UNIVERSIDAD

TECNOLGICA DEL VALLE DEL

MEZQUITAL

Tecnologas de la Informacin y la
Comunicacin

Control interno informtico

Elaboro:
Miguel ngel Fuentes Ramrez
9 D
Periodo:
Mayo-Agosto

UNIDAD
Jueves, 22 de mayo de 2014

10

Contenido
Cuadro comparativo de las diferencias de Control interno informtico y
Auditora informtica.......................................................................................... 2
Metodologa para la implantacin de un sistema de controles internos
informticos..................................................................................................... 3
Modelos de Control interno informtico..............................................................4

10

Cuadro comparativo de las diferencias

de Control interno informtico y Auditora informtica.

10

Control interno informatico

Analisis de los controles en el dia a
dia
Informa a la direccin del
departamento de informtica
Solo personal interno
El alcance de sus funciones es
nicamente sobre el departamento
de informatica
Funciones de control dual con otros
departamentos.

Auditoria Informatica
Analisis de un momento informatico
determinado
Informa a la direccin general de la
organizacin
Personal interno y/o externo
Tiene cobertura sobre todos los
componentes de los sistemas de
informacin de la organizacion
Tiene la funcin de vigilancia y
evaluacin mediante dictmenes y
todas las metodologas van
encaminadas a esta funcin.

Funcin normativa y del

cumplimiento del marco jurdico.

Tiene sus propios objetivos distintos

a los auditores de cuentas.

Tiene funciones propias

(Administracin de la Seguridad
lgica, etc....)

Los auditores de cuentas la necesitan

para utilizar la informacin de sus
sistemas para evaluaciones
financieras y operativas.

Responsable del desarrollo y

actualizacin del plan de
contingencias, manuales de
procedimientos y plan de seguridad.

Evalan eficiencia, costo y seguridad

en su ms amplia visin.

Control de informacin sensible o

comprometida.
Control de calidad del servicio
informtico.

Operan segn el plan auditor.

Definicin de requerimientos de
seguridad en proyectos nuevos.

Sistemas de evaluacin de repeticin

de auditora por nivel de exposicin
del rea auditada y el resultado de la
ltima auditora de esta rea.

El control informtico es el
componente de la actuacin segura
entre los usuarios, la informtica y
control interno, todos ellos auditados
por auditora informtica.

10

Establecen planes con tiempos

definidos y ciclos completos.

Funcin de soporte informtico de

todos los auditores.

Metodologa para la implantacin de un sistema

de controles internos informticos
Hoy en da, la tendencia generalizada es contemplar, al lado de la figura del auditor
informtico, la de control interno informtico. Tal es el caso de la organizacin
internacional I.S.A.C.A. (Information Systems Audit and Control Association Asociacin
para la auditora y control de los sistemas de informacin), creadora de la norma COBIT
(tema de estudio de este informe) y que, con anterioridad, se llam The EDP Auditors
Association INC., incluyendo en la actualidad las funciones de control informtico adems
de las de auditora. Pese a su similitud, podramos decir que existen claras diferencias
entre las funciones del control informtico y las de la auditora informtica:

El rea informtica monta los procesos informticos seguros.

El control interno monta los controles.
La auditora informtica evala el grado de control.

Las funciones bsicas del control interno informtico son las siguientes:

10

Administracin de la seguridad lgica.

Funciones de control dual con otros departamentos.
Funcin normativa y del cumplimiento del marco jurdico.
Responsable del desarrollo y actualizacin del Plan de Contingencias, Manuales
de procedimientos, etc.
Dictar normas de seguridad informtica.
Definir los procedimientos de control.
Control del Entorno de Desarrollo.
Controles de soportes magnticos segn la clasificacin de la informacin.
Controles de soportes fsicos.
Control de informacin comprometida o sensible.
Control de calidad del software.
Control de calidad del servicio informtico.
Responsable de los departamentos de recursos humanos y tcnico.
Control y manejo de claves de cifrado.
Vigilancia del cumplimiento de las normas y controles.
Control de cambios y versiones.
Control de paso de aplicaciones a explotacin.
Control de medidas de seguridad fsica o corporativa en la informtica.
Responsable de datos personales.

Todas estas funciones son un poco ambiciosas para desarrollarlas

desde el instante inicial de la implantacin de esta figura, pero no debemos
perder el objetivo de que el control informtico es el componente de la
actuacin segura entre los usuarios, la informtica y el control interno, todos
ellos auditados por la auditora informtica.

Las herramientas de control (software) ms comunes son:

Seguridad lgica del sistema.

Seguridad lgica complementaria al sistema (desarrollado a medida).
Seguridad lgica para entornos distribuidos.
Control de acceso fsico. Control de presencia.
Control de copias.
Gestin de copias.
Gestin de soportes magnticos.
Gestin y control de impresin y envo de listados por red.
Control de proyectos.
Control y gestin de incidencias.
Control de cambios.

Todas estas herramientas estn inmersas en controles nacidos de unos objetivos de

control y que regularn la actuacin de las distintas reas involucradas.

10

Modelos de Control interno informtico.

En la actualidad existen una gran cantidad de modelos de control interno.
Los modelos de control interno COSO y COBIT son los dos modelos ms
difundidos en la actualidad.
COSO est enfocado a toda la organizacin, contempla polticas, procedimientos y
estructuras organizativas adems de procesos para definir el modelo de control
interno.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
se centra en el entorno IT, contempla de forma especfica la seguridad de la
informacin como uno de sus objetivos, cosa que COSO no hace. Adems el
modelo de control interno que presenta COBIT es ms completo, dentro de su
mbito.
COBIT PRINCIPIOS

COBIT ESTRUCTURA

10

10

Existen otros tipos de modelos los cuales se mencionan a continuacin:

OECD (Organization for Economic Cooperation and Development)
GAPP (Generaly Accepted Principles and Practices). National Institute of
Standards and Technology (NIST)
BS 7799 (British Standard Institute)
SAC (Security Auditability and Control). The Inst. of Internal Audit.
COSO (Internal Control Integrated Framework. Committee of Sponsoring
Organizations)
SSE CMM (Systems Security Engineering Capability Maturity Model)
National Security Agency (NSA) Defense- Canada.
CoCo (Criteria of Control Board of The Canadian Instituteof Chartered
Accountants.)
ITCG (Information Technology Control Guidelines). Canadian Institute of
Chartered Accountants(CICA)
GASSP (Generaly Accepted System Security Principles). International
Information Security Foundation (IISF)
Cobit (Control Objectives for Information and Related Technologies)
FISCAM (Federal Information Systems Controls Audit Manual).

10

GAO
SysTrust (AICPA/CICA SysTrust Principles and Criteria for System
Reliability)
SSAG (System Self-Assessment Guide for Information Technology
Systems). NIST

CONCLUSIONES
En el proceso de promover la auditora informtica se necesita de un buen
planeamiento, mantenimiento de la ejecucin y estar preparados para
cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento
de l personal para nuevos enfrentamientos tambin es un labor de suma
prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto
se han obtenido muy buenos resultados, como meta para el futuro es el de
poner mas esfuerzo en el entrenamiento del personal de la auditoria
informtica, crear secciones especialmente encargadas de la auditoria
informtica, tambin a la vez crear un Sistema de Soporte a la Tecnologa
de la Informacin ( Information Technology Support ) y reglamentos para el
progreso de la auditoria informtica, todo esto son metas para entrar al ao
2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que
se debe en el trabajo de la Auditoria.
Se profundizo sobre cual es la informacin que el auditor requiere para
realizar este tipo de trabajo y con que tcnicas y herramientas la
organizacin protege su informacin, que controles se realiza al evaluar la
seguridad del software de aplicacin, y los generales.

El informe de auditora tiene que estar basado en una metodologa, misma

que debe estar soportada por mejores prcticas administrativas y
tecnologas.

La informacin y observaciones vertidos en el informe deben contener un

sustento y no pueden ser en ningn caso subjetivos.

BIBLIOGRAFIA

10

Piattini Velthuis, Mario G.; Del Peso Navarro, Emilio. 1998. RA-MA AUDITORA
INFORMTICA.
Un enfoque prctico

http://es.scribd.com/doc/19505290/Auditoria-Informatica
Auditoria Informtica Un enfoque practico 2 edicin amplia y revisada Mario
Gerardo Piattini Velthuis
Emilio del ]peso Navarro Auditoria en Informtica Segunda Edicin
Editorial McGraw-Hill Auditoria en sistemas computacionales, Segunda edicin,
Editorial Pearson, Pg. 18 a 25.
Libro: Auditoria informtica Autor: Jos Antonio Echenique Garca Editorial:
Mcmagrafi 2da Edicin

10