso de control debe corresponder a una planeación tal, que permita
conocer la magnitud de la acción correctiva necesaria.
• El control debe ser en lo posible,, sencillo, comprensible y adaptativo,
adaptativo y
no debe entorpecer el desarrollo normal de la organización.
organización.

Auditoría de Sistemas una visión práctica.

(Alonso Tamayo Alzate).

CONTROL EN LOS SISTEMAS DE INFORMACIÓN – CLASIFICACIÓN

Controles Preventivos
Preventivos::

Son aquellos controles que tienen como propósito evitar la ocurrencia y frecuencia de desviaciones.

Controles Detectivos
Detectivos::

Independientemente de que tan buenos y efectivos sean los controles preventivos, siempre ocurren errores y se
necesitan mecanismos de detección. Los controles detectivos son aquellos que se activan una vez que se
registra la ocurrencia de la desviación y tiene como propósito avisar a las personas involucradas en el
proceso, para que estén vigilantes debido a la existencia de un problema.

Controles Correctivos
Correctivos::

Tienen como propósito ayudar en la corrección de aquellos errores o desviaciones detectadas.

Auditoría de Sistemas una visión práctica.

(Alonso Tamayo Alzate).

2
 03/04/2011

Caso de Estudio:
WorldCom

A Manipulación
N de información
T
financiera.
E
C
E
D
E
N Operaciones
T Fallos de los
bursátiles
E controles.
S beneficiosas.

INFLUENCIAS EXTERNAS

Eliminación de
Diversificación Nuevos Alianzas
Globalización. ramas de
de actividades. productos. estratégicas.
negocio.

3
 03/04/2011

INICIATIVAS EMPRESARIALES

BPR: Bussiness
Process Re- TQM: Total Quality
Outsourcing:
engineering Management
Descentralización
Contratación externa.
(Reestructuración de (Gestión de la calidad
Redimensionamiento
los procesos total)
empresariales)

Concienciación
Acción
Proactiva

Reestructuración
Interna

CONTROL INTERNO Y
AUDITORÍA INFORMÁTICA

4
 03/04/2011

CONTROL INTERNO INFORMÁTICO

El Control Interno Informático controla diariamente que todas las actividades de

Sistemas de Información sean realizadas cumpliendo los procedimientos,
estándares y normas fijados por la Dirección de la Organización y/o Dirección
de Informática así como los requerimientos legales.

Control Interno Informático suele ser un Órgano Staff de la Dirección del

Departamento de Informática y está dotado de las personas y medios materiales
proporcionados a los cometidos que se le encomienden.

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

CONTROL INTERNO INFORMÁTICO

OBJETIVOS

• Controlar actividades conforme con los procedimientos y normas legales.

legales
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoría Informática, así como de las auditorías
externas.
• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de
los grados adecuados de servicio de informática.

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

5
 03/04/2011

CONTROL INTERNO INFORMÁTICO - FUNCIONES

• Cumplimiento de procedimientos, normas y controles dictados (control de cambios y versiones del

software).

• Controles sobre la producción diaria.

diaria

• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio de
informático.

• Controles en las redes de comunicaciones.

comunicaciones

• Controles sobre el software de base.

• Seguridad informática (usuarios, perfiles, normas de seguridad, control de información clasificada).

• Licencias y relaciones contractuales con terceros.

terceros

• Asesoría y transmisión de cultura sobre riesgo informático.

informático.

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

AUDITORÍA INFORMÁTICA

Auditoría Informática es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema informatizado salvaguarda
los activos, mantiene la integridad de los datos, lleva a cabo eficazmente
los fines de la organización y utiliza eficientemente los recursos.

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

6
 03/04/2011

AUDITORÍA INFORMÁTICA

• El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el

funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
suministrada

• El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos
informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo
el uso del software.

• Se encarga de la evaluación de todos aquellos aspectos relacionados con los recursos informáticos de
la organización, como son software, hardware, talento humano, funciones y procedimientos,
enfocados todos ellos desde el punto de vista administrativo, técnico y de seguridad; para prevenir a la
organización de aquellos riesgos originados por omisiones, errores, violaciones, actos mal
intencionados, desastres naturales, etc, asesorando y proporcionando recomendaciones y sugerencias
a nivel directivo para lograr un adecuado control interno en la organización.

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

AUDITORÍA INFORMÁTICA

OBJETIVOS

Protección de activos e integridad de datos.

Gestión de eficacia y eficiencia.

FUNCIONES

• Participar en las revisiones durante y después del diseño, realización, implantación y explotación de
aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes.

• Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las
órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante
errores y fraudes.

• Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
información

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

7
 03/04/2011

CONTROL INTERNO Y AUDITORÍA INFORMÁTICA – SIMILITUDES Y DIFERENCIAS

La información en una organización es un recurso crítico.

crítico

Para tener una seguridad razonable sobre si la información es exacta y completa,

estar disponible cuando se necesita y ser confidencial, la implementación de controles
internos informáticos es necesario y además ayudan a cumplir con las exigencias
legales en materia de Derecho Informático y a asegurar que los sistemas de
procesamiento de la información funcionan de acuerdo a lo que se espera de ellos.

Auditoría de Tecnologías y Sistemas de información

(Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz)

8
 03/04/2011

CONTROL INTERNO:

Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

TIPOS DE CONTROLES INFORMÁTICOS:

Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Ejemplo: Letrero “No fumar” para salvaguardar las instalaciones. Software de seguridad que impida los accesos no autorizados al
sistema.

Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones
omisiones,,
procedimientos de validación.

Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo
necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una
actividad altamente propensa a errores.
Ejemplo: la recuperación de un archivo dañado a partir de las copias de seguridad.

CONTROL INTERNO:

Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.

TIPOS DE CONTROLES INFORMÁTICOS:

Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo
riesgo, permitiendo cierto margen de violaciones.
Ejemplo: Letrero “No fumar” para salvaguardar las instalaciones. Software de seguridad que impida los accesos no autorizados al
sistema.

Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos
ocurridos. Son los mas importantes para el
auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Ejemplo: el registro de intentos de accesos no autorizados, el registro de la actividad diaria para detectar errores u omisiones
omisiones,,
procedimientos de validación.

Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo
necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una
actividad altamente propensa a errores.
Ejemplo: la recuperación de un archivo dañado a partir de las copias de seguridad.

9
 03/04/2011

TIPOS DE CONTROLES INFORMÁTICOS

Evitar el Hecho. PREVENTIVOS

Descubrir errores y omisiones. DETECTIVOS

Regresar a la normalidad. CORRECTIVOS

IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS

Para la implantación de un sistema de controles internos informáticos habrá que definir:

Gestión de Sistemas de Información:

Políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de
información y de los controles correspondientes.

Administración de Sistemas:
Controles sobre la actividad de los centros de datos y funciones de apoyo al sistema, incluyendo la administración
de redes.

Seguridad:
Incluye las tres clases de controles fundamentales implantados en el software del sistema: integridad del sistema,
confidencialidad (control de acceso) y disponibilidad.

Gestión del Cambio:

Separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de
programas software aprobados y probados.

10
 03/04/2011

IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS

La implantación de una política y cultura sobre la seguridad requiere que sea realizada por fases:

POLÍTICA

CULTURA

IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS

Cada función juega un papel importante en las distintas fases anteriores:

Dirección de Negocio:
Han de definir la política y/o directrices para los sistemas de información en base a las exigencias del negocio, que podrán ser
internas o externas.

Dirección de Informática:
Ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de Informática
mediante la creación y publicación de procedimientos, estándares, metodología y normas aplicables a todas las áreas de
Informática así como a los usuarios, que establezcan el marco de funcionamiento.

Control Interno Informático:

Ha de definir los diferentes controles periódicos a realizar en cada una de las funciones informáticas,
informáticas, de acuerdo al
nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos de negocio y dentro del marco legal aplicable. Realizará
periódicamente la revisión de los controles establecidos de Control Interno Informático informando de las desviaciones
a la Dirección de Informática y sugiriendo cuantos cambios crea convenientes en los controles, así como transmitirá
constantemente a toda la organización de Informática la cultura y políticas del riesgo informático.

Auditor Interno/Externo Informático:

Ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento
de normativa interna y externa,
externa de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Dirección de
Negocio y la Dirección de Informática. Informará a la Alta Dirección de los hechos observados y al detectarse
deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que puedan originarse.

11
 03/04/2011

IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS

Funcionamiento del control interno informático:

Controles Internos:

A continuación se indican algunos controles internos para sistemas de información,

información agrupados por
secciones funcionales y que son los que control Interno Informático y Auditoría Informática
deberían verificar para determinar su cumplimiento y validez:
validez

• Controles Generales organizativos

• Controles de desarrollo, adquisición y mantenimiento de SI

• Controles de explotación (operación) de SI

• Controles en aplicaciones (E, P, S)

• Controles específicos de ciertas tecnologías

• Controles de calidad

12
 03/04/2011

Controles Internos:

1. Controles Generales organizativos

• Dirección
• División del trabajo
• Asignación de responsabilidades y autoridad
• Establecimiento de estándares y métodos
• Perfiles de puestos

2. Controles de desarrollo, adquisición y mantenimiento de SI

• Metodología del ciclo de vida del desarrollo de sistemas
• Explotación y mantenimiento
• Documentación

3. Controles de explotación de SI
• Planificación y gestión de recursos
• Procedimientos de Selección de software, instalación, mantenimiento, seguridad y control de cambios.
• Seguridad física y lógica
• Seguridad física, control de acceso, procedimientos de seguridad, protección contra incendios, etc.
• Corregir y prevenir errores de operación, evitar acciones fraudulentas
• Mantener la confiabilidad

Controles Internos:

4. Controles en aplicaciones
• Entrada
 Validación
 Corrección de datos
• Tratamiento de datos
 Protección de datos (contra modificaciones no deseadas)
 Integridad de los datos
• Salida
 Resultados correctos
 Distribución de salidas
 Gestión de errores

13
 03/04/2011

Controles Internos:

5. Controles específicos de ciertas tecnologías

• SGBD
 Administrador de datos
 Diccionarios de datos
 Control de cambios
 Acceso a datos y concurrencia
• Informática distribuida y redes
 Compatibilidad
 Seguridad de los datos
 Respaldos
 Mantenimiento
 Recepción de mensajes correcta
• Computadoras personales y redes de área local
 Adquisición y utilización
 Licencias
 Control de acceso a red
 Inventario de aplicaciones
 Contratos de mantenimiento
 Protección contra catástrofes

Controles Internos:

6. Controles de calidad
• Plan general de calidad de mejora continua

• Normas de garantía de calidad vinculadas a las actividades de desarrollo de proyectos y demás actividades de
informática que deben ser realizadas para lograr los objetivos del Plan General de Calidad

• Normas de documentación de programas

• Normas de pruebas de programas

• Evaluación del cumplimiento de garantía de calidad de las normas de desarrollo

14
 03/04/2011

Ejemplos de circunstancias que se presentan favorecidas por alguna debilidad del control interno:

• En el mostrador de cualquier negocio, un empleado de despacho podría realizar modificaciones a los precios de
algunos de los artículos, de forma que, por ejemplo, este fuera facturado a la mitad de su precio, favoreciendo a alguien
allegado con quien ha convenido la distribución del beneficio.

• En algunas empresas, ha sucedido que especialistas en sistemas han realizado modificaciones a los programas, de
forma que al efectuar el cálculo de su planilla se incremente su salario por hora o algún otro período, en cantidades que
son de difícil detección para la administración.

• En organizaciones gubernamentales, empleados inescrupulosos han ingresado en la base de datos de contribuyentes

morosos, a los cuales fácilmente localizan y les proponen realizar transacciones que liquiden o disminuyan
sensiblemente sus compromisos pendientes a cambio de sumas determinadas de dinero.

¿Cuál ha sido el costo de cada una de las situaciones

anteriores?

¿Qué importancia tiene para las organizaciones

contar con un buen ambiente de control interno?

¿Qué importancia reviste para las organizaciones la

evaluación periódica de ese control interno y la
trascendencia de un actitud vigilante de ese control
interno, que con orientación y asesoría indique a la
administración cuáles son las áreas que se han visto
debilitadas y cómo corregir las debilidades?

15
 03/04/2011

BIBLIOGRAFÍA

Auditoría de Tecnologías y Sistemas de información. Mario Piattini Velthuis - Emilio del Peso Navarro – Mar del Peso Ruiz.

Auditoría Informática – Un enfoque práctico, Mario Piattini Velthuis, Emilio del Peso Navarro.

Sistemas Administrativos y Control Interno– José Luis Pungitore. (Capítulo I: Introducción)

16