CONTROL INTERNO

El Control Interno Informtico puede definirse como el sistema integrado al

proceso administrativo, en la planeacin, organizacin, direccin y control de
las operaciones con el objeto de asegurar la proteccin de todos los recursos
informticos y mejorar los ndices de economa, eficiencia y efectividad de los
procesos operativos automatizados. (Auditora Informtica - Aplicaciones en
Produccin - Jos Dagoberto Pinilla)
El Informe COSO define el Control Interno como Las normas, los
procedimientos, las prcticas y las estructuras organizativas diseadas para
proporcionar seguridad razonable de que los objetivos
de la empresa se alcanzarn y que los eventos no deseados se prevern, se
detectarn y se corregirn.
Tambin se puede definir el Control Interno como cualquier actividad o accin
realizada manual y/o automticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de un sistema para
conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G.
Plattini) Tipos
En el ambiente informtico, el control interno se materializa fundamentalmente
en controles de dos tipos:
Controles manuales; aquellos que son ejecutados por el personal del rea
usuaria o de informtica sin la utilizacin de herramientas computacionales.
Controles Automticos; son generalmente los incorporados en el software,
llmense estos de operacin, de comunicacin, de gestin de base de datos,
programas de aplicacin, etc.
Los controles segn su finalidad se clasifican en:
Controles Preventivos, para tratar de evitar la produccin de errores o hechos
fraudulentos, como por ejemplo el software de seguridad que evita el acceso a
personal no autorizado.
Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no
haya sido posible evitarlos con controles preventivos.
Controles Correctivos; tratan de asegurar que se subsanen todos los errores
identificados mediante los controles detectivos.

Objetivos principales:
Controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fijados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de las normas
Colaborar y apoyar el trabajo de Auditora Informtica interna/externa
Definir, implantar y ejecutar mecanismos y controles para comprobar el
grado de cumplimiento de los servicios informticos.
Realizar en los diferentes sistemas y entornos informticos el control de las
diferentes actividades que se realizan.
Control interno informtico (funcin)
El Control Interno Informtico es una funcin del departamento de Informtica
de una organizacin, cuyo objetivo es el de controlar que todas las actividades
relacionadas a los sistemas de informacin automatizados se realicen
cumpliendo las normas, estndares, procedimientos y disposiciones legales
establecidas interna y externamente.
Entre sus funciones especficas estn:
Difundir y controlar el cumplimiento de las normas, estndares y
procedimientos al personal de programadores, tcnicos y operadores.
Disear la estructura del Sistema de Control Interno de la Direccin de
Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Relaciones contractuales con terceros
Cultura de riesgo informtico en la organizacin
Control interno informtico (reas de aplicacin)

Controles generales organizativos

Son la base para la planificacin, control y evaluacin por la Direccin General
de las actividades del Departamento de Informtica, y debe contener la
siguiente planificacin:
Plan Estratgico de Informacin realizado por el Comit de Informtica.
Plan Informtico, realizado por el Departamento de Informtica.
Plan General de Seguridad (fsica y lgica).
Plan de Contingencia ante desastres.
Controles de desarrollo y mantenimiento de sistemas de informacin
Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de
datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a
travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones.
Controles de explotacin de sistemas de informacin
Tienen que ver con la gestin de los recursos tanto a nivel de planificacin,
adquisicin y uso del hardware as como los procedimientos de, instalacin y
ejecucin del software.
Controles en aplicaciones
Toda aplicacin debe llevar controles incorporados para garantizar la entrada,
actualizacin, salida, validez y mantenimiento completos y exactos de los
datos.
Controles en sistemas de gestin de base de datos
Tienen que ver con la administracin de los datos para asegurar su integridad,
disponibilidad y seguridad.
Controles informticos sobre redes
Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y
funcionamiento de las redes instaladas en una organizacin sean estas
centrales y/o distribuidos.
Controles sobre computadores y redes de rea local
Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto
del hardware como del software de usuario, as como la seguridad de los datos
que en ellos se procesan.

METODOLOGA
PARA
COMPUTACIONALES

REALIZAR

AUDITORIAS

DE

SISTEMAS

Llevar a cabo una autora de sistemas computacionales requiere de una serie

organizada de acciones y procedimientos especficos, los cuales deberan ser
diseados previamente de manera secuencial, cronolgica y adornada, de
acuerdo a las etapas, eventos y actividades que se requieran para su ejecucin
misma que sern establecidos conforme a las necesidades especiales de la
institucin.
Auditoria de informacin:
En esta podemos desarrollar una serie de actividades y tcnicas que nos
pueden ayudar a realizarlas:
Inventario fsico:

Masificacin de la informacin (Infomap).

Anlisis de las necesidades de informacin.

Grficos de procesos y flujos de trabajo.

Procesos de control y verificacin.

Inventario fsico: Es el proceso de identificacin y categorizacin de los

recursos de informacin de una forma sistemtica. De esta forma, se
proporciona una fotografa de lo que la organizacin posee en trminos de
recursos de informacin en un momento determinado.

Masificacin de la informacin (Infomap): Constituye una forma grfica de

representar los recursos de informacin que hay en la organizacin y las
interrelaciones entre stos.
El mapa de recursos indica hasta qu punto los recursos de informacin son
bsicos, de qu modo se encuentran posicionados (geogrficamente,
departamentalmente, desde un punto de vista tcnico), cmo interactan,
quin los utiliza, quin es el responsable, etc.

Anlisis de las necesidades de informacin: Tiene como finalidad principal

determinar qu informacin requieren los empleados y la direccin de la
organizacin para desarrollar sus papeles y alcanzar los objetivos.
Grficos de procesos y flujos de trabajo: Los grficos de procesos junto con los
flujos de trabajo pueden constituir una buena herramienta de trabajo en el
mbito de las auditorias de la informacin.
Procesos de control y verificacin: En una auditoria de la informacin, se deben
establecer tambin los procesos de control y verificacin. El resultado de estos
procesos puede consistir en un informe o, incluso, un certificado que confirme
que todo es correcto o que incluya recomendaciones de mejora.
Hay que tener presente que el mapa de recursos de informacin, o mapa
documental, puede constituir uno de los principales resultados del proceso de
la auditoria de informacin.
En el caso del mapa documental, ste detalla qu documentos se encuentran
dentro de la organizacin, a qu tipo de funciones se encuentran vinculados y
dan respuesta, quin tiene la responsabilidad y el acceso a esos documentos,
en qu soporte estn disponibles, dnde y cmo se encuentran accesibles y
qu relacin o nivel de integracin tienen con el resto de los sistemas de
informacin de la organizacin.
Tambin se establece la localizacin de todos los documentos dentro de los
estndares y los procedimientos de la organizacin, as como su valor para el
conocimiento corporativo
Planeacin de la auditoria de sistemas computacionales: La auditoria de
sistemas, permite mostrar las debilidades y las fortalezas de una empresa, con
respecto a los controles que se estn empleando, a los sistemas y
procedimientos de la informtica, los equipos de cmputo que se emplean, su
utilizacin, eficiencia y seguridad.
Para ello se realiza una inspeccin pormenorizada de los sistemas de
informacin, desde sus entradas, procedimientos, comunicacin, controles,
archivos, seguridad, personal y obtencin de la informacin, cabe recalcar que,
la auditoria inicia su actividad cuando los sistemas estn operativos y el
principal objetivo es el de mantener tal como est la situacin para comenzar
el levantamiento de informacin.
Posteriormente la auditoria generara un informe, para que las debilidades que
son detectadas, sean corregidas y se establecen nuevos mtodos de
prevencin con el fin de mejorar los procesos, aumentar la confiabilidad en los
sistemas y reducir los riesgos.
La organizacin como segunda fase del proceso administrativo puede definirse
como la agrupacin de las actividades necesarias para llevar a cabo los planes

asignando la autoridad y responsabilidad a quienes tienen a su cargo la

ejecucin de dichas actividades.
La organizacin define las relaciones que logran la cohesin entre los esfuerzos
tendientes al logro de los objetivos.
De la definicin anterior derivaremos algunos puntos que el auditor
administrativo debe comprender al llevar a cabo una revisin, en toda
estructura organiza debe identificar:
Definicin de las funciones y actividades necesarias para la Integracin de ese
fiel cumplimiento de los propsitos de la empresa. Funciones y actividades en
divisiones o departamentos con fisonoma e Jerarquizacin de autoridad den
importancias propias pero coordinadas entre s.
Por la divisin del trabajo acten Definicin de cada puesto considerado como
la unidad coordinadamente.
Este especifica menor que presente el orden mnimo dentro de un grupo de
tareas que deben ser desempeadas por una sola personas.
La auditoria es una de las aplicaciones de los principios cientficos de la
contabilidad, basada en la verificacin de los registros patrimoniales de las
haciendas, para observar su exactitud; no obstante, este no es su nico
objetivo.
OBJETIVO DE AUDITORIA
Este consiste en apoyar a los miembros de la empresa en el desempeo de sus
actividades. Para ello la Auditoria les proporciona anlisis, evaluaciones,
recomendaciones, asesora e informacin concerniente a las actividades
revisadas. Los miembros de la organizacin a quien Auditoria apoya, incluye a
Directorio y las Gerencias.
ORIGEN DE LA AUDITORIA:
Por solicitud expresa de procedencia interna: Es un origen oficial sobre las
necesidades de realizar una auditora al rea de sistemas de la empresa. Con
esta solicitud se marca el requisito formal para poder llevar a cabo una
evaluacin en el rea de sistema. Esta peticin de revisin a los sistemas de la
empresa puede obedecer a muchas causas y generalmente se encomienda a
un auditor externo.
A PETICION DE ACCIONISTAS, SOCIOS Y DUEOS: Este es el ms comn de los
orgenes de una auditoria, en el caso de los sistemas, la solicitud de auditora
va enfocada hacia el aprovechamiento de los recursos del rea de
sistematizacin de la empresa. Y est en su mayor parte de veces esta
revisiones se encargan a auditores externos.

POR ORDEN DE LA DIRECCION GENERAL: Esta revisin se realiza por una orden
directa de quien ejerce la mxima autoridad en la empresa, pudiendo tener
mltiples motivo, tales como una evolucin peridica del rea del sistema, por
desconfianza de la actuacin de los dirigentes del rea, para verificar el
cumplimiento de las actividades, para verificar el aprovechamiento de los
sistemas ms computacionales de la institucin o por algn otro motivo.
POR ORDENDE LAS GERENCIAS O DEPARTAMENTOS A NIVEL SUPERIOR: Esta
auditora se origina por una peticin de las gerencias y departamento de
mando superior de la empresa, segn su caractersticas, estructura de
organizacin y funciones que desempean la misma; en este caso, por alguna
razn laboral valida, estos funcionarios demandan la realizacin de una
auditoria al rea del sistema computacionales de la empresa.
A solicitud de funcionarios y empleados de otros niveles: El origen de esta
auditora es algo irregular y poco usual en la empresa, ya que la solicitudes de
auditora de los niveles ms bajos de la jerarqua institucional y, segn las
polticas y procedimientos de la empresa, para que esta solicitud sea atendida,
en muchos de los casos se tiene que seguir los canales formales de
comunicacin y autorizacin establecida en la empresa.
Por solicitud expresa de procedencia externa: Esta solicitud es hecha por
alguien ajeno a la empresa, este tipo de solicitud puede ser obligatoria si es
por mandato expreso de alguna autoridad, o bien por voluntad de la empresa si
alguien ajeno a sta solicita la auditoria por tener un vinculo leve o amplio con
ella, en este caso la empresa no tiene la obligacin de acatar esta solicitudes
de auditora.
POR MANDATOS DE AUTORIDADES JUDICIALES: Este origen es el ms comn y
siempre se deriva de un mandato de las autoridades judiciales, quienes por
algn motivo solicita (imponen) la realizacin de una auditoria a la empresa,
esta auditora puede tener varios orgenes especficos: como resultado de
alguna auditoria anterior, a peticin de algn tercero, por la suposicin de un
delito o por cualquier otro motivo.
POR ORDRNRE DE LAS AUTORIDADES: Este es unos de los orgenes ms
importantes de una auditora externa y es cuando las autoridades fiscales
solicitan (imponen) la realizacin de una auditoria; por lo general sta es de
tipo externo, realizada por una empresa, despacho o auditor independiente,
casi siempre est enfocada a revisar la informacin de tipo impositivo que se
procesa en los sistemas computacionales de la empresa.

PAPELES DE TRABAJO PARA LA AUDITORIA DE SISTEMAS COMPUTACIONES

Al realizar unaaudi tora el auditor tiene que recopilar los datos obtenidos y
registrarlos
ormalmente en documentos; estos documentos pueden ser

manuscritos, manuales instructivos, graficas, resultados de procesamientos,

concentrados de bases de datos, respaldos (backups) o cualquier otro medio
escrito o digital, en los cuales recopilar los hechos, pruebas, tabulaciones,
interpretaciones, as como el anlisis de los datos obtenidos.
Los papeles de trabajo proporcionan un orden adecuado al rabajo del auditor y
le sirven como soporte documental ara registrar y mostrar las evidencias
(entrevistas, uestionarios, pruebas, encuestas, investigaciones, bservaciones
y opiniones) de las situaciones relevantes ncontradas durante la evaluacin y
reportadas en el nforme.
CONTENIDO DEL LEGAJO DE
PAPELES DE TRABAJO
Hoja de identificacin
ndice de contenido de los papeles de trabajo
Dictamen preliminar
Resumen de desviaciones detectadas
Situaciones encontradas
Programa de trabajo de auditora
Gua de auditora
Inventario de software
Inventario de hardware
Manual de organizacin
Descripcin de puestos
CONTENIDO DEL LEGAJO DE PAPELES DE TRABAJO
Reportes de pruebas y resultados
Respaldos de datos y programas de aplicacin de auditora
Respaldos de las bases de datos y de los sistemas
Guas de claves para el sealamiento de los papeles de trabajo
Cuadros y estadsticas concentradores de informacin
Anexos de recopilacin de informacin
Diagramas de flujo, de programacin y de desarrollo de sistemas
Testimoniales, actas y documentos legales de comprobacin y confirmacin
Anlisis y estadsticas de resultados, datos y pruebas de comportamiento del
sistema
INDICE DEL CONTENIDO
Se pagina el contenido total de los papeles de trabajo con el propsito de
identificar rpidamente la pgina donde se encuentran cada una de las partes
que integran el legajo de papeles.
DICTAMEN PRELIMINAR
El dictamen preliminar es un borrador que contiene un resultado preparatorio
de la evaluacin del rea de nformtica, del sistema auditado, de la funcin
especfica de dicha rea o de cualquier otro aspecto relacionado con los temas
de la institucin.

Este documento es un bosquejo en el cual se indican las desviaciones

encontradas y el llamado dictamen que hace el auditor de lo que encontr
durante su revisin.
PROGRAMA DE TRABAJO DE
AUDITORA
Es el documento formal de los planes, programas y presupuestos hechos para
el control y desarrollo de la uditora, donde se registran las etapas y
actividades a realizar, los tiempos para llevarla a cabo y los recursos
disponibles.
Las etapas que conforman el programa de trabajo de la auditora de sistemas
computacionales son:
Planeacin.
Ejecucin.
Dictamen.

PROGRAMA DE RABAJO DE AUDITORA

ETAPA 1 : PLANEACIN DE LA AUDITORA
Identificar el origen de la auditora.
Realizar una visita preliminar al rea que ser evaluada.
Establecer los objetivos de la auditora.
Determinar los puntos que ser evaluados en la auditora.
Elaborar planes, programas y presupuestos para realizar la auditora.
Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditora.
Asignar los recursos y sistemas computacionales par la
auditora

ETAPA 2 : EJECUCIN DE LA AUDITORA

Realizar las acciones programadas para la auditora.
Aplicar los instrumentos y herramientas para la auditora.
Identificar y elaborar los documentos de desviaciones
Elaborar el dictamen preliminar y presentarlo a discusin.
Integrar el legajo de papeles de trabajo de la auditora.

encontradas.

ETAPA 3 : DICTAMEN DE LA AUDITORA

Analizar la situacin y elaborar un informe de situaciones detectadas.
Elaborar el dictamen final.
Presentar el informe de auditora.